[GTER] Soluções para a escassez de IPs públicos
Raimundo Santos
raitech at gmail.com
Tue Apr 26 11:54:22 -03 2016
Como o PF trabalha muito bem estados, o normal dele é fazer log apenas das
conexões que criam um estado para uma regra, e não de qualquer conexão
(especificamente, qualquer pacote) que seja pego pela regra.
Isso diminui o tamanho do log.
Mas é fato, já tinha visto por aqui essa ideia de dar um range de portas
pra cada endereço interno. Só fico receoso da quantidade de regras
necessárias para fazer isso em qualquer filtro que conheço (ipfw, PF,
iptables).
[]s
Raimundo
2016-04-26 0:59 GMT-03:00 Fernando Frediani <fhfrediani at gmail.com>:
> Nem tanto Cássio. É só saber quando foi feita a alteração e não vejo
> problemas.
> Acredito que uma solução dessas simplifica a implementação.
> O único ponto negativo é o número limitado de portas pro IP por isso é
> importante não compartilhar um mesmo IP público para muitos usuários.
>
> Fernando
>
> 2016-04-25 22:42 GMT-03:00 casfre at gmail.com <casfre at gmail.com>:
>
> > 2016-04-25 19:29 GMT-03:00 Fernando Frediani <fhfrediani at gmail.com>:
> >
> > > Não precisa de log no NAT, apenas fixar portar de origem para os IPs
> > > privados/CGNAT e o único log necessário vai ser o de autenticação ou
> para
> > > quem foi atribuido determinado IP.
> > >
> >
> > Limitando o range de src port para cada IP privado que será traduzido
> para
> > o mesmo IP público? Salvo engano, Rubens apresentou essa ideia em passado
> > (nem tão) recente. Caso afimativo, fico imaginando que, uma vez fixado
> tal
> > range, alterá-lo seria complicado, por causa dos efeitos nos logs
> passados.
> >
> > Obrigado.
> >
> > Cássio
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list