Abra um intervalo de portas TCP no Cisco IOS NAT


13
ip nat inside source static 192.168.1.10 10.10.10.9 route-map RANGE
!
route-map RANGE permit 100
  match ip address 102
!
access-list 102 permit tcp host 192.168.1.10 range 3000 3389 any

A configuração parece não funcionar .. apenas cria um NAT estático um para um ...

Alguém sabe como abrir uma gama de portas?

Eu tenho vários IPs externos e gostaria de abrir as mesmas portas para vários hosts usando vários ip externos e, por isso, o método rotativo não funciona.


não esqueça de verificar também ACLs ou regras de firewall em suas interfaces externas!
Knotseh #

Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:


9

(EDITAR)

Parece que dentro -> fora funciona como esperado, como visto na resposta abaixo, mas fora -> dentro, na verdade, não permite, tudo, como sugerido pelo OP.

Adicionando 'reversível' na linha NAT, ele começa a honrar o mapa de rotas por fora -> por dentro, infelizmente não parece funcionar com portas:

  1. permitir ip qualquer host 194.100.7.226 funciona
  2. permitir tcp quaisquer obras
  3. permitir tcp qualquer eq 80 sem correspondência, não funciona
  4. permitir tcp qualquer eq 80 qualquer partida, não funciona
  5. permitir tcp qualquer correspondência 194.100.7.226 do host eq 80 , não funciona
  6. permitir tcp qualquer host 194.100.7.226 eq 0 funciona

Em '194.100.7.226' estou fazendo 'telnet 91.198.120.222 80', essa é a minha fonte é 194.100.7.226: o destino efêmero é 91.198.120.222:80. Como o exemplo 1 funciona, podemos concluir que o reversível realmente 'inverte' o ACL, de modo que ele funciona da mesma maneira nas duas direções, o que faz sentido.

Quando a conexão corresponde, mas não funciona, em 'negar qualquer linha de entrada de log, recebo o seguinte:

. 7 de julho 07: 58: 59.118 UTC:% SEC-6-IPACCESSLOGP: lista MOO negado tcp 91.198.120.2 (0) (Tunnel101) -> 194.100.7.226 (0), 1 pacote

Parece realmente que o tipo de protocolo L4 é transportado, mas as portas não são transportadas durante a reversão do NAT. Portanto, faixas fora da faixa não funcionam.


Conforme sugerido na questão, o intervalo de portas UDP de encaminhamento do Cisco 867 funciona para fora-> dentro

ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
 permit tcp any any range 22 100
 deny   ip any any log-input

É um pouco complicado, como você não tem um bom controle sobre o IP externo. Pool é o IP interno, o IP externo é o roteador fora do IP.


Resposta original de dentro-> fora do trabalho com portas:

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!
route-map MOO deny 200
!

@ 91.198.120.2 estou fazendo:

  • telnet testhost 22
  • telnet testhost 23
  • telnet testhost 24

No testhost eu posso observar:

1   0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128

2   9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128

5  16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128

Testado em:

bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#

1

Então, para corrigir meu problema, o que eu fiz foi

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!

e também incluí uma lista de acesso 199 na minha interface externa

access-list 199 permit tcp any host external_host eq 3389
access-list 199 deny   ip any host external_host

essa lista de acesso cuida do problema de permitir todas as portas.


Eu estava preocupado que o OP desejasse direcionar n1-n2 externo para o host1 e n3-n4 externo para o host2, o que impediria o ACL no externo. Gostaria de saber se as portas L4 devem funcionar no exemplo acima, se é bug ou comportamento pretendido, particularmente porque claramente não é ACL 'padrão', pois diferencia UDP e TCP, apenas as portas são '0'.
ytti 9/07/2013

como é que você use mapa de rota para o porto mapa 3389 para digamos 90001
luna
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.