Еще раз про NAT

[ivan999]

Вот смотрю на мигающий банер на NAG.RU про маршрутизатор, кторый умеет NAT.

 

Вопрос такой - неужели есть смысл в NAT для операторов связи?

 

1. Каким образом вы ответите спецслужбам, если придет запрос "Просим сообщить данные абонента, который осуществил доступ в интернет такого-то числа с такого-то IP адреса. При этом IP адрес назначения они в упор отказываются давать. И наш ответ" "у нас NAT...." - их не устроит. Они выписывают предписание - привести сеть в соответсвии с YYYY требованиями....в течение NNNN времени. Иначе - отзыв лицензии

 

Мы из-за этого и переходим на белые IP и отказываемся от NAT.

 

Но мы не решились на ходу перенастраивать сеть (не много ни мало - 10 тыщ клиентов) на белую адресацию "внутри" сети.

Доступ в инет юзеры осуществялют с помощью VPN - так белые адреса и раздаем в тунели - и храним ppp.log долго : )

 

Понятно - что тунели - тоже в перспективе приведут к проблемам - скорости с годами существенно возрастут . (сейчас пока трафик невелик из-за высоких цен на инет)

 

И переход на сеть без тунелей и без NAT - вопрос открытый и неизбежный.

 

Сети дробяться на VLAN - не важно как. Раздаются белые IP.

И IPv6 адресация решает проблему с нехваткой IPv4.

Только проблема из-за инерционности людей - максимально возможное время оттягивать переход на IPv6 - кому охота весь софт, утилиты, прошивки, железо , билинг и т.д. - наработанное десятками лет - допиливать до IPv6 - лишь крайняя нужда заставит - когда реально не будет белых IPv4 и их стоимость возрастет существенно.

 

P.S. Я могу ошибаться....

[SokolovS]

Если NAT 1-в-1, то есть возможность логировать соответствие серого и белого IP, этого вполне достаточно чтобы по netflow найти нужные потоки.

[cmhungry]

У нас органы устраивает, что это НАТ, и тогда дают ип назначения.

[Tosha]

NAT технология не относится к запрещенным.

 

Кто выписывает предписание и на основании чего? Вы же не ответили "отказываем". Вы запросили дополнительные сведения, необходимые для выполнения запроса.

 

А переписывать старый софт и прошивки на IPv6 либо некому (продукт умер), либо потребует очень много денег - а за чей счет? И пока есть второй путь (более дешевый) все идут по нему. Ну если конкретно Вы имеете финансовые возможности оплатить переписывание прямо сейчас и Вам деньги девать больше некуда, то Вам памятник поставят.

[ivan999]

Если NAT 1-в-1, то есть возможность логировать соответствие серого и белого IP, этого вполне достаточно чтобы по netflow найти нужные потоки.

ну, в принципе, да. Это решает проблему со спец органами. И вроде как не надо трогать внутреннюю серую адресацию....

Остается только вопрос с производительность железа для "натирования" и

сложности у абонентов из-за NAT (с p2p клиентами, и прочими сервисами, которым необходим прямой входящий конект "извне")

[Negator]

Но мы не решились на ходу перенастраивать сеть (не много ни мало - 10 тыщ клиентов) на белую адресацию "внутри" сети.

И получите огромный ботнет это раз.

Вирусы на компах клиентов(а виновать в этом будет конечно провайдер :)) - это два

Увеличение трафика на аплинках -это три

Это по минимуму

[ivan999]

NAT технология не относится к запрещенным.

Ребята - нам "одна спецслужба" четко сказала: "ваш NAT - это прямая дорого к лишению лицензии. Сколько вам дать времени в разумных пределах, чтобы уйти от NAT....."

 

Они дают нам письменное предписание - привести сеть в такой вид, чтобы на вопрос - "кто был в инете с таким исходящим IP в такое-то время" - мы могли четко ответить.

Если мы этого не сделаем - уверяю - они лишат нас лицензии через местные органы власти - 100% !

 

Ну если конкретно Вы имеете финансовые возможности оплатить переписывание прямо сейчас и Вам деньги девать больше некуда, то Вам памятник поставят.

Ну, у нас молодая небольшая сеть - нам проще будет. Хотя мы даже не загадываем про IPv6 - вообще в планах даже нету - даже для небольшой свежой сети - это крайне гемморойно. И пока нет такой неообходимости.

 

Но мы не решились на ходу перенастраивать сеть (не много ни мало - 10 тыщ клиентов) на белую адресацию "внутри" сети.

