(BIÊN TẬP)
Có vẻ như bên trong-> bên ngoài hoạt động như mong đợi, như được thấy trong câu trả lời bên dưới, nhưng bên ngoài-> bên trong thực sự không, nó cho phép mọi thứ, như OP đề xuất.
Thêm 'đảo ngược' trong dòng NAT, nó bắt đầu tôn vinh bản đồ tuyến đường cho bên ngoài-> bên trong, thật không may, nó dường như không hoạt động với các cổng:
- cho phép ip bất kỳ máy chủ 194.100.7.226 hoạt động
- cho phép tcp bất kỳ công trình
- cho phép tcp bất kỳ eq 80 nào không khớp, không hoạt động
- cho phép tcp bất kỳ eq 80 bất kỳ trận đấu nào , không hoạt động
- cho phép tcp bất kỳ máy chủ eq 80 194.100.7.226 phù hợp, không hoạt động
- cho phép tcp bất kỳ eq 0 máy chủ 194.100.7.226 hoạt động
Tại '194.100.7.226' Tôi đang làm 'telnet 91.198.120.222 80', đó là nguồn của tôi là 194.100.7.226: đích đến là 91.198.120.222:80. Như ví dụ # 1 hoạt động, chúng ta có thể kết luận rằng đảo ngược thực sự 'đảo ngược' ACL, để nó hoạt động theo cùng một cách cả hai hướng, điều này có ý nghĩa.
Khi kết nối khớp nhưng không hoạt động, trong 'từ chối bất kỳ dòng nhập nhật ký nào tôi nhận được điều này:
. 7 tháng 7 07
Vì vậy, nó thực sự có vẻ như loại giao thức L4 được thực hiện, nhưng các cổng không được thực hiện trong quá trình đảo ngược NAT. Vì vậy, bên ngoài-> bên trong phạm vi không hoạt động.
Như được đề xuất trong câu hỏi, cổng UDP chuyển tiếp của Cisco 867, phạm vi này hoạt động cho bên ngoài-> bên trong
ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
permit tcp any any range 22 100
deny ip any any log-input
Tôi cảm thấy hơi ghetto, vì bạn không kiểm soát tốt IP bên ngoài. Pool là IP bên trong, IP bên ngoài là bộ định tuyến bên ngoài IP.
Câu trả lời gốc của bên trong-> bên ngoài làm việc với các cổng:
ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
permit icmp any any
permit tcp any any range 22 telnet
!
route-map MOO permit 100
match ip address MOO
!
route-map MOO deny 200
!
@ 91.198.120.2 Tôi đang làm:
- telnet testhost 22
- telnet testhost 23
- telnet testhost 24
Tại testhost tôi có thể quan sát:
1 0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128
2 9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128
5 16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128
Đã thử nghiệm trên:
bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#