“DNS穿透搞不定了，求大侠帮忙”结帖

  前几天遇到个问题，在论坛发了个帖子（http://bbs.51cto.com/thread-788431-1.html），顶帖之人实在太少，不过还是要谢谢51CTO论坛里和群里的朋友的帮助。由于这几天比较忙，怕朋友们等太久所以今天刚忙完就找客户解决这个问题，好在不是太难办，很快就解决了，呵呵。现分享给大家。

  原配置（部分）：

access-list acl-out extended permit tcp any interface outside eq www
 

global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp interface www 192.168.30.2 www netmask 255.255.255.255  dns
access-group acl-out in interface outside
 

policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
 

问题解决后配置（部分）：

access-list acl-out extended permit tcp any interface outside eq www
 

global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) interface 192.168.30.2 netmask 255.255.255.255 dns
access-group acl-out in interface outside
 

policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
 

有没有发现什么不同？

对了，不同之处就在于static语句，根据cisco资料显示，DNS重写不能应用在基于静态端口映射（PAT）的服务器上，因为这样会使DNS A记录含糊不清。

还有一种技术叫发夹技术，也可以解决这个问题，比上面的复杂一点点，还没做实验，这里就不写了。

附cisco参考资料（特别感谢分享资料的“linux学习中”祝他11月份的IE考试顺利通过,非常感谢！）