Перейти к содержимому
Калькуляторы

Вот смотрю на мигающий банер на NAG.RU про маршрутизатор, кторый умеет NAT.

 

Вопрос такой - неужели есть смысл в NAT для операторов связи?

 

1. Каким образом вы ответите спецслужбам, если придет запрос "Просим сообщить данные абонента, который осуществил доступ в интернет такого-то числа с такого-то IP адреса. При этом IP адрес назначения они в упор отказываются давать. И наш ответ" "у нас NAT...." - их не устроит. Они выписывают предписание - привести сеть в соответсвии с YYYY требованиями....в течение NNNN времени. Иначе - отзыв лицензии

 

Мы из-за этого и переходим на белые IP и отказываемся от NAT.

 

Но мы не решились на ходу перенастраивать сеть (не много ни мало - 10 тыщ клиентов) на белую адресацию "внутри" сети.

Доступ в инет юзеры осуществялют с помощью VPN - так белые адреса и раздаем в тунели - и храним ppp.log долго : )

 

Понятно - что тунели - тоже в перспективе приведут к проблемам - скорости с годами существенно возрастут . (сейчас пока трафик невелик из-за высоких цен на инет)

 

И переход на сеть без тунелей и без NAT - вопрос открытый и неизбежный.

 

Сети дробяться на VLAN - не важно как. Раздаются белые IP.

И IPv6 адресация решает проблему с нехваткой IPv4.

Только проблема из-за инерционности людей - максимально возможное время оттягивать переход на IPv6 - кому охота весь софт, утилиты, прошивки, железо , билинг и т.д. - наработанное десятками лет - допиливать до IPv6 - лишь крайняя нужда заставит - когда реально не будет белых IPv4 и их стоимость возрастет существенно.

 

P.S. Я могу ошибаться....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если NAT 1-в-1, то есть возможность логировать соответствие серого и белого IP, этого вполне достаточно чтобы по netflow найти нужные потоки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас органы устраивает, что это НАТ, и тогда дают ип назначения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

NAT технология не относится к запрещенным.

 

Кто выписывает предписание и на основании чего? Вы же не ответили "отказываем". Вы запросили дополнительные сведения, необходимые для выполнения запроса.

 

А переписывать старый софт и прошивки на IPv6 либо некому (продукт умер), либо потребует очень много денег - а за чей счет? И пока есть второй путь (более дешевый) все идут по нему. Ну если конкретно Вы имеете финансовые возможности оплатить переписывание прямо сейчас и Вам деньги девать больше некуда, то Вам памятник поставят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если NAT 1-в-1, то есть возможность логировать соответствие серого и белого IP, этого вполне достаточно чтобы по netflow найти нужные потоки.
ну, в принципе, да. Это решает проблему со спец органами. И вроде как не надо трогать внутреннюю серую адресацию....

Остается только вопрос с производительность железа для "натирования" и

сложности у абонентов из-за NAT (с p2p клиентами, и прочими сервисами, которым необходим прямой входящий конект "извне")

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но мы не решились на ходу перенастраивать сеть (не много ни мало - 10 тыщ клиентов) на белую адресацию "внутри" сети.

И получите огромный ботнет это раз.

Вирусы на компах клиентов(а виновать в этом будет конечно провайдер :)) - это два

Увеличение трафика на аплинках -это три

Это по минимуму

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

NAT технология не относится к запрещенным.

Ребята - нам "одна спецслужба" четко сказала: "ваш NAT - это прямая дорого к лишению лицензии. Сколько вам дать времени в разумных пределах, чтобы уйти от NAT....."

 

Они дают нам письменное предписание - привести сеть в такой вид, чтобы на вопрос - "кто был в инете с таким исходящим IP в такое-то время" - мы могли четко ответить.

Если мы этого не сделаем - уверяю - они лишат нас лицензии через местные органы власти - 100% !

 

Ну если конкретно Вы имеете финансовые возможности оплатить переписывание прямо сейчас и Вам деньги девать больше некуда, то Вам памятник поставят.
Ну, у нас молодая небольшая сеть - нам проще будет. Хотя мы даже не загадываем про IPv6 - вообще в планах даже нету - даже для небольшой свежой сети - это крайне гемморойно. И пока нет такой неообходимости.

