[Negator]

Покажите ради интереса график загрузки канала до введения белых адресов и после

[ivan999]

Покажите ради интереса график загрузки канала до введения белых адресов и после

Хорошо. Но будем переходить на новую схему недели через 2-3 (сейчас пока мы все еще за NAT).

 

И еще будет погрешность - ибо тут совпадает событие - снижение тарифов на 30-70%,

Изменено 26 ноября, 2010 пользователем ivan999

[yakuzzza]

+100500.

Полностью поддерживаю.

[Andrei]

Они дают нам письменное предписание - привести сеть в такой вид, чтобы на вопрос - "кто был в инете с таким исходящим IP в такое-то время" - мы могли четко ответить.

Если мы этого не сделаем - уверяю - они лишат нас лицензии через местные органы власти - 100% !

Какая у вас суровая "контора" :)

Лицензий ФСБ не лишает. А уж "лишат нас лицензии через местные органы власти" - это чисто в юмор :)

 

неужели есть смысл в NAT для операторов связи?

А когда банально не хватает белых адресов, что предлагаете?

[ivan999]

Они дают нам письменное предписание - привести сеть в такой вид, чтобы на вопрос - "кто был в инете с таким исходящим IP в такое-то время" - мы могли четко ответить.

Если мы этого не сделаем - уверяю - они лишат нас лицензии через местные органы власти - 100% !

Какая у вас суровая "контора" :)

Лицензий ФСБ не лишает. А уж "лишат нас лицензии через местные органы власти" - это чисто в юмор :)

 

неужели есть смысл в NAT для операторов связи?

А когда банально не хватает белых адресов, что предлагаете?

 

1. Кто сказал,что речь идет о ФСБ и о России?

(Но я реально затупил, я перепутал св-во о регистрации юрлица (кторое выдает местный огран власти) с лицензий на осуществление деятельности в области связи . Но сути не меняет - если захотят - закроют любыми способами. Ну не нравиться им NAT

 

2. Пока сколько не просили адресов - никто не отказывал - хватает. Хотя, повторю - сетка относительно не большая - 10 тыщ договоров. Значит в ЧНН - 2 -2,5 тыщи адресов нужно. Взяли /20 без проблем (4096 адресов грубо)

А если не хватает адресов - IPv6 - неизбежен, как потухание звезды по имени Солнце. Хотя ой как не хочется....

 

 

[st_re]

Ну, если по условиям задачи стоит "определить абонента по внешнему адресу SRC", то варианта ровно 2. Или выдавать адреса напрямую абонентам или натить 1-1 в каждый момент времени. (ну третий, договориться, и четвертый закрыться, я так понимаю не приемлимы ;)

 

У нас обычно устраивает что нужна пара адресов. И тогда у меня все есть. (трафик снят до ната)

[Negator]

2.5000 чнн и 10.000 всего это уже не пионерия

это уже можно железок купить и вообще

[yakuzzza]

to ivan999

 

Объясняю на пальцах еще раз тему про 2 нетфлова.

Есть внешний интерфейс и внутренние интерфейсы браса. Предполагаем, что PPPoE/VPN/IPoE терминируем на этом брасе.

Снимаем нетфлов статистику с внешнего интерфейса. В ней хранится src с нашими реальными IP и какой-то dst и то же самое наоборот.

Снимаем стасистику с внутренних интерфейсов/интерфейса. В ней src нашего абонента с серым IP и dst какого-то ресурса сети Интернет.

 

Самое главное - ответ на вопрос, как найти клиента с серым IP по src нашего браса (это наш некий реальный IP)?

 

Берем затребованный реальный src - это src браса.

Смотрим статистику нетфлов и ищем все, что касается нашего требуемого src. Получаем, что в 1 момент dst и по внешнему интерфейсу и по внутреннему - одинаковые. По этому признаку получаем кто из абонентов подключался в Интернет с использованием затребованного реального IP (это и есть интересующий src нашей сети). Здесь необходимо также иметь ввиду, что для однозначного определения абонента придется логгировать и выдачу серых IP-адресов, в случае использования динамического назначения IP-адресов для абонентов из пула серых IP. В случае привязки серого IP к абоненту статически такой необходимости нет.

