[GTER] (CG)NAT sem IPv6

Andre Almeida andre at bnet.com.br
Fri Nov 17 08:43:15 -02 2017 

Não vale mais utilizar um sistema estilo netmap para fazer o CGNAT?
Fixando dessa maneira a porta de saida ao IP CGNAT que o cliente vai
receber (de preferencia de forma estática) ?

Economiza tudo isso de preocupação.... bastaria ter uma planilha no excel
para saber os mapeamentos....


Att,

Andre Almeida

Em 16 de novembro de 2017 22:33, Elizandro Pacheco <
elizandro at pachecotecnologia.net> escreveu:

>
>
> > Em 16 de nov de 2017, à(s) 20:47, Douglas Fischer <
> fischerdouglas at gmail.com> escreveu:
> >
> > Interessante Pacheco!
> >
> > E quais são as configurações a serem feitas no dispositivo que faz o NAT?
> > Tem um exemplo de MK ou um iptables ou algum outro?
>
>
> São regras que desenvolvi junto com o Ramires pra MK ocupar o mínimo de
> processamento possível.
>
> Basicamente se faz logging dessa regra que envia via syslog pro server,
> que por sua vez, armazena só o que "pode".
>
>
> Elizandro Pacheco
>
>
> >
> > Qual é o protocolo que o dispositivo de NAT fala com loggerdeamon?
> >
> > Em 16 de nov de 2017 4:11 PM, "Elizandro Pacheco" <
> > elizandro at pachecotecnologia.net> escreveu:
> >
> >>
> >>
> >>> Em 16 de nov de 2017, à(s) 00:45, André Carlim <andre at stubnet.info>
> >> escreveu:
> >>>
> >>> Pois bem, a merda já está na frente do ventilador, o que se pode fazer
> é
> >> tentar amenizar isso. Eu tenho usado cgnat (como manda o Script, haha) e
> >> não tem essa degradação, claro estou deixando 2048 portas para cada
> >> cliente. E quando pesquisei isso eu vi que mesmo quem tinha empresa com
> >> muitos computadores não usava muito mais que 1000 portas para acesso a
> >> internet. E usar nat sem dual-stack é vergonhoso, mas existe! E quanto
> aos
> >> logs, cara isso não existe como está na cabeça de todo mundo, por
> exemplo,
> >> o pessoal está achando que tem que guardar log de cada site que o
> cliente
> >> acessa, não existe fazer isso fere duas vezes o marco civil, se fizer o
> >> cgnat certo, apenas com a porta de origem que o cliente usou já pode
> >> fornecer quem estava acessando no momento solicitado.
> >>>
> >>
> >>
> >> Como assim não existe?  O que você não pode é logar destino!!!  Logar
> IP e
> >> porta de origem pode.  No CGNAT, você tem 2 opções:
> >>
> >> 1 - Trava a porta do cara, como você fez. ( 2048 )
> >>
> >> 2 - Deixa dinâmico para ter um melhor aproveitamento ( o cliente que
> usa 3
> >> vai ter 3, o cliente que usa 5 mil, vai ter 5 mil ), porém precisará dos
> >> logs.
> >>
> >>
> >> Dê uma olhada no software que desenvolvemos pros nossos alunos:
> >> https://github.com/elizandropacheco/neteducgnatloggerd <
> >> https://github.com/elizandropacheco/neteducgnatloggerd>
> >>
> >> Faz o log do nat ( origem ), respeita o marco civil ( pois não loga
> >> destinos ), rotaciona, compacta e tudo mais..  em apenas 1 software.
> >>
> >>
> >> Abraço,
> >>
> >>
> >> Elizandro Pacheco
> >>
> >>> Enviado do Alto
> >>> On terça-feira, 17 de outubro de 2017 às 12:50 Fernando Frediani <
> >> fhfrediani at gmail.com> wrote:
> >>> Tenho visto casos cada vez mqis comuns de provedores aonde a água
> >> começou a
> >>> bater na nádegas (pela falta de IPv4) e estão começando a fazer (CG)NAT
> >> (em
> >>> muitos casos não dá pra chamar de CGNAT porque não segue RFC 6598).
> >>>
> >>> Recentemente peguei o caso de um dos provedores que me atende e estão
> >>> usando IPs da range 11.0.0.0/8. Bacana né ? Pra piorar não entregam
> >> IPv6 em
> >>> dual-stack e estão longe disso.
> >>>
> >>> O que o pessoal acredita que dá pra fazer legalmente e tecnicamente
> para
> >>> tentar 'ajustar' estas situações da melhor maneira possível ?
> >>>
> >>> Por exemplo: uma das interpretações que eu enxergo de largada é que
> podem
> >>> não estar cumprindo o Art. 13 do Marco Civil que fala a respeito da
> >>> obrigação da guarda de logs a depender de como o (CG)NAT está sendo
> >> feito.
> >>>
> >>> Outra interpretação mais subjetiva mas creio, válida é que com a
> >> imposição
> >>> do IPv4-only com NAT causa automaticamente uma degradação na qualidade
> da
> >>> conexão devido ao compartilhamento do número limitado de portas para
> cada
> >>> IPv4 e que poderia ser bastante desafogado com IPv6 em dual-stack.
> >>>
> >>> O que o pessoal tem a contribuir com este assunto ?
> >>>
> >>> Obrigado
> >>> Fernando
> >>> --
> >>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list