IP Publico x Nat

[SanchezMT]

Interessante msm, bom.. Como os ip's estão ao fim, acharam uma solução paliativa, mas.. Temos seu custo, ql provedor não vai ter um jogador ou sistema de segurança?! Mas aí da p abrir uma porta nesses casos?!!

Enviado via D5833 usando UnderLinux App

[eduardomazolini]

Não dá, quando um cliente reclama eu aloco um IP pra ele.

Enviado de meu SM-G800H usando Tapatalk

[andrecarlim]

Vamos lá, de quantos IPs validos ainda dispõe para colocar na tua borda ?

[eduardomazolini]

Em vez de discutir caso, vamos a solução. Se eu tiver 2 IPs e 10 clientes? Como gerar o log do CGNAT? Hoje uso mikrotik.

Enviado de meu SM-G800H usando Tapatalk

[eduardomazolini]

Desculpa vou mudar a pergunta. Quem hoje usa Nat e se preocupa em gerar log como faz?

Enviado de meu SM-G800H usando Tapatalk

[andrecarlim]

Em vez de discutir caso, vamos a solução. Se eu tiver 2 IPs e 10 clientes? Como gerar o log do CGNAT? Hoje uso mikrotik.

Enviado de meu SM-G800H usando Tapatalk

Aí que está a grande sacada, se você usar CGNAT, não precisa ter log, o CGNAT é estático. Esse é o bacana.

Enviado via XT1563 usando UnderLinux App

[magnorm]

[andrecarlim]

É mais ou menos isso:

http://eng.registro.br/pipermail/gte...er/045611.html

Enviado via XT1563 usando UnderLinux App

[magnorm]

Acredito que as operadoras que ja utilizam cgnat nao armazenam os logs.
ele devem alocar um ip para um range de clientes e cada cliente.
O problema que cada ip pode ter 65000 conexões simultâneas e quantos mais clientes vc coloca a divisao fica complicada. exemplo um site hoje em dia usa no minio umas 10 conexoes. o que estou vendo eles fazerm é diminuir o timeout da sessao tcp para 3 minutos.

[JeffersonSato]

Boa Tarde magnorm, então e já utilizo Ipv6 em minha rede, a dificuldade do Ipv6 é quem nem toda empresa ou provedor de conteúdo, já estão utilizando, sem contar inúmeros de clientes que não tem aparelhos que suportam o novo protocolo...
Mas eu li todos os comentários achei muito interessante sobre alguns assuntos, a questão é, prefiro trabalhar com ip valido (Ip Publico), em vez de fazer nat, mas não vou deixar de instalar clientes, e esperar a NicBr decidir se posso ou não posso receber o bloco... já mandei todas as papeladas... está tudo certo, e cada vez que recebo email deles, e uma nova questão estou de mãos atadas...

Bom dia @JeffersonSato como ta seu planejamento de implantação do IPV6? Mesmo vc recebendo um novo bloco em pouco tempo terá o problema novamente. E se for trabalhar com cgnat é obrigatório entregar o IPV6. Cgnat nada mais é que em vez de entregar ip publico vc da um ip privado no range 100.64.0.0. As operadoras copel e net ja estao fazendo isso mas como falei ja entregam IPV6. vc tem de planejar bem isso pq vai ter problemas se seu clientet utiliza aplicações antigas cliente servidor ou se ele faz vpn czom algum local. A conselho a colocar somente nos clientes domésticos

Enviado via LG-V490 usando UnderLinux App

[magnorm]

@andrecarlim quem obriga a utilizar o range 100.64.0.0 e disponibilizar o IPV6 quando está utilizando o CGNat é a Anatel que so está exigindo algo que ja foi discutido na RFC 6598.
Mas caso não queiram seguir a exigencia que o provedor licenciado é obrigado a seguir não vale reclamar quando for denunciado e multado. @eduardomazolini Aconselho a ter uma empresa de consultoria que auxilie em todas essas questões pq cada dia que passa a responsabilidade do provedor no âmbito judicial só aumenta e é bom estarem preparados. Dica para seus sócios.

[magnorm]

O problema é que somos brasileiros e deixamos tudo para o final. Desde de 2010 o ip está sendo distribuido pela Nic.BR e todos os grandes provedores com excessao da VIVO ja estão disponibilizando para o cliente final. Se procurar no canal da Nic.BR verá uma palestra que ficarem com os engenheiros responsaveis e vai ver que estao empenhados nisso desde a data que mencionei. um dos pontos que todos foram unanimes foi a compra de cpe somente compativeis com dual-stack e como ja se passaram 6 anos foi tranquilo eles ativarem o dualstack.

Boa Tarde magnorm, então e já utilizo Ipv6 em minha rede, a dificuldade do Ipv6 é quem nem toda empresa ou provedor de conteúdo, já estão utilizando, sem contar inúmeros de clientes que não tem aparelhos que suportam o novo protocolo...
Mas eu li todos os comentários achei muito interessante sobre alguns assuntos, a questão é, prefiro trabalhar com ip valido (Ip Publico), em vez de fazer nat, mas não vou deixar de instalar clientes, e esperar a NicBr decidir se posso ou não posso receber o bloco... já mandei todas as papeladas... está tudo certo, e cada vez que recebo email deles, e uma nova questão estou de mãos atadas...

