Mở một loạt các cổng TCP trong Cisco IOS NAT

ip nat inside source static 192.168.1.10 10.10.10.9 route-map RANGE
!
route-map RANGE permit 100
  match ip address 102
!
access-list 102 permit tcp host 192.168.1.10 range 3000 3389 any

Cấu hình dường như không hoạt động .. chỉ tạo một NAT tĩnh ...

Có ai biết làm thế nào để mở phạm vi của các cổng?

Tôi có nhiều IP bên ngoài và muốn mở cùng một cổng cho nhiều máy chủ bằng nhiều ip bên ngoài và do đó phương thức quay không hoạt động.

(BIÊN TẬP)

Có vẻ như bên trong-> bên ngoài hoạt động như mong đợi, như được thấy trong câu trả lời bên dưới, nhưng bên ngoài-> bên trong thực sự không, nó cho phép mọi thứ, như OP đề xuất.

Thêm 'đảo ngược' trong dòng NAT, nó bắt đầu tôn vinh bản đồ tuyến đường cho bên ngoài-> bên trong, thật không may, nó dường như không hoạt động với các cổng:

1. cho phép ip bất kỳ máy chủ 194.100.7.226 hoạt động
2. cho phép tcp bất kỳ công trình
3. cho phép tcp bất kỳ eq 80 nào không khớp, không hoạt động
4. cho phép tcp bất kỳ eq 80 bất kỳ trận đấu nào , không hoạt động
5. cho phép tcp bất kỳ máy chủ eq 80 194.100.7.226 phù hợp, không hoạt động
6. cho phép tcp bất kỳ eq 0 máy chủ 194.100.7.226 hoạt động

Tại '194.100.7.226' Tôi đang làm 'telnet 91.198.120.222 80', đó là nguồn của tôi là 194.100.7.226: đích đến là 91.198.120.222:80. Như ví dụ # 1 hoạt động, chúng ta có thể kết luận rằng đảo ngược thực sự 'đảo ngược' ACL, để nó hoạt động theo cùng một cách cả hai hướng, điều này có ý nghĩa.

Khi kết nối khớp nhưng không hoạt động, trong 'từ chối bất kỳ dòng nhập nhật ký nào tôi nhận được điều này:

. 7 tháng 7 07

Vì vậy, nó thực sự có vẻ như loại giao thức L4 được thực hiện, nhưng các cổng không được thực hiện trong quá trình đảo ngược NAT. Vì vậy, bên ngoài-> bên trong phạm vi không hoạt động.

Như được đề xuất trong câu hỏi, cổng UDP chuyển tiếp của Cisco 867, phạm vi này hoạt động cho bên ngoài-> bên trong

ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
 permit tcp any any range 22 100
 deny   ip any any log-input

Tôi cảm thấy hơi ghetto, vì bạn không kiểm soát tốt IP bên ngoài. Pool là IP bên trong, IP bên ngoài là bộ định tuyến bên ngoài IP.

Câu trả lời gốc của bên trong-> bên ngoài làm việc với các cổng:

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!
route-map MOO deny 200
!

@ 91.198.120.2 Tôi đang làm:

• telnet testhost 22
• telnet testhost 23
• telnet testhost 24

Tại testhost tôi có thể quan sát:

1   0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128

2   9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128

5  16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128

Đã thử nghiệm trên:

bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#

vì vậy để khắc phục vấn đề của tôi, những gì tôi đã làm là

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!

và tôi cũng bao gồm một danh sách truy cập 199 trên giao diện bên ngoài của tôi

access-list 199 permit tcp any host external_host eq 3389
access-list 199 deny   ip any host external_host

danh sách truy cập này quan tâm đến việc cho phép tất cả các vấn đề cổng.