<div dir="auto">Bem, sei que vou parecer muito drástico mas, não seita mais interessante criar esforços para GRITAR para Sony, Microsoft, desenvolvedoras de games e todos os outros que deem prioridade para usar IPv6 sendo bem claro que IPv4 vai ser dor de cabeça num furo próximo (ou no presente)? Eu defendo, todos nós de infra, nós juntar e falarmos para os usuários e fornecedores de aplicações que, como diz o Damito (e eu assino em baixo), IPv4 é legado...<div dir="auto"><br></div><div dir="auto">Sei que IPv4 hoje ainda é muito usado mas, precisamos empurrar o v6 para crescer com força e, fazer o mínimo esforço em relação ao v4. </div><div dir="auto"><br></div><div dir="auto">Como disse, é só a minha opinião... </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Em qui, 23 de jul de 2020 14:56, Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com">fischerdouglas@gmail.com</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_default" style="font-family:courier new,monospace;font-size:small">Eu escrevi essa montoeira de siglas ali em cima...<br>Mas tenho certeza que o que chamou atenção dos coleguinhas foi a parte do "Morte às mensagens de NAT tipo 3".<br> -> 3 vivas para os tickets de suporte que os usuários de PSN e XBOX abrem por causa das mensagens de NAT Tipo 3, não é mesmo?</div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small"><br>TL;DR:<br>Se você manja bem dos paranauê de linux, nat/iptables e similares, e está disposto a fazer uma tentativa uma ferramenta opensource que promete resolver muitos problemas que o CGNAT trás, eu gostaria de contar com sua ajuda! Arranje um servidor BOM(não bom venha com velharia) e "bora si ajudá" a parar de passar raiva com CGNAT.</div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small"><br>A importancia do CGNAT para ISPs no dia de Hoje<br>-----------------------------------------------<br>Se você está no mercado atual de ISPs e nunca ouviu falar de CGNAT, PARE O QUE ESTÁ FAZENDO E VÁ PROCURAR SABER SOBRE CGNAT!<br>Pois existe um grande risco de você estar fazendo as coisas de um jeito errado, e logo-logo ter problemas legais por conta disso.<br><br>Se você já ouviu falar CGNAT, deve saber que existem basicamente 2 tipos de CGNAT.<br>(vou ser muito muito muito conciso nessa descrição)<br> - Determinístico(ou Predefined) - Onde ranges de portas UDP e TCP de IPs Públicos/Válidos são préviamente alocadas para as conexões saintes de cada um dos IPs de uso reservado do CGNAT.<br></div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small"> A principal vantagem desse modelo é (se ele for implementado corretamente) não precisar da guarda de LOGs.</div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small"><div class="gmail_default"> - BPA - Bulk Port Allocation - Onde as portas vão sendo alocadas de Tanto-em-Tanto para os IPs de uso reservado do CGNAT conforme ele vai precisando, e cada vez quem um grupo de portas é alocado, o mecanismo de CGNAT deve fazer um LOG disso, e esse log deve armazenado adequadamente.</div><div class="gmail_default"> A principal vantagem desse modelo é o excelente nível de relação entre IPs Válidos/Públicos e os IPs reservados do CGNAT.<br><br>Os dois modelos tem vantagens, os dois modelos tem desvantagens...<br>Sinceramente sou adepto do BPA, pois apesar de exigir recursos extras de Log, tem uma melhor utilização das portas dos IPs públicos, e a alocação dinâmica reduz a dor de cabeça com usuários que usam muitas portas.<br><br>P.S.: Alerta de problemas jurídicos!<br>Uma coisa que tenho visto muito por aí é uma galerinha que tá fazendo uns mapeamento maroto sem uma lógica reversível e sem fazer log.<br>Quando chegar uma ordem judicial especificando IPDeOrigem/PortaDeOrigem/DataeHora, e você não conseguir fazer a identificação INEQUÍVOCA responsável do contrato daquele assinante...<br>A coisa tente a ficar feia pro seu lado... CUIDADO!</div><div class="gmail_default"><br><br>Aonde está a maior parte das dores que o CGNAT trás?<br>----------------------------------------------------<br>CONEXÕES ENTRANTES AUXILIARES formadas para comunicação Peer-to-Peer.<br>
Geralmente esses mapeamento de conexões auxiliares entrantes são feitos ALGorítimos que ficam escutando as comunicações nas portas determinadas e "preparam uma regrinha dinâmica" para conexão entrante...</div><div class="gmail_default">Os protocolos mais comuns de ver isso são:<br> - SIP/H323<br></div><div class="gmail_default"> - FTP ativo/passivo</div><div class="gmail_default"> - DCCP(que é o que a maioria dos games usa)<br><div class="gmail_default">Porém para esses ALGs funcionarem, além de o equipamento de NAT tem que ter todos os ALGs habilitados, e a comunicação nesse protocolo de controle não pode ser criptografada.</div><div class="gmail_default"> -> Para exemplificar, SIP-ALG não vai funcionar se for SIP over TLS</div><div class="gmail_default"> (a não ser que ele abra a criptografia do TLS).