外网DNS系统外网访问及邮件系统外网域名访问问题

（一）原因：

联通公网DNS外网无法访问对外提供DNS服务器；

    外网无法访问邮件系统域名；

公网DNS服务器1（10.60.2.29）53端口无法访问；

防火墙策略配置不完整；

（二）问题处理过程：

接到问题报告，外网无法访问邮件系统域名；

通过外网nslookup mail.xx.com.cn，只能到联通DNS，提示找不到mail.xx.com.cn。

查询出外网Radware（10.60.248.3），查看LP—static—NAT，查看地址转换；

查询出外网Radware（10.60.248.3），查看PAT，查看地址端口转换；

查看邮件系统拓扑图及配置统计信息；

确认邮件系统对外网地址为联通（123.x.x.x），电信（58.x.x.x）以及各次内网中各次地址转换地址。

通过外网直接访问邮件系统外网地址，能够正常访问，推断为DNS问题。

查看F5，确认DNS虚地址：10.60.1.184；

查看防火墙，确认DNS转换后地址10.60.7.236；

查看radware，确认DNS外网地址（联通：123.x，电信：58.x）。

检查radware、防火墙、F5策略，同时检查物理机公网DNS服务器1（10.60.2.29）、DNS服务器2（10.60.2.30）。

外网DNS服务器1关闭。

开启外网DNS服务器1。

防火墙NAT端口映射策略不完善，缺少NAT_DNS-transfer策略。

添加、完善防火墙NAT策略。

（DNS服务器相关策略，coremail系统DNS-query、DNS-transfer服务策略）

问题解决。

（三）建议：

加强防火墙策略，对防火墙策略进行完善、优化，并定期备份。

建立业务系统检测机制，及时发现业务系统可能面临的问题。