Página 1 de 4 1234 ÚltimoÚltimo
+ Responder ao Tópico

  1. Boa tarde galera, estou querendo evitar um problema em minha rede, mas a situação não está a favo a min.

    Vamos lá, tenho um bloco /21 que recebi da NicBr... só que esses blocos já está se esgotando e fui pedir um novo bloco,
    mas está demorando muito para sair esse bloco, sem falar na burocracia para poder ter lo... e acho que ate esse final de mês
    meu bloco se esgota....

    Queria de uma forma simples usar nat em minha rede até a liberação deste novo bloco. Como faria para usar nat em cima de um ip publico meu? exitem formas melhores? para evitar isso ?

    Uso concentradores pppoe nos pop, minha rede e roteada OSPF, uso radius para atribuir os ip para meus clientes!

    Me perdoem se falei alguma besteira, me corrigem se eu estiver errado !

    Obrigado

  2. Olha, NAT deve ser sempre a última opção mesmo, só em caso de vida ou morte, haha, meio pesado mas é isso mesmo! Mas se mesmo assim precisar não faz NAT convencional não, faz CGNAT, não é tão difícil se for só por alguns dias...

    Enviado via XT1563 usando UnderLinux App

  3. Pode me explicar o CGNAT? E na prática com mikrotik

    Enviado de meu SM-G800H usando Tapatalk




  4. Amigo tem como me explicar como funciona esse CGNAT, ainda não pesquisei sobre, mas se tiver como dar uma explicação breve !!

    OBRIGADO

    Citação Postado originalmente por andrecarlim Ver Post
    Olha, NAT deve ser sempre a última opção mesmo, só em caso de vida ou morte, haha, meio pesado mas é isso mesmo! Mas se mesmo assim precisar não faz NAT convencional não, faz CGNAT, não é tão difícil se for só por alguns dias...

    Enviado via XT1563 usando UnderLinux App

  5. Bom dia @JeffersonSato como ta seu planejamento de implantação do IPV6? Mesmo vc recebendo um novo bloco em pouco tempo terá o problema novamente. E se for trabalhar com cgnat é obrigatório entregar o IPV6. Cgnat nada mais é que em vez de entregar ip publico vc da um ip privado no range 100.64.0.0. As operadoras copel e net ja estao fazendo isso mas como falei ja entregam IPV6. vc tem de planejar bem isso pq vai ter problemas se seu clientet utiliza aplicações antigas cliente servidor ou se ele faz vpn czom algum local. A conselho a colocar somente nos clientes domésticos

    Enviado via LG-V490 usando UnderLinux App



  6. O que eu queria saber é o que o @andrecarlim quis dizer com "...não faz NAT convencional não, faz CGNAT...". Ele quer dizer pra registrar os logs? Qual a diferença.

    Enviado de meu SM-G800H usando Tapatalk

  7. Citação Postado originalmente por andrecarlim Ver Post
    Olha, NAT deve ser sempre a última opção mesmo, só em caso de vida ou morte, haha, meio pesado mas é isso mesmo! Mas se mesmo assim precisar não faz NAT convencional não, faz CGNAT, não é tão difícil se for só por alguns dias...

    Enviado via XT1563 usando UnderLinux App

    bom dia amigos! interessante o tópico.

    gostaria apenas de perguntar, por que é tão ruim utilizar nat?


    obrigado!

  8. @magnorm eu entrego IP privado convencional desde que nasci e não tinha AS. Por que deveria mudar o Range para 100.64?

    Enviado de meu SM-G800H usando Tapatalk



  9. @gustavo_marcon o vídeo recomendado acima é uma dica.
    Mas de forma prática vou listar alguns problemas.
    - Se você não tá logado no Google tem que preencher captcha, outros serviços também pedem captcha.
    - Os ips entram em blacklist e prejudicam todos, ter servidor de email impossível.
    - Os clientes não podem ter serviços em suas casas que usam DDNS. Sem chance de abrir porta pra câmera ou pro vídeo game.
    - O risco de um dia ser questionado quem era o usuário.