И получите огромный ботнет это раз.

Вирусы на компах клиентов(а виновать в этом будет конечно провайдер :)) - это два

Увеличение трафика на аплинках -это три

Это по минимуму

Это вы все про отказ от NAT вообще (но разадчу белых адресов через тунели)? Или конкретно чистые белые IP и без тунелей ?

 

 

P.S. Все региональные провы в нашей провинции раздают белые IP либо pppoe либо pptp

[Negator]

Вообще вопрос крайне интересный

NAT ЗА и ПРОТИВ.

[sirmax]

Да какие тут "за" могут быть, один гимморой... чем проще тем лучше, белый IP клиенту без натов и тунелей...

 

[ivan999]

Да какие тут "за" могут быть, один гимморой... чем проще тем лучше, белый IP клиенту без натов и тунелей...

как решать вопрос с увеличением левого трафа, бот-нетов и т.д.?

[yakuzzza]

Но мы не решились на ходу перенастраивать сеть (не много ни мало - 10 тыщ клиентов) на белую адресацию "внутри" сети.

И получите огромный ботнет это раз.

Вирусы на компах клиентов(а виновать в этом будет конечно провайдер :)) - это два

Увеличение трафика на аплинках -это три

Это по минимуму

А разве НАТ в таком случае панацея?

Что мешает блокировать входящие TCP setup на клиентов? Что мешает правильно зафильтровать все? Да ничто и никто!

На западе тыщи организаций с внутренними реальными IP и работают. И работают.

 

Внимательнее надо будет работать - ага.

Для реальников надо перестраивать инфраструктуру и смотреть в сторону ISG. Ведь до сих пор весь мусор и вирусня болталась внутри сети.

 

[martin74]

какая у вас страшная спецслужба...

А netflow с pptp интерфейса не спасет отца русской демократии?

[ivan999]

какая у вас страшная спецслужба...

А netflow с pptp интерфейса не спасет отца русской демократии?

Повторяю - необходима возможность искать по адресу источника. Органы присылают бумажку с запрсоом, где фигурирует мой белый IP , который используется для NATирования.

Если юзается NAT на внешнем интерфейсе, то в нетфлоу с pptp фейсов видим внутренние серые адреса юзеров.

Если в запросе органов указан внешний адрес назначения - то - да - нетфлоу нам в руки (так и делаем). Но если только src IP - то курим бамбук - если NAT - один IP на много людей - и не логируется.

 

Сейчас перехожу на выдачу белых IP для VPN - и тогда в логах ppp точно ясно кто , куда и когда.....

 

А NETflow - для поиска по адресам назначения....

Edited November 26, 2010 by ivan999

[yakuzzza]

Вести 2 нетфлова?

[ivan999]

Вести 2 нетфлова?

вот здесь поподробней...

 

Зачем 2 нетфлова?

[yakuzzza]

Смотрите, у вас есть исчерпаемый ресурс - реальные IP.

У вас есть возможность вести нетфлов на внешнем интерфейсе и как правильно подсказали на внутренних.

В случае прихода (гыгы) людей в черном вы просто отдаете 2 нетфлова - и пусть ***ся и сопоставляют.

Если их и это не устроит - написать простецкий скрипт по отлавливанию соответствия внутреннего src и внешнего src по dst. Dst одинаковый же будет хоть на внешнем интерфейсе хоть на внутреннем.

Edited November 26, 2010 by yakuzzza

[ivan999]

Смотрите, у вас есть исчерпаемый ресурс - реальные IP.

У вас есть возможность вести нетфлов на внешнем интерфейсе и как правильно подсказали на внутренних.

В случае прихода (гыгы) людей в черном вы просто отдаете 2 нетфлова - и пусть ***ся и сопоставляют.

Если их и это не устроит - написать простецкий скрипт по отлавливанию соответствия внутреннего src и внешнего src по dst. Dst одинаковый же будет хоть на внешнем интерфейсе хоть на внутреннем.

Да, dst совпадает. А если они не говорят dst, только src ? : ) (и это src - мой белый IP натирования десятков человек без всяких логов (Вообще можно ли рационально логировать masquerade ?))

Edited November 26, 2010 by ivan999

[yakuzzza]

Смотрите, у вас есть исчерпаемый ресурс - реальные IP.

У вас есть возможность вести нетфлов на внешнем интерфейсе и как правильно подсказали на внутренних.

