ip nat inside source static 192.168.1.10 10.10.10.9 route-map RANGE
!
route-map RANGE permit 100
  match ip address 102
!
access-list 102 permit tcp host 192.168.1.10 range 3000 3389 any


该配置似乎不起作用..只是创建了一对一的静态NAT ...

是否有人知道如何打开端口范围?
/>
我有多个外部IP,并想使用多个外部ip为多个主机打开相同的端口,因此旋转方法不起作用。

评论

别忘了还要在面向外部的接口上检查ACL或防火墙规则!

有什么答案对您有帮助吗?如果是这样,您应该接受答案,这样问题就不会永远弹出来寻找答案。或者,您可以发布并接受自己的答案。

#1 楼

(EDIT)

似乎内部->外部按预期方式工作,如下面的答案所示,但是外部->内部实际上不起作用,正如OP建议的那样,它允许所有操作。

在NAT行中添加“可逆”,开始遵循外部->内部的路由映射,不幸的是,它似乎不适用于端口:


允许ip任何主机194.100.7.226可以运行

允许tcp任何可以运行

允许tcp任何eq 80不匹配,不起作用

允许tcp可以eq 80任意匹配,不起作用

允许tcp任何eq 80主机194.100.7.226匹配,不起作用

允许tcp任何eq 0主机194.100.7.226可以工作


在'194.100.7.226',我正在执行'telnet 91.198.120.222 80',即我的来源是194.100.7.226:临时目的地是91.198.120.222:80。如示例1所示,我们可以得出结论,可逆实际上是“反转”了ACL,因此它在两个方向上都以相同的方式起作用,这是有道理的。

当连接匹配但不起作用时,在“拒绝任何日志输入行”中,我得到以下信息:


。7月7日07:58: 59.118 UTC:%SEC-6-IPACCESSLOGP:列出MOO拒绝tcp
91.198.120.2(0)(Tunnel101)-> 194.100.7.226(0),1个数据包


因此,看起来好像确实承载了L4协议类型,但是在NAT反向期间没有承载端口。因此,外部->内部范围不起作用。


有问题的建议,Cisco 867转发UDP端口范围适用于外部->内部

ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
 permit tcp any any range 22 100
 deny   ip any any log-input


我觉得这有点贫民窟,因为您对外部IP没有很好的控制。池是内部IP,外部IP是路由器外部IP。



内部->外部使用端口的原始答案:

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!
route-map MOO deny 200
!


@91.198.120.2我在做:


telnet testhost 22
telnet testhost 23
telnet testhost 24

在我可以观察到的testhost:

1   0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128

2   9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128

5  16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128


测试于:

bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#


#2 楼

因此,为了解决我的问题,我做了什么

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!


,而且我还在外部接口上包括了访问列表199

access-list 199 permit tcp any host external_host eq 3389
access-list 199 deny   ip any host external_host


此访问列表可解决允许所有端口的问题。

评论


我担心OP希望将外部n1-n2定向到host1,将外部n3-n4定向到host2,这会排除外部的ACL。我想知道L4端口是否应在上面的示例中工作,是否是错误或预期的行为,特别是因为它显然不是“标准” ACL,因为它区分UDP和TCP,只是端口为“ 0”。

–ytti
13年7月9日在12:28

您将如何使用路由映射将端口3389映射为90001

–luna
13年7月11日在22:13