歡迎您光臨本站 註冊首頁

前輩們幫忙看看,這解析要咋弄???

←手機掃碼閱讀     火星人 @ 2014-03-04 , reply:0

前輩們幫忙看看,這解析要咋弄???

公司內網放置了兩台WEB server,這兩台server使用同一個內網網段地址192.168.3.11和192.168.3.12,對應的域名分別是www.aa.com與www.bb.com。
        在公司出口的路由器後端放置了PIX火牆,配置了NAT與埠映射,從外網訪問這兩台web server都很正常,DNS解析的地址也都是web server相應的公網地址。
        如今在同一個交換機(交換機上沒有劃分VLAN)上添加了一台PC 192.168.3.100。
        使用這台PC訪問這兩台web server發現,只能訪問aa.com!!bb.com訪問失敗!!
        ping這兩個域名發現,aa.com返回的是內網地址192.168.3.11,而bb.com返回的是公網地址202.171.xx.xx
        在PC上直接使用bb.com的內網地址訪問沒有問題。
        PC上配置的是內網網關192.168.3.1配置的DNS是公網上的一台DNS202.99.224.68

        目前公司使用了三個公網地址,兩台web server分別使用兩個公網地址做埠映射,另一個公網地址用於員工訪問公網使用。

        請教一下各位前輩,是什麼導致這個問題的?我應該怎麼做????

[ 本帖最後由 ku6ccie 於 2009-12-20 19:45 編輯 ]
《解決方案》

歸納起來有兩點:

1.PC 192.168.3.100上的hosts文件里應該是加了aa.com的靜態解析條目。要想讓其也能訪問bb.com也需要加靜態解析條目。
2.修改防火牆規則,是內網用戶通過WEB伺服器的公網IP地址也能訪問,這樣就不需要在hosts裡面添加靜態解析條目了。
《解決方案》

感謝大大的幫忙。
1、host文件檢查了沒有相應的記錄,而且我還在ping之前ipconfig -flushdns了,但是對結果沒有任何影響。公司的人數較多,逐個人添加不太現實。
2、防火牆上的設置規則對於兩台server來說都是一樣的,只是ip地址不同而已,現在就是希望bb.com這個域名針對內部的請求也能像aa.com這樣使用內部地址來響應就好了。

我覺得現在問題的切入點在於:為何aa.com對於來自於內部的域名解析請求會返回一個私網地址??我DNS指向的可是一台公網的DNS server呀!!火牆是一台PIX,三層設備,只會對數據包的頭部進行修改和檢查,不可能對數據包的內容進行修改呀,所以也就不存在是防火牆把DNS返回的查詢結果給修改為一個內網地址這種情況出現。用dig來分析的時候www.aa.com直接A記錄一個192.168.3.11,暈死喲~~~~~這樣的話也排除了web server的因素,因為dig只是PC與dns server之間的對話。

沒有思路~完全沒有思路~~~請各位賜教!!謝謝
《解決方案》

要想讓同一個域名記錄在不同網路環境里返回不同的解析結果無非兩種方式:

1. 修改操作本機的hosts文件。
2. 域名解析使用了「智能域名解析」也即BIND+VIEW技術。

但如LZ所述使用相同公網DNS但解析的結果不同,真是有點見鬼的問道!

不妨把aa.com的真實域名給出,我幫你測試一下。可以論壇簡訊告知。
《解決方案》

再次感謝大大的熱心幫助。

我在公司外dig這兩個域名,返回的都是正常的公網地址結果,訪問也沒有任何問題。

您所說的測試可否說說思路,讓小弟我增長一下經驗值哈~謝謝!!!
《解決方案》

DNS(是不是aa的用了dns view,bb的沒有生效)
GW(FW)
PC上的默認GW

從這些上面來檢查吧
《解決方案》

測試結果如下:

兩個域名一個是新網負責解析,一個是新網互聯負責解析的,解析都很正常。

結論:

導致解析結果不一致的原因一定在內網,如防火牆,PC配置等,仔細檢查吧。


建議在那個解析異常的機器上用dig命令(WINDOWS平台需要安裝相應的BIND版本)跟蹤一下解析過程應該能發現問題:

dig domain-name   +trace
《解決方案》

問題解決了!!!!!
問題還是出現在PIX上
在PIX上有一個alias命令會替代web server來診斷dns server的響應。
等我把思路再屢順一下,再給大家一個完整的解決過程。

再次感謝各位大大的幫助與支持哈~~!!
《解決方案》

Alias的兩個功能:
利用DNS Doctoring修正外部DNS伺服器回復
o 利用DNS Doctoring,PIX 將"改變" 外部DNS響應的地址到另一個IP,這個地址不同於DNS伺服器上真實提供的域名-IP記錄。
o 此功能實現從內部客戶端通過內部IP地址連接到內部伺服器上。
轉換目標IP地址的dnat(Destination NAT)到另一個IP。
o 用dnat改變應用程序的標地址.
o 此功能實現從內部客戶端調用外部地址訪問周邊網路(例如DMZ區),不修改DNS回復。

例如,一台機器發送數據到99.99.99.99,可使用alias命令把數據重定向到另一個地址10.10.10.10.可使用此命令避免你網路里的IP與互聯網或另一個企業內部網的IP衝突。請參考pix官方文檔:http://www.cisco.com/univercd/cc/td /doc/product/iaabu/pix/index.htm
《解決方案》

其實就是nat時「迴流」的問題

[火星人 ] 前輩們幫忙看看,這解析要咋弄???已經有421次圍觀

http://coctec.com/docs/service/show-post-19461.html