Su un pc della mia LAN, è in esecuzione un server in ascolto sul range di porte 5001-5100. Questo è collegato ad un PIX che nello specifico è cosi configurato:
Codice: Seleziona tutto
..
object-group service MIOSERVER tcp
port-object range 5001 5100
access-list 90 permit icmp any any
access-list 90 permit tcp any host 10.0.0.2 object-group MIOSERVER
..
global (outside) 1 interface
nat (inside) 1 172.16.0.0 255.255.255.0 0 0
static (inside,outside) tcp 10.10.0.2 5001 172.16.0.2 5001 netmask 255.255.255.255 0 0
static (inside,outside) tcp 10.10.0.2 5002 172.16.0.2 5002 netmask 255.255.255.255 0 0
static (inside,outside) tcp 10.10.0.2 5003 172.16.0.2 5003 netmask 255.255.255.255 0 0
. . . .. . . . . . . . . . . . . . . . . . . .
. . . . . .. .. . .. . . . . . . . . . . . ...
static (inside,outside) tcp 10.10.0.2 5100 172.16.0.2 5100 netmask 255.255.255.255 0 0
Codice: Seleziona tutto
ip nat inside source list 50 interface ATM0.1 overload
ip nat inside source static tcp 10.0.0.2 5001 interface ATM0.1 5001
ip nat inside source static tcp 10.0.0.2 5002 interface ATM0.1 5002
. . . . . .. . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . .
ip nat inside source static tcp 10.0.0.2 5100 interface ATM0.1 5100
Quello che chiedo è, c'è un modo come per le ACL, di specificare l'applicazione di una static per un determinato range di porte, ed evitare dunque tutte quelle istruzioni ?
