[GTER] CGnat

BinaryCrash binarycrash at gmail.com
Tue Jun 6 17:37:39 -03 2017


aí não sei, alguém teria que testar as duas e mostrar pontos positivos e
negativos.
Acredito que performance deve ter diferença.

Em 6 de junho de 2017 11:04, Rodrigo Rex <rodrigo at brasrede.com.br> escreveu:

> Afinal é mais interessante fazer CGNAT por porta, batendo range de portas e
> IPs inválidos sem manter log de conexões ou fazer log de tudo?
>
>
>
> Em 6 de junho de 2017 10:24, BinaryCrash <binarycrash at gmail.com> escreveu:
>
> > /ip firewall filter
> > add action=log chain=forward comment="LOG DE NAT (Marco Civil) (TCP)"
> > connection-nat-state=srcnat connection-state=new in-interface=ether2
> > log=yes out-interface=ether1 protocol=tcp tcp-flags=syn
> > add action=log chain=forward comment="LOG DE NAT (Marco Civil) (UDP)"
> > connection-nat-state=srcnat connection-state=new in-interface=ether2
> > log=yes out-interface=ether1 protocol=udp
> >
> >
> >
> > /system logging action
> > add name=natlog1 remote=IP_SERVIDOR_LOGS_AQUI
> > remote-port=PORTA_SERVIDOR_LOGS_AQUI src-address=IP_SOURCE_NAT
> > target=remote
> > /system logging
> > set 0 action=echo topics=critical
> > set 1 action=disk
> > set 2 action=disk
> > set 3 action=disk
> > add action=disk topics=info,!firewall
> > add action=natlog1 prefix="NAT MK X" topics=firewall,info
> >
> >
> >
> >
> > No exemplo acima ether1 seria sua entrada de internet (WAN), ether2 teus
> > clientes (LAN).
> > Onde está IP_SOURCE_NAT é o IP usado para entregar este pacote do log ao
> > servidor de logs.
> >
> > Usando syslog no servidor de logs você autoriza este IP (IP_SOURCE_NAT)
> > para receber pacotes, aí pode organizar os arquivos por dia, rodar um
> cron
> > pra compactar os arquivos mais antigos, etc.
> >
> > Desta forma, dependendo da quantidade de pacotes, expectativa de comprar
> 1
> > ou 2 HDs por ano pra manter estes dados.
> >
> > Em 5 de junho de 2017 17:59, Andre Almeida <andre at bnet.com.br> escreveu:
> >
> > > No mikrotik não é interessante usar o action=same ao inves de src-nat e
> > ao
> > > inves de usar um IP no to-address usar um bloco ?
> > >
> > > Outra coisa, seria interessante em um concentrador misto, de CGNAT como
> > > sendo um pool de transbordo, criar regras RAW para no-track dos IPs
> > > validos?
> > >
> > > Estou tentando otimizar o negócio aqui também, mas não sei exatamente
> > qual
> > > seria a melhor opção.
> > >
> > > Andre Almeida
> > >
> > > Em 5 de junho de 2017 16:47, Lucas Willian Bocchi <
> > lucas.bocchi at gmail.com>
> > > escreveu:
> > >
> > > > Pessoal
> > > > Usar o RANDOM no NAT também é uma boa opção, porém sempre importante
> > > > verificar a questão de como você está fazendo os logs das tuas
> > conexões,
> > > > para não perder o controle. Muita gente usa faixa de portas para uma
> > > faixa
> > > > de ips inválidos para poder ter um controle maior....
> > > >
> > > > Em 5 de junho de 2017 16:34, Bruno Vane <broonu at gmail.com> escreveu:
> > > >
> > > > > Acho pouco 1000 portas.
> > > > > Alguém aqui na GTER mesmo sugeriu 4000 e em nossos testes ficou um
> > bom
> > > > > valor.
> > > > > Conseguimos atender 4096 clientes com um /24 público.
> > > > >
> > > > > Em 2 de junho de 2017 16:47, Eduardo Rigler <erigler at gmail.com>
> > > > escreveu:
> > > > >
> > > > > > Em 2 de jun de 2017 4:38 PM, "HugLeo" <hugocanalli at gmail.com>
> > > > escreveu:
> > > > > >
> > > > > > No mikrotik o número de conexões abertas que se vê é no
> > Connections /
> > > > > > Tacking?