[eduardomazolini]

Legal até agora todo mundo dizendo vamos fazer o que é certo.
Ninguém aqui disse que não vai implantar ipv6.
A conversa é entorno do IPv4.
As punições e problemas por não ter o log já são conhecidas.
Como gerar o log? Como você gera o log?
A questão do Range para CGNAT ser obrigatório que também ninguém mostrou. Pra mim a questão maior e a punição trocar o range é mudar 6 por meia dúzia.

Enviado de meu SM-G800H usando Tapatalk

[Lucas Teixeira]

Legal até agora todo mundo dizendo vamos fazer o que é certo.
Ninguém aqui disse que não vai implantar ipv6.
A conversa é entorno do IPv4.
As punições e problemas por não ter o log já são conhecidas.
Como gerar o log? Como você gera o log?
A questão do Range para CGNAT ser obrigatório que também ninguém mostrou. Pra mim a questão maior e a punição trocar o range é mudar 6 por meia dúzia.

Enviado de meu SM-G800H usando Tapatalk

Pois é .
Por que eu tenho que trocar para 100.64.... e não posso deixar meu 10..... que já esta funcionando a Anos ?

[magnorm]

Segue discussao no forum ano passado sobre entrega ip publico para o cliente

https://under-linux.org/showthread.php?t=182107

Segue projeto de lei que especifica a obrigatoriedade do armazenamento dos logs

http://www.abranet.org.br/Noticias/P...l#.V78yvrzxNxk

Mesmo sendo so um projeto de lei é obrigação do Provedor informar toda informação que for solicitada pela justiça.
Caso não atendam a solicitações o whatsapp ta ai como exemplo para o que acontece.
Vai que vc dar um azar de ter um chefe de trafico na sua rede e o cara faz algo que o a policia descobre. vc vai ta numa fria se não colaborar com a policia.

[magnorm]

Retirado da discussão no tópico https://under-linux.org/showthread.php?t=181372&page=2

"A RFC6598 diz que os endereços da faixa 100.64.0.0/10 são destinados a serem usados pelos provedores de serviços para numerar as interfaces que conectam os equipamentos CGN (roteadores) ao CPE do cliente.

Essa faixa é privada. As operadoras só não usam o 10.0.0.0/8 logo porque poderia conflitar com redes dos clientes."

[eduardomazolini]

@andrecarlim vi seu link a sacada é dividir as portas.

- Crie um range de portas para cada usuário. Por exemplo, usuários de 0 a 63, o usuário 0 tem porta origem de 0 a 1023, o usuário 1 de 1024 a 2047 e assim por diante.

Isso funciona em MT?

Enviado de meu SM-G800H usando Tapatalk

[magnorm]

Isso da problema em alguma aplicaçoes do cliente. se tiver cliente domestico que so acessa facebook e youtube tranquilo. mas se tiver cliente que usa vpn ou alguma aplicaçao especifica ai fica complicado.

@andrecarlim vi seu link a sacada é dividir as portas.

- Crie um range de portas para cada usuário. Por exemplo, usuários de 0 a 63, o usuário 0 tem porta origem de 0 a 1023, o usuário 1 de 1024 a 2047 e assim por diante.

Isso funciona em MT?

Enviado de meu SM-G800H usando Tapatalk

[andrecarlim]

@andrecarlim vi seu link a sacada é dividir as portas.

- Crie um range de portas para cada usuário. Por exemplo, usuários de 0 a 63, o usuário 0 tem porta origem de 0 a 1023, o usuário 1 de 1024 a 2047 e assim por diante.

Isso funciona em MT?

Enviado de meu SM-G800H usando Tapatalk

Sim isso é CGNAT! Funciona sim em mk.

Enviado via XT1563 usando UnderLinux App

[andrecarlim]

Retirado da discussão no tópico https://under-linux.org/showthread.php?t=181372&page=2

"A RFC6598 diz que os endereços da faixa 100.64.0.0/10 são destinados a serem usados pelos provedores de serviços para numerar as interfaces que conectam os equipamentos CGN (roteadores) ao CPE do cliente.

Essa faixa é privada. As operadoras só não usam o 10.0.0.0/8 logo porque poderia conflitar com redes dos clientes."

Assim mano, nada contra, mas não achei nada que obriga a imposição do IPv6 em dual-stack ao CGNAT, eu li a rfc e tudo é citado como boa prática... Então até que me prove com um documento real, seu argumento é fraco, postar o que os outros discutiram não é lei, poste sua posição e a prova dela. Não me leve a mal, meu objetivo não é flamewar aqui, apenas estou defendendo o eu vi, e com argumentos melhores.

Enviado via XT1563 usando UnderLinux App