Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Tracciamento NAT

    Scheduled Pinned Locked Moved Italiano
    3 Posts 2 Posters 1.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      maxumi
      last edited by

      Ho un piccolo wisp, utilizzo come gateway principale un x86 con pfsense. Non ho molti ip a disposizione, alcuni li utilizzo in NAT 1:1 verso i clienti che lo richiedono, altri (o meglio, un altro) lo utilizzo per effettuare una NAT generale per far navigare in internet il resto dei clienti.

      Attualmente effettuo il LOG di tutto quello che è in PASS verso la WAN. In questo modo ho dei log (su syslog server remoto) di circa 3Giga al giorno. (con compressione a fine giornata che lo riduce a circa 400Mb). Verso il syslog remoto ci mando solo il tracciamento firewall.

      Posso in qualche modo snellire questi log rimanendo sempre in regola con quanto richiesto dalle normative in materia? ho visto che altri gestori che usano mikrotik risolvono la questione facendo una regola di log per tutte le sessioni in "New Connection State" con snellimento discretamente consistente.

      è possibile in pfsense replicare questa regola solo per la NAT?
      thz

      1 Reply Last reply Reply Quote 0
      • B
        bsd3000
        last edited by

        ciao

        sicuramente diro una cosa OT o che non ti e' utile ma si fa per parlare.. :)

        dicevo…

        non ti conviene dare un ip pubblico ad ogni tuo cliente?
        capisco che il tuo fornitre di connettivita' te li faccia pagare ma costano molto meno
        rispetto a doverti tenere 400Mbyte di traffico al giorno per ogni cliente.

        una volta che dai un ip fisso ad ogni clienti hai:

        • certezza che su quell'ip a quell'ora ci sia solo un solo cliente/referente (in caso di richieste da parte di polizia postale)
        • eviti che per un cliente che ti fa spam perche' prende un virus, vengano compromessi altri clienti a livello di reputazione ip
        • snellisci di molto il carico del fw (pfsense) che non deve piu fare nat ma solo routing
        • se vuoi mantieni comunque il nat ma lo fai  per ip-->cliente
        • ti prepari per ipv6 dove non esistera' piu il nat per fortuna (ok.. lasciamo perdere commenti)
        • vivi felice

        my 2 cent

        1 Reply Last reply Reply Quote 0
        • M
          maxumi
          last edited by

          Mi sembra un po difficile con 1000 clienti e 254 IP a disposizione. Concordo con IPv6 ma ancora non lo saprei neanche gestire.
          Possibile che non si possa fare una regola di log per connessioni marcate "New Connection"??? non sono esperto di PFsense ma non ci voglio credere!!! any help?

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.