[GTER] (CG)NAT sem IPv6

[Elizandro Pacheco]

> Em 16 de nov de 2017, à(s) 20:47, Douglas Fischer <fischerdouglas at gmail.com> escreveu:
> 
> Interessante Pacheco!
> 
> E quais são as configurações a serem feitas no dispositivo que faz o NAT?
> Tem um exemplo de MK ou um iptables ou algum outro?


São regras que desenvolvi junto com o Ramires pra MK ocupar o mínimo de processamento possível.

Basicamente se faz logging dessa regra que envia via syslog pro server, que por sua vez, armazena só o que "pode".


Elizandro Pacheco


> 
> Qual é o protocolo que o dispositivo de NAT fala com loggerdeamon?
> 
> Em 16 de nov de 2017 4:11 PM, "Elizandro Pacheco" <
> elizandro at pachecotecnologia.net> escreveu:
> 
>> 
>> 
>>> Em 16 de nov de 2017, à(s) 00:45, André Carlim <andre at stubnet.info>
>> escreveu:
>>> 
>>> Pois bem, a merda já está na frente do ventilador, o que se pode fazer é
>> tentar amenizar isso. Eu tenho usado cgnat (como manda o Script, haha) e
>> não tem essa degradação, claro estou deixando 2048 portas para cada
>> cliente. E quando pesquisei isso eu vi que mesmo quem tinha empresa com
>> muitos computadores não usava muito mais que 1000 portas para acesso a
>> internet. E usar nat sem dual-stack é vergonhoso, mas existe! E quanto aos
>> logs, cara isso não existe como está na cabeça de todo mundo, por exemplo,
>> o pessoal está achando que tem que guardar log de cada site que o cliente
>> acessa, não existe fazer isso fere duas vezes o marco civil, se fizer o
>> cgnat certo, apenas com a porta de origem que o cliente usou já pode
>> fornecer quem estava acessando no momento solicitado.
>>> 
>> 
>> 
>> Como assim não existe?  O que você não pode é logar destino!!!  Logar IP e
>> porta de origem pode.  No CGNAT, você tem 2 opções:
>> 
>> 1 - Trava a porta do cara, como você fez. ( 2048 )
>> 
>> 2 - Deixa dinâmico para ter um melhor aproveitamento ( o cliente que usa 3
>> vai ter 3, o cliente que usa 5 mil, vai ter 5 mil ), porém precisará dos
>> logs.
>> 
>> 
>> Dê uma olhada no software que desenvolvemos pros nossos alunos:
>> https://github.com/elizandropacheco/neteducgnatloggerd <
>> https://github.com/elizandropacheco/neteducgnatloggerd>
>> 
>> Faz o log do nat ( origem ), respeita o marco civil ( pois não loga
>> destinos ), rotaciona, compacta e tudo mais..  em apenas 1 software.
>> 
>> 
>> Abraço,
>> 
>> 
>> Elizandro Pacheco
>> 
>>> Enviado do Alto
>>> On terça-feira, 17 de outubro de 2017 às 12:50 Fernando Frediani <
>> fhfrediani at gmail.com> wrote:
>>> Tenho visto casos cada vez mqis comuns de provedores aonde a água
>> começou a
>>> bater na nádegas (pela falta de IPv4) e estão começando a fazer (CG)NAT
>> (em
>>> muitos casos não dá pra chamar de CGNAT porque não segue RFC 6598).
>>> 
>>> Recentemente peguei o caso de um dos provedores que me atende e estão
>>> usando IPs da range 11.0.0.0/8. Bacana né ? Pra piorar não entregam
>> IPv6 em
>>> dual-stack e estão longe disso.
>>> 
>>> O que o pessoal acredita que dá pra fazer legalmente e tecnicamente para
>>> tentar 'ajustar' estas situações da melhor maneira possível ?
>>> 
>>> Por exemplo: uma das interpretações que eu enxergo de largada é que podem
>>> não estar cumprindo o Art. 13 do Marco Civil que fala a respeito da
>>> obrigação da guarda de logs a depender de como o (CG)NAT está sendo
>> feito.
>>> 
>>> Outra interpretação mais subjetiva mas creio, válida é que com a
>> imposição
>>> do IPv4-only com NAT causa automaticamente uma degradação na qualidade da
>>> conexão devido ao compartilhamento do número limitado de portas para cada
>>> IPv4 e que poderia ser bastante desafogado com IPv6 em dual-stack.
>>> 
>>> O que o pessoal tem a contribuir com este assunto ?
>>> 
>>> Obrigado
>>> Fernando
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter