[lacnog] IPs publicas bloqueadas.

Roberto Boero Mansilla rboero en somtik.com
Lun Ago 2 14:09:32 -03 2021 

Yo soy consultor para varios ISPs y lo manejo de la siguiente manera.

tomemos como ejemplo que usamos 1 /24 completo de publicas para natear

45.1.1.x/24

45.1.1.1  no la usamos

45.1.1.2 - 45.1.1.30  nateamos todo lo que es TCP 21,22,25,587

45.1.1.31 - 45.1.1.50  nateo especiales de algunos sitios en particular.

45.1.1.51 - 45.1.1.254  nateo general de clientes.

Con esto logramos que las ips de navegacion nunca esten contaminadas por
ataques smtp, telnet o ssh.

Al hacer esto bajo drasticamente los problemas por listas negras.



Espero les sirva.


Saludos








On Fri, Jul 30, 2021 at 1:02 PM Cesar E. Labrador C. <
cesarlabradorcastro01 en gmail.com> wrote:

> Buenos dias;
>
> Aqui en Venezuela particularmente he tenido este mismo problema en
> diferentes ISP que soy Consultor y Gerente de Operaciones en el NOC, se
> repite la misma historia y no solo con Nexflix sino con Disney+ entre otras
> Plataformas de Streaming asi como tambien con el Banking y Apps mas que
> todas nuevas.
>
> Es un dolor de cabeza constante para el personal de Soporte que al final a
> nivel del NOC se debe resolver...
>
> Estoy de acuerdo que lo ideal seria la implementacion de IPv6 pero el
> detalle es la Resistencia al Cambio de los Directivos de los ISP, sin
> embargo Yo sigo en la lucha para cambiar la cultura del uso de IPv4 e ir
> migrando al IPv6 a traves de mecanismos de transicion como NAT64 u otros
> metodos. No es tarea Facil pero hay vamos..
>
> Saludos cordiales...
> El 30/7/2021 a las 10:22 a. m., telecomunicaciones en arcoop.com.ar escribió:
>
> Buenos días. Una consulta que tiene que ver con el tema en cierta forma,
> hace unos días que estamos teniendo problema con Nexflix, en los usuarios
> que están detrás de un NAT, después de muchas pruebas he podido comprobar
> que si asigno al cliente una IP publica todo sale andando, alguien mas
> tiene ese problema??
>
>
> saludos
>
>
>
> El 30-07-2021 11:14, Fernando Frediani escribió:
>
> Hola
>
> Este es un problema del que he estado hablando y desafortunadamente parece
> que se está volviendo cada vez más común y también tengo el mismo
> entendimiento que Ariel donde en escenarios, especialmente CGNAT, con
> muchas conexiones detrás de una IPv4 pública, puede terminar siendo
> interpretados como ataques y los sistemas de mitigación DDoS terminan
> bloqueando estas direcciones, lo que en consecuencia bloquea a muchos otros
> usuarios detrás de esa misma dirección pública.
> El problema es que asignar nuevas direcciones IPv4 a un CGNAT no es tan
> sencillo, especialmente en tiempos de escasez de IPv4.
>
> Mientras los bancos y el contenido en general sigan descuidando el soporte
> de IPv6 y mientras esperamos y respetemos pacientemente "la buena voluntad"
> de que cada uno tenga IPv6 operativo, un intento en los sistemas CGNAT
> existentes, si compatible, es tratar de difundir a los usuarios tanto como
> sea posible posible a través de un mayor número de direcciones IPv4
> diferentes disponibles en el grupo disponible para el equipo de CGNAT.
>
> Fernando
> On 29/07/2021 13:35, Ariel Weher wrote:
>
> Muy buenas tardes
>
> El inconveniente ocurre desde hace unos meses atrás y es cada día más
> frecuente.
>
> Algunos sitios, principalmente portales de banca online están empezando a
> filtrar direcciones IP asignadas a cajas de CGN. Aparentemente deben estar
> basados en alguna fuente de información externa tipo blacklist.
>
> Entiendo que hay alguna consideración de "seguridad" en donde estos bancos
> determinan que muchas sesiones desde un mismo bloque IPv4 (CGN) es
> considerado un potencial peligro y deciden filtrarlos. En un principio
> parecía que se mandaba el tráfico a blackhole, pero durante el último
> tiempo agregaron una página de error 403 en donde estos bancos informan que
> el ISP "tiene algún problema en su infraestructura" e invitan a sus
> clientes a abrir un reclamo con su ISP para poder volver a acceder al
> servicio de homebanking.
>
> Ninguno de estos portales tiene registros AAAA publicados, por lo que (al
> momento de escribir este mail) desplegar IPv6 en el ISP no resolvería el
> problema.
>
> Una solución temporal sería asignar IPv4 nuevas a los CGN o bien asignar
> bloques IPv4 públicos a los clientes para que puedan acceder a estos
> portales, pero está claro que luego del agotamiento esto es inviable.
