nat dns e router cisco: disabilitare il nat nelle query dns

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
dercol
n00b
Messaggi: 4
Iscritto il: mer 23 mag , 2007 11:59 am

dalla faq sul nat di cisco:
http://www.cisco.com/en/US/tech/tk648/t ... a55a.shtml
Does Cisco IOS NAT support Domain Name System (DNS) queries?
A. Yes, Cisco IOS NAT will translate the addresses that appear in DNS responses to name lookups (A queries) and inverse lookups (PTR queries). Thus, if an outside host sends a name lookup to a DNS server on the inside, and that server responds with a local address, the NAT code will translate that local address to a global address. The opposite is also true. This is how Cisco supports IP addresses overlapping-an inside host queries an outside DNS server; the response contains an address that matches the access list specified on the "outside source" command, so the code translates the outside global address to an outside local address.
Time-to-live (TTL) values on all DNS resource records, which receive address translations in resource records payloads, are automatically set to zero.
la mia domanda è: come si disabilita questa feature?
Grazie della pazienza.....
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Scusa la domanda ma perchè vuoi disabilitare questa funzione?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
dercol
n00b
Messaggi: 4
Iscritto il: mer 23 mag , 2007 11:59 am

Domanda lecita,
il problema è che ho una configurazione di questo tipo:

INTERNET---ROUTER--DMZ1--FIREWALL1--DMZ2--FIREWALL2--LAN

nella DMZ2 ho un DNS autoritativo che risponde con gli IP pubblici del POOL e tutti i servizi sono in DMZ2.
In DMZ1 ho i frontend che offrono i servizi a internet mascherando la DMZ2 che quindi non è raggiungibile da internet.
DMZ1 viceversa non è accessibile da LAN ma è accessibile solo DMZ2
Ricapitolando:
da internet i servizi sono logicamente in DMZ1
dalla lan i servizi sono (fisicamente) in DMZ2

se da internet viene fatta una query DNS, viene risposto dal DNS autoritativo o dai suoi DNS secondari l'IP "pubblico" che poi viene nattato attraverso il router su DMZ1.
se dalla LAN viene eseguita la stessa richiesta, la risposta dai DNS in internet viene mascherata dal router CISCO nei corrispondenti indirizzi privati noti al ROUTER e questi indirizzi sono nella DMZ1 che non è raggiungibile dalla LAN.

Ho necessità che anche dalla lan le richieste DNS vengano risolte con l'indirizzo internet vero.

(Ti assicuro che anche se non sembra, ti ho semplificato la struttura della rete, ho evidenziato solo quello che mi interessa per cercare di spiegarti la situazione)
Ciao e grazie
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

In breve vuoi che il router non natti le richieste dns cioè, esempio:

ip interno srv dns: 192.168.0.1
ip pubblico: 1.1.1.1

Se il client ha configurato come server dns 1.1.1.1 il router non deve automaticamente girare la richiesta al suo ip interno cioè 192.168.0.1...non è così vero?! Se la tua rischiesta invece è quella che ho scritto io prova a guardare queto link:

http://www.cisco.com/en/US/tech/tk648/t ... 3f30.shtml
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
dercol
n00b
Messaggi: 4
Iscritto il: mer 23 mag , 2007 11:59 am

Cerco di spiegare in altro modo:

A è il client in LAN
B è un client in internet
D è il DNS pubblico
R è il ROUTER
PRIVATO1 è l'indirizzo privato del frontend del servizio in DMZ1
PRIVATO2 è l'indirizzo privato del backend del servizio in DMZ2
PUBBLICO è l'indirizzo internet pubblico del servizio

Situazione OK:
B chiede a D l'indirizzo del servizio. D risponde con PUBBLICO.
B si connette a PUBBLICO, R natta la richiesta a PRIVATO1 e attraverso i vari apparati la richiesta viene inoltrata a PRIVATO2 e tutto funziona.

SITUAZIONE NON OK:
A chiede a D l'indirizzo del servizio. D risponde con PUBBLICO.
La risposta di D passa attraverso R e viene tramutata in PRIVATO1
A si connette a PRIVATO1 e non funziona una mazza perché privato non è raggiungibile.

SITUAZIONE che vorrei:
A chiede a D l'indirizzo del servizio. D risponde con PUBBLICO.
La risposta di D passa attraverso R e raggiunge non modificata A.
A si connette a PUBBLICO, attraverso i vari apparati la richiesta viene nattata a PRIVATO2 e tutto funziona.

oppure
A chiede a D l'indirizzo del servizio. D risponde con PUBBLICO.
La risposta di D passa attraverso R viene tramutata in PRIVATO2 e viene consegnata a A
A si connette a PRIVATO2 e tutto funziona.
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Sinceramente non ho mai lavorato su una situazione del genere però una mezza idea la ho:

Fai un policy nat dicendo di non nattare in certe occasioni, queste occasioni sono gestite da una acl (tutto questo sul router):

Codice: Seleziona tutto

ip nat inside source static tcp IP_INTERNO PORTA IP_PUBBLICO PORTA route-map POL-NAT

access-list 107 remark ACL PER POLICY-NAT SRV DNS
access-list 107 deny   ip x.x.x.x y.y.y.y
access-list 107 permit ip any any

route-map POL-NAT permit 10
 match ip address 107
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
dercol
n00b
Messaggi: 4
Iscritto il: mer 23 mag , 2007 11:59 am

Grazie del suggerimento.
Vediamo adesso se ho capito io (sono abituato a trattare con linux come router, non con Cisco)
La prima linea dice:
caro cisco, quando ti arriva una richiesta per 194.b.c.d tu inoltra la richiesta dentro a 192.168.11.20 seguendo le restrizioni dirella route-map POL-NAT
ip nat inside source static 192.168.11.20 194.b.c.d route-map POL-NAT
Se la richiesta ti arriva da 192.168.0.0/16 nega => quindi non nattare, altrimenti accetta
access-list 107 remark ACL PER POLICY-NAT SRV DNS
access-list 107 deny ip 192.168.0.0 0.0.255.255 any
access-list 107 permit ip any any
Se viene soddisfatta la acl-107 la route map POL-NAT è soddisfatta.
route-map POL-NAT permit 10
match ip address 107
Siccome la POL.-NAT è richiamata nella linea "ip nat inside source static 192.168.11.20 194.b.c.d route-map POL-NAT", il nat viene eseguito se l'indirizzo dorgente non è 192.168.0.0/16


Risultato ottenuto:
* se parte una richiesta da internet verso 194.b.c.d, la richiesta viene soddisfatta (ed il nat verso 192.168.11.20 viene effettuato)
* se 192.168.11.20 cerca di andare in internet attraverso il router, il router non natta la richiesta in uscita e quindi 192.168.11.20 non riesce a collegarsi da nessuna parte in quanto esce in internet con un indirizzo privato...
* non ho il risultato richiesto per quello che riguarda le query dns
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Da quello che ho potuto leggere in questo post mi sembri una persona intelligente e preparata, "purtroppo" hai una struttura di rete abbastanza complessa e anche il problema che hai diciamo che non è solito...
Purtroppo io non riesco a darti grandi aiuti sopratutto perchè non si hanno a disposizione le varie configurazioni degli apparati di rete.
Dato però che si cono sistemisti cisco + esperti di me in questo forum lascio a loro la parola e ti auguro buona fortuna.
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Rispondi

Torna a “Configurazioni”