[GTER] CGnat

Márcio Elias Hahn do Nascimento marcio at sulonline.net
Wed Jun 7 08:42:08 -03 2017 

Em 2017-06-06 22:00, Felipe Kopp Klasen escreveu:

> Márcio,
> 
> Consegue enviar um exemplo de como ficam as regras?
> 
> Att.
> 
> 2017-06-06 18:44 GMT-03:00 Márcio Elias Hahn do Nascimento <
> marcio at sulonline.net>:
> 
> Bruno, respondendo a sua pergunta, uma CCR 1036 com alguns milhares de
> regras, não durou 5 min rodando. Ao chegar próximo a 100Mbps
> simplesmente congelou.
> 
> Usando jump dos /24 para os /27 e dos /27 para os ips finais, temos 1036
> batendo 2Gbps de CGNAT com processamento ínfimo.
> 
> Sem jump não teve condições. 
> Corrigindo, batendo mais de 1Gbps (não chegou a dar 2 ainda).
> 
> --
> Att
> 
> Márcio Elias Hahn do Nascimento
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
 --
gter list    https://eng.registro.br/mailman/listinfo/gter 

Sim claro. 

/ip firewall nat
add action=jump chain=srcnat jump-target=bloco0
src-address=100.64.0.0/24
add action=jump chain=bloco0 jump-target=bloco00
src-address=100.64.0.0/27
add action=jump chain=bloco0 jump-target=bloco01
src-address=100.64.0.32/27
add action=jump chain=bloco0 jump-target=bloco02
src-address=100.64.0.64/27
add action=jump chain=bloco0 jump-target=bloco03
src-address=100.64.0.96/27
add action=jump chain=bloco0 jump-target=bloco04
src-address=100.64.0.128/27
add action=jump chain=bloco0 jump-target=bloco05
src-address=100.64.0.160/27
add action=jump chain=bloco0 jump-target=bloco06
src-address=100.64.0.192/27
add action=jump chain=bloco0 jump-target=bloco07
src-address=100.64.0.224/27
add chain=bloco00 protocol=tcp src-address=100.64.0.0 action=src-nat
to-addresses=x.x.x.x to-ports=1500-5499
add chain=bloco00 protocol=udp src-address=100.64.0.0 action=src-nat
to-addresses=x.x.x.x to-ports=1500-5499
add chain=bloco00 log=yes log-prefix=x.x.x.x src-address=100.64.0.0
action=src-nat to-addresses=x.x.x.x
add chain=bloco00 protocol=tcp src-address=100.64.0.1 action=src-nat
to-addresses=x.x.x.x to-ports=5500-9499
add chain=bloco00 protocol=udp src-address=100.64.0.1 action=src-nat
to-addresses=x.x.x.x to-ports=5500-9499
add chain=bloco00 log=yes log-prefix=x.x.x.x src-address=100.64.0.1
action=src-nat to-addresses=x.x.x.x 

É isso! Basta fazer algum script pra gerar essa config pra vc, por que
na mão é impossível. 

Se vc analisar na pior das hipóteses um pacote vai bater contra no
poucas regras se comparado ao mesmo cenário não usando as regras com
jump. Essa diminuição no número de checagens é que salva a CPU do
equipamento.

-- 
Att 

Márcio Elias Hahn do Nascimento

More information about the gter mailing list