Откройте ряд портов TCP в Cisco IOS NAT

  ip nat внутри источника static 192.168.1.10 10.10.10.9 route-map RANGE
!
разрешение маршрутной карты RANGE 100
  сопоставить ip-адрес 102
!
список доступа 102 разрешает tcp хост 192.168.1.10 диапазон 3000 3389 любой
 

Конфигурация, похоже, не работает .. просто создает один к одному статический NAT ...

Кто-нибудь знает, как открыть диапазон портов?

У меня есть несколько внешних IP-адресов и вы хотите открыть одинаковые порты для нескольких хостов, используя несколько внешних ip-адресов, и из-за этого ротационный метод не работает.

13 голосов | спросил Luna 6 J000000Saturday13 2013, 18:49:50

2 ответа


9

(РЕДАКТИРОВАТЬ)

Похоже, что inside-> наружу работает так, как ожидалось, как видно из нижеприведенного ответа, но снаружи -> внутри фактически нет, он допускает все, как предположил OP.

Добавив «обратимый» в строке NAT, он начинает оценивать карту маршрутов для внешних и внутренних объектов, к сожалению, она не работает с портами:

  1. разрешить ip любой хост 194.100.7.226 работает
  2. разрешить tcp любой любой работает
  3. разрешить tcp любой любой eq 80 нет совпадения, не работает
  4. разрешить tcp любое eq 80 любое совпадение, не работает
  5. разрешить tcp любой eq 80 host 194.100.7.226 совпадение, не работает
  6. разрешить tcp любой eq 0 host 194.100.7.226 работает

В '194.100.7.226' Я делаю 'telnet 91.198.120.222 80', то есть мой источник - 194.100.7.226: Целевое назначение - 91.198.120.222:80. Как показывает пример # 1 , мы можем заключить, что обратимый фактически «меняет» ACL, так что он работает одинаково в обоих направлениях, что имеет смысл.

Когда соединение совпадает, но не работает, в 'deny any any log-input line я получаю следующее:

  

.Jul 7 07: 58: 59.118 UTC:% SEC-6-IPACCESSLOGP: список MOO отказал tcp   91.198.120.2 (0) (Tunnel101) -> 194.100.7.226 (0), 1 пакет

Таким образом, действительно похоже на тип протокола L4, но порты не переносятся во время разворота NAT. Таким образом, внешние и внутренние диапазоны не работают.


Как было предложено диапазон маршрутизации UDP-порта Cisco 867 внутри

  ip nat pool MOO 91.198.120.2 91.198.120.2 префикс длина 30 тип роторный
ip nat в списке адресатов MOO pool MOO
ip access-list расширенный MOO
 разрешить tcp любой любой диапазон 22 100
 deny ip любой любой вход в журнал
 

Это немного гетто, которое я чувствую, так как у вас нет хорошего контроля над внешним IP-адресом. Пул - это внутренний IP, внешний IP - маршрутизатор вне IP.


Исходный ответ внутри-> вне работы с портами:

  ip nat внутри источника статический 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list расширенный MOO
 разрешить icmp любой
 разрешить tcp любой любой диапазон 22 telnet
!
карта маршрута MOO разрешение 100
 соответствие ip-адресу MOO
!
карта маршрута MOO deny 200
!
 

@ 91.198.120.2 Я делаю:

  • telnet testhost 22
  • telnet testhost 23
  • telnet testhost 24

В testhost я могу наблюдать:

  1 0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925> ssh [SYN] Seq = 0 Win = 14600 Len = 0 MSS = 1350 SACK_PERM = 1 TSval = 7995067 TSecr = 0 WS = 128

2 9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586> telnet [SYN] Seq = 0 Win = 14600 Лен = 0 MSS = 1350 SACK_PERM = 1 TSval = 7997586 TSecr = 0 WS = 128

5 16,773181 91,198,120,2 -> 194.100.7.226 TCP 74 53307> 24 [SYN] Seq = 0 Win = 14600 Len = 0 MSS = 1350 SACK_PERM = 1 TSval = 7999327 TSecr = 0 WS = 128
 

Протестировано:

  bu.ip.fi # sh ver | i ^ Cisco
Программное обеспечение Cisco IOS, программное обеспечение C880 (C880DATA-UNIVERSALK9-M), версия 15.1 (2) T5, RELEASE SOFTWARE (fc1)
Процессор Cisco 881G (MPC8300) (версия 1.0) с 236544 КБ /25600 Кбайт памяти.
bu.ip.fi #
 
ответил ytti 6 J000000Saturday13 2013, 19:45:47
1

поэтому, чтобы исправить мою проблему, я сделал

  ip nat внутри источника статический 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list расширенный MOO
 разрешить icmp любой
 разрешить tcp любой любой диапазон 22 telnet
!
карта маршрута MOO разрешение 100
 соответствие ip-адресу MOO
!
 

и я также включил список доступа 199 на мой внешний интерфейс

  access-list 199 разрешает tcp любой хост external_host eq 3389
access-list 199 deny ip любой хост external_host
 

этот список доступа заботится обо всех проблемах с портом.

ответил luna 9 J000000Tuesday13 2013, 04:50:26

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132