Tracciamento NAT



  • Ho un piccolo wisp, utilizzo come gateway principale un x86 con pfsense. Non ho molti ip a disposizione, alcuni li utilizzo in NAT 1:1 verso i clienti che lo richiedono, altri (o meglio, un altro) lo utilizzo per effettuare una NAT generale per far navigare in internet il resto dei clienti.

    Attualmente effettuo il LOG di tutto quello che è in PASS verso la WAN. In questo modo ho dei log (su syslog server remoto) di circa 3Giga al giorno. (con compressione a fine giornata che lo riduce a circa 400Mb). Verso il syslog remoto ci mando solo il tracciamento firewall.

    Posso in qualche modo snellire questi log rimanendo sempre in regola con quanto richiesto dalle normative in materia? ho visto che altri gestori che usano mikrotik risolvono la questione facendo una regola di log per tutte le sessioni in "New Connection State" con snellimento discretamente consistente.

    è possibile in pfsense replicare questa regola solo per la NAT?
    thz



  • ciao

    sicuramente diro una cosa OT o che non ti e' utile ma si fa per parlare.. :)

    dicevo…

    non ti conviene dare un ip pubblico ad ogni tuo cliente?
    capisco che il tuo fornitre di connettivita' te li faccia pagare ma costano molto meno
    rispetto a doverti tenere 400Mbyte di traffico al giorno per ogni cliente.

    una volta che dai un ip fisso ad ogni clienti hai:

    • certezza che su quell'ip a quell'ora ci sia solo un solo cliente/referente (in caso di richieste da parte di polizia postale)
    • eviti che per un cliente che ti fa spam perche' prende un virus, vengano compromessi altri clienti a livello di reputazione ip
    • snellisci di molto il carico del fw (pfsense) che non deve piu fare nat ma solo routing
    • se vuoi mantieni comunque il nat ma lo fai  per ip-->cliente
    • ti prepari per ipv6 dove non esistera' piu il nat per fortuna (ok.. lasciamo perdere commenti)
    • vivi felice

    my 2 cent



  • Mi sembra un po difficile con 1000 clienti e 254 IP a disposizione. Concordo con IPv6 ma ancora non lo saprei neanche gestire.
    Possibile che non si possa fare una regola di log per connessioni marcate "New Connection"??? non sono esperto di PFsense ma non ci voglio credere!!! any help?


Log in to reply