<div dir="ltr"><div class="gmail_default" style="font-family:courier new,monospace;font-size:small">Opa Alexandre!<br><br>Nunca tinha pensado num cenário misto de Predefined e BPA.<br>O que geralmente faço é dar um Degrau Grande na primeira alocação(Ex.: 512 portas) e degraus menores nas alocações subsequentes (Ex.: 128 portas)<br>Com IPv6 de bypass de CGNAT(Severs de rede interna como DNS, e os Caches de CDN), essas 512 portas abrangem uns 90% dos clientes...<br><br>Essa ideia de Predefined + BPA parece bem interessante!<br>Zera anecessidade de log inicial...<br>Mas impondo ainda a necessidade de um mecanismo de LOG(que na verdade é o gosto amargo do BPA).<br><br><br>Confesso que não entendi a parte do Persistent NAT.<br>Mas fiquei muito interessado!</div><div class="gmail_default" style="font-family:courier new,monospace;font-size:small">Me senti meio burrão pois reli umas vezes e não dei conta de entender.<br>Consegue exemplificar?</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Em sex., 24 de jul. de 2020 às 13:12, Alexandre Giovaneli - Giovaneli <<a href="mailto:alexandre@giovaneli.com.br">alexandre@giovaneli.com.br</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">Boa tarde<div><br></div><div>Nós resolvemos este problema usando Juniper com DETERMINISTIC NAT + EIM ATIVO , em outros casos usando DETERMINISTIC NAT + PERSISTENT NAT , a parte de ALG já é padrão neste cenário . Temos outros cenários onde o cliente precisa de mais log usando a combinação PBA x4 (Significa que o cliente pode ter até 4 blocos de portas se necessário) + 

PERSISTENT NAT </div><div><br></div><div>Colocamos o  persistent nat em casos onde não tem o recurso de EIM para serviços que necessitam de  STUN, resolvendo o problema de NAT tipo 3 em todos os casos.</div><div><br></div><div>O segredo então é na solução open-source é bem simples:</div><div><br></div><div>Deterministic nat ou port bloco para gerar um número mínimo de log ou zero.</div><div>Persistent nat ou qualquer outro recurso onde a porta não seja traduzida no cgnat (o que o cliente mandou tem que sair para internet com a mesma porta) somente para serviços ou portas que necessitem de STUN.</div><div><br></div><div>Sendo mais mastigado assim:</div><div><br></div><div>Para o persistent nat usar somente estas portas de destino.</div><div>3074 to 4500<br>1935<br>500<br>88</div><div>1863<br>42120 to 44325<br>5223<br>9988 to 20000<br></div><div><br></div><div>E para o BPA ou  DETERMINISTIC NAT o restante do tráfego.</div><div><br></div><div><br></div><div>Alguns desafios:</div><div>Consulta simples e fácil do ip de outside e porta de outside</div><div>Limite de seções isto é um problema em soluções open source.</div><div>Throughput considerando que você não tem um chip ou "placa" para servidores que permita fazer isto inline (fazer o nat direto em uma FPGA por exemplo) e deixar somente o CPU fazer o plano de controle, então este tráfego deverá ser levado para cpu, e como sabemos toda arquitetura de servidores existe um limite de throughput entre cpu e barramento pcie.</div><div><br></div><div>Um abração</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Em qui., 23 de jul. de 2020 às 14:56, Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com" target="_blank">fischerdouglas@gmail.com</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div style="font-family:"courier new",monospace;font-size:small">Eu escrevi essa montoeira de siglas ali em cima...<br>Mas tenho certeza que o que chamou atenção dos coleguinhas foi a parte do "Morte às mensagens de NAT tipo 3".<br> -> 3 vivas para os tickets de suporte que os usuários de PSN e XBOX abrem por causa das mensagens de NAT Tipo 3, não é mesmo?