如何接入并设置思科ASA 5510防火墙中的DNS（详细）

假设接指大入的内网nameif为inside。

配唯仔竖置DNS：

dns domain-lookup inside

dns server-group xxx（自定戚培义名字）

name-server 218.2.135.1

一些机构想隐藏DNS名，不让外界知道。许多裤哗汪专家认为隐藏DNS名没有什么价值，但是，如果站点或企业的政策强制要求隐藏域名，它也不失为一种已知可行的办法。你可能必须隐藏域名的另一条理由是你的内部网络上是否有非标准的寻址方案。不要自欺欺人的认为，如果隐藏了你的DNS名，在攻击者打入你的防火墙时，会给攻击者增加困难。有关你的网络的信息可以很容易地从网络层获得。假如你有兴趣证实这点的话，不妨在LAN上“ping”一下子网广播地址，然后再执行“arp -a”。还需要说明的是，隐藏DNS中的域名不能解决从邮件头、新闻文章等中“泄露”主机名的问题。

这种方法是许多方法中的一个，它对于希望向Internet隐瞒自己的主机名的机构很有用。这种办法的成功取决于这样一个事实：即一台机器上的DNS客户机不必与在同一台机器上的DNS服务器对话。换句话说，正是由于在一台机器上有一个DNS服务器，因此，将这部机器的DNS客户机活动重定向到另一台机器上的DNS服务器没有任何不妥（并且经常有好处）。

首胡仔先，你在可以与外部世界通信的桥头堡主机上建立DNS服务器。你建立芦搭这台服务器使它宣布对你的域名具有访问的权力。事实上，这台服务器所了解的就是你想让外部世界所了解的:你网关的名称和地址、你的通配符MX记录等等。这台服务器就是“公共”服务器。

然后，在内部机器上建立一台DNS服务器。这台服务器也宣布对你的域名具有权力与公共服务器不同，这台服务器“讲的是真话”。它是你的“正常”的命名服务器，你可以在这台服务器中放入你所有的“正常”DNS名。你再设置这台服务器，使它可以将它不能解决的查询转发到公共服务器（例如，使用Unix机上的/etc/ named.boot中的“转发器”行——forwarder line）。

最后，设置你所有的DNS客户机（例如，Unix机上的/etc/resolv.conf文件）使用内部服务器，这些DNS客户机包括公共服务器所在机器上的DNS客户机。这是关键。

询问有关一台内部主机信息的内部客户机向内部服务器提出问题，并得到回答询问有关一部外部主机信息的内部客户机向内部服务器查询，内部客户机再向公共服务器进行查询，公共服务器再向Internet查询，然后将得到的答案再一步一步传回来。公共服务器上的客户机也以相同的方式工作。但是，一台询问关于一台内部主机信息的外部客户机，只能从公共服务器上得到“限制性”的答案。

这种方式假定在这两台服务器之间有一个滤防火墙，这个防火墙允许服务器相互传递DNS，但除此之外，限制其它主机之间的DNS。

这种方式中的另一项有用的技巧是利用你的IN-ADDR.AROA域名中通配符PTR记录。这将引起对任何非公共主机的“地址到名称”（address-to-name）的查找返回像“unknown.YOUR.DOMAIN”这样的信息，而非返回一个错误。这就满足了像ftp.uu.net匿名FTP站点的要求。这类站点要求得到与它们通信的计算机的名字。当与进行DNS交叉检查的站点通信时，这种方法就不灵了。在交叉检查中，主机名要与它的地址匹配，地址也要与主机名匹配。

典型的nat回流问题，例如：

拓扑如上所示：内网web服务器server内网地址：192.168.1.254 在出口路由上即RT-NAT上做了地址映射为172.16.0.3 ，现在ISP上有个loopback0模拟外网用户，访问web服务器正常（本文用端口23模拟），如下：

内网用户用内部地址直接访问，没问题：

内网用户用服务器映射后的公网地址访问，不通：

查看防火墙链接如下：flag为saA，即内网pc给服务器发送了sys但没有收到对端的syn+ack报文。

由此可看出是TCP三次握稿历手出现了问题，接下来我们PC的F0/0上抓包，结果如下：

可以看出第一次是pc（192.168.1.2）给服务器（映射后公网地址为172.16.0.3）发了syn，之后，数据包穿越防火墙到达外网RT，外网RT收到报文后转发给了内网192.168.1.254的web服务器真是地址，web服务器查看原地址为同一网段，目的可达，因此直接将数据包转发给PC终端，即抓包显示的第二条，s：192.168.1.154 d：192.168.1.2 报文syn+ack。这就证实了防火墙的链接为什么是saA了，随后pc给web服务器发送了rst报文，即第三行。因为，在pc看来，它并没有给192.168.1.254发送syn报文，所以它重置了会话报文。下面几行就是TCP重传机制了。

至此问题清楚了。

解决方案列举两种：1、如果内网有自己的DNS服务器，直接在DNS服务器上做指针，例如：www.a.com 指向192.168.1.254内网真是地址即可。如果内网燃岁没有DNS服务器可直接访问IP或者更改写个键段搜脚本在AD环境中分发并执行host批处理。但改host对于移动办公的终端比较麻烦，在公司办公时可以用host直接访问，但出了公司就无法解析了，需要把host改回来，用公网DNS解析访问公网。推荐在内部搭建DNS服务器。

2、在墙上做策略NAT。在此不在赘述。

详细的可以去我博客：网页链接

---