我已经尝试了很多次来设置 DNS 篡改，但我无法让它工作，我相信是因为我们的 ISR 没有能力执行我正在尝试的命令

您的第一个问题是您在 Cisco 路由器上使用 Cisco ASA 命令；您还假设这是 Cisco 路由器的问题。

实际上，这是一个可以通过 Cisco 路由器解决的 DNS 问题；但是，它通常是通过拆分 DNS解决的

是否有另一种方法来实现 DNS 篡改或以其他方式使用外部地址访问我们的本地服务器？

是的......思科称之为网络地址转换（或nat）......让我们假设你有这个拓扑......

                               +------------+
                        Fa0/0  | Cisco ISR  | Fa0/1
LAN w/ Webhost-----------------|            |-------------------
                        inside |            | outside (To ISP)
                   10.1.1.0/24 +------------+ 192.0.2.1
                                              192.0.2.2 (static translation for the webhost)

interface Fa0/0
 ip address 10.1.1.1 255.255.255.0
 no ip proxy-arp
 ip nat inside
interface Fa0/1
 ip address 192.0.2.1 255.255.255.0
 no ip proxy-arp
 ip nat outside
!
ip nat inside source list INSIDE_ADDRS interface FastEthernet0/1 overload
ip nat inside source static 10.1.1.50 192.0.2.2
!
ip access-list extended INSIDE_ADDRS
 permit ip 10.1.1.0 0.0.0.255 any
 deny   ip any any
!
ip route 0.0.0.0 0.0.0.0 192.0.2.254

假设您的内部虚拟主机地址是 10.1.1.50，并且您使用 192.0.2.2（ISP 提供的第二个地址）作为您的公共 A 记录。因此，当您从 google 的解析器解析“ourdomain.com”时，您会得到...

[mpenning@Bucksnort ~]$ dig +short @8.8.8.8 ourdomain.com
10.1.1.50
[mpenning@Bucksnort ~]$

假设 Bucksnort 是 10.1.1.12，如果您debug ip nat在 DNS 查询期间在路由器上执行，您会看到...

Sep 23 23:12:29.132 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.132 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.136 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [628]
Sep 23 23:12:29.140 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.140 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.140 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [629]
Sep 23 23:12:29.144 CDT: NAT: s=10.1.1.12->192.0.2.1, d=8.8.8.8 [0]
Sep 23 23:12:29.148 CDT: NAT: DNS resource record 192.0.2.2 -> 10.1.1.50
Sep 23 23:12:29.148 CDT: NAT: s=8.8.8.8, d=192.0.2.1->10.1.1.12 [630]