Página 3 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. #41

    Padrão Re: IP Publico x Nat

    Citação Postado originalmente por magnorm Ver Post
    Segue discussao no forum ano passado sobre entrega ip publico para o cliente

    https://under-linux.org/showthread.php?t=182107

    Segue projeto de lei que especifica a obrigatoriedade do armazenamento dos logs

    http://www.abranet.org.br/Noticias/P...l#.V78yvrzxNxk

    Mesmo sendo so um projeto de lei é obrigação do Provedor informar toda informação que for solicitada pela justiça.
    Caso não atendam a solicitações o whatsapp ta ai como exemplo para o que acontece.
    Vai que vc dar um azar de ter um chefe de trafico na sua rede e o cara faz algo que o a policia descobre. vc vai ta numa fria se não colaborar com a policia.
    Cara você leu pelo menos aquela rfc que mandou no outro post, ou leu os links que eu mandei antes, e leu o que eu escrevi?

    Acho que não leu, tá enrolando muito...

    Enviado via XT1563 usando UnderLinux App

  2. #42

    Padrão Re: IP Publico x Nat

    Citação Postado originalmente por eduardomazolini Ver Post
    Legal até agora todo mundo dizendo vamos fazer o que é certo.
    Ninguém aqui disse que não vai implantar ipv6.
    A conversa é entorno do IPv4.
    As punições e problemas por não ter o log já são conhecidas.
    Como gerar o log? Como você gera o log?
    A questão do Range para CGNAT ser obrigatório que também ninguém mostrou. Pra mim a questão maior e a punição trocar o range é mudar 6 por meia dúzia.

    Enviado de meu SM-G800H usando Tapatalk
    Não é obrigado a usar aquele range, CGNAT é mais uma técnica do que uma "receita de bolo", pode usar qualquer IP privado... CGNAT nada mais é do que dividir de forma "ordenada" cada IP público, levando em conta a orientação a grupos de portas! Você fica livre para fazer com os teus IPS...

    O grupo de pesquisa da rfc apenas recomendou o 100.64/10 pelo fato de ser bem desconhecido e não ter problemas com roteamento mas faixas mais usadas, caso você não faça NAT no CPE do cliente, só isso, está lá na rfc isso...

    Enviado via XT1563 usando UnderLinux App

  3. #43

    Padrão Re: IP Publico x Nat

    Citação Postado originalmente por Lucas Teixeira Ver Post
    Pois é .
    Por que eu tenho que trocar para 100.64.... e não posso deixar meu 10..... que já esta funcionando a Anos ?
    Pode usar tranquilo...

    Enviado via XT1563 usando UnderLinux App

  4. #44

    Padrão Re: IP Publico x Nat

    @magnorm que vai ter problema compartilhar IP todos sabem. A questão toda é como fazer da melhor forma. Você me parece estar oferecendo como solução não compartilhar.
    Pessoal eu não sabia dessa questão do NAT de porta, vou testar se alguém testou e deu certo manda um testemunho.
    Quem não usa NAT e não tem experiência prática agradece a Deus e fica de boa.

    Enviado de meu SM-G800H usando Tapatalk

  5. #45

    Padrão Re: IP Publico x Nat

    Mandou bem, +1 pra você!

    Enviado via XT1563 usando UnderLinux App

  6. #46

    Padrão

    Fui até o site da mikrotik pra ver a questão do range de portas.
    Desde 1/2/2016 foi publicado um script de exemplo sobre CGNAT com o range de portas. Entre hoje e amanhã devo implantar e parar de coletar os logs.
    Obrigado aos que ajudaram e @JeffersonSato que começou o post.

    http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Carrier-Grade_NAT_.28CGNAT.29_or_NAT444

