[GTER] CGnat

Bruno Cabral bruno at openline.com.br
Tue Jun 6 11:34:18 -03 2017 

A forma mais fácil depende de como você já trabalha, com IP privado fixo ou com dinâmico.

Numa pergunta relacionada, alguem já mediu se fizer uma busca binaria com jump para diminuir a quantidade de regras por onde passar aumenta ou diminui significativamente o tempo de processamento para um numero elevado de IPs com range predefinido?

!3runo

________________________________
De: gter <gter-bounces at eng.registro.br> em nome de Rodrigo Rex <rodrigo at brasrede.com.br>
Enviado: terça-feira, 6 de junho de 2017 11:04:54
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] CGnat

Afinal é mais interessante fazer CGNAT por porta, batendo range de portas e
IPs inválidos sem manter log de conexões ou fazer log de tudo?



Em 6 de junho de 2017 10:24, BinaryCrash <binarycrash at gmail.com> escreveu:

> /ip firewall filter
> add action=log chain=forward comment="LOG DE NAT (Marco Civil) (TCP)"
> connection-nat-state=srcnat connection-state=new in-interface=ether2
> log=yes out-interface=ether1 protocol=tcp tcp-flags=syn
> add action=log chain=forward comment="LOG DE NAT (Marco Civil) (UDP)"
> connection-nat-state=srcnat connection-state=new in-interface=ether2
> log=yes out-interface=ether1 protocol=udp
>
>
>
> /system logging action
> add name=natlog1 remote=IP_SERVIDOR_LOGS_AQUI
> remote-port=PORTA_SERVIDOR_LOGS_AQUI src-address=IP_SOURCE_NAT
> target=remote
> /system logging
> set 0 action=echo topics=critical
> set 1 action=disk
> set 2 action=disk
> set 3 action=disk
> add action=disk topics=info,!firewall
> add action=natlog1 prefix="NAT MK X" topics=firewall,info
>
>
>
>
> No exemplo acima ether1 seria sua entrada de internet (WAN), ether2 teus
> clientes (LAN).
> Onde está IP_SOURCE_NAT é o IP usado para entregar este pacote do log ao
> servidor de logs.
>
> Usando syslog no servidor de logs você autoriza este IP (IP_SOURCE_NAT)
> para receber pacotes, aí pode organizar os arquivos por dia, rodar um cron
> pra compactar os arquivos mais antigos, etc.
>
> Desta forma, dependendo da quantidade de pacotes, expectativa de comprar 1
> ou 2 HDs por ano pra manter estes dados.
>
> Em 5 de junho de 2017 17:59, Andre Almeida <andre at bnet.com.br> escreveu:
>
> > No mikrotik não é interessante usar o action=same ao inves de src-nat e
> ao
> > inves de usar um IP no to-address usar um bloco ?
> >
> > Outra coisa, seria interessante em um concentrador misto, de CGNAT como
> > sendo um pool de transbordo, criar regras RAW para no-track dos IPs
> > validos?
> >
> > Estou tentando otimizar o negócio aqui também, mas não sei exatamente
> qual
> > seria a melhor opção.
> >
> > Andre Almeida
> >
> > Em 5 de junho de 2017 16:47, Lucas Willian Bocchi <
> lucas.bocchi at gmail.com>
> > escreveu:
> >
> > > Pessoal
> > > Usar o RANDOM no NAT também é uma boa opção, porém sempre importante
> > > verificar a questão de como você está fazendo os logs das tuas
> conexões,
> > > para não perder o controle. Muita gente usa faixa de portas para uma
> > faixa
> > > de ips inválidos para poder ter um controle maior....
> > >
> > > Em 5 de junho de 2017 16:34, Bruno Vane <broonu at gmail.com> escreveu:
> > >
> > > > Acho pouco 1000 portas.
> > > > Alguém aqui na GTER mesmo sugeriu 4000 e em nossos testes ficou um
> bom
> > > > valor.
> > > > Conseguimos atender 4096 clientes com um /24 público.
> > > >
> > > > Em 2 de junho de 2017 16:47, Eduardo Rigler <erigler at gmail.com>
> > > escreveu:
> > > >
> > > > > Em 2 de jun de 2017 4:38 PM, "HugLeo" <hugocanalli at gmail.com>
> > > escreveu:
> > > > >
> > > > > No mikrotik o número de conexões abertas que se vê é no
> Connections /
> > > > > Tacking?
> > > > > Aqui com uns 100 clientes fica em 3 mil itens. Mas coloquei para os
> > > > > clientes que não usam link no talo.
> > > > >
> > > > > Se for isso 1000 para clientes é o bastante? 4000 não seria muito?
> > > > >
> > > > >
> > > > >
> > > > > Esses dias um colega aqui da lista estava P da vida porque a Copel
> > anda
> > > > > limitando o CGNAT na casa das 1000 conexões/portas (ou menos)
> > > dependendo
> > > > do
> > > > > horário. Já vi mais pessoas reclamando sobre jogos online com
> > latencia
> > > > > normal/baixa caindo "do nada".
> > > > >
> > > > > Eu particularmente acho pouco e no caso da Copel prefiro achar que
> > > ainda
> > > > > estão fazendo alguma sintonia fina na rede (ou problema em algum
> > > > > equipamento, sei lá).
> > > > >
> > > > >
> > > > > []'s
> > > > >
> > > > >
> > > > >
> > > > > 2017-05-12 13:49 GMT-03:00 Bruno Vane <broonu at gmail.com>:
> > > > >
> > > > > > Estamos fazendo com amarração de ips privados X ips publicos.
> > > > > > A cada 16 ips privados, compartilha um ip publico, cada privado
> com
> > > > 4000
> > > > > > portas pra uso.
> > > > > >
> > > > > > Em 12 de maio de 2017 13:22, Alex Montoanelli <
> > > > > > alex.montoanelli at unetvale.net
> > > > > > > escreveu:
> > > > > >