В случае прихода (гыгы) людей в черном вы просто отдаете 2 нетфлова - и пусть ***ся и сопоставляют.

Если их и это не устроит - написать простецкий скрипт по отлавливанию соответствия внутреннего src и внешнего src по dst. Dst одинаковый же будет хоть на внешнем интерфейсе хоть на внутреннем.

Да, dst совпадает. А если они не говорят dst, только src ? : )

Троллите?! Включайте уже мозг же!

[vitalyb]

Могу ошибаться, сам не пробовал, но вроде conntrack-tools в Linux умеет логгировать трансляции.

[martin74]

Тогда научите их говорить ;) Потому что в 99% случае запрос без указания dst смысла не имеет ;)

Пришли ко мне, dst говорить не хотели. Получили лог на 350 листов мелким шрифтом. Подумали, пришли и по человечески рассказали, что им надо. Через 15 минут ушли с желаемым результатом.

А если они вас решили закрыть - так в таком случае их никакой вариант не устроит ;) все равно придумают к чему придраться....

[ivan999]

Смотрите, у вас есть исчерпаемый ресурс - реальные IP.

У вас есть возможность вести нетфлов на внешнем интерфейсе и как правильно подсказали на внутренних.

В случае прихода (гыгы) людей в черном вы просто отдаете 2 нетфлова - и пусть ***ся и сопоставляют.

Если их и это не устроит - написать простецкий скрипт по отлавливанию соответствия внутреннего src и внешнего src по dst. Dst одинаковый же будет хоть на внешнем интерфейсе хоть на внутреннем.

Да, dst совпадает. А если они не говорят dst, только src ? : )

Троллите?! Включайте уже мозг же!

Я не тролю. Возможно я тупой, но я не понимаю, каков алгоритм поиска при сопоставлении двух нетфлоу, если сказали только src адрес - и это адрес NAT для всех ! ?

 

Могу ошибаться, сам не пробовал, но вроде conntrack-tools в Linux умеет логгировать трансляции.

умеет. Но я говорю - как там рационально это делать? Слишком огромные избыточне логи. Каждый пакет или соединение логироваться будет?

[martin74]

Ну и в конце концов. У вас есть только ваш белый ип. Ни в жисть не поверю, что вы не сможете предоставить список клиентов, кто от этого ип работал. Ну и пусть они уже свою задачу выполняют - из списка подозреваемых выбирают необходимых....

[ivan999]

Тогда научите их говорить ;) Потому что в 99% случае запрос без указания dst смысла не имеет ;)

Пришли ко мне, dst говорить не хотели. Получили лог на 350 листов мелким шрифтом. Подумали, пришли и по человечески рассказали, что им надо. Через 15 минут ушли с желаемым результатом.

А если они вас решили закрыть - так в таком случае их никакой вариант не устроит ;) все равно придумают к чему придраться....

не, вроде не решили закрыть. просто все местные провы - выдают белые IP - вот они и предъявляют нам претензии - что у нс неадекватная сеть : )))

 

Мы, в принципе готовы раздавать белые IP в тунели - тесты произведены удачно, "адреса закуплены". И действительно - плюсов больше - юзером классно без ната, поиск для органов - вообще красиво работает....

А то что тунели - так они и так у нас были - просто мы экономили - не покупали белые адреса -вот и юзали NAT. И еще юзали тунели - потому что там есть логин и пароль - без них клиенты стремаются - траф относительно дорогой, анлимов адекватныз мало....

 

Ну и в конце концов. У вас есть только ваш белый ип. Ни в жисть не поверю, что вы не сможете предоставить список клиентов, кто от этого ип работал. Ну и пусть они уже свою задачу выполняют - из списка подозреваемых выбирают необходимых....

А как я им этот список сделаю ? - если используется masquerade - т.е. под одним IP - все выходят в инет и главное - NAT не логируется...... Edited November 26, 2010 by ivan999

[martin74]

/me наверное извращенец.... Но у меня для ната используется /22 сетка....

 

[ivan999]

Ну, короче все ясно с NAT.

 

Наш выбор - "Купили" сетку /20 - раздаём динамически в тунели. Складываем логи ppp в стопку.

Дальше будем разгребать проблемы по мере их поступлений (я про тунели.....)

Пока это самое простое и логичное решение для нас (напомню - тунели и так мы юзали для доступа юзеров в инет - чтобы был пароль и AAA) - так что произведено минимум манипуляций. Органы и юзеры будут довольны : )