  7. #47

    Padrão Re: IP Publico x Nat

    Ainda não esta encerrado não, e não estou convencido da obrigatoriedade do IPv6 em dual-stack com o CGNAT! Insisto, encontrei nenhuma obrigação por parte do provedor em entregar junto ao CGNAT o IPv6, achei documentos que explicam a necessidade e fazem algumas resalvas, mas nada de obrigação, se algum colega tiver um informação quente e verdadeira poste aí, segue os links:

    http://www.anatel.gov.br/Portal/exib...a&codigo=36710

    http://www.anatel.gov.br/Portal/docu...elease_v05.pdf

    http://www2.camara.leg.br/atividade-...-nilo-pasquali

  8. #48
    Avatar de SanchezMT
    Ingresso
    Jul 2014
    Localização
    São josé dos Quatro Marcos MT
    Posts
    163

    Padrão Re: IP Publico x Nat

    Surgiu uma dúvida, ql meio de autenticar e controle de banda com CGNAT ou repassando ip público?

  9. #49

    Padrão Re: IP Publico x Nat

    Citação Postado originalmente por SanchezMT Ver Post
    Surgiu uma dúvida, ql meio de autenticar e controle de banda com CGNAT ou repassando ip público?
    O Controle de banda e autenticação faz do modo que faz hoje, não muda.
    O que eu vou mudar é o NAT que faço na ponta, em vez de 1 ip pra 32 ips privados dos ranges vai ser 1 pra 63 e cada um com sua faixa de porta.

  10. #50

    Padrão Re: IP Publico x Nat

    Citação Postado originalmente por eduardomazolini Ver Post
    O Controle de banda e autenticação faz do modo que faz hoje, não muda.
    O que eu vou mudar é o NAT que faço na ponta, em vez de 1 ip pra 32 ips privados dos ranges vai ser 1 pra 63 e cada um com sua faixa de porta.
    Da maneira que você faz hoje que é 1 pra 32, pode dizer como você está configurada sua rb para guardar os logs ? e onde está armazenando os logs?

  11. #51

    Padrão Re: IP Publico x Nat

    Em GCNAT eu teria que ter 1 regra de src-nat para cada cliente?

  12. #52

    Padrão Re: IP Publico x Nat

    Lucas sim tem que fazer uma pra cada IP do seu range é pior que cliente. No meu caso tenho 50 ranges /25. Só tenho 2500 clientes.

    Enviado de meu SM-G800H usando Tapatalk

  13. #53

    Padrão Re: IP Publico x Nat

    @reirox eu tenho uma regra de log remote, mas poderia ser arquivos rotativos e de madrugada capturar os arquivos.

    A regra exata de NAT:
    add action=src-nat chain=srcnat comment="NAT RANGE Bairro xxxxx" log=yes log-prefix=138.xx.yy.zz out-interface=BridgeBackbone src-address=10.vv.ww.0/27 \
    to-addresses=138.xx.yy.zz

    Enviado de meu SM-G800H usando Tapatalk

  14. #54

    Padrão Re: IP Publico x Nat

    Eduardo , No seu caso entao , teria 6400 Regras de CGNAT ?

  15. #55

    Padrão Re: IP Publico x Nat

    Citação Postado originalmente por Lucas Teixeira Ver Post
    Eduardo , No seu caso entao , teria 6400 Regras de CGNAT ?
    Mais por que tem TCP e UDP e ainda tem que criar as regras de jump de ranges pra não ter que percorrer todas.

  16. #56

    Padrão

    Código :
     
    :global sqrtbin do={  :local count  0
      :local value $1
      :do {
        :set count ($count + 1)
        :set value ($value / 2)
      } while=($value > 0)
      :return $count
    }
     
    :global addNatRules do={
      :global sqrtbin;
      :local toAddrCount $toAddr;
      :local  x (1<<(([$sqrtbin ($count)])/2));
      :local  y ($count / $x);
     
      :for j from=$srcStartOct1 to=$srcStopOct1 do={
        :for k from=$srcStartOct2 to=$srcStopOct2 do={
          :for l from=$srcStartOct3 to=$srcStopOct3 do={
            /ip firewall nat add chain=srcnat action=jump jump-target="CGNAT-$($toAddrCount)" \
               src-address=(($j.".".$k.".".$l.".".$srcStartOct4)."-".($j.".".$k.".".$l.".".$srcStopOct4)) \
               comment="CGNAT" out-interface=LINK
          :set toAddrCount ($toAddrCount + 1)
          }
        }
      }
     
