ho un router cisco 857 e ho l'esigenza di impostare un certo numero di porte aperte, con il traffico reindirizzato verso un host specifico.
In pratica, devo fare il port forwarding di un range di porte udp compreso tra 16384 e 16482 e reindirizzare il traffico su un indirizzo locale dietro nat.
L'impostazione che permette il port forwarding funzionante è la solita:
ip nat inside source static udp 192.168.0.1 16384 interface Dialer0 16384
Il problema è che dovrei farlo per tutto il range di porte, rendendo la cosa improponibile.
Esiste in modo per impostare un range di porte con lo stesso effetto dell'istruzione sopra riportata?
Se si, potreste gentilmente illustrami un esempio di configurazione?
Grazie mille per la disponibilità
Davide
impostare un range di porte PAT
Moderatore: Federico.Lagni
-
Mark1952
- Cisco fan
- Messaggi: 38
- Iscritto il: lun 13 ago , 2007 11:08 am
- Località: Peschiera Borromeo
ip nat portmap NAT-I
cisco-rtp-h323-low
appl sip-rtp startport 32128 size 128
appl sip-rtp startport 32000 size 64
ip nat inside source list 1 pool A overload portmap NAT-I
Macros have been defined to make port map configuration easier. Table 1 lists the name of the macros and the ports.
Table 1 Macro Names and Ports
Macro Name Ports Application
cisco-rtp-h323-low 16384-32767 H.323
cisco-rtp-h323-high 49152-65535 H.323
cisco-rtp-skinny-low 16384-32767 Skinny
cisco-rtp-skinny-high 49152-65535 Skinny
cisco-rtp-sip-low 16384-32767 SIP
cisco-rtp-sip-high 49152-65535 SIP
Questo è un esempio che ho trovato sul sito di Cisco
Penso che adattandolo al tuo caso possa andare bene
Ciao Marco
cisco-rtp-h323-low
appl sip-rtp startport 32128 size 128
appl sip-rtp startport 32000 size 64
ip nat inside source list 1 pool A overload portmap NAT-I
Macros have been defined to make port map configuration easier. Table 1 lists the name of the macros and the ports.
Table 1 Macro Names and Ports
Macro Name Ports Application
cisco-rtp-h323-low 16384-32767 H.323
cisco-rtp-h323-high 49152-65535 H.323
cisco-rtp-skinny-low 16384-32767 Skinny
cisco-rtp-skinny-high 49152-65535 Skinny
cisco-rtp-sip-low 16384-32767 SIP
cisco-rtp-sip-high 49152-65535 SIP
Questo è un esempio che ho trovato sul sito di Cisco
Penso che adattandolo al tuo caso possa andare bene
Ciao Marco
-
davide82
- n00b
- Messaggi: 7
- Iscritto il: mar 10 apr , 2007 11:22 pm
ci ho provato in mille modi ma niente.
Il problema è la necessita di disporre di un set di porte statiche in ascolto sull'indirizzo ip pubblico e reindirizzarlo su un host interno. Tutti i comandi che prevedo l'impiego di liste o route-map, sembrano considerati NAT dinamici.
Il set di porte mi è necessario per consentire la comunzcazine a un ATA voip.
Qualcuno sa darmi altre ditte? Possibile che la cisco non abbia pensato all'apertura di un set di porte con una sola istruzione?
Grazie mille per la collaborazione...
P.S.: Ho notato che la mia domanda è già stata posta da moltii, in altre forme, ma non ha mai avuto una risposta efficace.
Il problema è la necessita di disporre di un set di porte statiche in ascolto sull'indirizzo ip pubblico e reindirizzarlo su un host interno. Tutti i comandi che prevedo l'impiego di liste o route-map, sembrano considerati NAT dinamici.
Il set di porte mi è necessario per consentire la comunzcazine a un ATA voip.
Qualcuno sa darmi altre ditte? Possibile che la cisco non abbia pensato all'apertura di un set di porte con una sola istruzione?
Grazie mille per la collaborazione...
P.S.: Ho notato che la mia domanda è già stata posta da moltii, in altre forme, ma non ha mai avuto una risposta efficace.
-
stanketto
- Cisco fan
- Messaggi: 31
- Iscritto il: mar 30 ott , 2007 4:27 pm
Ciao,ti riporto un esempio di come risolvere il tuo problema tramite un trucchetto..
ip nat pool p2p 192.168.0.1 192.168.0.1 netmask 255.255.255.0 type rotary
ip nat inside destination list 100 pool p2p
access-list 100 permit tcp any any range 16384 16482
Devo ancora testarlo ma credo funzioni,saluti
ip nat pool p2p 192.168.0.1 192.168.0.1 netmask 255.255.255.0 type rotary
ip nat inside destination list 100 pool p2p
access-list 100 permit tcp any any range 16384 16482
Devo ancora testarlo ma credo funzioni,saluti
-
stanketto
- Cisco fan
- Messaggi: 31
- Iscritto il: mar 30 ott , 2007 4:27 pm
E' passato un sacco di tempo,non mi ricordo,mi sembra che non funzionava bene.
Mi pare di ricordare che l'avevo provato con il Mulo e il programma non aveva reagito bene,con lo static NAT invece il NAT è come se non esistesse.
Cmq provalo,tentar non nuoce,al massimo lo togli.
Saluti
Mi pare di ricordare che l'avevo provato con il Mulo e il programma non aveva reagito bene,con lo static NAT invece il NAT è come se non esistesse.
Cmq provalo,tentar non nuoce,al massimo lo togli.
Saluti
-
Cionfoli
- n00b
- Messaggi: 6
- Iscritto il: sab 21 lug , 2007 5:12 pm
Ciao,
ho provato la configurazione seguente:
ip nat pool tele 192.168.1.218 192.168.1.218 netmask 255.255.255.0 type rotary
ip nat inside source list 101 interface FastEthernet4 overload
ip nat inside destination list 100 pool tele
access-list 100 permit tcp any any range 5900 5920
access-list 101 permit ip any any
l'access list 101 è stata usata per fare il nat "normale" mentre la 100 per il forwarding delle porte che interessa a me.
In questo modo le richieste in ingresso di Vnc mettendo le porte fino alla 5920 mi fa entrare mentre se ne metto altre mi blocca l'accesso.
Ho dovuto mettere due access list perchè se il nat lo facevo sulla stessa access list del range di porte, il router mi forwardava anche le porte oltre alla 5920, come e fosse una dmz.
Voi che ne pensate?
Ciao
ho provato la configurazione seguente:
ip nat pool tele 192.168.1.218 192.168.1.218 netmask 255.255.255.0 type rotary
ip nat inside source list 101 interface FastEthernet4 overload
ip nat inside destination list 100 pool tele
access-list 100 permit tcp any any range 5900 5920
access-list 101 permit ip any any
l'access list 101 è stata usata per fare il nat "normale" mentre la 100 per il forwarding delle porte che interessa a me.
In questo modo le richieste in ingresso di Vnc mettendo le porte fino alla 5920 mi fa entrare mentre se ne metto altre mi blocca l'accesso.
Ho dovuto mettere due access list perchè se il nat lo facevo sulla stessa access list del range di porte, il router mi forwardava anche le porte oltre alla 5920, come e fosse una dmz.
Voi che ne pensate?
Ciao