> > > > > > Aqui com uns 100 clientes fica em 3 mil itens. Mas coloquei para
> os
> > > > > > clientes que não usam link no talo.
> > > > > >
> > > > > > Se for isso 1000 para clientes é o bastante? 4000 não seria
> muito?
> > > > > >
> > > > > >
> > > > > >
> > > > > > Esses dias um colega aqui da lista estava P da vida porque a
> Copel
> > > anda
> > > > > > limitando o CGNAT na casa das 1000 conexões/portas (ou menos)
> > > > dependendo
> > > > > do
> > > > > > horário. Já vi mais pessoas reclamando sobre jogos online com
> > > latencia
> > > > > > normal/baixa caindo "do nada".
> > > > > >
> > > > > > Eu particularmente acho pouco e no caso da Copel prefiro achar
> que
> > > > ainda
> > > > > > estão fazendo alguma sintonia fina na rede (ou problema em algum
> > > > > > equipamento, sei lá).
> > > > > >
> > > > > >
> > > > > > []'s
> > > > > >
> > > > > >
> > > > > >
> > > > > > 2017-05-12 13:49 GMT-03:00 Bruno Vane <broonu at gmail.com>:
> > > > > >
> > > > > > > Estamos fazendo com amarração de ips privados X ips publicos.
> > > > > > > A cada 16 ips privados, compartilha um ip publico, cada privado
> > com
> > > > > 4000
> > > > > > > portas pra uso.
> > > > > > >
> > > > > > > Em 12 de maio de 2017 13:22, Alex Montoanelli <
> > > > > > > alex.montoanelli at unetvale.net
> > > > > > > > escreveu:
> > > > > > >
> > > > > > > > ipt-netflow + logstash com netflow + elasticsearch - para
> > Linux.
> > > > > > > >
> > > > > > > > Apenas subindo o modulo do iptables e configurando via systcl
> > os
> > > > > > > > parâmetros, você exporta
> > > > > > > > todas os eventos de conntrack via netflow.
> > > > > > > >
> > > > > > > > Abraço
> > > > > > > >
> > > > > > > >
> > > > > > > > Em sex, 12 de mai de 2017 às 12:04, Uesley Correa <
> > > > > > > uesleycorrea at gmail.com>
> > > > > > > > escreveu:
> > > > > > > >
> > > > > > > > > CGNAT é só seguir RFC e um abraço! Guarda de logs ainda não
> > > achei
> > > > > > > nenhuma
> > > > > > > > > solução no mercado hoje exceto a que nós desenvolvemos para
> > > > nossos
> > > > > > > > alunos.
> > > > > > > > >
> > > > > > > > > Att,
> > > > > > > > >
> > > > > > > > > Uesley Corrêa - Analista de Telecomunicações
> > > > > > > > > Instrutor Oficial UBNT UBRSS, UBRSA, UBWS & UBWA
> > > > > > > > >
> > > > > > > > > Em 12 de maio de 2017 09:36, HugLeo <hugocanalli at gmail.com
> >
> > > > > > escreveu:
> > > > > > > > >
> > > > > > > > > > Desde que você entregue um ipv6 pra ele, não.
> > > > > > > > > >
> > > > > > > > > > 2017-05-11 15:12 GMT-03:00 Luciano Inacio Lima -Júpiter <
> > > > > > > > > > lucianoinacio at hotmail.com>:
> > > > > > > > > >
> > > > > > > > > > > Por falar em CGNAT, essa pratica acaba por limitar o
> > numero
> > > > de
> > > > > > > portas
> > > > > > > > > > > disponíveis para o usuário!
> > > > > > > > > > >
> > > > > > > > > > >
> > > > > > > > > > > Isso fere de alguma forma o Marco Civil da Internet??
