Cisco IOS NATでTCPポートの範囲を開きます


13
ip nat inside source static 192.168.1.10 10.10.10.9 route-map RANGE
!
route-map RANGE permit 100
  match ip address 102
!
access-list 102 permit tcp host 192.168.1.10 range 3000 3389 any

設定は機能していないようです。1対1の静的NATを作成するだけです...

ポートの範囲を開く方法を知っている人はいますか?

複数の外部IPがあり、複数の外部IPを使用して複数のホストに対して同じポートを開きたいため、ロータリー方式が機能しません。


また、外部に面するインターフェイスのACLまたはファイアウォールルールも確認することを忘れないでください!
ノッチェ

何か答えがありましたか?もしそうなら、質問が永遠にポップアップし続けないように答えを受け入れて、答えを探してください。または、独自の回答を提供して受け入れることもできます。
ロンモーピン

回答:


9

(編集)

下記の回答に見られるように、inside-> outsideは期待どおりに動作するようですが、outside-> insideは実際には動作せず、OPが示唆するようにすべてを許可します。

NAT行に「リバーシブル」を追加すると、outside-> insideのルートマップを尊重し始めますが、残念ながらポートでは機能しないようです:

  1. ホスト194.100.7.226が動作するipを許可します
  2. tcpを許可します。
  3. tcp any any eq 80 no match、許可されません
  4. tcp any eq 80 any any match、許可されません
  5. tcp any eq 80ホスト194.100.7.226の一致を許可、機能しません
  6. tcp any eq 0 host 194.100.7.226が機能します

「194.100.7.226」で「telnet 91.198.120.222 80」を実行しています。つまり、ソースは194.100.7.226:一時的な宛先は91.198.120.222:80です。例#1が機能するように、リバーシブルは実際にACLを「リバース」し、両方向で同じように機能すると結論付けることができます。これは理にかなっています。

接続は一致するが機能しない場合、「ログ入力行を拒否」でこれを取得します:

.Jul 7 07:58:59.118 UTC:%SEC-6-IPACCESSLOGP:list MOO denied tcp 91.198.120.2(0)(Tunnel101)-> 194.100.7.226(0)、1パケット

そのため、実際にはL4プロトコルタイプが伝送されているように見えますが、NAT反転中にポートは伝送されません。そのため、外側から内側の範囲は機能しません。


問題のCisco 867フォワードUDPポート範囲で提案されているように、これはoutside-> insideで機能します

ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
 permit tcp any any range 22 100
 deny   ip any any log-input

外部IPを適切に制御できないため、少しゲットーだと感じています。プールは内部IP、外部IPはルーター外部IPです。


ポートを使用したInside-> Outsideの元の答え:

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!
route-map MOO deny 200
!

@ 91.198.120.2私はやっています:

  • telnet testhost 22
  • telnet testhost 23
  • telnet testhost 24

テストホストで私は観察することができます:

1   0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128

2   9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128

5  16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128

テスト済み:

bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#

1

だから私の問題を解決するために私がやったことは

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!

また、外部インターフェイスにアクセスリスト199を含めました

access-list 199 permit tcp any host external_host eq 3389
access-list 199 deny   ip any host external_host

このアクセスリストは、すべてのポートの問題を許可します。


OPは外部のn1-n2をhost1に、外部のn3-n4をhost2に転送したいので、外部のACLを除外したいと考えていました。L4ポートがバグまたは意図した動作である場合、特にUDPとTCPを区別するため、明らかに「標準」ACLではないため、上記の例でL4ポートが動作する必要がありますか?
-ytti

ルートマップを使用してポート3389をマップし、90001
luna
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.