<br></div><div class="gmail_default"><br></div><div class="gmail_default">Para contornar essa complexidade que esse ALGs trazem para fazer funcionar o P2P com regras de firewall e CGNAT foram criados padrões e protocolos como PCP/UPnP, EIM/EIF (antes era o NAT-PMP).<br></div><div class="gmail_default"><div class="gmail_default"><br></div></div><div class="gmail_default"><br></div></div></div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small"><div class="gmail_default">A ESPERANÇA</div><div class="gmail_default">-----------<br><div class="gmail_default">Já tem muito tempo que eu venho buscando uma solução OpenSource para CGNAT que concorresse com a soluções proprietárias como "A10/F5/Hillstone" para ambientes de CGNAT com suporte a BPA e PCP.<br>Inclusive eu e mais alguns amigos chegamos a propor um vakinha on-line para comprar o desenvolvimento disso no formato OpenSource.<br></div><div class="gmail_default"></div><br>Bom... Felizmente acredito que tenhamos achado a solução OpenSource que eu procurava...</div><div class="gmail_default"><div class="gmail_default"><div class="gmail_default"><a href="https://danosproject.atlassian.net/wiki/spaces/DAN/pages/421101573/CGNAT+and+PCP" target="_blank" rel="noreferrer">https://danosproject.atlassian.net/wiki/spaces/DAN/pages/421101573/CGNAT+and+PCP</a> <br></div><div class="gmail_default"></div></div><div class="gmail_default"></div></div><div class="gmail_default">Ainda estou preparando um ambiente de testes dessa ferramenta.<br>Mas estou bastante otimista com o que pude ver dela.<br><br>Dentre a diversas coisas boas que posso falar sobre esse projeto, é que mesmo sendo opensource ele tem uns empurrõezinhos de grandes ISPS e carriers como a AT&T.<br><br>O PEDIDO DE AJUDA<br>-----------------<br>No momento, a melhor maneira que eu encontrei de ajudar esse projeto OpenSource é fazer um apelo aos colegas brasileiros que tenham expertise para manter um ambiente de NAT em Linux, que mantenham redes de ISP que usem CGNAT, e que queiram ajudar a validar se essa ferramenta é realmente tão PORRETA, colocando ele para rodar em algum ambiente de teste e compartilhando com o pessoal do projeto o resultado.<br></div><div class="gmail_default"><a href="https://danosproject.atlassian.net/wiki/spaces/DAN/pages/421101573/CGNAT+and+PCP" target="_blank" rel="noreferrer"></a></div></div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small"><br><br>NÃO É UMA TELA DO WINBOX</div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small">------------------------<br>Minha sugestão sobre a quem seria indicado embarcar nesses testes.<br><br>P.S.: Antes que venham me achincalahar de metido... Já adianto:</div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small">Estou pedindo a colaboração aqui na lista porque, sendo sicero, tenho dúvidas se eu tenho conhecimento técnico suficiente para segurar esse rojão.<br>E também porque sei que temos vários colegas aqui na lista que tem um nível Master-Pica-Jedi e que conseguiriam lidar com os prossíveis problemas que surgirão com se estivessem descascando amendoim.<br><br>- Se for querer usar um hardware velharia/lixo, com mais de 10-12 anos... Fora da lista de compatibilidade do projeto.<br> ou <br><div class="gmail_default">- Se você não tem um bom conhecimento para conseguir fazer troubleshooting em ambientes mais elaborados de Fowarding, NAT, e Firewall de Linux.</div><div class="gmail_default"></div><br>-> NÃO SE META!<br> Você vai passar raiva...</div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small"> Depois vai pedir ajuda...</div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small"> Vai fazer os coleguinhas passarem raiva,</div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small"> que irão usar palavras pesadas com você...</div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small"> E depois você vai sair falando baoseiras sobre o projeto!</div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small"><br>Ao meu entender o projeto é bastante robusto e maduro!<br>Mas nesse momento ainda não é algo que esteja mastigadinho no nível "tutorial do underlinux ou do vivaolinux" que seja só copiar e colar...<br><br></div><div><br></div>-- <br><div dir="ltr" data-smartmail="gmail_signature"><font size="2"><span style="font-family:courier new,monospace">Douglas Fernando Fischer</span><br style="font-family:courier new,monospace"><span style="font-family:courier new,monospace">Engº de Controle e Automação</span></font><div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;word-wrap:break-word;color:black;text-align:left;line-height:130%;font-family:courier new,monospace"></div></div></div>
_______________________________________________<br>
bpf mailing list<br>
<a href="mailto:bpf@listas.brasilpeeringforum.org" target="_blank" rel="noreferrer">bpf@listas.brasilpeeringforum.org</a><br>
<a href="https://listas.brasilpeeringforum.org/mailman/listinfo/bpf" rel="noreferrer noreferrer" target="_blank">https://listas.brasilpeeringforum.org/mailman/listinfo/bpf</a><br>
</blockquote></div>