Jump to content
Калькуляторы

Проброс порта только для одного IP (Cisco 2921)

Добрый день!

 

Есть Cisco CISCO2921/K9

 

Technology Package License Information for Module:'c2900'

-----------------------------------------------------------------
Technology    Technology-package           Technology-package
             Current       Type           Next reboot
------------------------------------------------------------------
ipbase        ipbasek9      Permanent      ipbasek9
security      securityk9_npeRightToUse     securityk9_npe
uc            None          None           None
data          datak9        RightToUse     datak9

 

Внешний IP адрес 1 штука. Есть за этим маршрутером FPSU IP компании Amicon для которого прописана строчка

 

ip nat inside source static 172.16.128.2 xxx.xxx.xxx.xxx

 

потому что он использует для связи 53 протокол, пробросить его отдельно я его не могу.

 

sh ip nat tr
53  xxx.xxx.xxx.xxx:0   172.16.128.2:0     yyy.yyy.yyy.yyy:0  yyy.yyy.yyy.yyy:0

 

нужно чтобы маршрутизатор через этот же белый IP делал GRE тунель до другого адреса в сети и пока я не убираю строчку для FPSU gre не поднимается.

 

Вопрос: как указать источник для проброса портов, чтобы правило ip nat inside source static 172.16.128.2 xxx.xxx.xxx.xxx действовало только для адреса yyy.yyy.yyy.yyy?

 

P.S. адрес xxx.xxx.xxx.xxx - адрес моего роутера, yyy.yyy.yyy.yyy - адрес фпсу сервер с другой стороны.

Share this post


Link to post
Share on other sites

Я просто прописал acl, разрешающий для фпсу-клиента только обмен с сервером. а так амикон за любым натом вроде работать должен.

Share this post


Link to post
Share on other sites

Делайте через route-map. Туда цепляйте extended ACL в котором задаете в вкачестве destination y.y.y.y source x.x.x.x. Тогда прежде чем натить роутер будет проверять SA и DA - что не подходит будеит рутится через через Routing Table.

Share this post


Link to post
Share on other sites

Делал так:

 

ip nat inside source static 172.16.128.2 xxx.xxx.xxx.xxx route-map FPSU-NAT

route-map FPSU-NAT permit 10
match ip address 100

access-list 100 permit 53 host yyy.yyy.yyy.yyy host xxx.xxx.xxx.xxx

 

YuryD, можете скинуть как у Вас сделано?

Edited by SlipKo

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.