发生问题:数据通信无法实现
根本原因:DNS域名解析解析出来是公网地址,就是内网用户向外网用户发送DNS查询,外网DNS会给内网用户回复,如果防火墙上面加了DNS参数,防火墙就会监控DNS回包,如果发现DNS回包的地址是映射到内网了,那么防火墙就会修改DNS回包把answer的地址改为内网的地址。
通过域内双向转换来解决DNS属于多通道协议,防火墙默认开启了ALG功能,可以检测到DNS Response报文数据域answer字段的IP地址,查看是否匹配server-map表项,如果能匹配,则将对应的公网IP地址转换为私网IP地址,因此,在内网访问服务器直接通过私网IP地址进行访问,不会导致访问失败的现象出现。而通过公网地址访问的时候防火墙ALG进程会通过匹配server-map表项,修改回程会话。
通过关闭ALG对DNS报文的检测来解决问题(前提是内网可以通过公网IP访问内网服务器)将源地址转换为公网地址
目的地址为服务器目标地址
Firewall zone trustUndo detect dnsFirewall zone untrustUndo detect dns
