[GTER] Registro de conexões - Marco Civil
Rubens Kuhl
rubensk at gmail.com
Thu Mar 26 10:28:41 -03 2015
2015-03-26 10:18 GMT-03:00 Elizandro Pacheco [ Pacheco Tecnologia ] <
elizandro at pachecotecnologia.net>:
> O problema é que o pessoal geralmente usa uma única regra de nat baseada
> em uma address-list, e dependendo da quantidade de dispositivos atrás do
> nat, não sei se seria uma boa ideia devido ao consumo de recursos da caixa.
>
Considerando que se passa a registrar uma informação com tempo de vida de
24h ao invés de uma que é de uma dúzia por segundo, o trade-off me parece
muito favorável.
Sobre o número de regras, nada que escrever um novo target para o netfilter
não resolva. Tenha até uma sugestão de nome: CGNAT ao invés de SNAT.
> Um log do firewall pra um servidor remoto onde "o cara que lê" armazena só
> o que é necessário ( ou permitido ) e que compacte de hora em hora, ou 2x
> por dia, ou 1x por dia ( dependendo do volume ) não é nada absurdo.
>
> Aliás, com meia dúzia de linhas em um php da vida, dá pra fazer.
A escala que se atingiu na Internet sempre se baseou em ter o menor número
possível de informações e decisões no núcleo da rede, e esse tipo de
arquitetura me parece ir na direção contrária...
Rubens
More information about the gter
mailing list