内网用户通过域名访问内网WEB服务器,域名解析错误导致访问失败
问题描述
如图:内网用户通过公网IP地址可以正常访问内网WEB服务器,但是通过域名却无法访问,通过nslookup检查域名解析,解析结果为错误的私网IP地址
告警信息
处理过程
既然内网可以通过公网IP地址访问内网服务器,因此只要保证DNS Response 报文数据域中answer字段的IP地址不被ALG进程修改,问题即可解决。登陆防火墙,关闭ALG对DNS报文的检测,命令
Firewall zone trust
Undo detect dns
Firewall zone untrust
Undo detect dns
通过nslookup 检查域名解析,解析结果正常,在内网通过域名访问内网web服务器,访问成功,故障排除
根因
Nat Server, any -> 1.1.1.1:21[192.168.1.10:21], Zone: ---
Protocol: tcp(Appro: ftp), Left-Time: --:--:--, Addr-Pool: ---
VPN: public -> public
Nat Server Reverse, 192.168.1.10[1.1.1.1] -> any, Zone: ---
Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---
VPN: public -> public
Nat Server, any -> 1.1.1.1:80[192.168.1.11:80], Zone: ---
Protocol: tcp(Appro: http), Left-Time: --:--:--, Addr-Pool: ---
VPN: public -> public
Nat Server Reverse, 192.168.1.11[1.1.1.1] -> any, Zone: ---
Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---
VPN: public -> public
Nat Server, any -> 1.1.1.1:6000[192.168.1.13:6000], Zone: ---
Protocol: udp(Appro: unknown), Left-Time: --:--:--, Addr-Pool: ---
VPN: public -> public
Nat Server Reverse, 192.168.1.13[1.1.1.1] -> any, Zone: ---
Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---
VPN: public -> public
因此匹配结果是192.168.1.10,而不是正确的web服务器地址192.168.1.11