[GTER] CGnat

Márcio Elias Hahn do Nascimento marcio at sulonline.net
Tue Jun 6 18:38:17 -03 2017


Em 2017-06-06 14:04, Rodrigo Rex escreveu:

> Afinal é mais interessante fazer CGNAT por porta, batendo range de portas e
> IPs inválidos sem manter log de conexões ou fazer log de tudo?
> 
> Em 6 de junho de 2017 10:24, BinaryCrash <binarycrash at gmail.com> escreveu:
> 
> /ip firewall filter
> add action=log chain=forward comment="LOG DE NAT (Marco Civil) (TCP)"
> connection-nat-state=srcnat connection-state=new in-interface=ether2
> log=yes out-interface=ether1 protocol=tcp tcp-flags=syn
> add action=log chain=forward comment="LOG DE NAT (Marco Civil) (UDP)"
> connection-nat-state=srcnat connection-state=new in-interface=ether2
> log=yes out-interface=ether1 protocol=udp
> 
> /system logging action
> add name=natlog1 remote=IP_SERVIDOR_LOGS_AQUI
> remote-port=PORTA_SERVIDOR_LOGS_AQUI src-address=IP_SOURCE_NAT
> target=remote
> /system logging
> set 0 action=echo topics=critical
> set 1 action=disk
> set 2 action=disk
> set 3 action=disk
> add action=disk topics=info,!firewall
> add action=natlog1 prefix="NAT MK X" topics=firewall,info
> 
> No exemplo acima ether1 seria sua entrada de internet (WAN), ether2 teus
> clientes (LAN).
> Onde está IP_SOURCE_NAT é o IP usado para entregar este pacote do log ao
> servidor de logs.
> 
> Usando syslog no servidor de logs você autoriza este IP (IP_SOURCE_NAT)
> para receber pacotes, aí pode organizar os arquivos por dia, rodar um cron
> pra compactar os arquivos mais antigos, etc.
> 
> Desta forma, dependendo da quantidade de pacotes, expectativa de comprar 1
> ou 2 HDs por ano pra manter estes dados.
> 
> Em 5 de junho de 2017 17:59, Andre Almeida <andre at bnet.com.br> escreveu:
> 
> No mikrotik não é interessante usar o action=same ao inves de src-nat e ao inves de usar um IP no to-address usar um bloco ?
> 
> Outra coisa, seria interessante em um concentrador misto, de CGNAT como
> sendo um pool de transbordo, criar regras RAW para no-track dos IPs
> validos?
> 
> Estou tentando otimizar o negócio aqui também, mas não sei exatamente qual seria a melhor opção.
> 
> Andre Almeida
> 
> Em 5 de junho de 2017 16:47, Lucas Willian Bocchi < lucas.bocchi at gmail.com> escreveu:
> 
> Pessoal
> Usar o RANDOM no NAT também é uma boa opção, porém sempre importante
> verificar a questão de como você está fazendo os logs das tuas
 conexões, 

>> para não perder o controle. Muita gente usa faixa de portas para uma
> faixa de ips inválidos para poder ter um controle maior....
> 
> Em 5 de junho de 2017 16:34, Bruno Vane <broonu at gmail.com> escreveu:
> 
> Acho pouco 1000 portas.
> Alguém aqui na GTER mesmo sugeriu 4000 e em nossos testes ficou um
 bom 

> valor.
> Conseguimos atender 4096 clientes com um /24 público.
> 
> Em 2 de junho de 2017 16:47, Eduardo Rigler <erigler at gmail.com> escreveu: 
> Em 2 de jun de 2017 4:38 PM, "HugLeo" <hugocanalli at gmail.com>
 escreveu: 

>> No mikrotik o número de conexões abertas que se vê é no
 Connections / 

> Tacking?
> Aqui com uns 100 clientes fica em 3 mil itens. Mas coloquei para os
> clientes que não usam link no talo.
> 
> Se for isso 1000 para clientes é o bastante? 4000 não seria muito?
> 
> Esses dias um colega aqui da lista estava P da vida porque a Copel
 anda 

> limitando o CGNAT na casa das 1000 conexões/portas (ou menos)
 dependendo 

> do 
> 
>> horário. Já vi mais pessoas reclamando sobre jogos online com
 latencia 

> normal/baixa caindo "do nada".
> 
> Eu particularmente acho pouco e no caso da Copel prefiro achar que
 ainda 

> estão fazendo alguma sintonia fina na rede (ou problema em algum
> equipamento, sei lá).
> 
> []'s
> 
> 2017-05-12 13:49 GMT-03:00 Bruno Vane <broonu at gmail.com>:
> 
> Estamos fazendo com amarração de ips privados X ips publicos.
> A cada 16 ips privados, compartilha um ip publico, cada privado
 com 

> 4000 portas pra uso.
> 
> Em 12 de maio de 2017 13:22, Alex Montoanelli <
> alex.montoanelli at unetvale.net escreveu: 
> ipt-netflow + logstash com netflow + elasticsearch - para
 Linux. 

