Хорошо

AR1220 проброс портов

Опубликовано 2021-2-9 16:14:17Последний ответ фев 09, 2021 17:37:31 1435 1 1 0 0
  Награжденные Форбаллы: 0 (Проблема решена)

Здравствуйте,

Как на данном маршрутизаторе пробролисть диапазон протов для RTP - 10000:20000 ? Через командную строку или через web возможно прокинуть только один порт.

  • x

Избранные ответы

Лучший ответ

Рекомендуемые ответы

user_2909167
Модератор Опубликовано 2021-2-9 17:37:31

ДД.


Попробуйте через ACL указав диапазон портов которые будут мапиться из внешнего адреса внутрь. 


nat server protocol { tcp | udp } global { global-address | current-interface | interface interface-type interface-number [ .subnumber ] } global-port [ global-port2 ] [ vrrp vrrpid ] inside host-address [ host-address2 ] [ host-port ] [ vpn-instance vpn-instance-name ] [ acl acl-number ] [ description description ]

Например:

1. Создаем ACL с нуждными портами назначения  //модифицируйте под свои порты и транспортные протоколы.

[Huawei] acl 3999

[Huawei-acl-adv-3999] rule permit tcp destination-port range 1000 2000

[Huawei-acl-adv-3999] permit tcp destination-port eq 3000


2. Настраиваем NAT Server на global interface.

[Huawei--GigabitEthernet0/0/4] nat server global current-interface inside 10.0.0.100 acl 3999

Test config
#                                                                              
acl number 3999                                                               
rule 5 permit tcp destination-port range 1000 2000                           
rule 10 permit tcp destination-port eq 3000                                   
#
interface Vlanif1                                                              
ip address 10.0.0.1 255.255.255.0                                             
#
interface GigabitEthernet0/0/4                                                
ip address 1.1.1.1 255.255.255.252                                            
nat server global current-interface inside 10.0.0.100 acl 3999               
#


Тестируем:
TCP пакеты отправляем на 1.1.1.1:1000 и 1.1.1.1:3000  далее смотрим на  NAT сессии:

<Huawei>display nat session destination 1.1.1.1
  NAT Session Table Information:
     Protocol          : TCP(6)
     SrcAddr  Port Vpn : 1.1.1.2         50000
     DestAddr Port Vpn : 1.1.1.1         3000
     NAT-Info
       New SrcAddr     : ----
       New SrcPort     : ----
       New DestAddr    : 10.0.0.100
       New DestPort    : ----
     Protocol          : TCP(6)
     SrcAddr  Port Vpn : 1.1.1.2         50000
     DestAddr Port Vpn : 1.1.1.1         1001
     NAT-Info
       New SrcAddr     : ----
       NeW SrcPort     : ----
       New DestAddr    : 10.0.0.100
       New DestPort    : ----
  Total : 2


Обратите внимание


После настройки NAT Server с ACL, другая настройка NAT server на тот же внешний IP не сможет быть добавлена.


Причина в том, что сессии NAT-сервера сопоставляются с помощью двоичных побитовых операций для проверки IP-адресов и протоколов. А поскольку команда 'nat server acl' не определяет глобальный порт, перым будет заметчен поток траффика для порта "any" и только потом этот ACL будет использован для фильтрации сессий.


По-прежнему можно настроить NAT Outbound на том же интерфейсе или настроить NAT Server с использованием других доступных общедоступных IP-адресов.


Развернуть
  • x

Все ответы
user_2909167
user_2909167 Модератор Опубликовано 2021-2-9 17:37:31

ДД.


Попробуйте через ACL указав диапазон портов которые будут мапиться из внешнего адреса внутрь. 


nat server protocol { tcp | udp } global { global-address | current-interface | interface interface-type interface-number [ .subnumber ] } global-port [ global-port2 ] [ vrrp vrrpid ] inside host-address [ host-address2 ] [ host-port ] [ vpn-instance vpn-instance-name ] [ acl acl-number ] [ description description ]

Например:

1. Создаем ACL с нуждными портами назначения  //модифицируйте под свои порты и транспортные протоколы.

[Huawei] acl 3999

[Huawei-acl-adv-3999] rule permit tcp destination-port range 1000 2000

[Huawei-acl-adv-3999] permit tcp destination-port eq 3000


2. Настраиваем NAT Server на global interface.

[Huawei--GigabitEthernet0/0/4] nat server global current-interface inside 10.0.0.100 acl 3999

Test config
#                                                                              
acl number 3999                                                               
rule 5 permit tcp destination-port range 1000 2000                           
rule 10 permit tcp destination-port eq 3000                                   
#
interface Vlanif1                                                              
ip address 10.0.0.1 255.255.255.0                                             
#
interface GigabitEthernet0/0/4                                                
ip address 1.1.1.1 255.255.255.252                                            
nat server global current-interface inside 10.0.0.100 acl 3999               
#


Тестируем:
TCP пакеты отправляем на 1.1.1.1:1000 и 1.1.1.1:3000  далее смотрим на  NAT сессии:

<Huawei>display nat session destination 1.1.1.1
  NAT Session Table Information:
     Protocol          : TCP(6)
     SrcAddr  Port Vpn : 1.1.1.2         50000
     DestAddr Port Vpn : 1.1.1.1         3000
     NAT-Info
       New SrcAddr     : ----
       New SrcPort     : ----
       New DestAddr    : 10.0.0.100
       New DestPort    : ----
     Protocol          : TCP(6)
     SrcAddr  Port Vpn : 1.1.1.2         50000
     DestAddr Port Vpn : 1.1.1.1         1001
     NAT-Info
       New SrcAddr     : ----
       NeW SrcPort     : ----
       New DestAddr    : 10.0.0.100
       New DestPort    : ----
  Total : 2


Обратите внимание


После настройки NAT Server с ACL, другая настройка NAT server на тот же внешний IP не сможет быть добавлена.


Причина в том, что сессии NAT-сервера сопоставляются с помощью двоичных побитовых операций для проверки IP-адресов и протоколов. А поскольку команда 'nat server acl' не определяет глобальный порт, перым будет заметчен поток траффика для порта "any" и только потом этот ACL будет использован для фильтрации сессий.


По-прежнему можно настроить NAT Outbound на том же интерфейсе или настроить NAT Server с использованием других доступных общедоступных IP-адресов.


Развернуть
  • x

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.