    Enviado de meu SM-G800H usando Tapatalk

  10. @eduardomazolini se vc é um provedor licenciado vc não pode entregar ip privado. O cgnat foi autorizado devido a falta de ip e para ser um paliativo ate a transição completa para o IPV6. Se não tiver estudando sobre isso aconselho a correr atrás para não ser pego da calça arriada.

  11. Eu tô já fazendo testes com ipv6. Mas queria saber onde acho esse embasamento que não posso entregar IP privado. Tenho sócios pra convencer. Mas pelo que entendi não há qualquer vantagem prática de mudar o range de ips privados.

    Enviado de meu SM-G800H usando Tapatalk



  12. Estou em cliente agora, não consigo muitos detalhes, mas assim quem defende NAT nunca teve um oficial de justiça com a polícia federal na porta do provedor acusando de publicar fotos de pedofila!

    NAT comum não permite identificar quando um ip privado acessou determinado site, sem contar os problemas com VoIP, gre e etc...

    Para usar CGNAT não é obrigatório usar ipv6. Apenas dividir melhor cada IP válido v4.

    Ao invés de apenas compartilhar a saída Wan com todo mundo, você divide cada cliente, a pelo menos, 1024 portas de cada IPv4 válido, assim se precisar pegar um sacana, você consegue pegar pela porta de origem, nem sempre a autorização judicial manda a porta de origem, mas se você recorrer eles fornecem, daí você pega o palhaço! Com NAT comum isso é impossível. Da pra usar netflow também, mas boa sorte com um datacenter para armazenar toda essa informação...

    Mesmo assim permanecem os problemas com psn da Sony, gre VoIP e etc...

    Se precisarem mais informação avisem.



    Enviado via XT1563 usando UnderLinux App

  13. Quero me adequar mas estamos falando de um ou alguns hardwares ou softwares pra fazer isso? O que recomendam. Hoje no Nat eu que uso Mikrotik ativei o log no Nat com prefixo o IP de destino. Mando pra um syslog realmente muita informação cada sync uma entrada. Já peguei um cara com vírus de SPAM que recebi email de alerta de segurança.

    Enviado de meu SM-G800H usando Tapatalk

  14. Citação Postado originalmente por eduardomazolini Ver Post
    Eu tô já fazendo testes com ipv6. Mas queria saber onde acho esse embasamento que não posso entregar IP privado. Tenho sócios pra convencer. Mas pelo que entendi não há qualquer vantagem prática de mudar o range de ips privados.
    Já leu o marco civil? Aqui você pode ler, vai no Artigo 13, lá esta a determinação, você não encontra uma informação direta dizendo "É proibido usar ip Privado para clientes", no entanto você vai ter que responder sobre um crime, caso aconteça sobre a rede de sua reponsabilidade, precisará dos registros para se livrar da acusação, e só tem registros se tiver IP Público, caso contrario você responde pela acusação, também você pode ler isso é onde foi padronizado e registrado os tipos de redes e serve como prova judicial, e segundo a Wikipedia:


    Na arquitetura para endereçamentos da Internet, uma rede privada (private network) é uma rede que usa o espaço privado de endereços IP, seguindo os padrões estabelecidos pela RFC 1918 para redes IPv4 e RFC 4193 para IPv6. Estes endereços são associados aos dispositivos que precisam se comunicar com outros dispositivos em uma rede privada (que não faz parte da Internet).
    Se com tudo isso não convencer eles, saia da sociedade, ache um banco de sua confiança, pegue um bom dinheiro e abra um provedor sozinho, é minha dica!

    E ainda temos o problema com VoIP, VPN, GRE, PSN (Sony) e muitos outros, que sem IP Público não vão funcionar bem, talvez até nem funcionem mesmo. NAT é sempre uma escolha ruim, claro, do ponto de vista do provedor, se não fosse assim jamais teríamos chegado ao IPv6, se fosse possível e fosse bom, todos os provedores usariam classes privadas. Bom esse argumento, né?

