[GTER] Registro de conexões - Marco Civil
Elizandro Pacheco [ Pacheco Tecnologia ]
elizandro at pachecotecnologia.net
Thu Mar 26 10:18:20 -03 2015
O problema é que o pessoal geralmente usa uma única regra de nat baseada
em uma address-list, e dependendo da quantidade de dispositivos atrás do
nat, não sei se seria uma boa ideia devido ao consumo de recursos da caixa.
Um log do firewall pra um servidor remoto onde "o cara que lê" armazena
só o que é necessário ( ou permitido ) e que compacte de hora em hora,
ou 2x por dia, ou 1x por dia ( dependendo do volume ) não é nada absurdo.
Aliás, com meia dúzia de linhas em um php da vida, dá pra fazer.
Elizandro Pacheco
On 26-03-2015 10:08, Rubens Kuhl wrote:
> 2015-03-26 9:04 GMT-03:00 Listas Discussão <dl.lagg0 at gmail.com>:
>> Alguém tem uma solução "caseira" para utilizar no caso de NAT?
>>
>> Estava testando a opção de logar no firewall as conexões "nateadas" e no
>> servidor limpar o que for desnecessário, manter apenas ip e porta de
> origem
>> para poder identificar o usuário, mas isso gera zilhões de linhas.
>
> O sistema de faixa de portas é provavelmente mais interessante do que o log
> de portas. Hoje você deve ter algo assim:
>
> iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to
> 192.0.2.40--192.0.2.47
>
> Mas você poderia ao invés disso fazer assim:
>
> iptables -t nat -A POSTROUTING -s 192.168.1.0 -o eth0 -j SNAT --to
> 192.0.2.40:2000-3000
> iptables -t nat -A POSTROUTING -s 192.168.1.1 -o eth0 -j SNAT --to
> 192.0.2.40:3000-4000
> (e assim vai...)
>
> Com isso, você só precisa guardar o log de alocação do IP privado (RADIUS
> ou o que você usar internamente) pois para um determinado IP origem, porta
> origem, só corresponde um único IP privado.
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list