Cisco и проброс диапазона UDP портов из мира в локалку?

Question

[nicolnx]

Добрый день, All


Есть кошка

IOS (tm) 3600 Software (C3620-IK9O3S6-M), Version 12.3(17a), RELEASE SOFTWARE (fc2)


на ней конструкция вида


access-list 100 permit tcp any any eq 80

access-list 100 permit udp any any range 5000 20000


ip nat pool SRV1 192.168.0.1 192.168.0.1 netmask 255.255.255.0 type rotary

ip nat inside destination list 100 pool SRV1


прекрасно работает для tcp трафика и совсем никак не работает для UDP.

судя по дебагу впечатление такое UDP трафик даже в аксесс-лист 100 не попадает, поскольку счетчики растут только на правилах относящихся к TCP.

Отсюда вопрос — почему работает только для TCP и можно ли как-то это забороть, не прописывая кучу трансляций по одной на порт?

Answer 1

[digreen]

Попробуйте udp в отдельный ACL и второй NAT-pool для него. Или это неприемлемо?

Answer 2

[serejik]

А почему диапазон портов для UDP 5000-20000? Может быть у вас эти пакеты не попадают в этот диапазон. Попробуйте для начала разрешить всё, а уже оттуда плясать.

Answer 3

[nicolnx]

Пробовал по-разному. Единственное что нормально заработало

ip nat inside source static udp 10.95.1.252 5060 x.x.x.x 5060 extendable
ну и дальше по списку

При этом если делать
ip nat inside source static udp 10.95.1.252 5060 interface Dialer0 5060
то трансляция внтурь отрабатывает, но ответ сервера клиенту из мира не приходит.
С tcp же все ок, работает без нареканий.
Либо я чего-то недопонимаю, либо это странности IOSa?