ivan999 Опубликовано 26 ноября, 2010 · Жалоба Вот смотрю на мигающий банер на NAG.RU про маршрутизатор, кторый умеет NAT. Вопрос такой - неужели есть смысл в NAT для операторов связи? 1. Каким образом вы ответите спецслужбам, если придет запрос "Просим сообщить данные абонента, который осуществил доступ в интернет такого-то числа с такого-то IP адреса. При этом IP адрес назначения они в упор отказываются давать. И наш ответ" "у нас NAT...." - их не устроит. Они выписывают предписание - привести сеть в соответсвии с YYYY требованиями....в течение NNNN времени. Иначе - отзыв лицензии Мы из-за этого и переходим на белые IP и отказываемся от NAT. Но мы не решились на ходу перенастраивать сеть (не много ни мало - 10 тыщ клиентов) на белую адресацию "внутри" сети. Доступ в инет юзеры осуществялют с помощью VPN - так белые адреса и раздаем в тунели - и храним ppp.log долго : ) Понятно - что тунели - тоже в перспективе приведут к проблемам - скорости с годами существенно возрастут . (сейчас пока трафик невелик из-за высоких цен на инет) И переход на сеть без тунелей и без NAT - вопрос открытый и неизбежный. Сети дробяться на VLAN - не важно как. Раздаются белые IP. И IPv6 адресация решает проблему с нехваткой IPv4. Только проблема из-за инерционности людей - максимально возможное время оттягивать переход на IPv6 - кому охота весь софт, утилиты, прошивки, железо , билинг и т.д. - наработанное десятками лет - допиливать до IPv6 - лишь крайняя нужда заставит - когда реально не будет белых IPv4 и их стоимость возрастет существенно. P.S. Я могу ошибаться.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SokolovS Опубликовано 26 ноября, 2010 · Жалоба Если NAT 1-в-1, то есть возможность логировать соответствие серого и белого IP, этого вполне достаточно чтобы по netflow найти нужные потоки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 26 ноября, 2010 · Жалоба У нас органы устраивает, что это НАТ, и тогда дают ип назначения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 26 ноября, 2010 · Жалоба NAT технология не относится к запрещенным. Кто выписывает предписание и на основании чего? Вы же не ответили "отказываем". Вы запросили дополнительные сведения, необходимые для выполнения запроса. А переписывать старый софт и прошивки на IPv6 либо некому (продукт умер), либо потребует очень много денег - а за чей счет? И пока есть второй путь (более дешевый) все идут по нему. Ну если конкретно Вы имеете финансовые возможности оплатить переписывание прямо сейчас и Вам деньги девать больше некуда, то Вам памятник поставят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivan999 Опубликовано 26 ноября, 2010 · Жалоба Если NAT 1-в-1, то есть возможность логировать соответствие серого и белого IP, этого вполне достаточно чтобы по netflow найти нужные потоки.ну, в принципе, да. Это решает проблему со спец органами. И вроде как не надо трогать внутреннюю серую адресацию....Остается только вопрос с производительность железа для "натирования" и сложности у абонентов из-за NAT (с p2p клиентами, и прочими сервисами, которым необходим прямой входящий конект "извне") Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 26 ноября, 2010 · Жалоба Но мы не решились на ходу перенастраивать сеть (не много ни мало - 10 тыщ клиентов) на белую адресацию "внутри" сети. И получите огромный ботнет это раз. Вирусы на компах клиентов(а виновать в этом будет конечно провайдер :)) - это два Увеличение трафика на аплинках -это три Это по минимуму Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivan999 Опубликовано 26 ноября, 2010 · Жалоба NAT технология не относится к запрещенным. Ребята - нам "одна спецслужба" четко сказала: "ваш NAT - это прямая дорого к лишению лицензии. Сколько вам дать времени в разумных пределах, чтобы уйти от NAT....." Они дают нам письменное предписание - привести сеть в такой вид, чтобы на вопрос - "кто был в инете с таким исходящим IP в такое-то время" - мы могли четко ответить. Если мы этого не сделаем - уверяю - они лишат нас лицензии через местные органы власти - 100% ! Ну если конкретно Вы имеете финансовые возможности оплатить переписывание прямо сейчас и Вам деньги девать больше некуда, то Вам памятник поставят.