ASA842配置内网DNS欺骗测试

本文涉及的产品
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
云解析 DNS,旗舰版 1个月
简介:

1.测试拓扑:

源需求贴:http://bbs.51cto.com/thread-939762-1.html
2.基本配置:
R1:
interface FastEthernet0/0
 ip address 10.1.1.1 255.255.255.0
 no shut
ip route 0.0.0.0 0.0.0.0 10.1.1.10
R2:
interface FastEthernet0/0
 ip address 10.1.1.2 255.255.255.0
 no shut
ip route 0.0.0.0 0.0.0.0 10.1.1.10
ASA842:
interface G0
 nameif inside
 security-level 100
 ip address 10.1.1.10 255.255.255.0 
 no shut
interface G1
 nameif outside
 security-level 0
 ip address 202.100.1.10 255.255.255.0
 no shut
route outside 0 0 202.100.1.3
policy-map global_policy
 class inspection_default
 inspect icmp 
3.R2路由器DNS服务器配置:
①配置成DNS服务器:
ip dns server
②配置解析条目:
ip host www.google.com 10.1.1.1
③测试:
R2(config)#ip domain lookup
R2(config)#exit
R2#ping www.google.com

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/37/76 ms
R2#

4.ASA842的NAT配置:
①运行内网动态NAT出公网:
object network insidenet
 subnet 10.1.1.0 255.255.255.0
 nat (inside,outside) dynamic interface
②配置去公网的任意dns查询都去内网10.1.1.2:
object network inside-dns
 host 10.1.1.2
object network outside-dns
 subnet 0.0.0.0 0.0.0.0
object service dns
 service udp destination eq domain 
nat (inside,inside) source static insidenet insidenet destination static outside-dns inside-dns service dns dns
③开启防火墙相同接口不同主机允许通讯:
same-security-traffic permit intra-interface 
5.效果测试:
①内网主机可以去公网:
R1#ping 202.100.1.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.100.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/46/88 ms
R1#
②内网主机设置任意的公网DNS服务器,都会去内网10.1.1.2上去查询:
R1(config)#ip domain lookup 
R1(config)#ip name-server 8.8.8.8
R1(config)#do ping www.google.com

Translating "www.google.com"...domain server (8.8.8.8) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
R1(config)#

备注:在checkpoint防火墙中能配出类似的效果,但是目标DNS的IP必须指定,并且DNS条目有优先级的概念,所以不能在内网对象上配置NAT,只能在NAT表中根据先后顺序来指定NAT转换,如下图所示:




本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/974472,如需转载请自行联系原作者

相关文章
|
22天前
|
监控 负载均衡 容灾
slb测试配置
slb测试配置
29 5
|
1月前
|
安全 应用服务中间件 网络安全
如何测试Nginx反向代理实现SSL加密访问的配置是否正确?
如何测试Nginx反向代理实现SSL加密访问的配置是否正确?
56 3
|
1月前
|
域名解析 网络协议 测试技术
IP、掩码、网关、DNS1、DNS2到底是什么东西,ping telnet测试
理解IP地址、子网掩码、默认网关和DNS服务器的概念是有效管理和配置网络的基础。通过使用ping和telnet命令,可以测试网络连通性和服务状态,快速诊断和解决网络问题。这些工具和概念是网络管理员和IT专业人员日常工作中不可或缺的部分。希望本文提供的详细解释和示例能够帮助您更好地理解和应用这些网络配置和测试工具。
97 2
|
1月前
|
Web App开发 定位技术 iOS开发
Playwright 是一个强大的工具,用于在各种浏览器上测试应用,并模拟真实设备如手机和平板。通过配置 `playwright.devices`,可以轻松模拟不同设备的用户代理、屏幕尺寸、视口等特性。此外,Playwright 还支持模拟地理位置、区域设置、时区、权限(如通知)和配色方案,使测试更加全面和真实。例如,可以在配置文件中设置全局的区域设置和时区,然后在特定测试中进行覆盖。同时,还可以动态更改地理位置和媒体类型,以适应不同的测试需求。
Playwright 是一个强大的工具,用于在各种浏览器上测试应用,并模拟真实设备如手机和平板。通过配置 `playwright.devices`,可以轻松模拟不同设备的用户代理、屏幕尺寸、视口等特性。此外,Playwright 还支持模拟地理位置、区域设置、时区、权限(如通知)和配色方案,使测试更加全面和真实。例如,可以在配置文件中设置全局的区域设置和时区,然后在特定测试中进行覆盖。同时,还可以动态更改地理位置和媒体类型,以适应不同的测试需求。
67 1
|
1月前
|
域名解析 存储 缓存
DNS是什么?内网电脑需要配置吗?
【10月更文挑战第22天】DNS是什么?内网电脑需要配置吗?
272 1
|
2月前
|
JSON JavaScript 前端开发
深入解析ESLint配置:从入门到精通的全方位指南,精细调优你的代码质量保障工具
深入解析ESLint配置:从入门到精通的全方位指南,精细调优你的代码质量保障工具
103 0
|
2月前
|
弹性计算 网络协议 网络安全
内网DNS解析&VPN网关联动实现云上访问云下资源
内网DNS解析&VPN网关联动实现云上访问云下资源
|
2月前
|
监控 Java Maven
springboot学习二:springboot 初创建 web 项目、修改banner、热部署插件、切换运行环境、springboot参数配置,打包项目并测试成功
这篇文章介绍了如何快速创建Spring Boot项目,包括项目的初始化、结构、打包部署、修改启动Banner、热部署、环境切换和参数配置等基础操作。
161 0
|
1月前
|
监控 Java 应用服务中间件
高级java面试---spring.factories文件的解析源码API机制
【11月更文挑战第20天】Spring Boot是一个用于快速构建基于Spring框架的应用程序的开源框架。它通过自动配置、起步依赖和内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。本文将深入探讨Spring Boot的背景历史、业务场景、功能点以及底层原理,并通过Java代码手写模拟Spring Boot的启动过程,特别是spring.factories文件的解析源码API机制。
76 2

相关产品

  • 云解析DNS
  • 推荐镜像

    更多