[lacnog] Registro de puertos de origen en servidores web / Source Port Logging on Web Servers
Alejandro Acosta
alejandroacostaalamo en gmail.com
Jue Mar 28 08:17:18 -03 2019
Fer..., sin ánimos de sonar antipáticomi último mensaje al respecto.
El 28/3/19 a las 11:25, Fernando Gont escribió:
> Ale,
>
> On 28/3/19 11:00, Alejandro Acosta wrote:
> [...]
>>>> Si claro.., pero es como decir tienes que ir de Caracas a Buenos Aires,
>>>> en uno voy a pie y en otro en avión. Tienes que ir.
>>> En el ejemplo en cuestion, soy yo quien compra el pasaje.
>> Fer..,. el punto no es quien compra el pasaje, el punto es que la ley te
>> dice tienes que comprar tal pasaje..., y si, ciertamente uno sigue
>> siendo a pie y otro en avión.
> El punto es, en buena medida, quien compra el pasaje.
>
> Si el apsaje lo compras vos, tenes opcion. Si no lo compras vos, no la
> tenes.
>
> Los ISPs tienen que soportar tanto IPv4 como IPv6. Y donde la ley se los
> requiere, deben loggear tanto IPv4 como IPv6.
Bingo !!.., y lo bueno es que no hay (o casi no hay) NAT66. That's it.
Saludos,
Alejandro,
>
> Si un cliente del ISP tuviera IPv6, y se conectara a un sitio con IPv6,
> el loggeo se realizaria en IPv6. Sin embargo, inclusive si el cliente
> tuviera dual-stack, pero se conectara a un sitio IPv4-only, el loggeo
> ocurrira en IPv4.
>
> Como usuario, puedo decidir si me conecto sobre IPv4 o sobre IPv6. Y si
> sos mi ISP, y tengo ganas de joderte la vida, puedo conectarme a sitios
> dual-stack via IPv4. Y vas a tener que loggear en IPv4.
>
> Google reporta un trafico del mas del 25% sobre IPv6. Sin embargo, los
> niveles de despliegue de IPv6 para sitios en general (ver
> https://www.lacnic.net/innovaportal/file/2578/1/mgarcia-fgont-ipv6-lac-updated-v3.pdf)
> es muchisimo mas bajo. Y en todos esos casos vas a tener que loggear en
> IPv4.
>
>
> De ahi que la comparacion entre ipv4 e ipv6 en este sentido es bastante
> superflua, y solo aporta para pensamientos del estilo "what
> if..?"/"si.... entonces...".
>
>
> El ISP va a loggear tanto IPv4 como IPv6. Y salvo que hagan cosas raras
> (ejemplo "remueven registros A cuando el mismo dominio tambien tenia
> AAAA"), no va a estar bajo su control que es lo que loggean.
>
>
> Mas alla de eso, la comparacion en si depende de como se haga el NATeo.
> Si compartis la misma IP y pool de puertos entre todos los clientes, esa
> es la peor situacion, y obviamente vas a tener que loggear cada
> conexion. POr el contrario, si asignas una IP y rango de puertos a cada
> usuario, no necesitas hacer tal cosa.
>
Más información sobre la lista de distribución LACNOG