Ну, у нас молодая небольшая сеть - нам проще будет. Хотя мы даже не загадываем про IPv6 - вообще в планах даже нету - даже для небольшой свежой сети - это крайне гемморойно. И пока нет такой неообходимости. Но мы не решились на ходу перенастраивать сеть (не много ни мало - 10 тыщ клиентов) на белую адресацию "внутри" сети. И получите огромный ботнет это раз. Вирусы на компах клиентов(а виновать в этом будет конечно провайдер :)) - это два Увеличение трафика на аплинках -это три Это по минимуму Это вы все про отказ от NAT вообще (но разадчу белых адресов через тунели)? Или конкретно чистые белые IP и без тунелей ? P.S. Все региональные провы в нашей провинции раздают белые IP либо pppoe либо pptp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 26 ноября, 2010 · Жалоба Вообще вопрос крайне интересный NAT ЗА и ПРОТИВ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 26 ноября, 2010 · Жалоба Да какие тут "за" могут быть, один гимморой... чем проще тем лучше, белый IP клиенту без натов и тунелей... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivan999 Опубликовано 26 ноября, 2010 · Жалоба Да какие тут "за" могут быть, один гимморой... чем проще тем лучше, белый IP клиенту без натов и тунелей... как решать вопрос с увеличением левого трафа, бот-нетов и т.д.? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 26 ноября, 2010 · Жалоба Но мы не решились на ходу перенастраивать сеть (не много ни мало - 10 тыщ клиентов) на белую адресацию "внутри" сети. И получите огромный ботнет это раз. Вирусы на компах клиентов(а виновать в этом будет конечно провайдер :)) - это два Увеличение трафика на аплинках -это три Это по минимуму А разве НАТ в таком случае панацея? Что мешает блокировать входящие TCP setup на клиентов? Что мешает правильно зафильтровать все? Да ничто и никто! На западе тыщи организаций с внутренними реальными IP и работают. И работают. Внимательнее надо будет работать - ага. Для реальников надо перестраивать инфраструктуру и смотреть в сторону ISG. Ведь до сих пор весь мусор и вирусня болталась внутри сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 26 ноября, 2010 · Жалоба какая у вас страшная спецслужба... А netflow с pptp интерфейса не спасет отца русской демократии? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivan999 Опубликовано 26 ноября, 2010 (изменено) · Жалоба какая у вас страшная спецслужба...А netflow с pptp интерфейса не спасет отца русской демократии? Повторяю - необходима возможность искать по адресу источника. Органы присылают бумажку с запрсоом, где фигурирует мой белый IP , который используется для NATирования. Если юзается NAT на внешнем интерфейсе, то в нетфлоу с pptp фейсов видим внутренние серые адреса юзеров. Если в запросе органов указан внешний адрес назначения - то - да - нетфлоу нам в руки (так и делаем). Но если только src IP - то курим бамбук - если NAT - один IP на много людей - и не логируется. Сейчас перехожу на выдачу белых IP для VPN - и тогда в логах ppp точно ясно кто , куда и когда..... А NETflow - для поиска по адресам назначения.... Изменено 26 ноября, 2010 пользователем ivan999 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 26 ноября, 2010 · Жалоба Вести 2 нетфлова? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivan999 Опубликовано 26 ноября, 2010 · Жалоба Вести 2 нетфлова?вот здесь поподробней... Зачем 2 нетфлова? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 26 ноября, 2010 (изменено) · Жалоба Смотрите, у вас есть исчерпаемый ресурс - реальные IP. У вас есть возможность вести нетфлов на внешнем интерфейсе и как правильно подсказали на внутренних. В случае прихода (гыгы) людей в черном вы просто отдаете 2 нетфлова - и пусть ***ся и сопоставляют. Если их и это не устроит - написать простецкий скрипт по отлавливанию соответствия внутреннего src и внешнего src по dst. Dst одинаковый же будет хоть на внешнем интерфейсе хоть на внутреннем. Изменено 26 ноября, 2010 пользователем yakuzzza Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivan999 Опубликовано 26 ноября, 2010 (изменено) · Жалоба Смотрите, у вас есть исчерпаемый ресурс - реальные IP.У вас есть возможность вести нетфлов на внешнем интерфейсе и как правильно подсказали на внутренних. В случае прихода (гыгы) людей в черном вы просто отдаете 2 нетфлова - и пусть ***ся и сопоставляют. Если их и это не устроит - написать простецкий скрипт по отлавливанию соответствия внутреннего src и внешнего src по dst. Dst одинаковый же будет хоть на внешнем интерфейсе хоть на внутреннем. Да, dst совпадает. А если они не говорят dst, только src ? : ) (и это src - мой белый IP натирования десятков человек без всяких логов (Вообще можно ли рационально логировать masquerade ?)) Изменено 26 ноября, 2010 пользователем ivan999 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 26 ноября, 2010 · Жалоба Смотрите, у вас есть исчерпаемый ресурс - реальные IP.