ip nat inside source static 192.168.1.10 10.10.10.9 route-map RANGE
!
route-map RANGE permit 100
match ip address 102
!
access-list 102 permit tcp host 192.168.1.10 range 3000 3389 any
该配置似乎不起作用..只是创建了一对一的静态NAT ...
是否有人知道如何打开端口范围?
/>
我有多个外部IP,并想使用多个外部ip为多个主机打开相同的端口,因此旋转方法不起作用。
#1 楼
(EDIT)似乎内部->外部按预期方式工作,如下面的答案所示,但是外部->内部实际上不起作用,正如OP建议的那样,它允许所有操作。
在NAT行中添加“可逆”,开始遵循外部->内部的路由映射,不幸的是,它似乎不适用于端口:
允许ip任何主机194.100.7.226可以运行
允许tcp任何可以运行
允许tcp任何eq 80不匹配,不起作用
允许tcp可以eq 80任意匹配,不起作用
允许tcp任何eq 80主机194.100.7.226匹配,不起作用
允许tcp任何eq 0主机194.100.7.226可以工作
在'194.100.7.226',我正在执行'telnet 91.198.120.222 80',即我的来源是194.100.7.226:临时目的地是91.198.120.222:80。如示例1所示,我们可以得出结论,可逆实际上是“反转”了ACL,因此它在两个方向上都以相同的方式起作用,这是有道理的。
当连接匹配但不起作用时,在“拒绝任何日志输入行”中,我得到以下信息:
。7月7日07:58: 59.118 UTC:%SEC-6-IPACCESSLOGP:列出MOO拒绝tcp
91.198.120.2(0)(Tunnel101)-> 194.100.7.226(0),1个数据包
因此,看起来好像确实承载了L4协议类型,但是在NAT反向期间没有承载端口。因此,外部->内部范围不起作用。
有问题的建议,Cisco 867转发UDP端口范围适用于外部->内部
ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
permit tcp any any range 22 100
deny ip any any log-input
我觉得这有点贫民窟,因为您对外部IP没有很好的控制。池是内部IP,外部IP是路由器外部IP。
内部->外部使用端口的原始答案:
ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
permit icmp any any
permit tcp any any range 22 telnet
!
route-map MOO permit 100
match ip address MOO
!
route-map MOO deny 200
!
@91.198.120.2我在做:
telnet testhost 22
telnet testhost 23
telnet testhost 24
在我可以观察到的testhost:
1 0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128
2 9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128
5 16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128
测试于:
bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#
#2 楼
因此,为了解决我的问题,我做了什么ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
permit icmp any any
permit tcp any any range 22 telnet
!
route-map MOO permit 100
match ip address MOO
!
,而且我还在外部接口上包括了访问列表199
access-list 199 permit tcp any host external_host eq 3389
access-list 199 deny ip any host external_host
此访问列表可解决允许所有端口的问题。
评论
我担心OP希望将外部n1-n2定向到host1,将外部n3-n4定向到host2,这会排除外部的ACL。我想知道L4端口是否应在上面的示例中工作,是否是错误或预期的行为,特别是因为它显然不是“标准” ACL,因为它区分UDP和TCP,只是端口为“ 0”。
–ytti
13年7月9日在12:28
您将如何使用路由映射将端口3389映射为90001
–luna
13年7月11日在22:13
评论
别忘了还要在面向外部的接口上检查ACL或防火墙规则!有什么答案对您有帮助吗?如果是这样,您应该接受答案,这样问题就不会永远弹出来寻找答案。或者,您可以发布并接受自己的答案。