> Tampoco está claro cuánto dura en el tiempo una asignación dedicada hasta
> que sea bloqueada nuevamente.
>
> Otro grave problema es que algunos clientes del ISP pueden acceder al
> servicio y otros no (los CGN-eados), creando un verdadero escenario de "el
> ISP no anda bien". Personalmente he intentado comunicarme con los
> responsables de networking de estas organizaciones vía los datos de whois y
> hasta el momento nunca me respondieron.
>
> IMHO, en caso de que estos portales continúen con estas prácticas, puede
> pasar que los ISP en conjunto también decidan filtrar para todos sus
> clientes los sitios que hacen este tipo de mala práctica, y se terminará
> afectando la neutralidad de la red.
>
> Saludos!
>
> On Mon, Jul 26, 2021 at 8:53 AM Carlos Marcelo Martinez Cagnazzo <
> carlosm3011 en gmail.com> wrote:
>
>> Hola Leandro
>>
>> Si pudieras darnos información concreta por privado vemos si desde lacnic
>> podemos hacer algo
>>
>> Carlos
>>
>> via Newton Mail
>> <https://cloudmagic.com/k/d/mailapp?ct=pi&cv=10.0.58&pv=14.6&source=email_footer_2>
>>
>> On Mon, Jul 26, 2021 at 8:49, Leandro Roggerone <leandro en tecnetmza.com.ar>
>> wrote:
>>
>> Buenas, colegas ;
>> Para comentarles sobre una situacion que se esta repitiendo ultimamente
>> en nuestro ips.
>> Estamos recibiendo reclamos sobre clientes que no pueden acceder a
>> distintos servicios:
>> Ej,
>> Portales privados , apps de pedidos de comida , Home banking , etc.
>> En la mayoria de estos intentos se devuelven mensajes refiriendose a
>> problemas con nuestras ips.
>> Les queria consultar si han tenido este inconveniente y como han
>> procedido para solucionarlo.
>> Desde aqui , ya hemos intentado lo siguiente:
>> a )Contactar al webmaster de los sitios:
>> Esto es practicamente imposible, la ayuda en los sitios está referida al
>> sitio en si y no a la conectividad.
>> b ) Buscar nuestra ip en listas negras , por ejemplo a travez de
>> mxtoolbox.
>> De aqui he logrado obtener una lista de ips bloqueadas , pero sobre todo
>> para hacer uso de servidores de correo el cual no es mi caso.
>>
>> Cualquier info que nos pueda ayudar sera bienvenida.
>> Leandro.
>>
>>
>>
>>
>> <https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215927-1361e986-2592-dc9c-c8d2-3bfb55258755/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail> Libre
>> de virus. www.avast.com
>> <https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail>
>>
>> _______________________________________________ LACNOG mailing list
>> LACNOG en lacnic.net mail.lacnic.net/mailman/listinfo/lacnog
>> <https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215944-1bcc89ef-b287-24fd-c2a0-56a56fb20eae/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://mail.lacnic.net/mailman/listinfo/lacnog>
>> Cancelar suscripcion: mail.lacnic.net/mailman/options/lacnog
>> <https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215954-4027e3bf-48c7-d329-7516-0fb3921ad776/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://mail.lacnic.net/mailman/options/lacnog>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
> _______________________________________________
> LACNOG mailing listLACNOG en lacnic.nethttps://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
> ARCOOP - Barracuda Spam & Virus Firewall   ­­
>
> _______________________________________________
> LACNOG mailing listLACNOG en lacnic.nethttps://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
> --
> Cesar E. Labrador C.
> Consultor Especialista en Telecomunicaciones y Ciberseguridad.
> Enrutamiento en Internet, Ciberseguridad, Gestion de Red: NOC y SOC, Redes Inalambricas.
> Instructor Programa de Academias Cisco.
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>


-- 

*Roberto Boero Mansilla*

- Los Nogales 535, Marcos Paz

     Buenos Aires | Argentina

 +54 (911) 6284-6585

* rboero en somtik.com <jmpoco en somtik.com>

 www.somtik.com
[image: somtik.jpg]
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20210802/4f86b9e9/attachment-0001.htm>
------------ próxima parte ------------
Se ha borrado un mensaje adjunto que no está en formato texto plano...
Nombre     : image001.jpg
Tipo       : image/jpeg
Tamaño     : 6845 bytes
Descripción: no disponible
Url        : <https://mail.lacnic.net/pipermail/lacnog/attachments/20210802/4f86b9e9/attachment-0001.jpg>

Más información sobre la lista de distribución LACNOG