[GTER] CGnat
Márcio Elias Hahn do Nascimento
marcio at sulonline.net
Tue Jun 6 18:38:17 -03 2017
Em 2017-06-06 14:04, Rodrigo Rex escreveu:
> Afinal é mais interessante fazer CGNAT por porta, batendo range de portas e
> IPs inválidos sem manter log de conexões ou fazer log de tudo?
>
> Em 6 de junho de 2017 10:24, BinaryCrash <binarycrash at gmail.com> escreveu:
>
> /ip firewall filter
> add action=log chain=forward comment="LOG DE NAT (Marco Civil) (TCP)"
> connection-nat-state=srcnat connection-state=new in-interface=ether2
> log=yes out-interface=ether1 protocol=tcp tcp-flags=syn
> add action=log chain=forward comment="LOG DE NAT (Marco Civil) (UDP)"
> connection-nat-state=srcnat connection-state=new in-interface=ether2
> log=yes out-interface=ether1 protocol=udp
>
> /system logging action
> add name=natlog1 remote=IP_SERVIDOR_LOGS_AQUI
> remote-port=PORTA_SERVIDOR_LOGS_AQUI src-address=IP_SOURCE_NAT
> target=remote
> /system logging
> set 0 action=echo topics=critical
> set 1 action=disk
> set 2 action=disk
> set 3 action=disk
> add action=disk topics=info,!firewall
> add action=natlog1 prefix="NAT MK X" topics=firewall,info
>
> No exemplo acima ether1 seria sua entrada de internet (WAN), ether2 teus
> clientes (LAN).
> Onde está IP_SOURCE_NAT é o IP usado para entregar este pacote do log ao
> servidor de logs.
>
> Usando syslog no servidor de logs você autoriza este IP (IP_SOURCE_NAT)
> para receber pacotes, aí pode organizar os arquivos por dia, rodar um cron
> pra compactar os arquivos mais antigos, etc.
>
> Desta forma, dependendo da quantidade de pacotes, expectativa de comprar 1
> ou 2 HDs por ano pra manter estes dados.
>
> Em 5 de junho de 2017 17:59, Andre Almeida <andre at bnet.com.br> escreveu:
>
> No mikrotik não é interessante usar o action=same ao inves de src-nat e ao inves de usar um IP no to-address usar um bloco ?
>
> Outra coisa, seria interessante em um concentrador misto, de CGNAT como
> sendo um pool de transbordo, criar regras RAW para no-track dos IPs
> validos?
>
> Estou tentando otimizar o negócio aqui também, mas não sei exatamente qual seria a melhor opção.
>
> Andre Almeida
>
> Em 5 de junho de 2017 16:47, Lucas Willian Bocchi < lucas.bocchi at gmail.com> escreveu:
>
> Pessoal
> Usar o RANDOM no NAT também é uma boa opção, porém sempre importante
> verificar a questão de como você está fazendo os logs das tuas
conexões,
>> para não perder o controle. Muita gente usa faixa de portas para uma
> faixa de ips inválidos para poder ter um controle maior....
>
> Em 5 de junho de 2017 16:34, Bruno Vane <broonu at gmail.com> escreveu:
>
> Acho pouco 1000 portas.
> Alguém aqui na GTER mesmo sugeriu 4000 e em nossos testes ficou um
bom
> valor.
> Conseguimos atender 4096 clientes com um /24 público.
>
> Em 2 de junho de 2017 16:47, Eduardo Rigler <erigler at gmail.com> escreveu:
> Em 2 de jun de 2017 4:38 PM, "HugLeo" <hugocanalli at gmail.com>
escreveu:
>> No mikrotik o número de conexões abertas que se vê é no
Connections /
> Tacking?
> Aqui com uns 100 clientes fica em 3 mil itens. Mas coloquei para os
> clientes que não usam link no talo.
>
> Se for isso 1000 para clientes é o bastante? 4000 não seria muito?
>
> Esses dias um colega aqui da lista estava P da vida porque a Copel
anda
> limitando o CGNAT na casa das 1000 conexões/portas (ou menos)
dependendo
> do
>
>> horário. Já vi mais pessoas reclamando sobre jogos online com
latencia
> normal/baixa caindo "do nada".
