思科ASA不允许DNS流量通过？

Question

我有一个ASA 5515作为我的互联网防火墙。它不允许我从任何内部DNS服务器或客户端进行NS查找。如果我将nslookup服务器设置为8.8.8.8 (google )，则可以解析公共DNS名称。如果我在内部网络上，就会中断。

我的ASA中有以下几点：

policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 8192
policy-map global_policy
 class inspection_default
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect ip-options 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny  
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip  
  inspect xdmcp 
  inspect pptp 
  inspect ipsec-pass-thru 
  inspect icmp 
  inspect dns preset_dns_map 

对它为什么不起作用有什么想法吗？

Answer 1

如前所述，当您在内部发送DNS查询时，它是否通过防火墙。如果它是为相关流量运行一个数据包，并查看流量是否在任何阶段被丢弃。如果由于任何原因，ASA将放弃流量，请收集ASP捕获的输出。ASP捕获将帮助我们隔离ASA丢弃数据包的原因。