</div><div style="font-family:"courier new",monospace;font-size:small"><br>TL;DR:<br>Se você manja bem dos paranauê de linux, nat/iptables e similares, e está disposto a fazer uma tentativa uma ferramenta opensource que promete resolver muitos problemas que o CGNAT trás, eu gostaria de contar com sua ajuda! Arranje um servidor BOM(não bom venha com velharia) e "bora si ajudá" a parar de passar raiva com CGNAT.</div><div style="font-family:"courier new",monospace;font-size:small"><br>A importancia do CGNAT para ISPs no dia de Hoje<br>-----------------------------------------------<br>Se você está no mercado atual de ISPs e nunca ouviu falar de CGNAT, PARE O QUE ESTÁ FAZENDO E VÁ PROCURAR SABER SOBRE CGNAT!<br>Pois existe um grande risco de você estar fazendo as coisas de um jeito errado, e logo-logo ter problemas legais por conta disso.<br><br>Se você já ouviu falar CGNAT, deve saber que existem basicamente 2 tipos de CGNAT.<br>(vou ser muito muito muito conciso nessa descrição)<br> - Determinístico(ou Predefined) - Onde ranges de portas UDP e TCP de IPs Públicos/Válidos são préviamente alocadas para as conexões saintes de cada um dos IPs de uso reservado do CGNAT.<br></div><div style="font-family:"courier new",monospace;font-size:small">   A principal vantagem desse modelo é (se ele for implementado corretamente) não precisar da guarda de LOGs.</div><div style="font-family:"courier new",monospace;font-size:small"><div> - BPA - Bulk Port Allocation - Onde as portas vão sendo alocadas de Tanto-em-Tanto para os   IPs de uso reservado do CGNAT conforme ele vai precisando, e cada vez quem um grupo de portas é alocado, o mecanismo de CGNAT deve fazer um LOG disso, e esse log deve armazenado adequadamente.</div><div>   A principal vantagem desse modelo é o excelente nível de relação entre IPs Válidos/Públicos e os IPs reservados do CGNAT.<br><br>Os dois modelos tem vantagens, os dois modelos tem desvantagens...<br>Sinceramente sou adepto do BPA, pois apesar de exigir recursos extras de Log, tem uma melhor utilização das portas dos IPs públicos, e a alocação dinâmica reduz a dor de cabeça com usuários que usam muitas portas.<br><br>P.S.: Alerta de problemas jurídicos!<br>Uma coisa que tenho visto muito por aí é uma galerinha que tá fazendo uns mapeamento maroto sem uma lógica reversível e sem fazer log.<br>Quando chegar uma ordem judicial especificando IPDeOrigem/PortaDeOrigem/DataeHora, e você não conseguir fazer a identificação INEQUÍVOCA responsável do contrato daquele assinante...<br>A coisa tente a ficar feia pro seu lado... CUIDADO!</div><div><br><br>Aonde está a maior parte das dores que o CGNAT trás?<br>----------------------------------------------------<br>CONEXÕES ENTRANTES AUXILIARES formadas para comunicação Peer-to-Peer.<br>

Geralmente esses mapeamento de conexões auxiliares entrantes são feitos ALGorítimos que ficam escutando as comunicações nas portas determinadas e "preparam uma regrinha dinâmica" para conexão entrante...</div><div>Os protocolos mais comuns de ver isso são:<br> - SIP/H323<br></div><div> - FTP ativo/passivo</div><div> - DCCP(que é o que a maioria dos games usa)<br><div>Porém para esses ALGs funcionarem, além de o equipamento de NAT tem que ter todos os ALGs habilitados, e a comunicação nesse protocolo de controle não pode ser criptografada.</div><div> -> Para exemplificar, SIP-ALG não vai funcionar se for SIP over TLS</div><div>    (a não ser que ele abra a criptografia do TLS).<br></div><div><br></div><div>Para contornar essa complexidade que esse ALGs trazem para fazer funcionar o P2P com regras de firewall e CGNAT foram criados padrões e protocolos como PCP/UPnP, EIM/EIF (antes era o NAT-PMP).