ASA842配置内网DNS欺骗测试

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介:

1.测试拓扑:

源需求贴:http://bbs.51cto.com/thread-939762-1.html
2.基本配置:
R1:
interface FastEthernet0/0
 ip address 10.1.1.1 255.255.255.0
 no shut
ip route 0.0.0.0 0.0.0.0 10.1.1.10
R2:
interface FastEthernet0/0
 ip address 10.1.1.2 255.255.255.0
 no shut
ip route 0.0.0.0 0.0.0.0 10.1.1.10
ASA842:
interface G0
 nameif inside
 security-level 100
 ip address 10.1.1.10 255.255.255.0 
 no shut
interface G1
 nameif outside
 security-level 0
 ip address 202.100.1.10 255.255.255.0
 no shut
route outside 0 0 202.100.1.3
policy-map global_policy
 class inspection_default
 inspect icmp 
3.R2路由器DNS服务器配置:
①配置成DNS服务器:
ip dns server
②配置解析条目:
ip host www.google.com 10.1.1.1
③测试:
R2(config)#ip domain lookup
R2(config)#exit
R2#ping www.google.com

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/37/76 ms
R2#

4.ASA842的NAT配置:
①运行内网动态NAT出公网:
object network insidenet
 subnet 10.1.1.0 255.255.255.0
 nat (inside,outside) dynamic interface
②配置去公网的任意dns查询都去内网10.1.1.2:
object network inside-dns
 host 10.1.1.2
object network outside-dns
 subnet 0.0.0.0 0.0.0.0
object service dns
 service udp destination eq domain 
nat (inside,inside) source static insidenet insidenet destination static outside-dns inside-dns service dns dns
③开启防火墙相同接口不同主机允许通讯:
same-security-traffic permit intra-interface 
5.效果测试:
①内网主机可以去公网:
R1#ping 202.100.1.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.100.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/46/88 ms
R1#
②内网主机设置任意的公网DNS服务器,都会去内网10.1.1.2上去查询:
R1(config)#ip domain lookup 
R1(config)#ip name-server 8.8.8.8
R1(config)#do ping www.google.com

Translating "www.google.com"...domain server (8.8.8.8) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
R1(config)#

备注:在checkpoint防火墙中能配出类似的效果,但是目标DNS的IP必须指定,并且DNS条目有优先级的概念,所以不能在内网对象上配置NAT,只能在NAT表中根据先后顺序来指定NAT转换,如下图所示:




本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/974472,如需转载请自行联系原作者

目录
打赏
0
0
0
0
265
分享
相关文章
os-copilot安装_配置_功能测试全集
我是一位中级运维工程师,我平时工作会涉及到 各类服务器的 数据库 与 java环境配置 操作。 我顺利使用了OS Copilot的 -t -f | 功能,我的疑惑是不能在自动操作过程中直接给与脚本运行权限,必须需要自己运行一下 chmod 这个既然有了最高的权限,为什么就不能直接给与运行权限呢。 我认为 -t 功能有用,能解决后台运行基础命令操作。 我认为 -f 功能有用,可以通过task文件中撰写连续任务操作。 我认为 | 对文件理解上有很直接的解读,可以在理解新程序上有很大帮助。
168 86
os-copilot使用之全面配置与使用测试
作为一名个人开发者,我主要从事云服务器架设工作。近期,我成功使用了OS Copilot的 `-t -f |` 功能,解决了执行语句、连续提问及快速理解文件的问题。我发现这些功能非常实用,特别是在使用Workbench时能快速调用AI助手。此外,建议将AI功能与xShell工具联动,进一步提升效率。文中详细记录了购买服务器、远程连接、安装配置OS Copilot以及具体命令测试的过程,展示了如何通过快捷键和命令行操作实现高效开发。
135 67
DHCP与DNS的配置
通过这些步骤,您可以在Linux环境下成功配置和验证DHCP和DNS服务。希望这些内容对您的学习和工作有所帮助。
52 27
2025年阿里云弹性裸金属服务器架构解析与资源配置方案
🚀 核心特性与技术创新:提供100%物理机性能输出,支持NVIDIA A100/V100 GPU直通,无虚拟化层损耗。网络与存储优化,400万PPS吞吐量,ESSD云盘IOPS达100万,RDMA延迟<5μs。全球部署覆盖华北、华东、华南及海外节点,支持跨地域负载均衡。典型应用场景包括AI训练、科学计算等,支持分布式训练和并行计算框架。弹性裸金属服务器+OSS存储+高速网络综合部署,满足高性能计算需求。
内网桌面监控软件深度解析:基于 Python 实现的 K-Means 算法研究
内网桌面监控软件通过实时监测员工操作,保障企业信息安全并提升效率。本文深入探讨K-Means聚类算法在该软件中的应用,解析其原理与实现。K-Means通过迭代更新簇中心,将数据划分为K个簇类,适用于行为分析、异常检测、资源优化及安全威胁识别等场景。文中提供了Python代码示例,展示如何实现K-Means算法,并模拟内网监控数据进行聚类分析。
28 10
【02】写一个注册页面以及配置打包选项打包安卓apk测试—开发完整的社交APP-前端客户端开发+数据联调|以优雅草商业项目为例做开发-flutter开发-全流程-商业应用级实战开发-优雅草央千澈
【02】写一个注册页面以及配置打包选项打包安卓apk测试—开发完整的社交APP-前端客户端开发+数据联调|以优雅草商业项目为例做开发-flutter开发-全流程-商业应用级实战开发-优雅草央千澈
36 1
【02】写一个注册页面以及配置打包选项打包安卓apk测试—开发完整的社交APP-前端客户端开发+数据联调|以优雅草商业项目为例做开发-flutter开发-全流程-商业应用级实战开发-优雅草央千澈
如何测试Nginx反向代理实现SSL加密访问的配置是否正确?
如何测试Nginx反向代理实现SSL加密访问的配置是否正确?
227 60
企业内网监控系统中基于哈希表的 C# 算法解析
在企业内网监控系统中,哈希表作为一种高效的数据结构,能够快速处理大量网络连接和用户操作记录,确保网络安全与效率。通过C#代码示例展示了如何使用哈希表存储和管理用户的登录时间、访问IP及操作行为等信息,实现快速的查找、插入和删除操作。哈希表的应用显著提升了系统的实时性和准确性,尽管存在哈希冲突等问题,但通过合理设计哈希函数和冲突解决策略,可以确保系统稳定运行,为企业提供有力的安全保障。

相关产品

  • 云解析DNS
  • 推荐镜像

    更多