Negator Опубликовано 26 ноября, 2010 · Жалоба Покажите ради интереса график загрузки канала до введения белых адресов и после Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivan999 Опубликовано 26 ноября, 2010 (изменено) · Жалоба Покажите ради интереса график загрузки канала до введения белых адресов и послеХорошо. Но будем переходить на новую схему недели через 2-3 (сейчас пока мы все еще за NAT). И еще будет погрешность - ибо тут совпадает событие - снижение тарифов на 30-70%, Изменено 26 ноября, 2010 пользователем ivan999 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 26 ноября, 2010 · Жалоба +100500. Полностью поддерживаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 27 ноября, 2010 · Жалоба Они дают нам письменное предписание - привести сеть в такой вид, чтобы на вопрос - "кто был в инете с таким исходящим IP в такое-то время" - мы могли четко ответить.Если мы этого не сделаем - уверяю - они лишат нас лицензии через местные органы власти - 100% ! Какая у вас суровая "контора" :)Лицензий ФСБ не лишает. А уж "лишат нас лицензии через местные органы власти" - это чисто в юмор :) неужели есть смысл в NAT для операторов связи?А когда банально не хватает белых адресов, что предлагаете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivan999 Опубликовано 27 ноября, 2010 · Жалоба Они дают нам письменное предписание - привести сеть в такой вид, чтобы на вопрос - "кто был в инете с таким исходящим IP в такое-то время" - мы могли четко ответить.Если мы этого не сделаем - уверяю - они лишат нас лицензии через местные органы власти - 100% ! Какая у вас суровая "контора" :)Лицензий ФСБ не лишает. А уж "лишат нас лицензии через местные органы власти" - это чисто в юмор :) неужели есть смысл в NAT для операторов связи?А когда банально не хватает белых адресов, что предлагаете? 1. Кто сказал,что речь идет о ФСБ и о России? (Но я реально затупил, я перепутал св-во о регистрации юрлица (кторое выдает местный огран власти) с лицензий на осуществление деятельности в области связи . Но сути не меняет - если захотят - закроют любыми способами. Ну не нравиться им NAT 2. Пока сколько не просили адресов - никто не отказывал - хватает. Хотя, повторю - сетка относительно не большая - 10 тыщ договоров. Значит в ЧНН - 2 -2,5 тыщи адресов нужно. Взяли /20 без проблем (4096 адресов грубо) А если не хватает адресов - IPv6 - неизбежен, как потухание звезды по имени Солнце. Хотя ой как не хочется.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 27 ноября, 2010 · Жалоба Ну, если по условиям задачи стоит "определить абонента по внешнему адресу SRC", то варианта ровно 2. Или выдавать адреса напрямую абонентам или натить 1-1 в каждый момент времени. (ну третий, договориться, и четвертый закрыться, я так понимаю не приемлимы ;) У нас обычно устраивает что нужна пара адресов. И тогда у меня все есть. (трафик снят до ната) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 27 ноября, 2010 · Жалоба 2.5000 чнн и 10.000 всего это уже не пионерия это уже можно железок купить и вообще Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 27 ноября, 2010 · Жалоба to ivan999 Объясняю на пальцах еще раз тему про 2 нетфлова. Есть внешний интерфейс и внутренние интерфейсы браса. Предполагаем, что PPPoE/VPN/IPoE терминируем на этом брасе. Снимаем нетфлов статистику с внешнего интерфейса. В ней хранится src с нашими реальными IP и какой-то dst и то же самое наоборот. Снимаем стасистику с внутренних интерфейсов/интерфейса. В ней src нашего абонента с серым IP и dst какого-то ресурса сети Интернет. Самое главное - ответ на вопрос, как найти клиента с серым IP по src нашего браса (это наш некий реальный IP)? Берем затребованный реальный src - это src браса. Смотрим статистику нетфлов и ищем все, что касается нашего требуемого src. Получаем, что в 1 момент dst и по внешнему интерфейсу и по внутреннему - одинаковые. По этому признаку получаем кто из абонентов подключался в Интернет с использованием затребованного реального IP (это и есть интересующий src нашей сети). Здесь необходимо также иметь ввиду, что для однозначного определения абонента придется логгировать и выдачу серых IP-адресов, в случае использования динамического назначения IP-адресов для абонентов из пула серых IP. В случае привязки серого IP к