NAT port forwarding
Функционал NAT port forwarding подразумевает статический проброс NAT-портов (открытие портов за NAT) для организации удалённого статического доступа к оборудованию в локальной сети через NAT. Этот функционал позволяет создавать статические (существующие всегда и работающие в разных направлениях передачи трафика) правила трансляций для конкретных IP-адресов источника и получателя, а также указывать для каких TCP/UDP портов эта трансляция предусмотрена. Для создания подобных правил применяется следующая команда конфигурационного режима: ip nat source static <tcp/udp> <IP src> <port src> <IP dst> <port dst>
Параметры данной команды описаны в таблице ниже. Все параметры являются обязательными!
Таблица — Параметры команды
ip nat source static
| Параметр | Описание |
|---|---|
tcp или udp | Ключевые слова для указания транспортного протокола |
IP src | IP-адрес источника |
port src | L4 порт источника. Может быть задан диапазон портов, для чего необходимо указать начальное и конечное значения через пробел. Размер диапазона портов источника и получателя должен совпадать (см. пример ниже) |
IP dst | IP-адрес получателя |
port dst | L4 порт получателя. Может быть задан диапазон портов, для чего необходимо указать начальное и конечное значения через пробел. Размер диапазона портов источника и получателя должен совпадать (см. пример ниже) |
Приведём пример использования NAT port forwarding и dynamic PAT:
ecorouter(config)#ip nat pool TEST 10.0.0.0-10.0.0.254
ecorouter(config)#ip nat source dynamic inside pool TEST overload interface wan
ecorouter(config)#interface wan
ecorouter(config-if)# ip address 77.0.0.1/30
ecorouter(config-if)# ip nat outside
ecorouter(config)#interface lan
ecorouter(config-if)# ip address 10.0.0.1/24
ecorouter(config-if)# ip nat inside
Рисунок
Задачу организации удалённого доступа к LAN серверу с адресом 10.0.0.2 можно решить при помощи создания статического правила трансляции и определения конкретных TCP/UDP портов. Правило, которое позволит подключаться к LAN-серверу со стороны WAN, при попытке TCP подключения на адрес 77.0.0.1 и L4 порт 2222, будет выглядеть следующим образом:
ecorouter(config)#ip nat source static tcp 10.0.0.2 22 77.0.0.1 2222Для организации доступа по SSH к хосту 10.0.0.2:22 из подсети 10.0.0.0/24 по адресу и L4 порту 77.0.0.1:2222 следует воспользоваться NAT Hairpin правилом:
ecorouter(config)#ip nat destination static tcp 77.0.0.1 2222 10.0.0.2 22 hairpinПример правила с указанием диапазона портов:
ip nat source static tcp 10.0.0.1 100 300 7.0.0.1 400 600