The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Проброс DNS, !*! BuxpbSN, 25-Апр-07, 16:36  [смотреть все]
Здравствуйте. Есть 3640 с прописанным dns-сервером:

ip dns server
ip name-server A.B.C.D
ip name-server A.B.C.E

Периодически возникают завирёванные клиенты, которые забивают своими DNS-запросами CPU под 90%. Хочу сделать так - для нормальных клиентов DNS даёт циска, а таких - пробрасывать прямо на A.B.C.D, поскольку резать их нельзя.

Делаю так:

access-list 153 permit udp any any eq domain

route-map dnsf permit 10
match ip address 153
set ip next-hop A.B.C.D

И, конечно:

interface FastEthernet3/0.1
ip policy route-map dnsf

Тем не менее, пакеты не пересылаются, а обрабатываются циской. Потому что если сделать no ip dns server, dns не разрешается.

Подскажите, пожалуйста, что я делаю не так? И есть ли более разумное решение проблемы?


Ответить | Сообщить модератору
  • Проброс DNS, !*! asto, 00:52 , 26-Апр-07 (1)
    Только настройкой циски эту задачку не решить - надо настраивать еще и клиентские машины, ибо она при запущенном сервисе днс будет разбирать ВСЕ адресованные ей запросы, и проблему с загрузкой процессора это не решит.
    Поэтому самое простое - на всех клиентах указать в качестве днс-сервера a.b.c.d, чтобы они к циске даже не лезли.
    Или на вход повесить access-list, режущий днс-запросы от "плохих" хостов, и на этих хостах указать вторичный днс-сервер.

    Предложенное Вами решение работать не будет, потому что команда set ip next-hop отвечает за выбор следующего хопа маршрута, в то время как Вам требуется изменить destination-адрес. Циска хацкать пакеты таким образом не умеет.

    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру