[caiu] Acesso internacional a partir da NET

Provedor Bogus provedorbogus em gmail.com
Sexta Dezembro 12 19:31:13 BRST 2014


Sobre a caixa de CG-NAT, é bem provável que seu roteador de borda cairá
antes dela durante um DDoS. :-)

Nunca tivemos um DDoS que fosse suficiente pra causar transtornos nesse
nível, mas migrar os clientes pra outro IP válido leva menos de 1 minuto.
Operacionalizar o CG-NAT nesse aspecto é mais rápido do que bloquear o DDoS
nos blackholes das operadoras.

Nossa caixa tem 66 mil regras, processa quase uns 5 Gbps em horário de pico
e consome 15% de CPU. Penso que esse recurso tecnológico deveria ser
desmistificado porque, de fato, não há nada de complexo nele.O investimento
é ridiculamente baixo (R$ 20.000, se muito) e raríssimas vezes exige alguma
intervenção. Nossa solução está rodando desde a vigência do Marco Civil e
se eu entrei umas 3 vezes nessa máquina, foi muito.

Daria muito mais trabalho e teríamos resultados muito piores em termos de
qualidade de serviço se optássemos por migrar para IPv6 e é a única saída
para os pequenos/médios porque se conseguir alocações já era teste pra
cardíaco antes... nos dias de hoje, nem pra quem tem pressão 12 por 8 é
recomendável !


Em 12 de dezembro de 2014 19:04, rafa strassburger <rafaeltdk at hotmail.com>
escreveu:
>
> Problema das nat e os DDOs fica mais demorado localizar pra quem está indo
> o ataque, entre outras coisas, se não tivesse estes problemas estaria feliz
> em não precisar pedir mais ips. O pior não é que estamos só pedindo pagamos
> pra ter o bloco e precisamos ficar mendigando pra ter os mesmo.
>
> Enviado do meu iPhone
>
> > Em 12/12/2014, às 19:00, Provedor Bogus <provedorbogus at gmail.com>
> escreveu:
> >
> > Daqui há uns 10 anos, quando forem acabando os /14, /15 e /16 já
> alocados,
> > daí virão recolhendo esses /24, /23 e /22 que alocaram para provedores e
> > empresas, mas com calma, sem pressa, afinal eles em uma quantidade
> absurda
> > de endereços sobrando.
> >
> > Enquanto isso, aqui já começamos a fazer Carrier Grade NAT.
> >
> > Em 12 de dezembro de 2014 18:28, Felippe Alves Constantino <
> > fconstantino at gmail.com> escreveu:
> >>
> >> Sem contar os milhões de blocos que eles tem alocados p/ nós e nem
> pedindo
> >> eles pegam de volta...
> > _______________________________________________
> > caiu mailing list
> > caiu at eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


More information about the caiu mailing list