cubi 10 Geschrieben 27. März 2009 Melden Teilen Geschrieben 27. März 2009 Hi, ich habe hier ein Problem, dass bei unterschiedlichen Servern, Routern und auch Protokollen auftritt, ich scheine also ein grundsätzliches Verständnisproblem zu haben... Ein Beispielszenario: Windows 2003 DNS AD Server im internen LAN, dann ein Cisco 2621 (um den gehts), dann ein Windows 2003 DNS Server in der DMZ. Der AD DNS hat eine Weiterleitung auf den DMZ DNS konfiguriert. Dieser DMZ DNS soll Fragen des AD DNS beantworten, hat sonst mit dem nichts zu schaffen. Der Router ist so konfiguriert: ip inspect name Cbac0 udp ip inspect name Cbac1 udp interface FastEthernet0/0 description zum LAN ip access-group ACL0 in ip inspect Cbac0 in interface FastEthernet0/1 description zur DMZ ip access-group ACL1 in ip inspect Cbac1 in ip access-list extended ACL0 permit udp host AD-DNS host DMZ-DNS eq domain ip access-list extended ACL1 deny ip any any Das funktioniert alles wie erwartet, allerdings erhalte ich in den Logfiles vor allem zur Mittagszeit (alles surft...) solche Einträge mehrmals in der Minute: 27.03.2009 12:14 Router list ACL1 denied udp DMZ-DNS(53) -> AD-DNS(55943), 1 packet Wie kommt denn sowas??? Das gleiche Problem habe ich z.B. mit unserem Webproxy: Anderer Server, anderer Router, anderes Protokoll und Logfile sagt: denied tcp irgendwer(80) -> Webproxy(12345) Wie gesagt, es funktioniert alles, trotzdem wüsste ich gerne, wo diese Logeinträge herkommen. Ratlos Frank Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 28. März 2009 Melden Teilen Geschrieben 28. März 2009 könnte mri vorstelen das bei UDP evtl ein Paket nach Ablauf des Timers daherkommt und bei TCP das ein Paket irgendwie "out-of-state" anommt, sprich der Proxy schickt irgendein Paket das entweder ein für inspect falsches Flag oder eine falsche Sequenznummer hat Zitieren Link zu diesem Kommentar
cubi 10 Geschrieben 30. März 2009 Autor Melden Teilen Geschrieben 30. März 2009 Jo, ich habe jetzt erst gesehen, dass udp dns-timeout unabhängig vom global udp timeout einzustellen ist - raufsetzen auf 10 Sekunden scheint das Problem bereits zu lösen. Da Du mir indirekt bestätigt hast, dass ich keinen grundsätzlichen Konfigurationsfehler habe, muss ich jetzt den Flaschenhals suchen, denn 10 Sekunden für eine DNS Anfrage ist ja nun auch nicht normal. Herzlichen Dank für die schnelle Hilfe Frank Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.