<br></div><div><div><br></div></div><div><br></div></div></div><div style="font-family:"courier new",monospace;font-size:small"><div>A ESPERANÇA</div><div>-----------<br><div>Já tem muito tempo que eu venho buscando uma solução OpenSource para CGNAT que concorresse com a soluções proprietárias como "A10/F5/Hillstone" para ambientes de CGNAT com suporte a BPA e PCP.<br>Inclusive eu e mais alguns amigos chegamos  a propor um vakinha on-line para comprar o desenvolvimento disso no formato OpenSource.<br></div><div></div><br>Bom... Felizmente acredito que tenhamos achado a solução OpenSource que eu procurava...</div><div><div><div><a href="https://danosproject.atlassian.net/wiki/spaces/DAN/pages/421101573/CGNAT+and+PCP" target="_blank">https://danosproject.atlassian.net/wiki/spaces/DAN/pages/421101573/CGNAT+and+PCP</a>  <br></div><div></div></div><div></div></div><div>Ainda estou preparando um ambiente de testes dessa ferramenta.<br>Mas estou bastante otimista com o que pude ver dela.<br><br>Dentre a diversas coisas boas que posso falar sobre esse projeto, é que mesmo sendo opensource ele tem uns empurrõezinhos de grandes ISPS e carriers como a AT&T.<br><br>O PEDIDO DE AJUDA<br>-----------------<br>No momento, a melhor maneira que eu encontrei de ajudar esse projeto OpenSource é fazer um apelo aos colegas brasileiros que tenham expertise para manter um ambiente de NAT em Linux, que mantenham redes de ISP que usem CGNAT, e que queiram ajudar a validar se essa ferramenta é realmente tão PORRETA, colocando ele para rodar em algum ambiente de teste e compartilhando com o pessoal do projeto o resultado.<br></div><div><a href="https://danosproject.atlassian.net/wiki/spaces/DAN/pages/421101573/CGNAT+and+PCP" target="_blank"></a></div></div><div style="font-family:"courier new",monospace;font-size:small"><br><br>NÃO É UMA TELA DO WINBOX</div><div style="font-family:"courier new",monospace;font-size:small">------------------------<br>Minha sugestão sobre a quem seria indicado embarcar nesses testes.<br><br>P.S.: Antes que venham me achincalahar de metido... Já adianto:</div><div style="font-family:"courier new",monospace;font-size:small">Estou pedindo a colaboração aqui na lista porque, sendo sicero, tenho dúvidas se eu tenho conhecimento técnico suficiente para segurar esse rojão.<br>E também porque sei que temos vários colegas aqui na lista que tem um nível Master-Pica-Jedi e que conseguiriam lidar com os prossíveis problemas que surgirão com se estivessem descascando amendoim.<br><br>- Se for querer usar um hardware velharia/lixo, com mais de 10-12 anos... Fora da lista de compatibilidade do projeto.<br>  ou <br><div>- Se você não tem um bom conhecimento para conseguir fazer troubleshooting em ambientes mais elaborados de Fowarding, NAT, e Firewall de Linux.</div><div></div><br>-> NÃO SE META!<br>   Você vai passar raiva...</div><div style="font-family:"courier new",monospace;font-size:small">   Depois vai pedir ajuda...</div><div style="font-family:"courier new",monospace;font-size:small">   Vai fazer os coleguinhas passarem raiva,</div><div style="font-family:"courier new",monospace;font-size:small">   que irão usar palavras pesadas com você...</div><div style="font-family:"courier new",monospace;font-size:small">   E depois você vai sair falando baoseiras sobre o projeto!</div><div style="font-family:"courier new",monospace;font-size:small"><br>Ao meu entender o projeto é bastante robusto e maduro!<br>Mas nesse momento ainda não é algo que esteja mastigadinho no nível "tutorial do underlinux ou do vivaolinux" que seja só copiar e colar...<br><br></div><div><br></div>-- <br><div dir="ltr"><font size="2"><span style="font-family:"courier new",monospace">Douglas Fernando Fischer</span><br style="font-family:"courier new",monospace"><span style="font-family:"courier new",monospace">Engº de Controle e Automação</span></font><div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;color:black;text-align:left;line-height:130%;font-family:"courier new",monospace"></div></div></div>
