Domain-Name-System
Cisco ASA 為 DNS 流量記錄“icmp 的正常翻譯創建失敗 …”,但它可以工作
每隔幾分鐘,我們的 Cisco ASA 5505 防火牆就會記錄我有限的 Cisco 經驗無法弄清楚的錯誤。
Severity Date Time Syslog ID Source IP Destination IP Description 3 Mar 25 2010 17:21:14 305006 8.8.8.8 regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.8.8 (type 3, code 3) 3 Mar 25 2010 17:18:37 305006 8.8.4.4 regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.4.4 (type 3, code 3)記錄的內部 IP 是我們的內部 DNS 伺服器,外部 IP 是 Google 的公共 DNS 伺服器,我們在本地 BIND 配置中將其用作轉發器。ICMP Type 3 Code 3 的意思是“埠不可達”。
啟用“檢查 DNS”、“檢查 ICMP”和“檢查 ICMP 錯誤”全域服務策略,並使用預設檢查映射。
我們的“外部”介面有一個固定的 IP,我們的“內部”介面位於 10.10.0.0/16 子網中。10.10.0.206 IP 是我們內部的 BIND DNS 伺服器,DNS 解析良好。使用不同的 DNS 轉發器(例如 OpenDNS)會產生相同的錯誤。
我花了幾天時間試圖弄清楚這一點,所以任何和所有的建議都值得讚賞!
這看起來像是防火牆的 NAT 狀態表超時和 DNS 伺服器自己的超時不匹配。
您的 DNS 伺服器正在返回 ICMP Port Unreachable,可能是為了響應延遲接收的數據包。BIND 為每個出站查詢選擇一個隨機(ish)埠,並且長時間延遲的響應可能在 BIND 停止偵聽該埠上的響應之後很久才到達。
這確實引出了一個問題,即為什麼防火牆會愉快地允許(遲到的)返回的數據包進入,而不會隨後讓 ICMP 錯誤退出。