> > > > > > > ipt-netflow + logstash com netflow + elasticsearch - para
> Linux.
> > > > > > >
> > > > > > > Apenas subindo o modulo do iptables e configurando via systcl
> os
> > > > > > > parâmetros, você exporta
> > > > > > > todas os eventos de conntrack via netflow.
> > > > > > >
> > > > > > > Abraço
> > > > > > >
> > > > > > >
> > > > > > > Em sex, 12 de mai de 2017 às 12:04, Uesley Correa <
> > > > > > uesleycorrea at gmail.com>
> > > > > > > escreveu:
> > > > > > >
> > > > > > > > CGNAT é só seguir RFC e um abraço! Guarda de logs ainda não
> > achei
> > > > > > nenhuma
> > > > > > > > solução no mercado hoje exceto a que nós desenvolvemos para
> > > nossos
> > > > > > > alunos.
> > > > > > > >
> > > > > > > > Att,
> > > > > > > >
> > > > > > > > Uesley Corrêa - Analista de Telecomunicações
> > > > > > > > Instrutor Oficial UBNT UBRSS, UBRSA, UBWS & UBWA
> > > > > > > >
> > > > > > > > Em 12 de maio de 2017 09:36, HugLeo <hugocanalli at gmail.com>
> > > > > escreveu:
> > > > > > > >
> > > > > > > > > Desde que você entregue um ipv6 pra ele, não.
> > > > > > > > >
> > > > > > > > > 2017-05-11 15:12 GMT-03:00 Luciano Inacio Lima -Júpiter <
> > > > > > > > > lucianoinacio at hotmail.com>:
> > > > > > > > >
> > > > > > > > > > Por falar em CGNAT, essa pratica acaba por limitar o
> numero
> > > de
> > > > > > portas
> > > > > > > > > > disponíveis para o usuário!
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > Isso fere de alguma forma o Marco Civil da Internet??
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > Att.,
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > Luciano Inácio
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > ________________________________
> > > > > > > > > > De: gter <gter-bounces at eng.registro.br> em nome de
> Márcio
> > > > Elias
> > > > > > Hahn
> > > > > > > > do
> > > > > > > > > > Nascimento <marcio at sulonline.net>
> > > > > > > > > > Enviado: quinta-feira, 11 de maio de 2017 11:14
> > > > > > > > > > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > > > > > > > > > Assunto: Re: [GTER] CGnat
> > > > > > > > > >
> > > > > > > > > > Em 2017-05-11 10:27, Bruno Viviani escreveu:
> > > > > > > > > >
> > > > > > > > > > > Bom dia pessoal,
> > > > > > > > > > >
> > > > > > > > > > > Fiz um cgnat aqui em um de nossos routers pra teste,
> > porém
> > > > > > > > > aparentemente
> > > > > > > > > > o
> > > > > > > > > > > roteador de alguns clientes fica "perdido" trabalhando
> > com
> > > o
> > > > > > bloco
> > > > > > > > > > > 100.64/10 na wan.. simplesmente nao navega, nao pinga,
> > nao
> > > > faz
> > > > > > > nada.
> > > > > > > > > > > Outros já funcionam perfeitamente.
> > > > > > > > > > >
> > > > > > > > > > > Alguém teve caso semelhante?
> > > > > > > > > > >
> > > > > > > > > > > att,
> > > > > > > > > > > Bruno Viviani
> > > > > > > > > > > --
> > > > > > > > > > > gter list    https://eng.registro.br/
> > mailman/listinfo/gter
> > > > > > > > > > gter Info Page - .br<https://eng.registro.br/
> > > > > mailman/listinfo/gter
> > > > > > >
> > > > > > > > > > eng.registro.br
> > > > > > > > > > Esta lista tem como objetivo tratar exclusivamente de
> > tópicos
> > > > > > > > relativos a
> > > > > > > > > > engenharia e operação de redes internet no país . To see
> > the
> > > > > > > collection
> > > > > > > > > of
> > > > > > > > > > prior ...
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > Bom dia Bruno.
> > > > > > > > > >
> > > > > > > > > > Em qual plataforma vc está configurando o CGNat?
> > > > > > > > > >
> > > > > > > > > > Tenho configurado aqui em algumas CCR's e funciona sem
> > nenhum
> > > > > > > problema.
> > > > > > > > > >
> > > > > > > > > > --
> > > > > > > > > > Att
> > > > > > > > > >
> > > > > > > > > > Márcio Elias Hahn do Nascimento
> > > > > > > > > > --
> > > > > > > > > > gter list    https://eng.registro.br/
> mailman/listinfo/gter
> > > > > > > > > > gter Info Page - .br<https://eng.registro.br/
> > > > > mailman/listinfo/gter
> > > > > > >
> > > > > > > > > > eng.registro.br
> > > > > > > > > > Esta lista tem como objetivo tratar exclusivamente de
> > tópicos
> > > > > > > > relativos a
> > > > > > > > > > engenharia e operação de redes internet no país . To see
> > the
> > > > > > > collection
> > > > > > > > > of
> > > > > > > > > > prior ...
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > --
> > > > > > > > > > gter list    https://eng.registro.br/
> mailman/listinfo/gter
> > > > > > > > > >
> > > > > > > > > --
> > > > > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > > > > >
> > > > > > > > --
> > > > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > > >
> > > > > > > --
> > > > > > > --
> > > > > > > Alex Montoanelli
> > > > > > >  » Unetvale
> > > > > > >  » +55 48 3263 8789
> > > > > > > » INOC 53175*100
> > > > > > > --
> > > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > > >
> > > > > > --
> > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



--
--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list