> Apenas subindo o modulo do iptables e configurando via systcl
 os 

> parâmetros, você exporta
> todas os eventos de conntrack via netflow.
> 
> Abraço
> 
> Em sex, 12 de mai de 2017 às 12:04, Uesley Correa < uesleycorrea at gmail.com> escreveu:
> 
> CGNAT é só seguir RFC e um abraço! Guarda de logs ainda não
 achei 

> nenhuma solução no mercado hoje exceto a que nós desenvolvemos para
 nossos 

> alunos. 
> Att,
> 
> Uesley Corrêa - Analista de Telecomunicações
> Instrutor Oficial UBNT UBRSS, UBRSA, UBWS & UBWA
> 
> Em 12 de maio de 2017 09:36, HugLeo <hugocanalli at gmail.com>
 escreveu: 

> Desde que você entregue um ipv6 pra ele, não.
> 
> 2017-05-11 15:12 GMT-03:00 Luciano Inacio Lima -Júpiter <
> lucianoinacio at hotmail.com>:
> 
> Por falar em CGNAT, essa pratica acaba por limitar o
 numero 

> de portas disponíveis para o usuário!
> 
> Isso fere de alguma forma o Marco Civil da Internet??
> 
> Att.,
> 
> Luciano Inácio
> 
> ________________________________
> De: gter <gter-bounces at eng.registro.br> em nome de
 Márcio 

> Elias Hahn do Nascimento <marcio at sulonline.net>
> Enviado: quinta-feira, 11 de maio de 2017 11:14
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] CGnat
> 
> Em 2017-05-11 10:27, Bruno Viviani escreveu:
> 
> Bom dia pessoal,
> 
> Fiz um cgnat aqui em um de nossos routers pra teste,
 porém 

> aparentemente o roteador de alguns clientes fica "perdido" trabalhando
 com 

> o bloco 100.64/10 na wan.. simplesmente nao navega, nao pinga,
 nao 

> faz nada. Outros já funcionam perfeitamente.
> 
> Alguém teve caso semelhante?
> 
> att,
> Bruno Viviani
> --
> gter list    https://eng.registro.br/
 mailman/listinfo/gter 

> gter Info Page - .br<https://eng.registro.br/
 mailman/listinfo/gter 

> eng.registro.br
> Esta lista tem como objetivo tratar exclusivamente de
 tópicos 

> relativos a engenharia e operação de redes internet no país . To see
 the 

> collection of prior ...
> 
> Bom dia Bruno.
> 
> Em qual plataforma vc está configurando o CGNat?
> 
> Tenho configurado aqui em algumas CCR's e funciona sem
 nenhum 

> problema. 
> --
> Att
> 
> Márcio Elias Hahn do Nascimento
> --
> gter list    https://eng.registro.br/
 mailman/listinfo/gter 

> gter Info Page - .br<https://eng.registro.br/
 mailman/listinfo/gter 

> eng.registro.br
> Esta lista tem como objetivo tratar exclusivamente de
 tópicos 

> relativos a engenharia e operação de redes internet no país . To see
 the 

> collection of prior ...
> 
> --
> gter list    https://eng.registro.br/
 mailman/listinfo/gter 

> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

--
--
Alex Montoanelli
 » Unetvale
 » +55 48 3263 8789
» INOC 53175*100
--
gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter
--
gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter

--
--
gter list    https://eng.registro.br/mailman/listinfo/gter 

Aqui fazemos por range de portas (16 privados atrás de 1 público) mais
ainda assim vc precisa de log das conexões que não são TCP ou UDP, mesmo
que isso seja muito pouco, mais muito pouco mesmo comparado ao log de
todas as conexões.

-- 
Att 

Márcio Elias Hahn do Nascimento



More information about the gter mailing list