 

Но мы не решились на ходу перенастраивать сеть (не много ни мало - 10 тыщ клиентов) на белую адресацию "внутри" сети.

И получите огромный ботнет это раз.

Вирусы на компах клиентов(а виновать в этом будет конечно провайдер :)) - это два

Увеличение трафика на аплинках -это три

Это по минимуму

Это вы все про отказ от NAT вообще (но разадчу белых адресов через тунели)? Или конкретно чистые белые IP и без тунелей ?

 

 

P.S. Все региональные провы в нашей провинции раздают белые IP либо pppoe либо pptp

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще вопрос крайне интересный

NAT ЗА и ПРОТИВ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да какие тут "за" могут быть, один гимморой... чем проще тем лучше, белый IP клиенту без натов и тунелей...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да какие тут "за" могут быть, один гимморой... чем проще тем лучше, белый IP клиенту без натов и тунелей...

как решать вопрос с увеличением левого трафа, бот-нетов и т.д.?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но мы не решились на ходу перенастраивать сеть (не много ни мало - 10 тыщ клиентов) на белую адресацию "внутри" сети.

И получите огромный ботнет это раз.

Вирусы на компах клиентов(а виновать в этом будет конечно провайдер :)) - это два

Увеличение трафика на аплинках -это три

Это по минимуму

А разве НАТ в таком случае панацея?

Что мешает блокировать входящие TCP setup на клиентов? Что мешает правильно зафильтровать все? Да ничто и никто!

На западе тыщи организаций с внутренними реальными IP и работают. И работают.

 

Внимательнее надо будет работать - ага.

Для реальников надо перестраивать инфраструктуру и смотреть в сторону ISG. Ведь до сих пор весь мусор и вирусня болталась внутри сети.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

какая у вас страшная спецслужба...

А netflow с pptp интерфейса не спасет отца русской демократии?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

какая у вас страшная спецслужба...

А netflow с pptp интерфейса не спасет отца русской демократии?

Повторяю - необходима возможность искать по адресу источника. Органы присылают бумажку с запрсоом, где фигурирует мой белый IP , который используется для NATирования.

Если юзается NAT на внешнем интерфейсе, то в нетфлоу с pptp фейсов видим внутренние серые адреса юзеров.

Если в запросе органов указан внешний адрес назначения - то - да - нетфлоу нам в руки (так и делаем). Но если только src IP - то курим бамбук - если NAT - один IP на много людей - и не логируется.

 

Сейчас перехожу на выдачу белых IP для VPN - и тогда в логах ppp точно ясно кто , куда и когда.....

 

А NETflow - для поиска по адресам назначения....

Изменено пользователем ivan999

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вести 2 нетфлова?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вести 2 нетфлова?
вот здесь поподробней...

 

Зачем 2 нетфлова?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смотрите, у вас есть исчерпаемый ресурс - реальные IP.

У вас есть возможность вести нетфлов на внешнем интерфейсе и как правильно подсказали на внутренних.

В случае прихода (гыгы) людей в черном вы просто отдаете 2 нетфлова - и пусть ***ся и сопоставляют.

Если их и это не устроит - написать простецкий скрипт по отлавливанию соответствия внутреннего src и внешнего src по dst. Dst одинаковый же будет хоть на внешнем интерфейсе хоть на внутреннем.

Изменено пользователем yakuzzza

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смотрите, у вас есть исчерпаемый ресурс - реальные IP.

У вас есть возможность вести нетфлов на внешнем интерфейсе и как правильно подсказали на внутренних.

В случае прихода (гыгы) людей в черном вы просто отдаете 2 нетфлова - и пусть ***ся и сопоставляют.

Если их и это не устроит - написать простецкий скрипт по отлавливанию соответствия внутреннего src и внешнего src по dst. Dst одинаковый же будет хоть на внешнем интерфейсе хоть на внутреннем.

Да, dst совпадает. А если они не говорят dst, только src ? : ) (и это src - мой белый IP натирования десятков человек без всяких логов (Вообще можно ли рационально логировать masquerade ?))

Изменено пользователем ivan999

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смотрите, у вас есть исчерпаемый ресурс - реальные IP.

У вас есть возможность вести нетфлов на внешнем интерфейсе и как правильно подсказали на внутренних.

