[GTER] CGnat

Márcio Elias Hahn do Nascimento marcio at sulonline.net
Tue Jun 6 18:41:37 -03 2017 

Em 2017-06-06 14:34, Bruno Cabral escreveu:

> A forma mais fácil depende de como você já trabalha, com IP privado fixo ou com dinâmico.
> 
> Numa pergunta relacionada, alguem já mediu se fizer uma busca binaria com jump para diminuir a quantidade de regras por onde passar aumenta ou diminui significativamente o tempo de processamento para um numero elevado de IPs com range predefinido?
> 
> !3runo
> 
> ________________________________
> De: gter <gter-bounces at eng.registro.br> em nome de Rodrigo Rex <rodrigo at brasrede.com.br>
> Enviado: terça-feira, 6 de junho de 2017 11:04:54
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] CGnat
> 
> Afinal é mais interessante fazer CGNAT por porta, batendo range de portas e
> IPs inválidos sem manter log de conexões ou fazer log de tudo?
> 
> Em 6 de junho de 2017 10:24, BinaryCrash <binarycrash at gmail.com> escreveu:
> 
> /ip firewall filter
> add action=log chain=forward comment="LOG DE NAT (Marco Civil) (TCP)"
> connection-nat-state=srcnat connection-state=new in-interface=ether2
> log=yes out-interface=ether1 protocol=tcp tcp-flags=syn
> add action=log chain=forward comment="LOG DE NAT (Marco Civil) (UDP)"
> connection-nat-state=srcnat connection-state=new in-interface=ether2
> log=yes out-interface=ether1 protocol=udp
> 
> /system logging action
> add name=natlog1 remote=IP_SERVIDOR_LOGS_AQUI
> remote-port=PORTA_SERVIDOR_LOGS_AQUI src-address=IP_SOURCE_NAT
> target=remote
> /system logging
> set 0 action=echo topics=critical
> set 1 action=disk
> set 2 action=disk
> set 3 action=disk
> add action=disk topics=info,!firewall
> add action=natlog1 prefix="NAT MK X" topics=firewall,info
> 
> No exemplo acima ether1 seria sua entrada de internet (WAN), ether2 teus
> clientes (LAN).
> Onde está IP_SOURCE_NAT é o IP usado para entregar este pacote do log ao
> servidor de logs.
> 
> Usando syslog no servidor de logs você autoriza este IP (IP_SOURCE_NAT)
> para receber pacotes, aí pode organizar os arquivos por dia, rodar um cron
> pra compactar os arquivos mais antigos, etc.
> 
> Desta forma, dependendo da quantidade de pacotes, expectativa de comprar 1
> ou 2 HDs por ano pra manter estes dados.
> 
> Em 5 de junho de 2017 17:59, Andre Almeida <andre at bnet.com.br> escreveu:
> 
> No mikrotik não é interessante usar o action=same ao inves de src-nat e ao inves de usar um IP no to-address usar um bloco ?
> 
> Outra coisa, seria interessante em um concentrador misto, de CGNAT como
> sendo um pool de transbordo, criar regras RAW para no-track dos IPs
> validos?
> 
> Estou tentando otimizar o negócio aqui também, mas não sei exatamente qual seria a melhor opção.
> 
> Andre Almeida
> 
> Em 5 de junho de 2017 16:47, Lucas Willian Bocchi < lucas.bocchi at gmail.com> escreveu:
> 
> Pessoal
> Usar o RANDOM no NAT também é uma boa opção, porém sempre importante
> verificar a questão de como você está fazendo os logs das tuas
 conexões, 

>> para não perder o controle. Muita gente usa faixa de portas para uma
> faixa de ips inválidos para poder ter um controle maior....
> 
> Em 5 de junho de 2017 16:34, Bruno Vane <broonu at gmail.com> escreveu:
> 
> Acho pouco 1000 portas.
> Alguém aqui na GTER mesmo sugeriu 4000 e em nossos testes ficou um
 bom 

> valor.
> Conseguimos atender 4096 clientes com um /24 público.
> 
> Em 2 de junho de 2017 16:47, Eduardo Rigler <erigler at gmail.com> escreveu: 
> Em 2 de jun de 2017 4:38 PM, "HugLeo" <hugocanalli at gmail.com>
 escreveu: 

>> No mikrotik o número de conexões abertas que se vê é no
 Connections / 

> Tacking?
> Aqui com uns 100 clientes fica em 3 mil itens. Mas coloquei para os
> clientes que não usam link no talo.
> 
> Se for isso 1000 para clientes é o bastante? 4000 não seria muito?
> 
> Esses dias um colega aqui da lista estava P da vida porque a Copel
 anda 

> limitando o CGNAT na casa das 1000 conexões/portas (ou menos)
 dependendo 

> do 
> 
>> horário. Já vi mais pessoas reclamando sobre jogos online com
 latencia 

