Число NAT трансляций на абона (последнее время были всплески)

[sirmax]

Коллеги, кто как борется с тем что абоненты хватают вирусню и забивают пулы трансялциями?

На ASR1001x я настроил примерно так

 

ip nat settings gatekeeper-size 2048
ip nat settings pap limit 60
ip nat translation timeout 180
ip nat translation tcp-timeout 180
ip nat translation udp-timeout 90
ip nat translation finrst-timeout 20
ip nat translation syn-timeout 20
ip nat translation dns-timeout 20
ip nat translation icmp-timeout 6
ip nat translation max-entries 1048576
ip nat translation max-entries all-host 3000

Подрезаю тем кто привышает
 

event manager applet NAT_HOST_LIMIT
 event syslog pattern ".*NAT-4-ALL_HOST_MAX_ENTRIES.*"
 action 001.0 regexp "reached for ([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)" "$_syslog_msg" MATCH ADDR
 action 002.0 syslog msg "EEM: NAT all-host limit reached for $ADDR, applying host limit 512"
 action 003.0 cli command "enable"
 action 003.1 cli command "configure terminal"
 action 003.2 cli command "ip nat translation max-entries host $ADDR 512"
 action 003.3 cli command "end"

ну и очищаю время от времени

 

event manager directory user policy "flash:/eem"
event manager policy nat_lim_res_cron.tcl type user

 

more flash:/eem/nat_lim_res_cron.tcl
::cisco::eem::event_register_timer cron tag cron_reset name nat_limit_reset cron_entry "*/5 * * * *"  maxrun 200

namespace import ::cisco::eem::*
namespace import ::cisco::lib::*

action_syslog msg "TCL NAT LIMIT CLEANUP started"

if {[catch {cli_open} result]} {
    action_syslog msg "TCL NAT LIMIT CLEANUP: cli_open failed"
    exit 1
}

array set cli $result

cli_exec $cli(fd) "enable"
set max_translations "512"

set output [cli_exec $cli(fd) "show running-config | include ^ip nat translation max-entries host .* $max_translations"]
set found 0
set re "ip nat translation max-entries host (\\d+\\.\\d+\\.\\d+\\.\\d+) $max_translations"

foreach line [split $output "\n"] {
    if {[regexp $re $line match ip]} {
        set found 1
        action_syslog msg "TCL NAT LIMIT CLEANUP: would remove: no ip nat translation max-entries host $ip $max_translations"
        cli_exec $cli(fd) "configure terminal"
        cli_exec $cli(fd) "no ip nat translation max-entries host $ip $max_translations"
        cli_exec $cli(fd) "end"

    }
}

if {$found == 0} {
    action_syslog msg "TCL NAT LIMIT CLEANUP: no temporary NAT host limits found"
}

cli_close $cli(fd) $cli(tty_id)

Оно как-то не очень красиво, и стрелять начало буквально последние неделю-две

Кто-то еще замечал аномалии?

[Urs_ak]

Мы сталкиваемся с завирусованными китайскими TV приставками (на которых (в РФ) работает Youtube,Netflix, etc), причём у некоторых уже с завода, т.е. сброс не спасает.

 

К сожалению, приходится тратить время на таких абонентов (анализ netflow):

Блокируем абонента с уведомлением что у него вирус, просим сбросить роутер к заводским, сбросить/отключить ТВ приставку от сети

Зарезаем рецидивистам исходящий трафик до 10 Мбит/с или меньше

Посылаем мастера особо нервным (он пытается найти источник и показать это абоненту)

[straus]

5 часов назад, Urs_ak сказал:

Мы сталкиваемся с завирусованными китайскими TV приставками (на которых (в РФ) работает Youtube,Netflix, etc), причём у некоторых уже с завода, т.е. сброс не спасает.

Есть такие планшеты NOMI Corsa (украинская торговая марка NOMI, а так чистый китай). Так вот там вшиты несколько вирусов, которые активируются ровно на следующий день после окончания года работы.

[disappointed]

Так наверное tcp скан, сделать так ip nat translation syn-timeout 5

[Andrei]

15 часов назад, Urs_ak сказал:

Посылаем мастера особо нервным (он пытается найти источник и показать это абоненту)

и что дальше? советуете абоненту поменять железку?

[Urs_ak]

6 часов назад, Andrei сказал:

и что дальше? советуете абоненту поменять железку?

