Проброс диапазона портов в Cisco

Понадобилось мне тут пробросить к тестовой машинке извне несколько портов. Причем количество нужно было под сотню, и городить на каждый порт nat-правило как-то не улыбало. Гугль решения “в лоб” не дал, однако же, после более вдумчивого поиска, решение было найдено…

Итак, что нам нужно? Нам нужно, чтобы клиент, стучась на наш белый адрес по портам 10001-10099 попадал на машину, находящуюся в локальной сети с адресом, допустим, 192.168.100.100 на те же самые порты. При этом порты нужно указывать не по одному, а диапазоном.

1. Создаем nat pool, который содержит адрес целевой машины

ip nat pool poolSTAND 192.168.100.100 192.168.100.100 netmask 255.255.255.0 type rotary

2. Создаем правило, по которому будем делать nat:

ip access-list extended aclSTAND
 permit tcp any host 1.1.1.1 range 10001 10099
 permit tcp any host 1.1.1.1 eq 8910

3. Теперь, собственно, создаем правило NAT:

ip nat inside destination list aclSTAND pool poolSTAND

На этом все 🙂 Разумеется, нужно поправить acl, относящиеся к внешним и внутренним интерфейсам, чтобы разрешить клиентам извне ходить на стенд внутри сети, но с этим, думаю, вы справитесь и без моей помощи.

Разумеется, на Linux и FreeBSD сделать это было бы гораздо проще, но под рукой была только Cisco.

Comments

Leave a Reply