абоненту статически такой необходимости нет. Это позволит отвечать на вопросы уполномоченных органов и не тратить деньги на PI-блоки. А уж какую вы политику подключения проводите у себя в сети не должно интересовать уполномоченные органы. Вы никаких стандартов не нарушаете. PS: реальных адресов на всех все равно не хватит, тем более с тенденцией массового внедрения AS+PI-блок даже у мелких провайдеров. Cisco/Juniper/Alcatel-Lucent/Ericsson и прочие вендоры не зря вышли с новыми продуктами на рынок, в которых реализован NAT на огромное количество сессий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivan999 Опубликовано 27 ноября, 2010 · Жалоба Спасибо, что разжевали - я все понял. Это реальный алгоритм. И реальный выход использовать NAT и находить юзера даже только зная время и белый SRC IP . Хотя решение принято уже - выдавать белые IP. Но никто не мешает параллельно настроить и обкатать схему с NAT и сбор netflow статы до и после NAT. И если вдруг понадобиться - можно в любой момент вернуться к NAT. ...В случае привязки серого IP к абоненту статически такой необходимости нет.Привязка есть (DHCP Option82) А уж какую вы политику подключения проводите у себя в сети не должно интересовать уполномоченные органы. Вы никаких стандартов не нарушаете.Да. Согласен. Органам все-таки не важно как ты раздаешь белые IP - главное им ответить - "кто,куда,когда..." Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dark_Angel Опубликовано 28 ноября, 2010 · Жалоба Если внешний NAT адрес один, а не пул. Или пул, но жестко прибитый, можно обойтись сбором флова до НАТ, а после уже не собирать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 29 ноября, 2010 · Жалоба Если внешний NAT адрес один, а не пул. Или пул, но жестко прибитый, можно обойтись сбором флова до НАТ, а после уже не собирать. Да в общем-то флоу там не спасает положения, когда что-то из-под твоего нат лезет на ферму типа майлвру... И все вроде есть, вот только сессий в это время не одна, а пара сотен... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 29 ноября, 2010 · Жалоба Если внешний NAT адрес один, а не пул. Или пул, но жестко прибитый, можно обойтись сбором флова до НАТ, а после уже не собирать. Да в общем-то флоу там не спасает положения, когда что-то из-под твоего нат лезет на ферму типа майлвру... И все вроде есть, вот только сессий в это время не одна, а пара сотен... Почему? Скажете: в указанное время с мейлру работало 300 абонентов из моей сети. И фловы отдавайте. Ну и не стоит забывать о том, что в 1 момент даже 1000 сессий, но у каждой будет свой SRC порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 29 ноября, 2010 · Жалоба Почему? Скажете: в указанное время с мейлру работало 300 абонентов из моей сети. И фловы отдавайте. Ну и не стоит забывать о том, что в 1 момент даже 1000 сессий, но у каждой будет свой SRC порт. Так вроде как спецслужбы у топикстартера 1. Не дали ни портов ни IP другой стороны. А только IP его. ВСЕ. 2. И ответ > 1 абонента их, вроде как тоже не устроил. У него технических вариантов ровно 2. или нат 1:1 или реальники. Нужно чтобы в каждый момент времени внешний IP был только у одного абонента. Если же есть другая сторона и порты, то тогда да, или снятие трафика до ната или сама таблица ната спасет положение. Но это нужно договариваться со спец службами, чтобы дали доп. информацию и не полоскали моск. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 29 ноября, 2010 (изменено) · Жалоба Почему? Скажете: в указанное время с мейлру работало 300 абонентов из моей сети. И фловы отдавайте. Ну и не стоит забывать о том, что в 1 момент даже 1000 сессий, но у каждой будет свой SRC порт. Так вроде как спецслужбы у топикстартера 1. Не дали ни портов ни IP другой стороны. А только IP его. ВСЕ. 2. И ответ > 1 абонента их, вроде как тоже не устроил. У него технических вариантов ровно 2. или нат 1:1 или реальники. Нужно чтобы в каждый момент времени внешний IP был только у одного абонента. Если же есть другая сторона и порты, то тогда да, или снятие трафика до ната или сама таблица ната спасет положение. Но это нужно договариваться со спец службами, чтобы дали доп. информацию и не полоскали моск. Что значит не устраивает? Есть запрос от спецслужб - вот ответ. Уточнить хотите - давайте дополнительные данные. Не настолько там тупые ребята, как все думают. Это даже из личного опыта общения с тем же СБУ (Украина). Нат 1 в 1, реальники и проч - это не спецслужбам решать как проектировать сеть, еще раз повторяю. Изменено 29 ноября, 2010 пользователем yakuzzza Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 29 ноября, 2010 · Жалоба Что значит не устраивает? Есть запрос от спецслужб - вот ответ. Уточнить хотите - давайте дополнительные данные. Не настолько там тупые ребята, как все думают. Это даже из личного опыта общения с тем же СБУ (Украина).