> > > > > > > > > > >
> > > > > > > > > > >
> > > > > > > > > > >
> > > > > > > > > > > Att.,
> > > > > > > > > > >
> > > > > > > > > > >
> > > > > > > > > > > Luciano Inácio
> > > > > > > > > > >
> > > > > > > > > > >
> > > > > > > > > > > ________________________________
> > > > > > > > > > > De: gter <gter-bounces at eng.registro.br> em nome de
> > Márcio
> > > > > Elias
> > > > > > > Hahn
> > > > > > > > > do
> > > > > > > > > > > Nascimento <marcio at sulonline.net>
> > > > > > > > > > > Enviado: quinta-feira, 11 de maio de 2017 11:14
> > > > > > > > > > > Para: Grupo de Trabalho de Engenharia e Operacao de
> Redes
> > > > > > > > > > > Assunto: Re: [GTER] CGnat
> > > > > > > > > > >
> > > > > > > > > > > Em 2017-05-11 10:27, Bruno Viviani escreveu:
> > > > > > > > > > >
> > > > > > > > > > > > Bom dia pessoal,
> > > > > > > > > > > >
> > > > > > > > > > > > Fiz um cgnat aqui em um de nossos routers pra teste,
> > > porém
> > > > > > > > > > aparentemente
> > > > > > > > > > > o
> > > > > > > > > > > > roteador de alguns clientes fica "perdido"
> trabalhando
> > > com
> > > > o
> > > > > > > bloco
> > > > > > > > > > > > 100.64/10 na wan.. simplesmente nao navega, nao
> pinga,
> > > nao
> > > > > faz
> > > > > > > > nada.
> > > > > > > > > > > > Outros já funcionam perfeitamente.
> > > > > > > > > > > >
> > > > > > > > > > > > Alguém teve caso semelhante?
> > > > > > > > > > > >
> > > > > > > > > > > > att,
> > > > > > > > > > > > Bruno Viviani
> > > > > > > > > > > > --
> > > > > > > > > > > > gter list    https://eng.registro.br/
> > > mailman/listinfo/gter
> > > > > > > > > > > gter Info Page - .br<https://eng.registro.br/
> > > > > > mailman/listinfo/gter
> > > > > > > >
> > > > > > > > > > > eng.registro.br
> > > > > > > > > > > Esta lista tem como objetivo tratar exclusivamente de
> > > tópicos
> > > > > > > > > relativos a
> > > > > > > > > > > engenharia e operação de redes internet no país . To
> see
> > > the
> > > > > > > > collection
> > > > > > > > > > of
> > > > > > > > > > > prior ...
> > > > > > > > > > >
> > > > > > > > > > >
> > > > > > > > > > >
> > > > > > > > > > >
> > > > > > > > > > > Bom dia Bruno.
> > > > > > > > > > >
> > > > > > > > > > > Em qual plataforma vc está configurando o CGNat?
> > > > > > > > > > >
> > > > > > > > > > > Tenho configurado aqui em algumas CCR's e funciona sem
> > > nenhum
> > > > > > > > problema.
> > > > > > > > > > >
> > > > > > > > > > > --
> > > > > > > > > > > Att
> > > > > > > > > > >
> > > > > > > > > > > Márcio Elias Hahn do Nascimento
> > > > > > > > > > > --
> > > > > > > > > > > gter list    https://eng.registro.br/
> > mailman/listinfo/gter
> > > > > > > > > > > gter Info Page - .br<https://eng.registro.br/
> > > > > > mailman/listinfo/gter
> > > > > > > >
> > > > > > > > > > > eng.registro.br
> > > > > > > > > > > Esta lista tem como objetivo tratar exclusivamente de
> > > tópicos
> > > > > > > > > relativos a
> > > > > > > > > > > engenharia e operação de redes internet no país . To
> see
> > > the
> > > > > > > > collection
> > > > > > > > > > of
> > > > > > > > > > > prior ...
> > > > > > > > > > >
> > > > > > > > > > >
> > > > > > > > > > > --
> > > > > > > > > > > gter list    https://eng.registro.br/
> > mailman/listinfo/gter
> > > > > > > > > > >
> > > > > > > > > > --
> > > > > > > > > > gter list    https://eng.registro.br/
> mailman/listinfo/gter
> > > > > > > > > >
> > > > > > > > > --
> > > > > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > > > >
> > > > > > > > --
> > > > > > > > --
> > > > > > > > Alex Montoanelli
> > > > > > > >  » Unetvale
> > > > > > > >  » +55 48 3263 8789
> > > > > > > > » INOC 53175*100
> > > > > > > > --
> > > > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > > > >
> > > > > > > --
> > > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > > >
> > > > > > --
> > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > > --
> > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list