(EDITAR)
Parece que dentro -> fora funciona como esperado, como visto na resposta abaixo, mas fora -> dentro, na verdade, não permite, tudo, como sugerido pelo OP.
Adicionando 'reversível' na linha NAT, ele começa a honrar o mapa de rotas por fora -> por dentro, infelizmente não parece funcionar com portas:
- permitir ip qualquer host 194.100.7.226 funciona
- permitir tcp quaisquer obras
- permitir tcp qualquer eq 80 sem correspondência, não funciona
- permitir tcp qualquer eq 80 qualquer partida, não funciona
- permitir tcp qualquer correspondência 194.100.7.226 do host eq 80 , não funciona
- permitir tcp qualquer host 194.100.7.226 eq 0 funciona
Em '194.100.7.226' estou fazendo 'telnet 91.198.120.222 80', essa é a minha fonte é 194.100.7.226: o destino efêmero é 91.198.120.222:80. Como o exemplo 1 funciona, podemos concluir que o reversível realmente 'inverte' o ACL, de modo que ele funciona da mesma maneira nas duas direções, o que faz sentido.
Quando a conexão corresponde, mas não funciona, em 'negar qualquer linha de entrada de log, recebo o seguinte:
. 7 de julho 07: 58: 59.118 UTC:% SEC-6-IPACCESSLOGP: lista MOO negado tcp 91.198.120.2 (0) (Tunnel101) -> 194.100.7.226 (0), 1 pacote
Parece realmente que o tipo de protocolo L4 é transportado, mas as portas não são transportadas durante a reversão do NAT. Portanto, faixas fora da faixa não funcionam.
Conforme sugerido na questão, o intervalo de portas UDP de encaminhamento do Cisco 867 funciona para fora-> dentro
ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
permit tcp any any range 22 100
deny ip any any log-input
É um pouco complicado, como você não tem um bom controle sobre o IP externo. Pool é o IP interno, o IP externo é o roteador fora do IP.
Resposta original de dentro-> fora do trabalho com portas:
ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
permit icmp any any
permit tcp any any range 22 telnet
!
route-map MOO permit 100
match ip address MOO
!
route-map MOO deny 200
!
@ 91.198.120.2 estou fazendo:
- telnet testhost 22
- telnet testhost 23
- telnet testhost 24
No testhost eu posso observar:
1 0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128
2 9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128
5 16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128
Testado em:
bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#