> normal/baixa caindo "do nada".
> 
> Eu particularmente acho pouco e no caso da Copel prefiro achar que
 ainda 

> estão fazendo alguma sintonia fina na rede (ou problema em algum
> equipamento, sei lá).
> 
> []'s
> 
> 2017-05-12 13:49 GMT-03:00 Bruno Vane <broonu at gmail.com>:
> 
> Estamos fazendo com amarração de ips privados X ips publicos.
> A cada 16 ips privados, compartilha um ip publico, cada privado
 com 

> 4000 portas pra uso.
> 
> Em 12 de maio de 2017 13:22, Alex Montoanelli <
> alex.montoanelli at unetvale.net escreveu: 
> ipt-netflow + logstash com netflow + elasticsearch - para
 Linux. 

> Apenas subindo o modulo do iptables e configurando via systcl
 os 

> parâmetros, você exporta
> todas os eventos de conntrack via netflow.
> 
> Abraço
> 
> Em sex, 12 de mai de 2017 às 12:04, Uesley Correa < uesleycorrea at gmail.com> escreveu:
> 
> CGNAT é só seguir RFC e um abraço! Guarda de logs ainda não
 achei 

> nenhuma solução no mercado hoje exceto a que nós desenvolvemos para
 nossos 

> alunos. 
> Att,
> 
> Uesley Corrêa - Analista de Telecomunicações
> Instrutor Oficial UBNT UBRSS, UBRSA, UBWS & UBWA
> 
> Em 12 de maio de 2017 09:36, HugLeo <hugocanalli at gmail.com>
 escreveu: 

> Desde que você entregue um ipv6 pra ele, não.
> 
> 2017-05-11 15:12 GMT-03:00 Luciano Inacio Lima -Júpiter <
> lucianoinacio at hotmail.com>:
> 
> Por falar em CGNAT, essa pratica acaba por limitar o
 numero 

> de portas disponíveis para o usuário!
> 
> Isso fere de alguma forma o Marco Civil da Internet??
> 
> Att.,
> 
> Luciano Inácio
> 
> ________________________________
> De: gter <gter-bounces at eng.registro.br> em nome de
 Márcio 

> Elias Hahn do Nascimento <marcio at sulonline.net>
> Enviado: quinta-feira, 11 de maio de 2017 11:14
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] CGnat
> 
> Em 2017-05-11 10:27, Bruno Viviani escreveu:
> 
> Bom dia pessoal,
> 
> Fiz um cgnat aqui em um de nossos routers pra teste,
 porém 

> aparentemente o roteador de alguns clientes fica "perdido" trabalhando
 com 

> o bloco 100.64/10 na wan.. simplesmente nao navega, nao pinga,
 nao 

> faz nada. Outros já funcionam perfeitamente.
> 
> Alguém teve caso semelhante?
> 
> att,
> Bruno Viviani
> --
> gter list    https://eng.registro.br/
 mailman/listinfo/gter 

> gter Info Page - .br<https://eng.registro.br/
 mailman/listinfo/gter 

> eng.registro.br
> Esta lista tem como objetivo tratar exclusivamente de
 tópicos 

> relativos a engenharia e operação de redes internet no país . To see
 the 

> collection of prior ...
> 
> Bom dia Bruno.
> 
> Em qual plataforma vc está configurando o CGNat?
> 
> Tenho configurado aqui em algumas CCR's e funciona sem
 nenhum 

> problema. 
> --
> Att
> 
> Márcio Elias Hahn do Nascimento
> --
> gter list    https://eng.registro.br/
 mailman/listinfo/gter 

> gter Info Page - .br<https://eng.registro.br/
 mailman/listinfo/gter 

> eng.registro.br
> Esta lista tem como objetivo tratar exclusivamente de
 tópicos 

> relativos a engenharia e operação de redes internet no país . To see
 the 

> collection of prior ...
> 
> --
> gter list    https://eng.registro.br/
 mailman/listinfo/gter 

> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

--
--
Alex Montoanelli
 » Unetvale
 » +55 48 3263 8789
» INOC 53175*100
--
gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter
--
gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter

--
--
gter list    https://eng.registro.br/mailman/listinfo/gter
--
gter list    https://eng.registro.br/mailman/listinfo/gter 

Bruno, respondendo a sua pergunta, uma CCR 1036 com alguns milhares de
regras, não durou 5 min rodando. Ao chegar próximo a 100Mbps
simplesmente congelou. 

Usando jump dos /24 para os /27 e dos /27 para os ips finais, temos 1036
batendo 2Gbps de CGNAT com processamento ínfimo. 

Sem jump não teve condições.

-- 
Att 

Márcio Elias Hahn do Nascimento

More information about the gter mailing list