Abra um intervalo de portas TCP no Cisco IOS NAT

ip nat inside source static 192.168.1.10 10.10.10.9 route-map RANGE
!
route-map RANGE permit 100
  match ip address 102
!
access-list 102 permit tcp host 192.168.1.10 range 3000 3389 any

A configuração parece não funcionar .. apenas cria um NAT estático um para um ...

Alguém sabe como abrir uma gama de portas?

Eu tenho vários IPs externos e gostaria de abrir as mesmas portas para vários hosts usando vários ip externos e, por isso, o método rotativo não funciona.

(EDITAR)

Parece que dentro -> fora funciona como esperado, como visto na resposta abaixo, mas fora -> dentro, na verdade, não permite, tudo, como sugerido pelo OP.

Adicionando 'reversível' na linha NAT, ele começa a honrar o mapa de rotas por fora -> por dentro, infelizmente não parece funcionar com portas:

1. permitir ip qualquer host 194.100.7.226 funciona
2. permitir tcp quaisquer obras
3. permitir tcp qualquer eq 80 sem correspondência, não funciona
4. permitir tcp qualquer eq 80 qualquer partida, não funciona
5. permitir tcp qualquer correspondência 194.100.7.226 do host eq 80 , não funciona
6. permitir tcp qualquer host 194.100.7.226 eq 0 funciona

Em '194.100.7.226' estou fazendo 'telnet 91.198.120.222 80', essa é a minha fonte é 194.100.7.226: o destino efêmero é 91.198.120.222:80. Como o exemplo 1 funciona, podemos concluir que o reversível realmente 'inverte' o ACL, de modo que ele funciona da mesma maneira nas duas direções, o que faz sentido.

Quando a conexão corresponde, mas não funciona, em 'negar qualquer linha de entrada de log, recebo o seguinte:

. 7 de julho 07: 58: 59.118 UTC:% SEC-6-IPACCESSLOGP: lista MOO negado tcp 91.198.120.2 (0) (Tunnel101) -> 194.100.7.226 (0), 1 pacote

Parece realmente que o tipo de protocolo L4 é transportado, mas as portas não são transportadas durante a reversão do NAT. Portanto, faixas fora da faixa não funcionam.

Conforme sugerido na questão, o intervalo de portas UDP de encaminhamento do Cisco 867 funciona para fora-> dentro

ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
 permit tcp any any range 22 100
 deny   ip any any log-input

É um pouco complicado, como você não tem um bom controle sobre o IP externo. Pool é o IP interno, o IP externo é o roteador fora do IP.

Resposta original de dentro-> fora do trabalho com portas:

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!
route-map MOO deny 200
!

@ 91.198.120.2 estou fazendo:

• telnet testhost 22
• telnet testhost 23
• telnet testhost 24

No testhost eu posso observar:

1   0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128

2   9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128

5  16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128

Testado em:

bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#

Então, para corrigir meu problema, o que eu fiz foi

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!

e também incluí uma lista de acesso 199 na minha interface externa

access-list 199 permit tcp any host external_host eq 3389
access-list 199 deny   ip any host external_host

essa lista de acesso cuida do problema de permitir todas as portas.