Öffnen Sie eine Reihe von TCP-Ports in Cisco IOS NAT

13 
ip nat inside source static 192.168.1.10 10.10.10.9 route-map RANGE
!
route-map RANGE permit 100
  match ip address 102
!
access-list 102 permit tcp host 192.168.1.10 range 3000 3389 any

Die Konfiguration scheint nicht zu funktionieren. Es wird nur eine statische Eins-zu-Eins-NAT erstellt.

Weiß jemand, wie man eine Reihe von Ports öffnet?

Ich habe mehrere externe IPs und möchte dieselben Ports für mehrere Hosts mit mehreren externen IPs öffnen. Aus diesem Grund funktioniert die Rotationsmethode nicht.

cisco tcp nat Luna
quelle
Vergessen Sie nicht, auch die ACLs oder Firewall-Regeln auf Ihren externen Schnittstellen zu überprüfen!
Knotseh
Hat Ihnen eine Antwort geholfen? In diesem Fall sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie auch Ihre eigene Antwort eingeben und annehmen.
Ron Maupin

Antworten:

9

(BEARBEITEN)

Es scheint, dass innen-> außen wie erwartet funktioniert, wie in der Antwort unten zu sehen, aber außen-> innen tatsächlich nicht, es lässt alles zu, wie OP vorschlug.

Durch das Hinzufügen von 'reversible' in der NAT-Zeile wird die Route-Map für außen-> innen berücksichtigt. Leider scheint es nicht mit Ports zu funktionieren:

  1. erlaube ip jedem host 194.100.7.226 funktioniert
  2. Erlaube tcp irgendwelche Arbeiten
  3. Erlaube tcp jeder beliebigen Gleichung 80 keine Übereinstimmung, funktioniert nicht
  4. Erlaube tcp any eq 80 any match, funktioniert nicht
  5. Erlaube tcp, dass eine beliebige Übereinstimmung mit Gleichung 80 Host 194.100.7.226 vorliegt , funktioniert nicht
  6. Erlaube tcp, dass jede Gleichung 0 host 194.100.7.226 funktioniert

Bei '194.100.7.226' mache ich 'telnet 91.198.120.222 80', das heißt, meine Quelle ist 194.100.7.226:ephemeral destination ist 91.198.120.222:80. Wenn das Beispiel 1 funktioniert, können wir daraus schließen, dass reversible tatsächlich die ACL 'umkehrt', so dass sie in beide Richtungen auf die gleiche Weise funktioniert, was sinnvoll ist.

Wenn die Verbindung passt, aber nicht funktioniert, bekomme ich folgendes:

.Jul 7 07: 58: 59.118 UTC:% SEC-6-IPACCESSLOGP: Liste MOO verweigert TCP 91.198.120.2 (0) (Tunnel101) -> 194.100.7.226 (0), 1 Paket

Es sieht also so aus, als würde der Protokolltyp L4 übertragen, während der NAT-Umkehrung werden jedoch keine Ports übertragen. Außen-> Innenbereiche funktionieren also nicht.

Wie in Frage 867 vorgeschlagen, funktioniert dieser UDP-Weiterleitungsportbereich für außen-> innen

ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
 permit tcp any any range 22 100
 deny   ip any any log-input

Es ist ein bisschen Ghetto, wie ich finde, da Sie keine gute Kontrolle über die externe IP haben. Der Pool ist die innere IP, die äußere IP ist der Router die äußere IP.

Ursprüngliche Antwort von innen-> außen mit Ports arbeiten:

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!
route-map MOO deny 200
!

@ 91.198.120.2 Ich mache:

  • telnet testhost 22
  • telnet testhost 23
  • telnet testhost 24

Bei testhost kann ich beobachten:

1   0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128

2   9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128

5  16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128

Getestet am:

bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#
ytti
quelle
1

Um mein Problem zu beheben, war das, was ich getan habe 

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!

und ich schloss auch eine Zugangsliste 199 auf meiner externen Schnittstelle ein 

access-list 199 permit tcp any host external_host eq 3389
access-list 199 deny   ip any host external_host

Diese Zugriffsliste kümmert sich um das Zulassen aller Portprobleme.

Luna
quelle
Ich hatte Bedenken, dass OP externe n1-n2 an host1 und externe n3-n4 an host2 leiten wollte, was ACL in external ausschließen würde. Ich frage mich, ob die L4-Ports im obigen Beispiel funktionieren SOLLTEN, ob es sich um einen Fehler oder ein beabsichtigtes Verhalten handelt, zumal es sich eindeutig nicht um eine 'Standard'-ACL handelt, da UDP und TCP unterschieden werden. Nur die Ports sind' 0 '.
Ytti
Wie würden Sie Routenkarte verwenden, um Port 3389 zuzuordnen, um 90001
Luna