1、现场内网一台DNS服务器,网关设在cisco交换机上,客户端PC通过我司75交换机将报文转发至cisco交换机,完成与DNS服务器的交互,实现域名解析;
2、在75交换机上部署两块防火墙插卡SecBlade FW,将DNS服务器网关更改设置到FW上,并在75交换机上关闭到cisco交换机端口,客户端流量走75交换机内联口上到防火墙板卡,再转发到DNS服务器,完成与DNS服务器的交互,实现域名解析。
现场防火墙板卡上线之后,发现大部分主机业务域名无法访问,域名解析异常,但是客户端可以ping通域名服务器地址,且防火墙策略是全通的。
1、在防火墙上查看配置,只是对报文简单的转发,不涉及nat,查看会话,发现有udp53端口的会话,说明策略也没有阻断;
2、在客户端抓包,发现和业务域名相关的很少又udp 53端口的报文,由于是内网环境,一些公网的域名解析是失败时正常情况,分析报文,发现有很多NBNS协议的报文,开始排查现场的组网和域名解析机制;
DNS报文:
NBNS报文:
3、经过与现场沟通确认,发现现场有AD域,使用的业务软件在未加域业务终端上直接通过NBNS协议广播请求主机名对应IP地址,由对应的服务器单播响应;在加域的电脑上业务软件通过DNS解析请求完整域名对应的IP来访问。
4、此时业务流经过cisco交换机可以正常交互,检查cisco交换机配置,发现cisco交换机配置有ip helper命令将广播报文转为单播的配置,将NBNS协议的广播报文转到对应的服务器完成主机名对应IP地址的获取,而防火墙板卡上却没有同步此配置,无法将NBNS协议报文转到对应的服务器。
ip helper-address 192.168.x.x
ip helper-address 192.168.x.x
ip helper-address 192.168.x.x
ip helper-address 192.168.x.x
ip helper-address 192.168.x.x
在FW上增加udp-helper配置:
udp-helper port 137 (NBNS协议端口)
udp-helper server x.x.x.x (相关主机名业务服务器地址)
对未加域终端发送的广播NBNS报文转换为单播报文发送到相关主机名业务服务器处理,服务器将主机名对应IP单播返回客户终端。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作