Для NAT с подменой source и destination IP на Cisco IOS нужно использовать функционал "ip nat enable" на интерфейсах. Например, чтобы попасть (c IP 10.0.2.158) на 22 порт устройства в "inside" сети за "inside" интерфейсом (с source IP/net этого "inside" интерфейса роутера), обращаясь на виртуальный порт/IP внешнего Outside интерфейса этого роутера, NAT необходимо настроить следующим образом:
interface FastEthernet8
description Outside
ip address 10.129.162.2 255.255.255.240
ip nat enable
!
!
interface GigabitEthernet0
description Inside
ip address 10.72.1.10 255.255.255.0
ip nat enable
description Outside
ip address 10.129.162.2 255.255.255.240
ip nat enable
!
!
interface GigabitEthernet0
description Inside
ip address 10.72.1.10 255.255.255.0
ip nat enable
ip nat source static tcp 10.72.1.1 22 10.129.162.2 443 extendable
ip access-list extended nat
permit tcp host 10.0.2.158 host 10.129.162.2 eq 443
ip nat source list nat interface GigabitEthernet0 overload
Команда на хосте 10.0.2.158 (который "видит" 10.129.162.2):
ssh 10.129.162.2 -p 443
приведет к открытию ssh сессии с 10.0.2.158 на 22-й порт 10.72.1.1 с source IP: 10.72.1.10 (то есть хосту 10.72.1.1 не нужен маршрут к 10.0.2.158, а достаточно только связности внутри connected сети 10.72.1.0/24.
Комментариев нет:
Отправить комментарий