В случае прихода (гыгы) людей в черном вы просто отдаете 2 нетфлова - и пусть ***ся и сопоставляют.

Если их и это не устроит - написать простецкий скрипт по отлавливанию соответствия внутреннего src и внешнего src по dst. Dst одинаковый же будет хоть на внешнем интерфейсе хоть на внутреннем.

Да, dst совпадает. А если они не говорят dst, только src ? : )

Троллите?! Включайте уже мозг же!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Могу ошибаться, сам не пробовал, но вроде conntrack-tools в Linux умеет логгировать трансляции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда научите их говорить ;) Потому что в 99% случае запрос без указания dst смысла не имеет ;)

Пришли ко мне, dst говорить не хотели. Получили лог на 350 листов мелким шрифтом. Подумали, пришли и по человечески рассказали, что им надо. Через 15 минут ушли с желаемым результатом.

А если они вас решили закрыть - так в таком случае их никакой вариант не устроит ;) все равно придумают к чему придраться....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смотрите, у вас есть исчерпаемый ресурс - реальные IP.

У вас есть возможность вести нетфлов на внешнем интерфейсе и как правильно подсказали на внутренних.

В случае прихода (гыгы) людей в черном вы просто отдаете 2 нетфлова - и пусть ***ся и сопоставляют.

Если их и это не устроит - написать простецкий скрипт по отлавливанию соответствия внутреннего src и внешнего src по dst. Dst одинаковый же будет хоть на внешнем интерфейсе хоть на внутреннем.

Да, dst совпадает. А если они не говорят dst, только src ? : )

Троллите?! Включайте уже мозг же!

Я не тролю. Возможно я тупой, но я не понимаю, каков алгоритм поиска при сопоставлении двух нетфлоу, если сказали только src адрес - и это адрес NAT для всех ! ?

 

Могу ошибаться, сам не пробовал, но вроде conntrack-tools в Linux умеет логгировать трансляции.
умеет. Но я говорю - как там рационально это делать? Слишком огромные избыточне логи. Каждый пакет или соединение логироваться будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну и в конце концов. У вас есть только ваш белый ип. Ни в жисть не поверю, что вы не сможете предоставить список клиентов, кто от этого ип работал. Ну и пусть они уже свою задачу выполняют - из списка подозреваемых выбирают необходимых....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда научите их говорить ;) Потому что в 99% случае запрос без указания dst смысла не имеет ;)

Пришли ко мне, dst говорить не хотели. Получили лог на 350 листов мелким шрифтом. Подумали, пришли и по человечески рассказали, что им надо. Через 15 минут ушли с желаемым результатом.

А если они вас решили закрыть - так в таком случае их никакой вариант не устроит ;) все равно придумают к чему придраться....

не, вроде не решили закрыть. просто все местные провы - выдают белые IP - вот они и предъявляют нам претензии - что у нс неадекватная сеть : )))

 

Мы, в принципе готовы раздавать белые IP в тунели - тесты произведены удачно, "адреса закуплены". И действительно - плюсов больше - юзером классно без ната, поиск для органов - вообще красиво работает....

А то что тунели - так они и так у нас были - просто мы экономили - не покупали белые адреса -вот и юзали NAT. И еще юзали тунели - потому что там есть логин и пароль - без них клиенты стремаются - траф относительно дорогой, анлимов адекватныз мало....

 

Ну и в конце концов. У вас есть только ваш белый ип. Ни в жисть не поверю, что вы не сможете предоставить список клиентов, кто от этого ип работал. Ну и пусть они уже свою задачу выполняют - из списка подозреваемых выбирают необходимых....
А как я им этот список сделаю ? - если используется masquerade - т.е. под одним IP - все выходят в инет и главное - NAT не логируется......
Изменено пользователем ivan999

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/me наверное извращенец.... Но у меня для ната используется /22 сетка....

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну, короче все ясно с NAT.

 

Наш выбор - "Купили" сетку /20 - раздаём динамически в тунели. Складываем логи ppp в стопку.

Дальше будем разгребать проблемы по мере их поступлений (я про тунели.....)

Пока это самое простое и логичное решение для нас (напомню - тунели и так мы юзали для доступа юзеров в инет - чтобы был пароль и AAA) - так что произведено минимум манипуляций. Органы и юзеры будут довольны : )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.