URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23156
[ Назад ]

Исходное сообщение
"DNS inspect на Cisco ASA 5520"
Отправлено dmitriy , 30-Сен-11 10:42

Привет всем !
В общем заметил у себя на сети паразитный трафик DNS создаваемый рабочими станциями, на которых включен IPv6. DNS queries идут в Intenet :
fd00::8570:71b7:71f8:bd93.<internet domain>
fe80::7141:6b02:de9e:cfeb%10.<internet domain>

Полностью закрыть удаленный DNS для <internet domain> нельзя - ipv4 должен нормально работать.
Задался я на Cisco ASA поставить блокировку для запросов специально для вышеперечисленных запросов, но что-то не получается - запросы все равно идут, а не блокируются.
regex ipv6 ".+:+.+"
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
  id-randomization
  id-mismatch action log
match domain-name regex ipv6
  drop log

Подставлял в строку теста fd00::8570:71b7:71f8:bd93.<internet domain> для regex ipv6 - говорит Success. Может кто подскажет что не так ?

Содержание

DNS inspect на Cisco ASA 5520,dmitriy, 10:48 , 30-Сен-11
- DNS inspect на Cisco ASA 5520,dmitriy, 11:13 , 30-Сен-11

Сообщения в этом обсуждении

"DNS inspect на Cisco ASA 5520"
Отправлено dmitriy , 30-Сен-11 10:48

Для примера:
gw1# test regex fe80::7141:6b02:de9e:cfeb%10.contoso.com ".+:+.+"
INFO: Regular expression match succeeded.

"DNS inspect на Cisco ASA 5520"
Отправлено dmitriy , 30-Сен-11 11:13

сорри, сам ошибся
просто в глобальной политике стяла DNS inspection DEFAULT - поставил на preset_dns_map и все заработало