[GTER] CGNAT / Solucao para Log de tabela de estados de NAT

Rubens Kuhl rubensk at gmail.com
Mon Oct 28 17:38:37 -02 2013


2013/10/28 Paulo Coimbra <coimbra.root at gmail.com>
>
> Bom dia,
>
> Com o esgotamento de IPv4 e a baixa penetração do IPv6, qual seria uma
> solucao rápida para "accounting" da tabela de estados de NAT, haja visto
> que atualmente temos um /20 que é insuficiente para atendermos 100% dos
> nossos clientes com IPv4 válido?


1) Peça mais IPs. Ainda há IPs disponíveis.
2) A solução mais simples é fazer mapeamento quasi-stateless. Funciona
assim:
-  Pegue cada grupo de 64 usuários e atribua a um IP específico de NAT.
Todos esses 64 sairão por aquele IP.
- Crie um range de portas para cada usuário. Por exemplo, usuários de 0 a
63, o usuário 0 tem porta origem de 0 a 1023, o usuário 1 de 1024 a 2047 e
assim por diante.

Isso em Linux iptables fica assim:

iptables -t nat -A POSTROUTING -s 10.0.0.1 -j SNAT --to-source
200.200.200.1:0-1023
iptables -t nat -A POSTROUTING -s 10.0.0.2 -j SNAT --to-source
200.200.200.1:1024-2047

Isso fica chato de gerar por que é uma regra para cada cliente, mas coisas
como o Template Toolkit (http://www.template-toolkit.org) podem ajudar
nisso.

Assim, toda vez que você receber uma denúncia dizendo IP origem tal e porta
origem tal, você já vai saber quem é sem precisar consultar log algum.

Infelizmente, nem todo pedido judicial vem com porta origem... mas esse é
um hábito que o CGNAT terá que criar nos usuários de Internet, porque fora
a porta origem, todo o resto caracterizaria observação do tráfego do
usuário. Dependendo do perito ele poderia chamar isso de interceptação
telemática e portanto crime... e independente de interpretação, é algo que
vai estar proibido daqui a alguns dias com a aprovação do Marco Civil.


Rubens



More information about the gter mailing list