[lacnog] Registro de puertos de origen en servidores web / Source Port Logging on Web Servers

Fernando Gont fgont en si6networks.com
Mie Mar 27 11:01:47 -03 2019 

On 27/3/19 13:31, Alejandro Acosta wrote:
> Hola Fer,
> 
> El 27/3/19 a las 11:17, Fernando Gont escribió:
>> On 27/3/19 10:34, Alejandro Acosta wrote:
>>> Hola Fernando,
>>>
>>> El 26/3/19 a las 19:53, Fernando Gont escribió:
>>>> On 25/3/19 22:42, Henri Alves de Godoy wrote:
>>>>> Hola Fernando,
>>>>>
>>>>> Voy a traducir este texto para que sea más cómodo la lectura para todos.
>>>>>
>>>>> Gracias por compartir este documento. Estoy encaminando hacia los
>>>>> administradores de red de la Universidad, ya que es un asunto que
>>>>> que se ha discutido mucho, ya que al contrario de lo que quería y de mis
>>>>> esfuerzos en implementar IPv6 en toda la Universidad, debido a la falta
>>>>> de IPv4, algunos administradores están utilizando la red 100.64.0.0/10
>>>>> para hacer NAT en la red inalámbrica dentro de la Universidad y
>>>>> seguramente algunos no están interesados en hacer el registro de la
>>>>> puerta de origen o olvidarse. :-(((
>>>>>
>>>>> Cuando todo un día tiene sólo IPv6, sólo debemos hacer el registro de IP
>>>>> y nada más, ya que no será necesario el registro de puertas, creo yo.
>>>> "solo" == 4 bytes (direccion IP) + 2 bytes (puerto) en IPv4 vs 16 bytes
>>>> (direccion IPv6). Es decir, 6 bytes vs 16 bytes.
>>> En está matemática tienes razón a medias. Tomaste solo una v4 + solo
>>> puertos.., en NAT almacenas x 2, igualmente dirás que son 2 x 6 bytes <
>>> 16 bytes. Pero el problema no es almacenarlo una vez..., el problema es
>>> almacenarlo en el tiempo por cada traducción que ocurra..., es una
>>> locura, te puede consumir varios megas de cualquier enlace, de disco una
>>> barbaridad + mil cosas extras (DB, switches, routing, etc). Es un dolor
>>> de cabeza.
>> Las direcciones IPv6, y muchas veces tambien los prefijos, suelen ser
>> dinamicas.
>>
>> Pensar, por ejemplo, RFC4941 y RFC7934.
> 
> 
> Fer..., ni en el más remoto escenario se loguea más por cambio de
> direcciones IPv6 que por NAT.
> 
> Haz esta prueba: Favor instala al menos un pequeñisimo, nano escenario y
> pon a loguear el NAT.

Depende de como hagas NAT. Si NATeas asignando rangos de puertos a los
clientes, NATeas menos. Mucho menos.


-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución LACNOG