_______________________________________________<br>
bpf mailing list<br>
<a href="mailto:bpf@listas.brasilpeeringforum.org" target="_blank">bpf@listas.brasilpeeringforum.org</a><br>
<a href="https://listas.brasilpeeringforum.org/mailman/listinfo/bpf" rel="noreferrer" target="_blank">https://listas.brasilpeeringforum.org/mailman/listinfo/bpf</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr"><div dir="ltr"><div dir="ltr" style="color:rgb(136,136,136)"><img src="https://docs.google.com/uc?export=download&id=1l-VqvePCIZIZp2MRHtDvxYlVRw9o1lj-&revid=0B0h3Q-i7COOpR1RocDRRNm80ODE2ZzBJYnplSmU0ZE5iNGdrPQ" width="420" height="94"> <img src="https://docs.google.com/uc?export=download&id=1LfxDQBM5immpa15EaZ6mvZaA8UQ_iy7C&revid=0B0h3Q-i7COOpYXk2YzMvTFE4cTA5dmY0SUtOWkpNaXJmK0EwPQ" width="200" height="51"><br></div><div dir="ltr" style="color:rgb(136,136,136)"><p style="border:none;font-family:"Segoe UI","Lucida Grande",Verdana,Arial,Helvetica,sans-serif;margin:0cm 0cm 0pt;outline:0px;padding:0px;list-style-type:none;color:rgb(51,51,51);font-size:14px;text-align:justify"><span style="border:0px;font-weight:inherit;font-style:inherit;font-family:Verdana,sans-serif;margin:0px;outline:0px;padding:0px;font-size:8pt;color:gray">(PT) Esta mensagem pode conter informação confidencial ou privilegiada, sendo seu sigilo protegido por lei. Se você não for o destinatário ou a pessoa autorizada a receber esta mensagem, não pode usar, copiar ou divulgar as informações nela contidas ou tomar qualquer ação baseada nessas informações. Se você recebeu esta mensagem por engano, por favor, avise imediatamente ao remetente, respondendo o e-mail e em seguida apague-a. </span><span lang="EN-US" style="border:0px;font-weight:inherit;font-style:inherit;font-family:Verdana,sans-serif;margin:0px;outline:0px;padding:0px;font-size:8pt;color:gray">Agradecemos sua cooperação.</span></p><p style="border:none;font-family:"Segoe UI","Lucida Grande",Verdana,Arial,Helvetica,sans-serif;margin:0cm 0cm 0pt;outline:0px;padding:0px;list-style-type:none;color:rgb(51,51,51);font-size:14px"><span lang="EN-US" style="border:0px;font-weight:inherit;font-style:inherit;font-family:Verdana,sans-serif;margin:0px;outline:0px;padding:0px;font-size:8pt;color:gray"><br>(EN) This message may contain confidential or privileged information and its confidentiality is protected by law. If you are not the addressed or authorized person to receive this message, you must not use, copy, disclose or take any action based on it or any information herein. If you have received this message by mistake, please advise the sender immediately by replying the e-mail and then deleting it. </span><span style="border:0px;font-weight:inherit;font-style:inherit;font-family:Verdana,sans-serif;margin:0px;outline:0px;padding:0px;font-size:8pt;color:gray">Thank you for your cooperation.</span></p><div><span style="border:0px;font-weight:inherit;font-style:inherit;font-family:Verdana,sans-serif;margin:0px;outline:0px;padding:0px;font-size:8pt;color:gray"><br></span></div></div></div></div></div>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><font size="2"><span style="font-family:"courier new",monospace">Douglas Fernando Fischer</span><br style="font-family:"courier new",monospace"><span style="font-family:"courier new",monospace">Engº de Controle e Automação</span></font><div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;color:black;text-align:left;line-height:130%;font-family:"courier new",monospace"></div></div>