Я пытался заставить переадресацию портов работать с недавно установленным маршрутизатором cisco. Кажется, я не могу найти, в чем моя вина, и долго искал.
Соответствующий раздел моего конфига:
interface FastEthernet0/0
ip address dhcp
ip nat outside
speed 100
full-duplex
no cdp enable
!
interface FastEthernet0/1
ip address 10.10.250.1 255.255.255.0
ip nat inside
speed 100
full-duplex
!
router eigrp 250
passive-interface FastEthernet0/0
network 10.10.250.0 0.0.0.255
no auto-summary
!
ip nat inside source list NAT interface FastEthernet0/0 overload
ip nat inside source static udp 10.10.250.201 9987 interface FastEthernet0/0 9987
ip nat inside source static tcp 10.10.250.201 30033 interface FastEthernet0/0 30033
ip nat inside source static tcp 10.10.250.201 10011 interface FastEthernet0/0 10011
ip nat inside source static tcp 10.10.250.201 22 interface FastEthernet0/0 443
ip nat inside source static tcp 10.10.250.201 80 interface FastEthernet0/0 80
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 dhcp
!
!
!
ip access-list extended NAT
permit ip any any
Где-то должна быть проблема с моей конфигурацией? Или мне не хватает чего-то необходимого для работы переадресации портов?
Вот текущая таблица NAT в разрезе, чтобы показать только мои правила:
cisco2621#show ip nat tran
Pro Inside global Inside local Outside local Outside global
udp x.x.x.x:9987 10.10.250.201:9987 --- ---
tcp x.x.x.x:10011 10.10.250.201:10011 --- ---
tcp x.x.x.x:80 10.10.250.201:80 --- ---
tcp x.x.x.x:443 10.10.250.201:22 --- ---
tcp x.x.x.x:30033 10.10.250.201:30033 --- ---
Вы перепутали источник и пункт назначения в переадресации портов.
ip nat inside source static udp interface FastEthernet0/0 9987 10.10.250.201 9987 extendable
ip nat inside source static tcp interface FastEthernet0/0 30033 10.10.250.201 30033 extendable
ip nat inside source static tcp interface FastEthernet0/0 10011 10.10.250.201 10011 extendable
ip nat inside source static tcp interface FastEthernet0/0 443 10.10.250.201 22 extendable
ip nat inside source static tcp interface FastEthernet0/0 80 10.10.250.201 80 extendable
Также используйте стандартный список доступа, чтобы разрешить прохождение NAT только локальным сетям.
ip access-list standard NAT
permit ip 10.10.250.0 0.0.0.255
Прошло много времени с тех пор, как я сделал NAT, но в ваших строках «ip nat inside ...» вы можете поместить интерфейс в конце? Я подумал, что это должен быть соответствующий IP-адрес интерфейса. Однако в вашей конфигурации это может работать из-за DHCP.
Попробуйте следующие команды, чтобы сузить круг вопросов:
show ip nat translations
debug ip nat (then try to generate traffic that should hit the NAT and see what hits the console)
show ip nat stat
Кроме того, поскольку на данном этапе вы ничего не фильтруете, попробуйте не использовать расширенный список доступа. Не должно иметь значения, но попытка стоит 3 секунды.
access-list 10 permit any