    Citação Postado originalmente por eduardomazolini Ver Post
    Quero me adequar mas estamos falando de um ou alguns hardwares ou softwares pra fazer isso? O que recomendam. Hoje no Nat eu que uso Mikrotik ativei o log no Nat com prefixo o IP de destino. Mando pra um syslog realmente muita informação cada sync uma entrada. Já peguei um cara com vírus de SPAM que recebi email de alerta de segurança.
    O uso de netflow não é log de conntrack (na verdade é, mas para fins didáticos, digamos que não) como o sr. fez aí, isso que fez consome muita CPU, não que o netflow não consuma, mas é diferente e eficiente, e tem mais, o netflow não tem objetivo de ajudar com esses casos de virus... Do ponto de vista do provedor a rede do cliente é protegida, e por lei agora, então se o cara tem virus consumindo banda, o máximo que provedor pode fazer é entregar a banda contratada pelo cliente, aquela que esta no contrato assinado, o fato do técnico do provedor ligar dizendo que tem virus já é considerado crime, fique atento, existe gente que vai dizer, ahh mas tem virus que burla o controle de banda do mikrotik, mas mesmo assim, se vire, troque para um equipamento que funcione, isso não é desculpa.

    Acho que fui mais claro agora, tomara que isso ajude a todos que tem duvida, lembrem uma internet livre e de qualidade se faz com IP público!



  15. Eu só passei pra ele o email que recebi reclamado dele ter atacado um servidor, disse que poderia ser vírus não vejo onde isso pode ser crime. Não passei o dado dele pro reclamante. A idéia toda aqui é guardar o registro. Minha dúvida é como gerar o registro? Eu fiz do meu modo e tô guardando. Realmente consome CPU. Tô discutindo 2 pontos:
    -Como gerar o registro?
    -Mudar o range privado pra o novo para esse uso específico, qual o ganho?

    Pois no meu ver CGNAT não é nada além destes dois pontos.
    Eu tenho mais de 50 pequenos servidores roteados trocar o IP seria um grande transtorno. Eu faço Nat de um IP pra cada 32 clientes e guardo registro.


    Enviado de meu SM-G800H usando Tapatalk

  16. Vamos do inicio, como esta hoje e o que quer fazer?

  17. Usar ipv6 não é dúvida.
    Dúvida é mudar o range privado de um para outro.

    Quero gerar de forma eficiente.
    Hoje gero assim:

    add action=src-nat chain=srcnat comment="NAT RANGE xxxxxx" log=yes log-prefix=138.zz.xx.yy out-interface=BridgeBackbone src-address=10.150.44.0/27 \
    to-addresses=138.zz.xx.yy

    Enviado de meu SM-G800H usando Tapatalk



  18. Entendi, assim de qualquer modo acho que você tem que mudar para ipv4 publico, e para matar o teu problema usar servidor radius para autenticar teus usuários, se bem configurado o radius com mysql, vai ter todos esses dados lá na radacct.

  19. O CGNAT não é opção o IPv4 acabou eu tenho só um /22.

    Enviado de meu SM-G800H usando Tapatalk






Tópicos Similares

  1. Duvidas NAT 1:1 ip publico
    Por jrassis no fórum Redes
    Respostas: 3
    Último Post: 19-09-2012, 13:56
  2. Respostas: 5
    Último Post: 08-07-2012, 23:56
  3. Como Variar o IP Publico utilizando NAT....
    Por UsadosMAC no fórum Redes
    Respostas: 5
    Último Post: 11-05-2010, 13:04
  4. Cache MK sem Nat e Ip publico.
    Por Tremedeira no fórum Redes
    Respostas: 0
    Último Post: 26-03-2010, 09:52
  5. Roteamento de IP publico + NAT
    Por skypriest no fórum Redes
    Respostas: 2
    Último Post: 22-07-2008, 21:57

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L