[lacnog] Registro de puertos de origen en servidores web / Source Port Logging on Web Servers
Alejandro Acosta
alejandroacostaalamo en gmail.com
Mie Mar 27 09:31:08 -03 2019
Hola Fer,
El 27/3/19 a las 11:17, Fernando Gont escribió:
> On 27/3/19 10:34, Alejandro Acosta wrote:
>> Hola Fernando,
>>
>> El 26/3/19 a las 19:53, Fernando Gont escribió:
>>> On 25/3/19 22:42, Henri Alves de Godoy wrote:
>>>> Hola Fernando,
>>>>
>>>> Voy a traducir este texto para que sea más cómodo la lectura para todos.
>>>>
>>>> Gracias por compartir este documento. Estoy encaminando hacia los
>>>> administradores de red de la Universidad, ya que es un asunto que
>>>> que se ha discutido mucho, ya que al contrario de lo que quería y de mis
>>>> esfuerzos en implementar IPv6 en toda la Universidad, debido a la falta
>>>> de IPv4, algunos administradores están utilizando la red 100.64.0.0/10
>>>> para hacer NAT en la red inalámbrica dentro de la Universidad y
>>>> seguramente algunos no están interesados en hacer el registro de la
>>>> puerta de origen o olvidarse. :-(((
>>>>
>>>> Cuando todo un día tiene sólo IPv6, sólo debemos hacer el registro de IP
>>>> y nada más, ya que no será necesario el registro de puertas, creo yo.
>>> "solo" == 4 bytes (direccion IP) + 2 bytes (puerto) en IPv4 vs 16 bytes
>>> (direccion IPv6). Es decir, 6 bytes vs 16 bytes.
>> En está matemática tienes razón a medias. Tomaste solo una v4 + solo
>> puertos.., en NAT almacenas x 2, igualmente dirás que son 2 x 6 bytes <
>> 16 bytes. Pero el problema no es almacenarlo una vez..., el problema es
>> almacenarlo en el tiempo por cada traducción que ocurra..., es una
>> locura, te puede consumir varios megas de cualquier enlace, de disco una
>> barbaridad + mil cosas extras (DB, switches, routing, etc). Es un dolor
>> de cabeza.
> Las direcciones IPv6, y muchas veces tambien los prefijos, suelen ser
> dinamicas.
>
> Pensar, por ejemplo, RFC4941 y RFC7934.
Fer..., ni en el más remoto escenario se loguea más por cambio de
direcciones IPv6 que por NAT.
Haz esta prueba: Favor instala al menos un pequeñisimo, nano escenario y
pon a loguear el NAT.
Saludos,
Ale,
>
> Abrazo,
Más información sobre la lista de distribución LACNOG