Jump to content
Калькуляторы

Проброс порта только для одного IP (Cisco 2921)

Добрый день!

 

Есть Cisco CISCO2921/K9

 

Technology Package License Information for Module:'c2900'

-----------------------------------------------------------------
Technology    Technology-package           Technology-package
             Current       Type           Next reboot
------------------------------------------------------------------
ipbase        ipbasek9      Permanent      ipbasek9
security      securityk9_npeRightToUse     securityk9_npe
uc            None          None           None
data          datak9        RightToUse     datak9

 

Внешний IP адрес 1 штука. Есть за этим маршрутером FPSU IP компании Amicon для которого прописана строчка

 

ip nat inside source static 172.16.128.2 xxx.xxx.xxx.xxx

 

потому что он использует для связи 53 протокол, пробросить его отдельно я его не могу.

 

sh ip nat tr
53  xxx.xxx.xxx.xxx:0   172.16.128.2:0     yyy.yyy.yyy.yyy:0  yyy.yyy.yyy.yyy:0

 

нужно чтобы маршрутизатор через этот же белый IP делал GRE тунель до другого адреса в сети и пока я не убираю строчку для FPSU gre не поднимается.

 

Вопрос: как указать источник для проброса портов, чтобы правило ip nat inside source static 172.16.128.2 xxx.xxx.xxx.xxx действовало только для адреса yyy.yyy.yyy.yyy?

 

P.S. адрес xxx.xxx.xxx.xxx - адрес моего роутера, yyy.yyy.yyy.yyy - адрес фпсу сервер с другой стороны.

Share this post


Link to post
Share on other sites

Я просто прописал acl, разрешающий для фпсу-клиента только обмен с сервером. а так амикон за любым натом вроде работать должен.

Share this post


Link to post
Share on other sites

Делайте через route-map. Туда цепляйте extended ACL в котором задаете в вкачестве destination y.y.y.y source x.x.x.x. Тогда прежде чем натить роутер будет проверять SA и DA - что не подходит будеит рутится через через Routing Table.

Share this post


Link to post
Share on other sites

Делал так:

 

ip nat inside source static 172.16.128.2 xxx.xxx.xxx.xxx route-map FPSU-NAT

route-map FPSU-NAT permit 10
match ip address 100

access-list 100 permit 53 host yyy.yyy.yyy.yyy host xxx.xxx.xxx.xxx

 

YuryD, можете скинуть как у Вас сделано?

Edited by SlipKo

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this