 

Это позволит отвечать на вопросы уполномоченных органов и не тратить деньги на PI-блоки. А уж какую вы политику подключения проводите у себя в сети не должно интересовать уполномоченные органы. Вы никаких стандартов не нарушаете.

 

PS: реальных адресов на всех все равно не хватит, тем более с тенденцией массового внедрения AS+PI-блок даже у мелких провайдеров. Cisco/Juniper/Alcatel-Lucent/Ericsson и прочие вендоры не зря вышли с новыми продуктами на рынок, в которых реализован NAT на огромное количество сессий.

[ivan999]

Спасибо, что разжевали - я все понял. Это реальный алгоритм. И реальный выход использовать NAT и находить юзера даже только зная время и белый SRC IP .

Хотя решение принято уже - выдавать белые IP. Но никто не мешает параллельно настроить и обкатать схему с NAT и сбор netflow статы до и после NAT.

И если вдруг понадобиться - можно в любой момент вернуться к NAT.

 

...В случае привязки серого IP к абоненту статически такой необходимости нет.

Привязка есть (DHCP Option82)

 

А уж какую вы политику подключения проводите у себя в сети не должно интересовать уполномоченные органы. Вы никаких стандартов не нарушаете.

Да. Согласен. Органам все-таки не важно как ты раздаешь белые IP - главное им ответить - "кто,куда,когда..."

[Dark_Angel]

Если внешний NAT адрес один, а не пул. Или пул, но жестко прибитый, можно обойтись сбором флова до НАТ, а после уже не собирать.

[YuryD]

Если внешний NAT адрес один, а не пул. Или пул, но жестко прибитый, можно обойтись сбором флова до НАТ, а после уже не собирать.

Да в общем-то флоу там не спасает положения, когда что-то из-под твоего нат лезет на ферму типа майлвру... И все вроде есть, вот только сессий в это время не одна, а пара сотен...

[yakuzzza]

Если внешний NAT адрес один, а не пул. Или пул, но жестко прибитый, можно обойтись сбором флова до НАТ, а после уже не собирать.

Да в общем-то флоу там не спасает положения, когда что-то из-под твоего нат лезет на ферму типа майлвру... И все вроде есть, вот только сессий в это время не одна, а пара сотен...

Почему?

Скажете: в указанное время с мейлру работало 300 абонентов из моей сети. И фловы отдавайте. Ну и не стоит забывать о том, что в 1 момент даже 1000 сессий, но у каждой будет свой SRC порт.

[st_re]

Почему?

Скажете: в указанное время с мейлру работало 300 абонентов из моей сети. И фловы отдавайте. Ну и не стоит забывать о том, что в 1 момент даже 1000 сессий, но у каждой будет свой SRC порт.

Так вроде как спецслужбы у топикстартера

1. Не дали ни портов ни IP другой стороны. А только IP его. ВСЕ.

2. И ответ > 1 абонента их, вроде как тоже не устроил.

 

У него технических вариантов ровно 2. или нат 1:1 или реальники. Нужно чтобы в каждый момент времени внешний IP был только у одного абонента.

 

Если же есть другая сторона и порты, то тогда да, или снятие трафика до ната или сама таблица ната спасет положение. Но это нужно договариваться со спец службами, чтобы дали доп. информацию и не полоскали моск.

[yakuzzza]

Почему?

Скажете: в указанное время с мейлру работало 300 абонентов из моей сети. И фловы отдавайте. Ну и не стоит забывать о том, что в 1 момент даже 1000 сессий, но у каждой будет свой SRC порт.

Так вроде как спецслужбы у топикстартера

1. Не дали ни портов ни IP другой стороны. А только IP его. ВСЕ.

2. И ответ > 1 абонента их, вроде как тоже не устроил.

 

У него технических вариантов ровно 2. или нат 1:1 или реальники. Нужно чтобы в каждый момент времени внешний IP был только у одного абонента.

 

Если же есть другая сторона и порты, то тогда да, или снятие трафика до ната или сама таблица ната спасет положение. Но это нужно договариваться со спец службами, чтобы дали доп. информацию и не полоскали моск.

