Bom dia a todos
vamos aprender a fazer o cgnat utilizando este programa (download cgnat cg-nat.rar)
vamos utilizar a range 100.64.0.0 - 100.64.1.191 (CLIENTES)
para os ip publicos 10.0.0.0/28 (PUBLICO , UTILIZE OS SEUS NESTE BOCO)
os ip publicos esta setado na porta de entrada /32
DIVISAO 1:32
CLIQUE EM GERAR DEPOIS EM ,SALVAR REGRAS CGNAT.RSC NA AREA DE TRABALHO DO PC
ARRASTE P ARQUIVO RSC PARA PASTA FILES DO MIKROTIK
UTILIZE O COMANDO NO TERMINAL DO MIKROTIK IMPORT CGNAT.RSC
ESTAS REGRAS PODEM SER ALTERADAS CONFORME SUA NECESSIDADE LEMBRADO QUE A QUANTIDADE DE IP PUBLICO TEM QUE SER SUFICIENTE PARA DIVISAO.
site muito util para calcular os blocos de ip
https://www.site24x7.com/pt/tools/ipv4-sub-rede-calculadora.html
se tudo der certo os contadores dos ip apos as regras de jump vai comecar a registrar
Respostas
448 a conta nao fecha aqui deu 416 ip /28. tem que fazer apool e colocar
os ips publicos no aderess.
Pode explicar melhor como fez a divisão para o redirecionamento de portas?
os clientes que precisam de redirecionamento, tbm caem no controle de portas do CGNAT, ou ficam todos sobre um único IP publico, sem controle de portas (portas de saída no caso)?
Rodrigo Foureaux disse:
Bom dia Henoch.
Vale lembrar que a configuração de Cgnat associa ao ip do cliente um range de portas que ele irá utilizar pra acessar serviços externos na internet. E o que vc se refere é as regras que vc deve ter de acesso a portas destinadas a ip de clientes internamente em sua rede, são duas coisas diferente e não interfere uma na outra.
ex:
no cgnat quando o cliente acessar um site, será armazenado lá no site seu ip real mais uma das portas do range que foi destinado ao ip local do cliente, sendo assim o site que teve alguma "invasão" irá ter nas mãos o ip real do seu provedor e a porta que foi usada no ataque e de posse desta porta é que vc verá qual cliente que usa no cgnat.
no redirecionamento interno é justamente o inverso:
ao chegar uma solicitação em seu mikrotik no seu ip real querendo acessar porta 22 por exemplo, no nat é criada uma regra direcionando o acesso a um ip interno para esta porta.
então fica assim:
no cgnat:
*para acessar serviços externos.
ip do cliente = 100.64.0.30
usa portas = 1 a 1024
ip do cliente = 100.64.0.31
usa portas = 1025 a 2049
ip do cliente = 100.64.0.32
usa portas = 2050 a 3074
Já para direcionamentos internos é totalmente diferente, é referente a pacotes direcionados a serviços internos aí sim portas 21, 22, 23, 80 ... não pode ser usadas duas vezes.
*para acessar serviços internos.
O site invadido irá ter em mãos o seu ip real e porta usada ex:
seu ip real = 200.200.200.200
e porta usada no ataque = 67
logo neste caso o cliente que fez o ataque foi o cliente com ip 100.64.0.30 e no momento do ataque o cgnat forneceu uma das portas para ele usar externamente dentro do range de 1 a 1024.
espero ter ajudado e se eu me enganei em algum ponto agradeço se alguém consertar.
HENOCH ADONAI TAVARES disse:
No cg-nat não é possivel fazer redirecionamento de porta pois as portas ja estão sendo utilizadas...
o que eu fiz auqui foi botar um /29 no cg-nat , e peguei 1 ip valido a parte e boto os clientes q precisam de redirecionamento neste...
HENOCH ADONAI TAVARES disse:
opa, tenho uma duvida, para os clientes na qual já direcionamos algumas portas, como por exemplo DVR e etc. como fica depois do CGNat ?
Alguém poderia me ajudar a implementar na rede
o uso de portas é para controle do que o usuario esta acessando, de acordo com o novo marco civil da internet.
se fizer desta maneira perderá esta rastreabilidade.
Gtel disse:
Boa Noite, vi que a proporção minima é 1:4 é possível fazer 1:2 ??
bom dia getel , talvez se voce designar um bloco direto para um ip publico fique mais leve , porem se houver algum problema na anatel voce nao vai conseguir identificar porque nao designou a porta tal para cliente tal .
Opaa ... achei bacana o software , até utilizei aqui pra fazer uns cálculos .
Mas eu tenho uma dúvida...
Daria para resumir essa quantidade toda de regras e não limitar as portas deixando assim o proprio hardware trabalhe livremente para isso .
Apenas com ex.:
"/ip firewall nat
add action=src-nat chain=srcnat src-address=10.64.0.1-10.64.0.32 to-addresses=200.200.200.1"
Mas penso que isso poderia elevar o processamento do equipamento a um nível mais alto , ou talvez o inverso na regre de ex. que postei.
Mas gostaria de saber da galera aqui presente o posicionamento sobre as percas de desempenho e processo pelo uso destas regras.
Esse script seria pra cgnat horizontal?
-
1
-
2
de 2 Próximo