Cisco IOS NAT'ta bir dizi TCP bağlantı noktası açın

ip nat inside source static 192.168.1.10 10.10.10.9 route-map RANGE
!
route-map RANGE permit 100
  match ip address 102
!
access-list 102 permit tcp host 192.168.1.10 range 3000 3389 any

Yapılandırma çalışmıyor gibi görünüyor .. sadece bire bir statik NAT oluşturur ...

Herhangi biri bağlantı noktalarının nasıl açılacağını biliyor mu?

Birden çok harici IP var ve birden çok harici ip kullanarak birden çok ana bilgisayarlar için aynı bağlantı noktalarını açmak istiyorum ve bu nedenle döner yöntem çalışmıyor.

(DÜZENLE)

Görünüşe göre içeride-> dışarıda beklendiği gibi çalışıyor, aşağıdaki cevapta görüldüğü gibi, ama dışarıda-> gerçekten değil, OP'nin önerdiği gibi her şeye izin veriyor.

NAT hattına 'tersinir' eklenmesi, dış-iç için rota haritasını onurlandırmaya başlar, maalesef bağlantı noktalarıyla çalışmıyor gibi görünüyor:

1. ip herhangi bir ev sahibi izin 194.100.7.226 çalışır
2. herhangi bir çalışmayı tcp'ye izin ver
3. tcp herhangi bir eq 80 eşleşmesine izin ver , çalışmıyor
4. tcp herhangi bir eq 80 herhangi bir maç izin , çalışmıyor
5. tcp herhangi bir eq 80 ana bilgisayar 194.100.7.226 maç izin , çalışmıyor
6. izin tcp herhangi bir eq 0 ana bilgisayar 194.100.7.226 çalışır

'194.100.7.226' Telnet 91.198.120.222 80 'de yapıyorum, yani kaynağım 194.100.7.226:efemeral hedef 91.198.120.222:80. 1. örnek çalıştığında, tersinir olanın ACL'yi gerçekten 'tersine çevirdiği' sonucuna varabiliriz , böylece her iki yönde de aynı şekilde çalışır, bu da mantıklıdır.

Bağlantı eşleştiğinde ancak çalışmadığında, herhangi bir günlük giriş satırını reddet 'i şunu elde ederim:

.Tem 7 07: 58: 59.118 UTC:% SEC-6-IPACCESSLOGP: liste MOO reddedildi tcp 91.198.120.2 (0) (Tünel101) -> 194.100.7.226 (0), 1 paket

Bu yüzden gerçekten L4 protokol tipi taşınmış gibi görünüyor, ancak bağlantı noktaları NAT ters çevrilirken taşınmıyor. Böylece dış -> iç aralıklar çalışmıyor.

Sorusu da önerildiği gibi Cisco 867 ileri UDP bağlantı noktası aralığı dışında-> iç için bu işleri

ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
 permit tcp any any range 22 100
 deny   ip any any log-input

Dış IP üzerinde iyi bir kontrole sahip olmadığınız için hissediyorum biraz getto. Havuz iç IP, dış IP IP dış yönlendirici.

Limanlar ile iç-dış çalışma orijinal cevap:

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!
route-map MOO deny 200
!

@ 91.198.120.2 Yapıyorum:

• telnet testhost 22
• telnet testhost 23
• telnet testhost 24

Testhost'ta gözlemleyebilirim:

1   0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128

2   9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128

5  16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128

Test tarihi:

bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#

sorunumu düzeltmek için yaptığım şey

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!

ve ayrıca harici arayüzüme bir erişim listesi 199 ekledim

access-list 199 permit tcp any host external_host eq 3389
access-list 199 deny   ip any host external_host

bu erişim listesi tüm bağlantı noktası sorununa izin verir.