[GTER] (CG)NAT sem IPv6
Elizandro Pacheco
elizandro at pachecotecnologia.net
Thu Nov 16 15:10:05 -02 2017
> Em 16 de nov de 2017, à(s) 00:45, André Carlim <andre at stubnet.info> escreveu:
>
> Pois bem, a merda já está na frente do ventilador, o que se pode fazer é tentar amenizar isso. Eu tenho usado cgnat (como manda o Script, haha) e não tem essa degradação, claro estou deixando 2048 portas para cada cliente. E quando pesquisei isso eu vi que mesmo quem tinha empresa com muitos computadores não usava muito mais que 1000 portas para acesso a internet. E usar nat sem dual-stack é vergonhoso, mas existe! E quanto aos logs, cara isso não existe como está na cabeça de todo mundo, por exemplo, o pessoal está achando que tem que guardar log de cada site que o cliente acessa, não existe fazer isso fere duas vezes o marco civil, se fizer o cgnat certo, apenas com a porta de origem que o cliente usou já pode fornecer quem estava acessando no momento solicitado.
>
Como assim não existe? O que você não pode é logar destino!!! Logar IP e porta de origem pode. No CGNAT, você tem 2 opções:
1 - Trava a porta do cara, como você fez. ( 2048 )
2 - Deixa dinâmico para ter um melhor aproveitamento ( o cliente que usa 3 vai ter 3, o cliente que usa 5 mil, vai ter 5 mil ), porém precisará dos logs.
Dê uma olhada no software que desenvolvemos pros nossos alunos: https://github.com/elizandropacheco/neteducgnatloggerd <https://github.com/elizandropacheco/neteducgnatloggerd>
Faz o log do nat ( origem ), respeita o marco civil ( pois não loga destinos ), rotaciona, compacta e tudo mais.. em apenas 1 software.
Abraço,
Elizandro Pacheco
> Enviado do Alto
> On terça-feira, 17 de outubro de 2017 às 12:50 Fernando Frediani <fhfrediani at gmail.com> wrote:
> Tenho visto casos cada vez mqis comuns de provedores aonde a água começou a
> bater na nádegas (pela falta de IPv4) e estão começando a fazer (CG)NAT (em
> muitos casos não dá pra chamar de CGNAT porque não segue RFC 6598).
>
> Recentemente peguei o caso de um dos provedores que me atende e estão
> usando IPs da range 11.0.0.0/8. Bacana né ? Pra piorar não entregam IPv6 em
> dual-stack e estão longe disso.
>
> O que o pessoal acredita que dá pra fazer legalmente e tecnicamente para
> tentar 'ajustar' estas situações da melhor maneira possível ?
>
> Por exemplo: uma das interpretações que eu enxergo de largada é que podem
> não estar cumprindo o Art. 13 do Marco Civil que fala a respeito da
> obrigação da guarda de logs a depender de como o (CG)NAT está sendo feito.
>
> Outra interpretação mais subjetiva mas creio, válida é que com a imposição
> do IPv4-only com NAT causa automaticamente uma degradação na qualidade da
> conexão devido ao compartilhamento do número limitado de portas para cada
> IPv4 e que poderia ser bastante desafogado com IPv6 em dual-stack.
>
> O que o pessoal tem a contribuir com este assunto ?
>
> Obrigado
> Fernando
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list