[GTER] Logs CGNAT com MikroTik

Wed Aug 24 16:29:46 -03 2016

Boa tarde,

eu fiz a seguinte regras na RB de borda:

add chain=forward comment="LOGs CGNAT" connection-state=new log=yes
log-prefix=CGNAT src-address=100.64.0.0/10

Ou seja, só faço log das conexões de saída do bloco CGNAT em todas conexões
no estado NEW.

Faço um log remoto para um servidor com a regra passando só info,firewall
com prefixo CGNAT.

O tamanho do log diminuiu muito, mais ainda estou pensando em dividir 1 ip
publico para 64 ips privados alocando 1000 portas TCP/UDP para deixar mais
seguro assim que terminar alguns teste, pois clientes que usam P2P e jogos
parece que sente bastante com esse método.

Obrigado pela ajuda de todos, assim que tiver mais parâmetros vou passando
por aqui.

No dia 23 de agosto de 2016 às 15:40, Otavio Augusto <otavioti at gmail.com>
escreveu:

> usei aqui flowtools e mongoDB para armazenamento
>
> Em 23 de agosto de 2016 12:54, Douglas Fischer
> <fischerdouglas at gmail.com> escreveu:
> > Gostei da ideia!
> > Talvez usar um NoSQL ao invés do MySQL ?!?!?
> >
> >
> > E talvez um mix das soluções?
> > SourceRange + Syslog
> >
> >
> >
> > Em 23 de agosto de 2016 11:22, Claudio Junior <csjunior at gmail.com>
> escreveu:
> >
> >> Acredito que a opção utilizada pelo Lucas foi muito boa,
> >> criar a regra mangle e logar somente os pacotes new é mais econômico a
> >> nível de espaço e quantidade de registros que isto vai gerar.
> >> O log pode ser armazenado em um servidor remoto, utilizando o syslog, ou
> >> até mesmo em alguma aplicação que gerencie logs, por exemplo o kibana
> com o
> >> elasticsearh. Esta possibilidade é melhor pois vai permitir obter dados
> >> estatísticos de utilização da rede, quantidade registros, etc alem de
> uma
> >> busca mais rápida nos logs.
> >>
> >>
> >>
> >>
> >>
> >> --
> >> Claudio da Silva Junior
> >> csjunior at gmail.com
> >>
> >> Em 23 de agosto de 2016 10:39, Lucas Willian Bocchi <
> >> lucas.bocchi at gmail.com>
> >> escreveu:
> >>
> >> > Outra solução
> >> > Criar uma regra no mangle, connection state tipo new, criar um action
> >> > diferente no syslog, para um syslog remoto, e configurar o servidor
> >> syslog
> >> > para gravar isso numa tabela do mysql.
> >> >
> >> > Em 23 de agosto de 2016 09:22, Alan Mendes <alan at zuknet.com>
> escreveu:
> >> >
> >> > > Bom dia, aqui ja utilizo é bem tranquilo, só logar o ip do nat...
> >> Quando
> >> > > alguém solicitar os dados, só ver a source port , e cruzar com a
> lista
> >> fe
> >> > > porta do mikrotik
> >> > >
> >> > > Em 22/08/2016 22:28, "Victor Hugo Rebollo de Moura" <
> >> > > victorhugormoura at gmail.com> escreveu:
> >> > >
> >> > > > Tive esse mesmo problema, e mesmo fazendo uma certa gambiarra
> fazendo
> >> > > essa
> >> > > > regra com todos os protocolos e depois setando portas em tcp e udp
> >> não
> >> > > > ficou bom.
> >> > > >
> >> > > > Enviado via Samsung Galaxy S7
> >> > > >
> >> > > > Em 22 de ago de 2016 22:02, "Andrio Prestes Jasper" <
> >> > > mascaraapj at gmail.com>
> >> > > > escreveu:
> >> > > >
> >> > > > > Fui fazer um teste com essa regra, mas no mikrotik dá erro...
> >> > > > > em resumo diz que só é válido o to-ports para tcp/udp.
> >> > > > > ou seja, teria que adicionar 2 regra para cada ip/conjunto de
> >> portas?
> >> > > > > e quanto aos outros protocolos, como ficaria?
> >> > > > >
> >> > > > > Em 22 de agosto de 2016 10:56, Rôney Eduardo <
> >> > > > roneyeduardosantos at gmail.com
> >> > > > > >
> >> > > > > escreveu:
> >> > > > >
> >> > > > > > Em 22 de agosto de 2016 10:05, Victor Hugo Rebollo de Moura
> >> > > > > > <victorhugormoura at gmail.com> escreveu:
> >> > > > > > >
> >> > > > > > > Então estou em busca de melhores soluções, talvez um
> netflow...
> >> > > Mais
> >> > > > em
> >> > > > > > > fim, se alguém tiver alguma ideia melhor...
> >> > > > > > >
> >> > > > > >
> >> > > > > > Fazer alocação estática, tipo:
> >> > > > > >
> >> > > > > > ...src-address=192.168.1.1 action=src-nat --to-source=
> >> > > 200.221.222.223:
> >> > > > > > 1024-2024
> >> > > > > > ...src-address=192.168.1.2 action=src-nat --to-source=
> >> > > 200.221.222.223:
> >> > > > > > 2025-3025
> >> > > > > > ...
> >> > > > > >
> >> > > > > > --
> >> > > > > > Rôney Eduardo
> >> > > > > > --
> >> > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> > > > > >
> >> > > > >
> >> > > > >
> >> > > > >
> >> > > > > --
> >> > > > > Andrio Prestes Jasper
> >> > > > > Skype: andriopj
> >> > > > > LinkedIn <https://www.linkedin.com/in/andrio-prestes-jasper-
> >> > a98b7a11a>
> >> > > > > Celular: (65) 9320.3170 / 8444.0040
> >> > > > > --
> >> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> > > > --
> >> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> > > --
> >> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> > >
> >> > --
> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
>
> --
> Otavio Augusto
> ---------------------
> Consultor de TI
> echo fkrmzfkz.xdrzc*tfd | tr a-z.* j-za-i at .
> http://www.citiustecnologia.com.br
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

-- 

*Victor Hugo R. Moura*

*Infinity TecnologiaAdm. de Redes e ServidoresCisco Certified Network
AssociateLinux Professional InstituteMikroTik RouterOS Solution*
*Network Security Consulting*

*+55 18 99653-5921 (WhatsApp)*
*+55 18 98179-7100*

*E-Mail 1: victorhugormoura at gmail.com <victorhugormoura at gmail.com>*
*(Skype)*
*E-Mail 2: victorh at grootha.com.br <victorh at grootha.com.br>*

*E-Mail 3: victorhugo at adastel.com.br <victorhugo at adastel.com.br>E-Mail 4:
victorhugo at rostelecom.com.br <victorhugo at rostelecom.com.br> **E-Mail
5: victorh at tvcsa.com.br <victorh at tvcsa.com.br>*
*E-Mail 6: victormoura at migonet.com.br <victormoura at migonet.com.br>*

*"Tudo é impossível até que se torne possível"*