Mở một loạt các cổng TCP trong Cisco IOS NAT


13
ip nat inside source static 192.168.1.10 10.10.10.9 route-map RANGE
!
route-map RANGE permit 100
  match ip address 102
!
access-list 102 permit tcp host 192.168.1.10 range 3000 3389 any

Cấu hình dường như không hoạt động .. chỉ tạo một NAT tĩnh ...

Có ai biết làm thế nào để mở phạm vi của các cổng?

Tôi có nhiều IP bên ngoài và muốn mở cùng một cổng cho nhiều máy chủ bằng nhiều ip bên ngoài và do đó phương thức quay không hoạt động.


đừng quên kiểm tra ACL hoặc quy tắc tường lửa trên các giao diện đối diện bên ngoài của bạn!
kneseseh

Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:


9

(BIÊN TẬP)

Có vẻ như bên trong-> bên ngoài hoạt động như mong đợi, như được thấy trong câu trả lời bên dưới, nhưng bên ngoài-> bên trong thực sự không, nó cho phép mọi thứ, như OP đề xuất.

Thêm 'đảo ngược' trong dòng NAT, nó bắt đầu tôn vinh bản đồ tuyến đường cho bên ngoài-> bên trong, thật không may, nó dường như không hoạt động với các cổng:

  1. cho phép ip bất kỳ máy chủ 194.100.7.226 hoạt động
  2. cho phép tcp bất kỳ công trình
  3. cho phép tcp bất kỳ eq 80 nào không khớp, không hoạt động
  4. cho phép tcp bất kỳ eq 80 bất kỳ trận đấu nào , không hoạt động
  5. cho phép tcp bất kỳ máy chủ eq 80 194.100.7.226 phù hợp, không hoạt động
  6. cho phép tcp bất kỳ eq 0 máy chủ 194.100.7.226 hoạt động

Tại '194.100.7.226' Tôi đang làm 'telnet 91.198.120.222 80', đó là nguồn của tôi là 194.100.7.226: đích đến là 91.198.120.222:80. Như ví dụ # 1 hoạt động, chúng ta có thể kết luận rằng đảo ngược thực sự 'đảo ngược' ACL, để nó hoạt động theo cùng một cách cả hai hướng, điều này có ý nghĩa.

Khi kết nối khớp nhưng không hoạt động, trong 'từ chối bất kỳ dòng nhập nhật ký nào tôi nhận được điều này:

. 7 tháng 7 07

Vì vậy, nó thực sự có vẻ như loại giao thức L4 được thực hiện, nhưng các cổng không được thực hiện trong quá trình đảo ngược NAT. Vì vậy, bên ngoài-> bên trong phạm vi không hoạt động.


Như được đề xuất trong câu hỏi, cổng UDP chuyển tiếp của Cisco 867, phạm vi này hoạt động cho bên ngoài-> bên trong

ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
 permit tcp any any range 22 100
 deny   ip any any log-input

Tôi cảm thấy hơi ghetto, vì bạn không kiểm soát tốt IP bên ngoài. Pool là IP bên trong, IP bên ngoài là bộ định tuyến bên ngoài IP.


Câu trả lời gốc của bên trong-> bên ngoài làm việc với các cổng:

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!
route-map MOO deny 200
!

@ 91.198.120.2 Tôi đang làm:

  • telnet testhost 22
  • telnet testhost 23
  • telnet testhost 24

Tại testhost tôi có thể quan sát:

1   0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128

2   9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128

5  16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128

Đã thử nghiệm trên:

bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#

1

vì vậy để khắc phục vấn đề của tôi, những gì tôi đã làm là

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!

và tôi cũng bao gồm một danh sách truy cập 199 trên giao diện bên ngoài của tôi

access-list 199 permit tcp any host external_host eq 3389
access-list 199 deny   ip any host external_host

danh sách truy cập này quan tâm đến việc cho phép tất cả các vấn đề cổng.


Tôi đã lo lắng OP muốn chuyển n1-n2 bên ngoài sang host1 và n3-n4 bên ngoài đến host2, điều này sẽ loại trừ ACL ở bên ngoài. Tôi tự hỏi nếu các cổng L4 NÊN hoạt động trong ví dụ trên, nếu đó là lỗi hoặc hành vi có chủ đích, đặc biệt là rõ ràng đó không phải là 'ACL tiêu chuẩn', vì nó phân biệt UDP và TCP, chỉ các cổng là '0'.
ytti

Làm thế nào bạn sẽ sử dụng bản đồ tuyến đường để lập bản đồ cổng 3389 để cho biết 90001
luna
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.