在Cisco IOS NAT中打开一系列TCP端口
ip nat inside source static 192.168.1.10 10.10.10.9 route-map RANGE
!
route-map RANGE permit 100
match ip address 102
!
access-list 102 permit tcp host 192.168.1.10 range 3000 3389 any配置似乎不起作用。创造一个一对一的静态NAT..。
有人知道如何打开范围的端口吗?
我有多个外部ip,并且希望使用多个外部ip为多个主机打开相同的端口,因此旋转方法不起作用。
回答 2
Network Engineering用户
发布于 2013-07-06 15:45:47
(编辑)
正如下面的答案所示,内部->外部工作似乎与预期的一样,但外部->内部实际上并不允许一切,正如OP所建议的那样。
在NAT行中添加“可逆”后,它开始遵守外部ports>内部的路线图,不幸的是,它似乎不适用于端口:
- 允许ip任何主机194.100.7.226工作
- 允许tcp任何工作。
- 允许tcp任何eq 80不匹配,不工作。
- 允许tcp任何eq 80任何匹配,不工作。
- 允许tcp任何eq 80主机194.100.7.226匹配,不工作
- 允许tcp任何eq 0主机194.100.7.226工作
在'194.100.7.226‘我在做'telnet 91.198.120.222 80',也就是我的来源是194.100.7.226:短暂的目的地是91.198.120.222:80。正如示例1所做的那样,我们可以得出结论,可逆的ACL实际上“逆转”了ACL,因此它在两个方向上的工作方式是相同的,这是有意义的。
当连接匹配但不能工作时,在“拒绝任何日志输入行”中,我得到以下内容:
.Jul 7 07:58:59.118 UTC:%SEC-6-IPACCESSLOGP: list MOO拒绝tcp 91.198.120.2(0) (Tunnel101 ) -> 194.100.7.226(0),1数据包
因此,看起来L4协议类型确实是被携带的,但是在NAT反转期间,端口不会被携带。所以外部->内部范围不起作用.
正如在问题思科867转发UDP端口范围中所建议的,这个方法适用于外部->内部。
ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
permit tcp any any range 22 100
deny ip any any log-input我觉得这有点像贫民窟,因为你对外部IP没有很好的控制。池是内部IP,外部IP是IP之外的路由器。
内部->外部与端口一起工作的原始答案:
ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
permit icmp any any
permit tcp any any range 22 telnet
!
route-map MOO permit 100
match ip address MOO
!
route-map MOO deny 200
!@91.198.120.2我正在做:
- telnet testhost 22
- telnet testhost 23
- telnet testhost 24
在这里我可以观察到:
1 0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128
2 9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128
5 16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128在以下方面测试:
bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#Network Engineering用户
发布于 2013-07-09 00:50:26
所以为了解决我的问题我所做的就是
ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
permit icmp any any
permit tcp any any range 22 telnet
!
route-map MOO permit 100
match ip address MOO
!我还在我的外部接口上包含了一个访问列表199。
access-list 199 permit tcp any host external_host eq 3389
access-list 199 deny ip any host external_host此访问列表处理允许所有端口问题。
https://networkengineering.stackexchange.com/questions/2238
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号