(EDIT)
Здається, що всередині -> зовні працює так, як очікувалося, як видно з відповіді нижче, але зовні-> всередині насправді немає, це дозволяє все, як запропонував ОП.
Додавши "оборотний" у рядок NAT, він починає вшановувати маршрутну карту для зовнішньої та внутрішньої сторони, але, на жаль, це не працює з портами:
- дозволяють ip будь-який хост 194.100.7.226 робіт
- дозволяють tcp будь-які роботи
- дозвіл tcp будь-який еквівалент 80 не відповідає, не працює
- дозволити tcp будь-який eq 80 будь-який збіг, не працює
- дозвіл tcp будь-який eq 80 хост 194.100.7.226 матч, не працює
- дозвіл tcp будь-який еквівалент 0 працює 194.100.7.226
У '194.100.7.226' я роблю 'telnet 91.198.120.222 80', тобто моє джерело 194.100.7.226:ефемерне призначення - 91.198.120.222:80. Як працює приклад №1 , ми можемо зробити висновок, що реверсивність насправді 'повертає' ACL, так що вона працює однаково в обох напрямках, що має сенс.
Коли з'єднання збігається, але не працює, у 'запереченні будь-якого рядка введення журналу я отримую це:
. 7 липня 07: 58: 59.118 UTC:% SEC-6-IPACCESSLOGP: список MOO відхилено tcp 91.198.120.2 (0) (Tunnel101) -> 194.100.7.226 (0), 1 пакет
Тож справді здається, що тип протоколу L4 переноситься, але порти не переносяться під час обертання NAT. Тож зовні-> внутрішні діапазони не працюють.
Як було запропоновано в питанні, Cisco 867 перетворює діапазон портів UDP, це працює назовні-> всередині
ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
permit tcp any any range 22 100
deny ip any any log-input
Я відчуваю це трохи гетто, оскільки ви не маєте належного контролю над зовнішньою IP-адресою. Басейн - це внутрішній IP, зовнішній IP - маршрутизатор поза IP.
Оригінальна відповідь внутрішня> зовнішня робота з портами:
ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
permit icmp any any
permit tcp any any range 22 telnet
!
route-map MOO permit 100
match ip address MOO
!
route-map MOO deny 200
!
@ 91.198.120.2 Я роблю:
- telnet testhost 22
- telnet testhost 23
- telnet testhost 24
На testhost я можу спостерігати:
1 0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128
2 9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128
5 16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128
Тестовано на:
bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#