У вас есть возможность вести нетфлов на внешнем интерфейсе и как правильно подсказали на внутренних. В случае прихода (гыгы) людей в черном вы просто отдаете 2 нетфлова - и пусть ***ся и сопоставляют. Если их и это не устроит - написать простецкий скрипт по отлавливанию соответствия внутреннего src и внешнего src по dst. Dst одинаковый же будет хоть на внешнем интерфейсе хоть на внутреннем. Да, dst совпадает. А если они не говорят dst, только src ? : ) Троллите?! Включайте уже мозг же! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitalyb Опубликовано 26 ноября, 2010 · Жалоба Могу ошибаться, сам не пробовал, но вроде conntrack-tools в Linux умеет логгировать трансляции. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 26 ноября, 2010 · Жалоба Тогда научите их говорить ;) Потому что в 99% случае запрос без указания dst смысла не имеет ;) Пришли ко мне, dst говорить не хотели. Получили лог на 350 листов мелким шрифтом. Подумали, пришли и по человечески рассказали, что им надо. Через 15 минут ушли с желаемым результатом. А если они вас решили закрыть - так в таком случае их никакой вариант не устроит ;) все равно придумают к чему придраться.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivan999 Опубликовано 26 ноября, 2010 · Жалоба Смотрите, у вас есть исчерпаемый ресурс - реальные IP.У вас есть возможность вести нетфлов на внешнем интерфейсе и как правильно подсказали на внутренних. В случае прихода (гыгы) людей в черном вы просто отдаете 2 нетфлова - и пусть ***ся и сопоставляют. Если их и это не устроит - написать простецкий скрипт по отлавливанию соответствия внутреннего src и внешнего src по dst. Dst одинаковый же будет хоть на внешнем интерфейсе хоть на внутреннем. Да, dst совпадает. А если они не говорят dst, только src ? : ) Троллите?! Включайте уже мозг же! Я не тролю. Возможно я тупой, но я не понимаю, каков алгоритм поиска при сопоставлении двух нетфлоу, если сказали только src адрес - и это адрес NAT для всех ! ? Могу ошибаться, сам не пробовал, но вроде conntrack-tools в Linux умеет логгировать трансляции.умеет. Но я говорю - как там рационально это делать? Слишком огромные избыточне логи. Каждый пакет или соединение логироваться будет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 26 ноября, 2010 · Жалоба Ну и в конце концов. У вас есть только ваш белый ип. Ни в жисть не поверю, что вы не сможете предоставить список клиентов, кто от этого ип работал. Ну и пусть они уже свою задачу выполняют - из списка подозреваемых выбирают необходимых.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivan999 Опубликовано 26 ноября, 2010 (изменено) · Жалоба Тогда научите их говорить ;) Потому что в 99% случае запрос без указания dst смысла не имеет ;)Пришли ко мне, dst говорить не хотели. Получили лог на 350 листов мелким шрифтом. Подумали, пришли и по человечески рассказали, что им надо. Через 15 минут ушли с желаемым результатом. А если они вас решили закрыть - так в таком случае их никакой вариант не устроит ;) все равно придумают к чему придраться.... не, вроде не решили закрыть. просто все местные провы - выдают белые IP - вот они и предъявляют нам претензии - что у нс неадекватная сеть : ))) Мы, в принципе готовы раздавать белые IP в тунели - тесты произведены удачно, "адреса закуплены". И действительно - плюсов больше - юзером классно без ната, поиск для органов - вообще красиво работает.... А то что тунели - так они и так у нас были - просто мы экономили - не покупали белые адреса -вот и юзали NAT. И еще юзали тунели - потому что там есть логин и пароль - без них клиенты стремаются - траф относительно дорогой, анлимов адекватныз мало.... Ну и в конце концов. У вас есть только ваш белый ип. Ни в жисть не поверю, что вы не сможете предоставить список клиентов, кто от этого ип работал. Ну и пусть они уже свою задачу выполняют - из списка подозреваемых выбирают необходимых....А как я им этот список сделаю ? - если используется masquerade - т.е. под одним IP - все выходят в инет и главное - NAT не логируется...... Изменено 26 ноября, 2010 пользователем ivan999 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 26 ноября, 2010 · Жалоба /me наверное извращенец.... Но у меня для ната используется /22 сетка.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivan999 Опубликовано 26 ноября, 2010 · Жалоба Ну, короче все ясно с NAT. Наш выбор - "Купили" сетку /20 - раздаём динамически в тунели. Складываем логи ppp в стопку. Дальше будем разгребать проблемы по мере их поступлений (я про тунели.....) Пока это самое простое и логичное решение для нас (напомню - тунели и так мы юзали для доступа юзеров в инет - чтобы был пароль и AAA) - так что произведено минимум манипуляций. Органы и юзеры будут довольны : ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...