Откройте диапазон портов TCP в Cisco IOS NAT

13
ip nat inside source static 192.168.1.10 10.10.10.9 route-map RANGE
!
route-map RANGE permit 100
  match ip address 102
!
access-list 102 permit tcp host 192.168.1.10 range 3000 3389 any

Конфигурация, кажется, не работает .. просто создает один к одному статический NAT ...

Кто-нибудь знает, как открыть диапазон портов?

У меня есть несколько внешних IP-адресов и я хотел бы открыть одни и те же порты для нескольких хостов, используя несколько внешних IP-адресов, и из-за этого не работает роторный метод.

Luna
источник
не забудьте также проверить ACL или правила брандмауэра на внешних интерфейсах!
knotseh
Вам помог какой-нибудь ответ? Если это так, вы должны принять ответ, чтобы вопрос не появлялся вечно, ища ответ. Кроме того, вы можете предоставить и принять свой собственный ответ.
Рон Мопин

Ответы:

9

(РЕДАКТИРОВАТЬ)

Похоже, что внутри -> снаружи работает, как и ожидалось, как видно из ответа ниже, но снаружи -> внутри на самом деле нет, все разрешено, как предложено ОП.

Добавление 'обратимого' в строку NAT начинает обрабатывать маршрутную карту для внешнего-> внутреннего, к сожалению, он не работает с портами:

  1. разрешить ip любому хосту 194.100.7.226 работ
  2. разрешить tcp любые работы
  3. разрешить tcp любой любой eq 80 не соответствует, не работает
  4. разрешить tcp любой eq 80 любой матч, не работает
  5. разрешить tcp для любого eq 80 host 194.100.7.226 match, не работает
  6. разрешить tcp любой eq 0 host 194.100.7.226 работает

На '194.100.7.226' я делаю 'telnet 91.198.120.222 80', то есть мой источник - 194.100.7.226:, пункт назначения 91.198.120.222:80. Поскольку пример № 1 работает, мы можем заключить, что обратимый фактически «обращает» ACL, так что он работает одинаково в обоих направлениях, что имеет смысл.

Когда соединение соответствует, но не работает, в 'запретить любую строку ввода журнала я получаю это:

.Jul 7 07: 58: 59.118 UTC:% SEC-6-IPACCESSLOGP: список MOO отклонен, tcp 91.198.120.2 (0) (Tunnel101) -> 194.100.7.226 (0), 1 пакет

Таким образом, действительно кажется, что тип протокола L4 переносится, но порты не переносятся во время обращения NAT. Так что снаружи -> внутренние диапазоны не работают.


Как было предложено в вопросе о диапазоне портов UDP для прямого доступа Cisco 867, это работает снаружи -> внутри

ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
 permit tcp any any range 22 100
 deny   ip any any log-input

Это немного гетто, я чувствую, потому что у вас нет хорошего контроля над внешним IP. Пул - это внутренний IP, внешний IP - маршрутизатор за пределами IP.


Оригинальный ответ внутренней -> внешней работы с портами:

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!
route-map MOO deny 200
!

@ 91.198.120.2 я делаю:

  • telnet testhost 22
  • telnet testhost 23
  • telnet testhost 24

На testhost я могу наблюдать:

1   0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128

2   9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128

5  16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128

Проверено на:

bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#
ytti
источник
1

так, чтобы исправить мою проблему, что я сделал

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!

и я также включил список доступа 199 на моем внешнем интерфейсе

access-list 199 permit tcp any host external_host eq 3389
access-list 199 deny   ip any host external_host

этот список доступа заботится о разрешении всех проблем с портами.

луна
источник
Я был обеспокоен тем, что OP хотел направить внешний n1-n2 на host1 и внешний n3-n4 на host2, что исключает ACL во внешнем. Интересно, ДОЛЖНЫ ли работать порты L4 в приведенном выше примере, если это ошибка или предполагаемое поведение, особенно если это явно не «стандартный» ACL, поскольку он различает UDP и TCP, просто порты равны «0».
ytti
как бы вы использовали карту маршрутов для отображения порта 3389, скажем, 90001
луна