<div dir="ltr"><div class="gmail_default" style="font-family:courier new,monospace;font-size:small">Alerta Anti-MiMiMi:<br><br>NÃO! CONEXÔES ENTRANTES AUXILIARES NÃO SÃO A MESMA COISA QUE UM DST-NAT ESTATICAMENTE DEFINIDO NO IP PÚBLICO DO CGNAT APONTANDO PARA O IP 100.64/10 do cliente para para liberar ao acesso servidor de TS dele(ou qualquer outro protocolo).<br><br>Isso é gambiarra!<br>Não deve ser feito em ambiente de CGNAT!<br>FUJA disso!<br>Venda um IP-Publico-Fixo!<br>Oriente ele a usar IPv6!<br></div><br><div class="gmail_default" style="font-family:"courier new",monospace;font-size:small">mi-mi-mi > /dev/null</div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Em qui., 23 de jul. de 2020 às 14:56, Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com" target="_blank">fischerdouglas@gmail.com</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_default" style="font-family:"courier new",monospace;font-size:small">Eu escrevi essa montoeira de siglas ali em cima...<br>Mas tenho certeza que o que chamou atenção dos coleguinhas foi a parte do "Morte às mensagens de NAT tipo 3".<br> -> 3 vivas para os tickets de suporte que os usuários de PSN e XBOX abrem por causa das mensagens de NAT Tipo 3, não é mesmo?</div><div class="gmail_default" style="font-family:"courier new",monospace;font-size:small"><br>TL;DR:<br>Se você manja bem dos paranauê de linux, nat/iptables e similares, e está disposto a fazer uma tentativa uma ferramenta opensource que promete resolver muitos problemas que o CGNAT trás, eu gostaria de contar com sua ajuda! Arranje um servidor BOM(não bom venha com velharia) e "bora si ajudá" a parar de passar raiva com CGNAT.</div><div class="gmail_default" style="font-family:"courier new",monospace;font-size:small"><br>A importancia do CGNAT para ISPs no dia de Hoje<br>-----------------------------------------------<br>Se você está no mercado atual de ISPs e nunca ouviu falar de CGNAT, PARE O QUE ESTÁ FAZENDO E VÁ PROCURAR SABER SOBRE CGNAT!<br>Pois existe um grande risco de você estar fazendo as coisas de um jeito errado, e logo-logo ter problemas legais por conta disso.<br><br>Se você já ouviu falar CGNAT, deve saber que existem basicamente 2 tipos de CGNAT.<br>(vou ser muito muito muito conciso nessa descrição)<br> - Determinístico(ou Predefined) - Onde ranges de portas UDP e TCP de IPs Públicos/Válidos são préviamente alocadas para as conexões saintes de cada um dos IPs de uso reservado do CGNAT.<br></div><div class="gmail_default" style="font-family:"courier new",monospace;font-size:small"> A principal vantagem desse modelo é (se ele for implementado corretamente) não precisar da guarda de LOGs.</div><div class="gmail_default" style="font-family:"courier new",monospace;font-size:small"><div class="gmail_default"> - BPA - Bulk Port Allocation - Onde as portas vão sendo alocadas de Tanto-em-Tanto para os IPs de uso reservado do CGNAT conforme ele vai precisando, e cada vez quem um grupo de portas é alocado, o mecanismo de CGNAT deve fazer um LOG disso, e esse log deve armazenado adequadamente.</div><div class="gmail_default"> A principal vantagem desse modelo é o excelente nível de relação entre IPs Válidos/Públicos e os IPs reservados do CGNAT.<br><br>Os dois modelos tem vantagens, os dois modelos tem desvantagens...<br>Sinceramente sou adepto do BPA, pois apesar de exigir recursos extras de Log, tem uma melhor utilização das portas dos IPs públicos, e a alocação dinâmica reduz a dor de cabeça com usuários que usam muitas portas.<br><br>P.S.: Alerta de problemas jurídicos!<br>Uma coisa que tenho visto muito por aí é uma galerinha que tá fazendo uns mapeamento maroto sem uma lógica reversível e sem fazer log.<br>Quando chegar uma ordem judicial especificando IPDeOrigem/PortaDeOrigem/DataeHora, e você não conseguir fazer a identificação INEQUÍVOCA responsável do contrato daquele assinante...<br>A coisa tente a ficar feia pro seu lado... CUIDADO!</div><div class="gmail_default"><br><br>Aonde está a maior parte das dores que o CGNAT trás?<br>----------------------------------------------------<br>CONEXÕES ENTRANTES AUXILIARES formadas para comunicação Peer-to-Peer.<br>
Geralmente esses mapeamento de conexões auxiliares entrantes são feitos ALGorítimos que ficam escutando as comunicações nas portas determinadas e "preparam uma regrinha dinâmica" para conexão entrante...</div><div class="gmail_default">Os protocolos mais comuns de ver isso são:<br> - SIP/H323<br></div><div class="gmail_default"> - FTP ativo/passivo</div><div class="gmail_default"> - DCCP(que é o que a maioria dos games usa)<br><div class="gmail_default">Porém para esses ALGs funcionarem, além de o equipamento de NAT tem que ter todos os ALGs habilitados, e a comunicação nesse protocolo de controle não pode ser criptografada.</div><div class="gmail_default"> -> Para exemplificar, SIP-ALG não vai funcionar se for SIP over TLS</div><div class="gmail_default"> (a não ser que ele abra a criptografia do TLS).<br></div><div class="gmail_default"><br></div><div class="gmail_default">Para contornar essa complexidade que esse ALGs trazem para fazer funcionar o P2P com regras de firewall e CGNAT foram criados padrões e protocolos como PCP/UPnP, EIM/EIF (antes era o NAT-PMP).