我有当前规则,试图为我的 VoIP 提供商打开端口 5060 和 10000-20000。我们使用 Cisco 1921 路由器。此 ACL 应用于面向 ISP 的路由器上的 WAN 端口。Nmap 端口扫描显示这些端口已关闭。
- 有人可以帮忙验证我的 ACL 并在必要时纠正我的规则吗?
- 由于这是用于托管 VoIP PBX,我是否也需要出站 ACL 来打开端口?
- Nmap 检测不到开放端口,是不是因为我不是 ACL 的特定主机?我尝试了一些其他不特定于公共 IP 的端口,Nmap 也显示为已关闭。
- 如果路由器后面的 L3 交换机位于 PC 和路由器之间,它们是否也需要 ACL 来打开端口?
路由器配置
interface GigabitEthernet0/0
description WAN
ip address x.x.x.x 255.255.255.240
ip access-group 101 in
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description LAN
ip address 192.168.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
access-list 101 permit udp host x.x.x.x any eq 5060
access-list 101 permit udp host x.x.x.x any range 10000 20000
Nmap端口扫描
Starting Nmap 6.47 ( http://nmap.org ) at 2015-03-04 16:24 PST
Nmap scan report for
Host is up (0.022s latency).
PORT STATE SERVICE
5060/udp closed sip
Starting Nmap 6.47 ( http://nmap.org ) at 2015-03-04 16:24 PST
Nmap scan report for
Host is up (0.023s latency).
PORT STATE SERVICE
10000/udp closed ndmp
Starting Nmap 6.47 ( http://nmap.org ) at 2015-03-04 16:24 PST
Nmap scan report for wsip-184-191-183-54.sd.sd.cox.net (184.191.183.54)
Host is up (0.026s latency).
PORT STATE SERVICE
20000/udp closed unknown
答案1
由于您正在从 G0/0 到 G0/1 进行 NAT,因此您不能使用访问列表来允许流量。NAT 充当防火墙,因此您需要使用端口地址转换规则。对于单个端口,它将如下所示:
ip nat inside source static udp x.x.x.x 5060 interface g0/0 5060
端口范围有点棘手,因为 IOS 通常不处理端口范围。但是,它确实具有针对语音 UDP 流量范围的内置功能 - 然而这仅限于 64 倍数的端口范围。要捕获所需的端口:
ip nat portmap VOICE
appl udp-rtp startport 9984 size 10240
这定义了从 9984 开始的 10240 个端口的端口范围。最后,您需要将此端口映射应用于 NAT:
ip nat inside source list # interface g0/0 overload portmap VOICE
包含您要转换的内部地址的访问列表在哪里list #。NMAP 扫描应确认端口已打开。
希望这可以帮助!