>
> Eu particularmente acho pouco e no caso da Copel prefiro achar que
ainda
> estão fazendo alguma sintonia fina na rede (ou problema em algum
> equipamento, sei lá).
>
> []'s
>
> 2017-05-12 13:49 GMT-03:00 Bruno Vane <broonu at gmail.com>:
>
> Estamos fazendo com amarração de ips privados X ips publicos.
> A cada 16 ips privados, compartilha um ip publico, cada privado
com
> 4000 portas pra uso.
>
> Em 12 de maio de 2017 13:22, Alex Montoanelli <
> alex.montoanelli at unetvale.net escreveu:
> ipt-netflow + logstash com netflow + elasticsearch - para
Linux.
> Apenas subindo o modulo do iptables e configurando via systcl
os
> parâmetros, você exporta
> todas os eventos de conntrack via netflow.
>
> Abraço
>
> Em sex, 12 de mai de 2017 às 12:04, Uesley Correa < uesleycorrea at gmail.com> escreveu:
>
> CGNAT é só seguir RFC e um abraço! Guarda de logs ainda não
achei
> nenhuma solução no mercado hoje exceto a que nós desenvolvemos para
nossos
> alunos.
> Att,
>
> Uesley Corrêa - Analista de Telecomunicações
> Instrutor Oficial UBNT UBRSS, UBRSA, UBWS & UBWA
>
> Em 12 de maio de 2017 09:36, HugLeo <hugocanalli at gmail.com>
escreveu:
> Desde que você entregue um ipv6 pra ele, não.
>
> 2017-05-11 15:12 GMT-03:00 Luciano Inacio Lima -Júpiter <
> lucianoinacio at hotmail.com>:
>
> Por falar em CGNAT, essa pratica acaba por limitar o
numero
> de portas disponíveis para o usuário!
>
> Isso fere de alguma forma o Marco Civil da Internet??
>
> Att.,
>
> Luciano Inácio
>
> ________________________________
> De: gter <gter-bounces at eng.registro.br> em nome de
Márcio
> Elias Hahn do Nascimento <marcio at sulonline.net>
> Enviado: quinta-feira, 11 de maio de 2017 11:14
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] CGnat
>
> Em 2017-05-11 10:27, Bruno Viviani escreveu:
>
> Bom dia pessoal,
>
> Fiz um cgnat aqui em um de nossos routers pra teste,
porém
> aparentemente o roteador de alguns clientes fica "perdido" trabalhando
com
> o bloco 100.64/10 na wan.. simplesmente nao navega, nao pinga,
nao
> faz nada. Outros já funcionam perfeitamente.
>
> Alguém teve caso semelhante?
>
> att,
> Bruno Viviani
> --
> gter list https://eng.registro.br/
mailman/listinfo/gter
> gter Info Page - .br<https://eng.registro.br/
mailman/listinfo/gter
> eng.registro.br
> Esta lista tem como objetivo tratar exclusivamente de
tópicos
> relativos a engenharia e operação de redes internet no país . To see
the
> collection of prior ...
>
> Bom dia Bruno.
>
> Em qual plataforma vc está configurando o CGNat?
>
> Tenho configurado aqui em algumas CCR's e funciona sem
nenhum
> problema.
> --
> Att
>
> Márcio Elias Hahn do Nascimento
> --
> gter list https://eng.registro.br/
mailman/listinfo/gter
> gter Info Page - .br<https://eng.registro.br/
mailman/listinfo/gter
> eng.registro.br
> Esta lista tem como objetivo tratar exclusivamente de
tópicos
> relativos a engenharia e operação de redes internet no país . To see
the
> collection of prior ...
>
> --
> gter list https://eng.registro.br/
mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
--
--
Alex Montoanelli
» Unetvale
» +55 48 3263 8789
» INOC 53175*100
--
gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter
--
--
gter list https://eng.registro.br/mailman/listinfo/gter
Aqui fazemos por range de portas (16 privados atrás de 1 público) mais
ainda assim vc precisa de log das conexões que não são TCP ou UDP, mesmo
que isso seja muito pouco, mais muito pouco mesmo comparado ao log de
todas as conexões.
--
Att
Márcio Elias Hahn do Nascimento
More information about the gter
mailing list