Відкрийте діапазон TCP портів у Cisco IOS NAT


13
ip nat inside source static 192.168.1.10 10.10.10.9 route-map RANGE
!
route-map RANGE permit 100
  match ip address 102
!
access-list 102 permit tcp host 192.168.1.10 range 3000 3389 any

Схоже, що конфігурація не працює .. просто створює один на один статичний NAT ...

Хтось знає, як відкрити діапазон портів?

У мене є кілька зовнішніх IP-адрес, і я хотів би відкрити одні і ті ж порти для декількох хостів, використовуючи кілька зовнішніх ip, і тому поворотний метод не працює.


Не забудьте також перевірити ACL або правила брандмауера на зовнішніх інтерфейсах!
knoth

Чи допомогла вам якась відповідь? якщо так, то слід прийняти відповідь, щоб питання не з’являлося вічно, шукаючи відповідь. Крім того, ви можете надати та прийняти власну відповідь.
Рон Моупін

Відповіді:


9

(EDIT)

Здається, що всередині -> зовні працює так, як очікувалося, як видно з відповіді нижче, але зовні-> всередині насправді немає, це дозволяє все, як запропонував ОП.

Додавши "оборотний" у рядок NAT, він починає вшановувати маршрутну карту для зовнішньої та внутрішньої сторони, але, на жаль, це не працює з портами:

  1. дозволяють ip будь-який хост 194.100.7.226 робіт
  2. дозволяють tcp будь-які роботи
  3. дозвіл tcp будь-який еквівалент 80 не відповідає, не працює
  4. дозволити tcp будь-який eq 80 будь-який збіг, не працює
  5. дозвіл tcp будь-який eq 80 хост 194.100.7.226 матч, не працює
  6. дозвіл tcp будь-який еквівалент 0 працює 194.100.7.226

У '194.100.7.226' я роблю 'telnet 91.198.120.222 80', тобто моє джерело 194.100.7.226:ефемерне призначення - 91.198.120.222:80. Як працює приклад №1 , ми можемо зробити висновок, що реверсивність насправді 'повертає' ACL, так що вона працює однаково в обох напрямках, що має сенс.

Коли з'єднання збігається, але не працює, у 'запереченні будь-якого рядка введення журналу я отримую це:

. 7 липня 07: 58: 59.118 UTC:% SEC-6-IPACCESSLOGP: список MOO відхилено tcp 91.198.120.2 (0) (Tunnel101) -> 194.100.7.226 (0), 1 пакет

Тож справді здається, що тип протоколу L4 переноситься, але порти не переносяться під час обертання NAT. Тож зовні-> внутрішні діапазони не працюють.


Як було запропоновано в питанні, Cisco 867 перетворює діапазон портів UDP, це працює назовні-> всередині

ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
 permit tcp any any range 22 100
 deny   ip any any log-input

Я відчуваю це трохи гетто, оскільки ви не маєте належного контролю над зовнішньою IP-адресою. Басейн - це внутрішній IP, зовнішній IP - маршрутизатор поза IP.


Оригінальна відповідь внутрішня> зовнішня робота з портами:

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!
route-map MOO deny 200
!

@ 91.198.120.2 Я роблю:

  • telnet testhost 22
  • telnet testhost 23
  • telnet testhost 24

На testhost я можу спостерігати:

1   0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128

2   9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128

5  16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128

Тестовано на:

bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#

1

щоб виправити своє питання, що я зробив

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!

і я також включив список доступу 199 до мого зовнішнього інтерфейсу

access-list 199 permit tcp any host external_host eq 3389
access-list 199 deny   ip any host external_host

цей список доступу піклується про дозвіл на видачу всіх портів.


Я переживав, що ОП хотів направити зовнішній n1-n2 на host1 і зовнішній n3-n4 на host2, що б перешкоджало ACL у зовнішньому. Мені цікаво, чи повинні портів L4 працювати у наведеному вище прикладі, якщо це помилка чи призначена поведінка, тим більше, що це явно не "стандартний" ACL, оскільки він відрізняє UDP і TCP, просто порти "0".
ytti

як би ви використовували мапу маршруту для відображення порту 3389, щоб сказати 90001
місяця
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.