<br></div><div class="gmail_default"><div class="gmail_default"><br></div></div><div class="gmail_default"><br></div></div></div><div class="gmail_default" style="font-family:"courier new",monospace;font-size:small"><div class="gmail_default">A ESPERANÇA</div><div class="gmail_default">-----------<br><div class="gmail_default">Já tem muito tempo que eu venho buscando uma solução OpenSource para CGNAT que concorresse com a soluções proprietárias como "A10/F5/Hillstone" para ambientes de CGNAT com suporte a BPA e PCP.<br>Inclusive eu e mais alguns amigos chegamos a propor um vakinha on-line para comprar o desenvolvimento disso no formato OpenSource.<br></div><div class="gmail_default"></div><br>Bom... Felizmente acredito que tenhamos achado a solução OpenSource que eu procurava...</div><div class="gmail_default"><div class="gmail_default"><div class="gmail_default"><a href="https://danosproject.atlassian.net/wiki/spaces/DAN/pages/421101573/CGNAT+and+PCP" target="_blank">https://danosproject.atlassian.net/wiki/spaces/DAN/pages/421101573/CGNAT+and+PCP</a> <br></div><div class="gmail_default"></div></div><div class="gmail_default"></div></div><div class="gmail_default">Ainda estou preparando um ambiente de testes dessa ferramenta.<br>Mas estou bastante otimista com o que pude ver dela.<br><br>Dentre a diversas coisas boas que posso falar sobre esse projeto, é que mesmo sendo opensource ele tem uns empurrõezinhos de grandes ISPS e carriers como a AT&T.<br><br>O PEDIDO DE AJUDA<br>-----------------<br>No momento, a melhor maneira que eu encontrei de ajudar esse projeto OpenSource é fazer um apelo aos colegas brasileiros que tenham expertise para manter um ambiente de NAT em Linux, que mantenham redes de ISP que usem CGNAT, e que queiram ajudar a validar se essa ferramenta é realmente tão PORRETA, colocando ele para rodar em algum ambiente de teste e compartilhando com o pessoal do projeto o resultado.<br></div><div class="gmail_default"><a href="https://danosproject.atlassian.net/wiki/spaces/DAN/pages/421101573/CGNAT+and+PCP" target="_blank"></a></div></div><div class="gmail_default" style="font-family:"courier new",monospace;font-size:small"><br><br>NÃO É UMA TELA DO WINBOX</div><div class="gmail_default" style="font-family:"courier new",monospace;font-size:small">------------------------<br>Minha sugestão sobre a quem seria indicado embarcar nesses testes.<br><br>P.S.: Antes que venham me achincalahar de metido... Já adianto:</div><div class="gmail_default" style="font-family:"courier new",monospace;font-size:small">Estou pedindo a colaboração aqui na lista porque, sendo sicero, tenho dúvidas se eu tenho conhecimento técnico suficiente para segurar esse rojão.<br>E também porque sei que temos vários colegas aqui na lista que tem um nível Master-Pica-Jedi e que conseguiriam lidar com os prossíveis problemas que surgirão com se estivessem descascando amendoim.<br><br>- Se for querer usar um hardware velharia/lixo, com mais de 10-12 anos... Fora da lista de compatibilidade do projeto.<br> ou <br><div class="gmail_default">- Se você não tem um bom conhecimento para conseguir fazer troubleshooting em ambientes mais elaborados de Fowarding, NAT, e Firewall de Linux.</div><div class="gmail_default"></div><br>-> NÃO SE META!<br> Você vai passar raiva...</div><div class="gmail_default" style="font-family:"courier new",monospace;font-size:small"> Depois vai pedir ajuda...</div><div class="gmail_default" style="font-family:"courier new",monospace;font-size:small"> Vai fazer os coleguinhas passarem raiva,</div><div class="gmail_default" style="font-family:"courier new",monospace;font-size:small"> que irão usar palavras pesadas com você...</div><div class="gmail_default" style="font-family:"courier new",monospace;font-size:small"> E depois você vai sair falando baoseiras sobre o projeto!</div><div class="gmail_default" style="font-family:"courier new",monospace;font-size:small"><br>Ao meu entender o projeto é bastante robusto e maduro!<br>Mas nesse momento ainda não é algo que esteja mastigadinho no nível "tutorial do underlinux ou do vivaolinux" que seja só copiar e colar...<br><br></div><div><br></div>-- <br><div dir="ltr"><font size="2"><span style="font-family:"courier new",monospace">Douglas Fernando Fischer</span><br style="font-family:"courier new",monospace"><span style="font-family:"courier new",monospace">Engº de Controle e Automação</span></font><div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;color:black;text-align:left;line-height:130%;font-family:"courier new",monospace"></div></div></div>
</blockquote></div></div><br clear="all"><div><br></div>-- <br><div dir="ltr"><font size="2"><span style="font-family:"courier new",monospace">Douglas Fernando Fischer</span><br style="font-family:"courier new",monospace"><span style="font-family:"courier new",monospace">Engº de Controle e Automação</span></font><div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;color:black;text-align:left;line-height:130%;font-family:"courier new",monospace"></div></div>