Відкрийте діапазон TCP портів у Cisco IOS NAT

ip nat inside source static 192.168.1.10 10.10.10.9 route-map RANGE
!
route-map RANGE permit 100
  match ip address 102
!
access-list 102 permit tcp host 192.168.1.10 range 3000 3389 any

Схоже, що конфігурація не працює .. просто створює один на один статичний NAT ...

Хтось знає, як відкрити діапазон портів?

У мене є кілька зовнішніх IP-адрес, і я хотів би відкрити одні і ті ж порти для декількох хостів, використовуючи кілька зовнішніх ip, і тому поворотний метод не працює.

(EDIT)

Здається, що всередині -> зовні працює так, як очікувалося, як видно з відповіді нижче, але зовні-> всередині насправді немає, це дозволяє все, як запропонував ОП.

Додавши "оборотний" у рядок NAT, він починає вшановувати маршрутну карту для зовнішньої та внутрішньої сторони, але, на жаль, це не працює з портами:

1. дозволяють ip будь-який хост 194.100.7.226 робіт
2. дозволяють tcp будь-які роботи
3. дозвіл tcp будь-який еквівалент 80 не відповідає, не працює
4. дозволити tcp будь-який eq 80 будь-який збіг, не працює
5. дозвіл tcp будь-який eq 80 хост 194.100.7.226 матч, не працює
6. дозвіл tcp будь-який еквівалент 0 працює 194.100.7.226

У '194.100.7.226' я роблю 'telnet 91.198.120.222 80', тобто моє джерело 194.100.7.226:ефемерне призначення - 91.198.120.222:80. Як працює приклад №1 , ми можемо зробити висновок, що реверсивність насправді 'повертає' ACL, так що вона працює однаково в обох напрямках, що має сенс.

Коли з'єднання збігається, але не працює, у 'запереченні будь-якого рядка введення журналу я отримую це:

. 7 липня 07: 58: 59.118 UTC:% SEC-6-IPACCESSLOGP: список MOO відхилено tcp 91.198.120.2 (0) (Tunnel101) -> 194.100.7.226 (0), 1 пакет

Тож справді здається, що тип протоколу L4 переноситься, але порти не переносяться під час обертання NAT. Тож зовні-> внутрішні діапазони не працюють.

Як було запропоновано в питанні, Cisco 867 перетворює діапазон портів UDP, це працює назовні-> всередині

ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
 permit tcp any any range 22 100
 deny   ip any any log-input

Я відчуваю це трохи гетто, оскільки ви не маєте належного контролю над зовнішньою IP-адресою. Басейн - це внутрішній IP, зовнішній IP - маршрутизатор поза IP.

Оригінальна відповідь внутрішня> зовнішня робота з портами:

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!
route-map MOO deny 200
!

@ 91.198.120.2 Я роблю:

• telnet testhost 22
• telnet testhost 23
• telnet testhost 24

На testhost я можу спостерігати:

1   0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128

2   9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128

5  16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128

Тестовано на:

bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#

щоб виправити своє питання, що я зробив

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!

і я також включив список доступу 199 до мого зовнішнього інтерфейсу

access-list 199 permit tcp any host external_host eq 3389
access-list 199 deny   ip any host external_host

цей список доступу піклується про дозвіл на видачу всіх портів.