Buka berbagai port TCP di Cisco IOS NAT

ip nat inside source static 192.168.1.10 10.10.10.9 route-map RANGE
!
route-map RANGE permit 100
  match ip address 102
!
access-list 102 permit tcp host 192.168.1.10 range 3000 3389 any

Konfigurasi tampaknya tidak berfungsi .. hanya membuat NAT statis satu ke satu ...

Apakah ada yang tahu cara membuka berbagai port?

Saya memiliki beberapa IP eksternal dan ingin membuka port yang sama untuk beberapa host menggunakan beberapa ip eksternal dan karena itu metode putar tidak berfungsi.

(EDIT)

Tampaknya inside-> outside berfungsi seperti yang diharapkan, seperti terlihat pada jawaban di bawah, tetapi inside-> inside sebenarnya tidak, itu memungkinkan segalanya, seperti yang disarankan OP.

Menambahkan 'reversibel' di garis NAT itu mulai menghormati peta rute untuk luar-> di dalam, sayangnya tampaknya tidak bekerja dengan port:

1. mengizinkan ip semua host 194.100.7.226 berfungsi
2. ijinkan tcp segala karya
3. ijinkan tcp sembarang eq 80 tidak cocok, tidak berfungsi
4. izinkan tcp setiap persamaan 80 pertandingan apa pun , tidak berfungsi
5. ijinkan tcp pertandingan eq 80 tuan rumah 194.100.7.226 apa pun, tidak berfungsi
6. ijinkan tcp eq 0 host 194.100.7.226 berfungsi

Di '194.100.7.226' Saya sedang melakukan 'telnet 91.198.120.222 80', itu adalah sumber saya adalah 194.100.7.226:Efemeral tujuan adalah 91.198.120.222:80. Seperti contoh # 1 bekerja, kita dapat menyimpulkan bahwa reversibel sebenarnya 'membalikkan' ACL, sehingga itu bekerja dengan cara yang sama kedua arah, yang masuk akal.

Ketika koneksi cocok tetapi tidak berfungsi, di 'tolak semua jalur input log saya mendapatkan ini:

.Jul 7 07: 58: 59.118 UTC:% SEC-6-IPACCESSLOGP: daftar MOO ditolak tcp 91.198.120.2 (0) (Tunnel101) -> 194.100.7.226 (0), 1 paket

Jadi sepertinya benar-benar seperti tipe protokol L4 dilakukan, tetapi port tidak dilakukan selama pembalikan NAT. Jadi luar-> dalam jangkauan tidak berfungsi.

Seperti yang disarankan dalam pertanyaan, Cisco 867 meneruskan kisaran port UDP ini berfungsi untuk luar-> dalam

ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
 permit tcp any any range 22 100
 deny   ip any any log-input

Ini agak ghetto, saya rasa, karena Anda tidak memiliki kontrol yang baik pada IP luar. Pool adalah IP di dalam, IP luar adalah router di luar IP.

Jawaban asli dari dalam -> luar yang bekerja dengan port:

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!
route-map MOO deny 200
!

@ 91.198.120.2 Saya sedang melakukan:

• telnet testhost 22
• telnet testhost 23
• telnet testhost 24

Di testhost saya dapat mengamati:

1   0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128

2   9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128

5  16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128

Diuji pada:

bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#

jadi untuk memperbaiki masalah saya apa yang saya lakukan adalah

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!

dan saya juga memasukkan daftar akses 199 pada antarmuka eksternal saya

access-list 199 permit tcp any host external_host eq 3389
access-list 199 deny   ip any host external_host

daftar akses ini menangani masalah semua pelabuhan yang memungkinkan.