Ну да, а что ещё остаётся. Абоненту же тоже не нравится что ему интернет блокируют и ему надо звонить и просить включить.

Последнему мы сказали, чтобы поменял на какой-нибудь SberBox. Он был не против.

[rm_]

Quote

не нравится что ему интернет блокируют

А другой провайдер не блокирует. У которого нет NAT, или которому просто пофиг.

[BOJIKA]

А каким образом забивают? Как это видно?

[witch]

23 часа назад, rm_ сказал:

А другой провайдер не блокирует. У которого нет NAT, или которому просто пофиг.

А вот это чревато улететь пулом в блек холл или того хуже - всей автономнкой.

Edited May 11 by witch

[Saab95]

В 09.05.2026 в 18:49, sirmax сказал:

Коллеги, кто как борется с тем что абоненты хватают вирусню и забивают пулы трансялциями?

У нас используется микротик, на нем такой проблемы нет. Точнее много микротиков, которые распределяют нагрузку между собой.

 

В 09.05.2026 в 18:49, sirmax сказал:

На ASR1001x я настроил примерно так

На ASR сколько доступных НАТ трансляций? 1.5 миллиона?

[straus]

Микротик - это продолжение пениса. Имеющие микротик всегда выигрывают по длине.

[sirmax]

13 часов назад, witch сказал:

А вот это чревато улететь пулом в блек холл или того хуже - всей автономнкой.

Это зависит от аплинка/аплинков
 

 

10 часов назад, Saab95 сказал:

У нас используется микротик, на нем такой проблемы нет. Точнее много микротиков, которые распределяют нагрузку между собой.

Точнее вы про нее не знаете так как не мониторите число трансляций 
 

 

В 10.05.2026 в 09:31, disappointed сказал:

Так наверное tcp скан, сделать так ip nat translation syn-timeout 5

Да, так жалоб стало меньше (даже у тех кто залетел в лимиты)

Основная суть проблемы - что  хомяки воют "инет плохо работает"
 

[disappointed]

В 12.05.2026 в 13:23, sirmax сказал:

Основная суть проблемы - что  хомяки воют "инет плохо работает"

 

Ну так у них роутер дома ласты склеивает + вайфай ложится от синфлуда. Вот тут честно говоря лучше наглухо выключать сразу, чтобы не переходило в хроническое течение. И уже на обратной связи объяснять... Главное не звонить самим, я это проходил, не заходит такая забота, думают, что их пытаются нагреть на платный выезд (

[alexmern]

Стреляет уже давно.

На платформе ASR глобально помог только переход на 

ip nat settings mode cgn

 

В версии 17.09 завезли

ip nat settings log-destination

[sdy_moscow]

1 час назад, alexmern сказал:

ip nat settings mode cgn

если CGNAT - то рекомендую тазик с АНАТ - надежно, удобно, + есть средства борьбы со спамерами.

 

[sirmax]

4 часа назад, sdy_moscow сказал:

если CGNAT - то рекомендую тазик с АНАТ - надежно, удобно, + есть средства борьбы со спамерами.

 

Все хорошо, но к линуксу нужно сильно больше внимания.

ну и у меня на том же asr еще шейпер и бгп.

плюс я не видел серверов с бп на 48в

(хотя я сам за линукс, но 😞 )

[sdy_moscow]

5 минут назад, sirmax сказал:

Все хорошо, но к линуксу нужно сильно больше внимания.

ну и у меня на том же asr еще шейпер и бгп.

плюс я не видел серверов с бп на 48в

(хотя я сам за линукс, но 😞 )

БП бывают разные, ну а так-то да....

[nixx]

1 час назад, sirmax сказал:

Все хорошо, но к линуксу нужно сильно больше внимания.

ну и у меня на том же asr еще шейпер и бгп.

плюс я не видел серверов с бп на 48в

добавлю про линух - разработчики ядра нередко на ровном месте решают, что "эта функция нам больше не нужна" и сносят ее в какой-то минорной версии. или меняют синтаксис вызова.

и секс со сборкой сторонних модулей возникает на ровном месте, когда, казалось бы, его не должно было быть в принципе.

привет ipt_netflow передает последнее ядро дебиана 11го - 5.10.251. на 5.10.197 собирается, а на этой - уже нет.

 

ну и далеко не первый раз такое. с драйверами от мелланокса подобное ловил на 4м ядре тоже.