web-dev-qa-db-ja.com

Cisco ASAは、DNSトラフィックの「icmp ...の通常のトランスレーション作成に失敗しました」をログに記録しますが、機能します。

数分ごとに、Cisco ASA 5505ファイアウォールは、限られたシスコの経験では理解できないエラーをログに記録しています。

Severity Date        Time        Syslog ID Source IP  Destination IP  Description
3     Mar 25 2010 17:21:14 305006   8.8.8.8                    regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.8.8 (type 3, code 3)
3     Mar 25 2010 17:18:37 305006   8.8.4.4                    regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.4.4 (type 3, code 3)

ログに記録された内部IPは内部DNSサーバーであり、外部IPはGoogleのパブリックDNSサーバーであり、ローカルのBIND構成でフォワーダーとして使用しています。 ICMPタイプ3コード3は、「ポート到達不能」を意味します。

「Inspect DNS」、「Inspect ICMP」、「Inspect ICMP Errors」のグローバルサービスポリシーが有効になり、デフォルトのインスペクションマップが表示されます。

「外部」インターフェースには固定IPがあり、「内部」インターフェースは10.10.0.0/16サブネットにあります。 10.10.0.206 IPは内部BIND DNSサーバーであり、DNSは問題なく解決しています。 OpenDNSなどの別のDNSフォワーダーを使用すると、同じエラーが発生します。

私はこれを理解しようと何日も費やしてきたので、あらゆるアドバイスをいただければ幸いです。

domain-name-systemfirewallciscocisco-asabind
3
Martijn Heemels

これは、ファイアウォールのNAT状態テーブルのタイムアウトとDNSサーバー自体のタイムアウトが一致していないようです。

ICMP Port Unreachableは、おそらく遅延受信パケットに応答して、DNSサーバーによって返されています。 BINDは送信クエリごとにランダムな(ish)ポートを選択します。BINDがそのポートでの応答の受信を停止した後、長い遅延応答が到着する可能性があります。

これは、ファイアウォールが(遅れて)返されたパケットを喜んで許可し、その後ICMPエラーを戻さない理由を疑問視します。

1
Alnitak

最も可能性の高いものから最も可能性の低いものまで、次のことを試すことができます。

  • ICMP応答を正しく機能させるには、「ICMPの検査」を有効にする必要がある場合があります。これは新しいASAソフトウェアの場合です(8.2以降)。
  • 内部インターフェイスに適切なNATステートメントがあり、外部インターフェイスにGLOBALステートメントがあることを確認してください
  • 内部インターフェイスのアクセスリストで、このトラフィックに一致する発信ICMPが許可されていることを確認してください

これらのいずれでも問題が解決しない場合は、次のようにキャプチャを設定してみてください。

asa(config)# access-list test permit icmp Host 10.10.0.200 8.8.0.0 255.255.0.0
asa(config)# access-list test permit icmp Host <outside interface IP> 8.8.0.0 255.255.0.0
asa(config)# access-list test permit icmp 8.8.0.0 255.255.0.0 Host 10.10.0.200
asa(config)# access-list test permit icmp 8.8.0.0 255.255.0.0 Host <outside interface IP>
asa# capture test1 access-list test interface outside trace
asa# capture test2 access-list test interface inside trace

次に、これらのエラーのカップルがログに記録された後(私が正しく思い出せば、これは構文です):

asa# show capture test1 trace
asa# show capture test2 trace
1
blueadept

ASAでこのメッセージが表示される理由の1つは次のとおりです。

regular translation creation failed for icmp src inside:10.x.x.3 dst outside:19.13.123.16

PC /サーバーが急流を実行しているとき、それは多くのNATセッションをセットアップします。その後、ユーザーが急流クライアントを閉じたり終了したりすると、長時間このエラーがたくさん発生します。

それをどうするか:わからない。 8.8.8.8 GoogleのパブリックDNSに対してこのメ​​ッセージが表示されるのはなぜですか。 DNSサーバーへのセッションを開いている間に終了したプログラムである可能性があります。

0
Jotne