Нат 1 в 1, реальники и проч - это не спецслужбам решать как проектировать сеть, еще раз повторя А по моему опыту все же тупые. Уж не знаю про именно спецслужбы - но из МВД не раз были недовольны просьбой уточнить. Некоторые вообще не слыхали что такое НАТ и попытались заставить нас разгребать логи. На практике все решается легко телефонным разговором с попыткой понять что именно им надо. Обычно совсем не то что пишут. А вообще тут правильно пишут -нечего спецслужбам решать как нам строить сеть. Не сумеют уточнить запрос -сами виноваты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 30 ноября, 2010 · Жалоба я же еще на прошлой странице сказал - учите их разговаривать. И сами учитесь. И все будет.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 30 ноября, 2010 · Жалоба Скажете: в указанное время с мейлру работало 300 абонентов из моей сети. И фловы отдавайте. Ну и не стоит забывать о том, что в 1 момент даже 1000 сессий, но у каждой будет свой SRC порт. Некто отправил письмо с майлвру, что и где можно увидеть в заголовках ? Правильно, - только Ip вашего ната. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andriko Опубликовано 30 ноября, 2010 · Жалоба Скажете: в указанное время с мейлру работало 300 абонентов из моей сети. И фловы отдавайте. Ну и не стоит забывать о том, что в 1 момент даже 1000 сессий, но у каждой будет свой SRC порт. Некто отправил письмо с майлвру, что и где можно увидеть в заголовках ? Правильно, - только Ip вашего ната. все остальное можно увидеть у майлвру? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DelSt Опубликовано 30 ноября, 2010 · Жалоба как-то письмо пришло - просили указать кому принадлежит ip-адрес 192.168.0.2... сослась на то что не наш диапазон :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 30 ноября, 2010 · Жалоба Правильно, - только Ip вашего ната.Ещё как минимум время там есть, не один раз. все остальное можно увидеть у майлвру? :)У них всё логируется... как-то письмо пришло - просили указать кому принадлежит ip-адрес 192.168.0.2...сослась на то что не наш диапазон :) Если письмо электронное, то 80% что этот адрес где то рядом с отправителем запроса %) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 30 ноября, 2010 · Жалоба все остальное можно увидеть у майлвру? :) Вы это реально пробовали увидеть ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andriko Опубликовано 30 ноября, 2010 · Жалоба все остальное можно увидеть у майлвру? :) Вы это реально пробовали увидеть ? так мне ж неположено ... НАТ НЕзапрещен законодательно. а то следующий запрос будет "кто-то отправил что-то с Вашей Аски" - найти и доложить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 30 ноября, 2010 · Жалоба Скажете: в указанное время с мейлру работало 300 абонентов из моей сети. И фловы отдавайте. Ну и не стоит забывать о том, что в 1 момент даже 1000 сессий, но у каждой будет свой SRC порт. Некто отправил письмо с майлвру, что и где можно увидеть в заголовках ? Правильно, - только Ip вашего ната. Если конкретно письмо и наш нат, то письмо отправят от нас только через наш релей - это раз, логи покажут кто отправлял - это два.Ну и не путайте уже письма-аськи с натом и netflowом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 30 ноября, 2010 · Жалоба зайдя на сайт mail.ru и отправив письмо с его вебинтерфейса - письмо через ваш релей уйдет? научите, я у себя так же сделаю... А вообще - фиксируется время и +- 15 минут от указанной даты смотрится, кто был на веб интерфейсе mail.ru... Полученный список отдается запросившим, дальше уже их работа... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 30 ноября, 2010 · Жалоба их будут сотни Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...