Что значит не устраивает? Есть запрос от спецслужб - вот ответ. Уточнить хотите - давайте дополнительные данные. Не настолько там тупые ребята, как все думают. Это даже из личного опыта общения с тем же СБУ (Украина).

Нат 1 в 1, реальники и проч - это не спецслужбам решать как проектировать сеть, еще раз повторяю.

Изменено 29 ноября, 2010 пользователем yakuzzza

[Negator]

Что значит не устраивает? Есть запрос от спецслужб - вот ответ. Уточнить хотите - давайте дополнительные данные. Не настолько там тупые ребята, как все думают. Это даже из личного опыта общения с тем же СБУ (Украина).

Нат 1 в 1, реальники и проч - это не спецслужбам решать как проектировать сеть, еще раз повторя

А по моему опыту все же тупые. Уж не знаю про именно спецслужбы - но из МВД не раз были недовольны просьбой уточнить. Некоторые вообще не слыхали что такое НАТ и попытались заставить нас разгребать логи.

На практике все решается легко телефонным разговором с попыткой понять что именно им надо. Обычно совсем не то что пишут.

А вообще тут правильно пишут -нечего спецслужбам решать как нам строить сеть. Не сумеют уточнить запрос -сами виноваты.

[martin74]

я же еще на прошлой странице сказал - учите их разговаривать. И сами учитесь. И все будет....

[YuryD]

Скажете: в указанное время с мейлру работало 300 абонентов из моей сети. И фловы отдавайте. Ну и не стоит забывать о том, что в 1 момент даже 1000 сессий, но у каждой будет свой SRC порт.

Некто отправил письмо с майлвру, что и где можно увидеть в заголовках ? Правильно, - только Ip вашего ната.

[andriko]

Скажете: в указанное время с мейлру работало 300 абонентов из моей сети. И фловы отдавайте. Ну и не стоит забывать о том, что в 1 момент даже 1000 сессий, но у каждой будет свой SRC порт.

Некто отправил письмо с майлвру, что и где можно увидеть в заголовках ? Правильно, - только Ip вашего ната.

все остальное можно увидеть у майлвру? :)

[DelSt]

как-то письмо пришло - просили указать кому принадлежит ip-адрес 192.168.0.2...

сослась на то что не наш диапазон :)

[Ivan_83]

Правильно, - только Ip вашего ната.

Ещё как минимум время там есть, не один раз.

 

 

все остальное можно увидеть у майлвру? :)

У них всё логируется...

 

 

как-то письмо пришло - просили указать кому принадлежит ip-адрес 192.168.0.2...

сослась на то что не наш диапазон :)

Если письмо электронное, то 80% что этот адрес где то рядом с отправителем запроса %)

[YuryD]

все остальное можно увидеть у майлвру? :)

Вы это реально пробовали увидеть ?

[andriko]

все остальное можно увидеть у майлвру? :)

Вы это реально пробовали увидеть ?

так мне ж неположено ...

 

НАТ НЕзапрещен законодательно.

 

а то следующий запрос будет "кто-то отправил что-то с Вашей Аски" - найти и доложить.

[yakuzzza]

Скажете: в указанное время с мейлру работало 300 абонентов из моей сети. И фловы отдавайте. Ну и не стоит забывать о том, что в 1 момент даже 1000 сессий, но у каждой будет свой SRC порт.

Некто отправил письмо с майлвру, что и где можно увидеть в заголовках ? Правильно, - только Ip вашего ната.

Если конкретно письмо и наш нат, то письмо отправят от нас только через наш релей - это раз, логи покажут кто отправлял - это два.

Ну и не путайте уже письма-аськи с натом и netflowом.

[martin74]

зайдя на сайт mail.ru и отправив письмо с его вебинтерфейса - письмо через ваш релей уйдет? научите, я у себя так же сделаю...

А вообще - фиксируется время и +- 15 минут от указанной даты смотрится, кто был на веб интерфейсе mail.ru... Полученный список отдается запросившим, дальше уже их работа...

[Negator]

их будут сотни