Otwórz szereg portów TCP w Cisco IOS NAT

ip nat inside source static 192.168.1.10 10.10.10.9 route-map RANGE
!
route-map RANGE permit 100
  match ip address 102
!
access-list 102 permit tcp host 192.168.1.10 range 3000 3389 any

Konfiguracja nie działa. Po prostu tworzy statyczny NAT jeden do jednego ...

Czy ktoś wie, jak otworzyć zakres portów?

Mam wiele zewnętrznych adresów IP i chciałbym otworzyć te same porty dla wielu hostów za pomocą wielu zewnętrznych adresów IP i dlatego metoda rotacyjna nie działa.

(EDYTOWAĆ)

Wygląda na to, że inside-> outside działa zgodnie z oczekiwaniami, jak widać w odpowiedzi poniżej, ale outside-> inside tak naprawdę nie działa, pozwala na wszystko, zgodnie z sugestią OP.

Dodając „odwracalne” w linii NAT, zaczyna honorować mapę trasy dla zewnątrz-> wewnątrz, niestety nie działa z portami:

1. zezwól na ip dowolny host 194.100.7.226 działa
2. zezwolić tcp na dowolne prace
3. zezwól tcp na dowolne eq 80 bez dopasowania, nie działa
4. zezwól tcp na dowolny eq 80 na dowolny mecz, nie działa
5. zezwalaj tcp na dowolne dopasowanie hosta eq 80 194.100.7.226 , nie działa
6. zezwalaj tcp na dowolny eq 0 hosta 194.100.7.226 działa

W '194.100.7.226' Robię 'telnet 91.198.120.222 80', to znaczy, że moje źródło to 194.100.7.226:efekt docelowy to 91.198.120.222:80. Jak działa przykład nr 1 , możemy wywnioskować, że odwracalne faktycznie „odwraca” ACL, tak że działa w ten sam sposób w obu kierunkach, co ma sens.

Gdy połączenie się zgadza, ale nie działa, w 'odmów jakiejkolwiek linii wprowadzania dziennika otrzymuję to:

. 7 lipca 07: 58: 59.118 UTC:% SEC-6-IPACCESSLOGP: lista MOO została odrzucona tcp 91.198.120.2 (0) (Tunnel101) -> 194.100.7.226 (0), 1 pakiet

Wygląda więc na to, że przenoszony jest typ protokołu L4, ale porty nie są przenoszone podczas odwracania NAT. Więc poza-> wewnętrzne zakresy nie działają.

Jak zasugerowano w pytaniu Cisco 867 zakres portów UDP, działa to na zewnątrz-> wewnątrz

ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
 permit tcp any any range 22 100
 deny   ip any any log-input

Wydaje mi się, że to trochę getto, ponieważ nie masz dobrej kontroli nad zewnętrznym adresem IP. Pula to wewnętrzny adres IP, zewnętrzny adres to router poza adresem IP.

Oryginalna odpowiedź od wewnątrz-> na zewnątrz pracy z portami:

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!
route-map MOO deny 200
!

@ 91.198.120.2 Robię:

• telnet testhost 22
• telnet testhost 23
• telnet testhost 24

Na testhost obserwuję:

1   0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128

2   9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128

5  16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128

Testowane na:

bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#

więc naprawiłem mój problem

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!

i dołączyłem także listę dostępu 199 do mojego interfejsu zewnętrznego

access-list 199 permit tcp any host external_host eq 3389
access-list 199 deny   ip any host external_host

ta lista dostępu zajmuje się kwestią dopuszczania wszystkich portów.