      :set toAddrCount $toAddr;
     
      :for j from=$srcStartOct1 to=$srcStopOct1 do={
        :for k from=$srcStartOct2 to=$srcStopOct2 do={
          :for l from=$srcStartOct3 to=$srcStopOct3 do={
            :if ($x * $x = $count) do={ :set y ($x + 1) }
            :for i from=0 to=($y-1) do={
                :local inicio [:toip (($j.".".$k.".".$l.".".$srcStartOct4) + ($x * $i))]
                :local fim [:toip (($j.".".$k.".".$l.".".$srcStartOct4) + ($x * ($i + 1) - 1))]  
                /ip firewall nat add chain="CGNAT-$($toAddrCount)" action=jump jump-target="CGNAT-$($toAddrCount)-$($i)" \
                   src-address=([:tostr $inicio]."-".[:tostr $fim]) comment="CGNAT"
            }
            :set toAddrCount ($toAddrCount + 1)
          }
        }
      }
     
      :set toAddrCount $toAddr
     
      :for j from=$srcStartOct1 to=$srcStopOct1 do={
        :for k from=$srcStartOct2 to=$srcStopOct2 do={
          :for l from=$srcStartOct3 to=$srcStopOct3 do={
            :local srcStart [:toip (($j.".".$k.".".$l.".".$srcStartOct4))]
            :for i from=0 to=($count - 1) do={
              :local prange "$($portStart + ($i * $portsPerAddr))-$($portStart + (($i + 1) * $portsPerAddr) - 1)"
              /ip firewall nat add chain="CGNAT-$($toAddrCount)-$($i / $x)" action=src-nat protocol=tcp src-address=($srcStart + $i) \
               to-address=$toAddrCount to-ports=$prange  comment="CGNAT"
              /ip firewall nat add chain="CGNAT-$($toAddrCount)-$($i / $x)" action=src-nat protocol=udp src-address=($srcStart + $i) \
               to-address=$toAddrCount to-ports=$prange  comment="CGNAT"
            }
            :set toAddrCount ($toAddrCount + 1)
          }
        }
      }
    }
     
     
     
     
    $addNatRules count=128 srcStartOct1=10 srcStartOct2=150 srcStartOct3=1 srcStartOct4=0 \
                            srcStopOct1=10  srcStopOct2=150  srcStopOct3=1  srcStopOct4=127 \
                            toAddr=138.aa.bb.0 portStart=1500 portsPerAddr=500

    Acabei de rodar esse código na minha CCR.
    Última edição por eduardomazolini; 27-08-2016 às 08:08. Razão: Definir out-interface

  17. #57

    Padrão Re: IP Publico x Nat

    Acabei de rodar esse código na minha CCR.
    Terminou de executar as 6:54, 14310 regras a minha é CCR1036-12G-4S.
    O SCRIPT consumia só um núcleo, no final criava uma regra a cada 5s (log memory).

    Agora de manhã eu apliquei uma modificação nas primeiras regras para apontar out-interface, demorou 4s cada execução:
    Código :
    :foreach a in=[find chain=srcnat comment~RANGE] do={:set number=$a out-interface=LINK}



    Serio que vocês usam CGNAT desta forma?

  18. #58

    Padrão Re: IP Publico x Nat

    Honestamente, eu não acho que precise de log quando usado CGNAT, o CGNAT é estático, cada cliente vai ficar com um grupo de portas, não vai mudar. Então se tem 1000 clientes vai ter apenas 1000 regras de SNAT... Só isso!

    Enviado via XT1563 usando UnderLinux App

  19. #59

    Padrão Re: IP Publico x Nat

    Mas não tô gerando log. Acontece que hoje uso 2000 amanhã 2001 depois mudo um por outro. Eu deixei estático pra qualquer IP que os clientes peguem um IP que existe a regra dele.

    Enviado de meu SM-G800H usando Tapatalk

  20. #60

    Padrão Re: IP Publico x Nat

    deu certo seu CGNAT @eduardomazolini ? Como está o desempenho do CCR?