Apri una gamma di porte TCP in Cisco IOS NAT

ip nat inside source static 192.168.1.10 10.10.10.9 route-map RANGE
!
route-map RANGE permit 100
  match ip address 102
!
access-list 102 permit tcp host 192.168.1.10 range 3000 3389 any

La configurazione non sembra funzionare ... crea solo un NAT statico uno a uno ...

Qualcuno sa come aprire la gamma di porte?

Ho più IP esterni e vorrei aprire le stesse porte per più host utilizzando più IP esterni e per questo motivo il metodo rotante non funziona.

(MODIFICARE)

Sembra che dentro-> esterno funzioni come previsto, come si vede nella risposta qui sotto, ma esterno-> interno in realtà non lo fa, permette tutto, come ha suggerito OP.

Aggiungendo 'reversibile' nella linea NAT inizia a onorare la mappa del percorso per l'esterno-> interno, purtroppo non sembra funzionare con i porti:

1. consentire ip qualsiasi host 194.100.7.226 funziona
2. consentire a tcp qualsiasi lavoro
3. consenti tcp qualsiasi eq 80 nessuna corrispondenza, non funziona
4. consentire tcp qualsiasi eq 80 qualsiasi corrispondenza, non funziona
5. consentire a tcp qualsiasi corrispondenza eq 80 host 194.100.7.226 , non funziona
6. consentire a tcp qualsiasi eq 0 host 194.100.7.226 opere

A '194.100.7.226' Sto facendo 'telnet 91.198.120.222 80', ovvero la mia fonte è 194.100.7.226: la destinazione temporanea è 91.198.120.222:80. Mentre l'esempio n. 1 funziona, possiamo concludere che il reversibile effettivamente "inverte" l'ACL, in modo che funzioni allo stesso modo in entrambe le direzioni, il che ha senso.

Quando la connessione corrisponde ma non funziona, in 'negare qualsiasi riga di input del log ottengo questo:

7 lug 07: 58: 59.118 UTC:% SEC-6-IPACCESSLOGP: elenco MOO negato tcp 91.198.120.2 (0) (Tunnel101) -> 194.100.7.226 (0), 1 pacchetto

Quindi sembra davvero che venga trasportato il tipo di protocollo L4, ma le porte non vengono trasportate durante l'inversione NAT. Quindi le gamme esterne-> interne non funzionano.

Come suggerito nella domanda, la gamma di porte UDP forward di Cisco 867 funziona all'esterno-> interno

ip nat pool MOO 91.198.120.2 91.198.120.2 prefix-length 30 type rotary
ip nat inside destination list MOO pool MOO
ip access-list extended MOO
 permit tcp any any range 22 100
 deny   ip any any log-input

Mi sento un po 'ghetto, dato che non hai un buon controllo sull'IP esterno. Il pool è l'IP interno, l'esterno IP è il router esterno IP.

Risposta originale di inside-> outside lavorando con le porte:

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!
route-map MOO deny 200
!

@ 91.198.120.2 Sto facendo:

• telnet testhost 22
• telnet testhost 23
• telnet testhost 24

Al testhost posso osservare:

1   0.000000 91.198.120.222 -> 194.100.7.226 TCP 74 50925 > ssh [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7995067 TSecr=0 WS=128

2   9.838471 91.198.120.222 -> 194.100.7.226 TCP 74 41586 > telnet [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7997586 TSecr=0 WS=128

5  16.773181 91.198.120.2 -> 194.100.7.226 TCP 74 53307 > 24 [SYN] Seq=0 Win=14600 Len=0 MSS=1350 SACK_PERM=1 TSval=7999327 TSecr=0 WS=128

Testato su:

bu.ip.fi#sh ver | i ^Cisco
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T5, RELEASE SOFTWARE (fc1)
Cisco 881G (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
bu.ip.fi#

quindi per risolvere il mio problema quello che ho fatto è stato

ip nat inside source static 91.198.120.2 91.198.120.222 route-map MOO
!
ip access-list extended MOO
 permit icmp any any
 permit tcp any any range 22 telnet
!
route-map MOO permit 100
 match ip address MOO
!

e ho anche incluso un elenco di accesso 199 sulla mia interfaccia esterna

access-list 199 permit tcp any host external_host eq 3389
access-list 199 deny   ip any host external_host

questo elenco di accesso si occupa del problema con tutte le porte consentite.