Bom dia a todos
vamos aprender a fazer o cgnat utilizando este programa (download cgnat cg-nat.rar)
vamos utilizar a range 100.64.0.0 - 100.64.1.191 (CLIENTES)
para os ip publicos 10.0.0.0/28 (PUBLICO , UTILIZE OS SEUS NESTE BOCO)
os ip publicos esta setado na porta de entrada /32
DIVISAO 1:32
CLIQUE EM GERAR DEPOIS EM ,SALVAR REGRAS CGNAT.RSC NA AREA DE TRABALHO DO PC
ARRASTE P ARQUIVO RSC PARA PASTA FILES DO MIKROTIK
UTILIZE O COMANDO NO TERMINAL DO MIKROTIK IMPORT CGNAT.RSC
ESTAS REGRAS PODEM SER ALTERADAS CONFORME SUA NECESSIDADE LEMBRADO QUE A QUANTIDADE DE IP PUBLICO TEM QUE SER SUFICIENTE PARA DIVISAO.
site muito util para calcular os blocos de ip
https://www.site24x7.com/pt/tools/ipv4-sub-rede-calculadora.html
se tudo der certo os contadores dos ip apos as regras de jump vai comecar a registrar
Respostas
Mas como fica o controle de range no Mk-auth, e pool ppoe do mikrotik?
use a range do cgnat seguindo rfc RFC6598 no pool do mkauth e no mikrotik tambem.
Esse script seria pra cgnat horizontal?
Opaa ... achei bacana o software , até utilizei aqui pra fazer uns cálculos .
Mas eu tenho uma dúvida...
Daria para resumir essa quantidade toda de regras e não limitar as portas deixando assim o proprio hardware trabalhe livremente para isso .
Apenas com ex.:
"/ip firewall nat
add action=src-nat chain=srcnat src-address=10.64.0.1-10.64.0.32 to-addresses=200.200.200.1"
Mas penso que isso poderia elevar o processamento do equipamento a um nível mais alto , ou talvez o inverso na regre de ex. que postei.
Mas gostaria de saber da galera aqui presente o posicionamento sobre as percas de desempenho e processo pelo uso destas regras.
bom dia getel , talvez se voce designar um bloco direto para um ip publico fique mais leve , porem se houver algum problema na anatel voce nao vai conseguir identificar porque nao designou a porta tal para cliente tal .
Boa Noite, vi que a proporção minima é 1:4 é possível fazer 1:2 ??
o uso de portas é para controle do que o usuario esta acessando, de acordo com o novo marco civil da internet.
se fizer desta maneira perderá esta rastreabilidade.
Gtel disse:
opa, tenho uma duvida, para os clientes na qual já direcionamos algumas portas, como por exemplo DVR e etc. como fica depois do CGNat ?
Alguém poderia me ajudar a implementar na rede
No cg-nat não é possivel fazer redirecionamento de porta pois as portas ja estão sendo utilizadas...
o que eu fiz auqui foi botar um /29 no cg-nat , e peguei 1 ip valido a parte e boto os clientes q precisam de redirecionamento neste...
HENOCH ADONAI TAVARES disse:
Bom dia Henoch.
Vale lembrar que a configuração de Cgnat associa ao ip do cliente um range de portas que ele irá utilizar pra acessar serviços externos na internet. E o que vc se refere é as regras que vc deve ter de acesso a portas destinadas a ip de clientes internamente em sua rede, são duas coisas diferente e não interfere uma na outra.
ex:
no cgnat quando o cliente acessar um site, será armazenado lá no site seu ip real mais uma das portas do range que foi destinado ao ip local do cliente, sendo assim o site que teve alguma "invasão" irá ter nas mãos o ip real do seu provedor e a porta que foi usada no ataque e de posse desta porta é que vc verá qual cliente que usa no cgnat.
no redirecionamento interno é justamente o inverso:
ao chegar uma solicitação em seu mikrotik no seu ip real querendo acessar porta 22 por exemplo, no nat é criada uma regra direcionando o acesso a um ip interno para esta porta.
então fica assim:
no cgnat:
*para acessar serviços externos.
ip do cliente = 100.64.0.30
usa portas = 1 a 1024
ip do cliente = 100.64.0.31
usa portas = 1025 a 2049
ip do cliente = 100.64.0.32
usa portas = 2050 a 3074
Já para direcionamentos internos é totalmente diferente, é referente a pacotes direcionados a serviços internos aí sim portas 21, 22, 23, 80 ... não pode ser usadas duas vezes.
*para acessar serviços internos.
O site invadido irá ter em mãos o seu ip real e porta usada ex:
seu ip real = 200.200.200.200
e porta usada no ataque = 67
logo neste caso o cliente que fez o ataque foi o cliente com ip 100.64.0.30 e no momento do ataque o cgnat forneceu uma das portas para ele usar externamente dentro do range de 1 a 1024.
espero ter ajudado e se eu me enganei em algum ponto agradeço se alguém consertar.
HENOCH ADONAI TAVARES disse: