今天我试图在我的一个客户办公室配置端口转发。他们希望我转发 5000 和 6000 等端口。我获得了 cisco 路由器 2900 系列的 GUI 访问权限。我在那里看不到 NAT 或 ACL 的任何选项。我怀疑我们不能从那个特定的路由器转发端口。如果有任何方法可以通过 CLI 做到这一点,请帮助我。
我的私人 IP 是 172.16.32.250,我的私人 IP 是 5.6.7.8。当有人在办公室外从他们的浏览器执行 5.6.7.8:5000 时,我希望他们拥有我的生物识别设备的界面。我希望打开/转发 TCP 5000。
不叫端口转发吗?请帮助我更好地理解这个概念。请帮忙
您绝对可以在 2900 上进行网络地址转换。
我不确定您将如何将 5000 和 6000 转发到网络中,但我想这是他们的业务。但是,如果我们知道他们想要完成什么,这可能会有所帮助。
我从未使用 GUI 来配置 IOS 路由器。我建议使用 CLI。命令:
router #sh ip int br
将列出您的接口并帮助您确定是内部还是外部。
编辑您的内部界面,添加行 ip nat inside
router #conf t
router (config)#int gi0/1
router (config-if)#ip nat inside
router (config-if)#
对您的外部接口执行相同操作,但请确保您告诉路由器这是外部 NAT 接口。
router (config-if)#int gi0/0
router (config-if)#ip nat outside
router (config-if)#end
router (config)#
用访问列表告诉路由器你想对什么进行 NAT
router (config)#ip nat inside source list 101 interface gi0/0 overload
建立访问列表。如果要指定端口,则需要扩展访问列表。
router (config)#ip access-list extended 101
router (config-ext-nacl)#permit tcp any eq 6000 host 1.2.3.4 eq 6000
编辑
我将使用 1.2.3.4 作为路由器 Internet 端服务器的公共 IP。确保您确定了连接到生物识别设备的 IP 是什么……我在上面的示例中输入了“任何”,但这只是一个示例。如果可能的话,我宁愿不使用“任何”。
如果 TCP:
router #permit tcp host 172.16.32.250 eq 5000 host 1.2.3.4 eq 5000
router #permit tcp host 172.16.32.250 eq 6000 host 1.2.3.4 eq 6000
如果是 UDP:
router #permit udp host 172.16.32.250 eq 5000 host 1.2.3.4 eq 5000
router #permit udp host 172.16.32.250 eq 6000 host 1.2.3.4 eq 6000
编辑结束
在 Permit 之后,您可以指定协议(TCP、UDP、ICMP、ESP 等)或带有 IP 的所有内容。您可以使用主机和 IP 或 IP 地址 + 子网掩码。
router (config-if)#end
router #copy run start
您的配置清楚地显示 natting 。
在路由器端口转发可以由访问列表管理
端口转发允许访问防火墙后面的另一个网络上的资源
防火墙充当两个网络之间的边界端口转发确保访问其他网络上的资源
在安全设备中配置策略
源IP地址
目标IP地址
服务端口
行动:允许