<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Hola</p>
<p>Este es un problema del que he estado hablando y
desafortunadamente parece que se está volviendo cada vez más común
y también tengo el mismo entendimiento que Ariel donde en
escenarios, especialmente CGNAT, con muchas conexiones detrás de
una IPv4 pública, puede terminar siendo interpretados como ataques
y los sistemas de mitigación DDoS terminan bloqueando estas
direcciones, lo que en consecuencia bloquea a muchos otros
usuarios detrás de esa misma dirección pública.<br>
El problema es que asignar nuevas direcciones IPv4 a un CGNAT no
es tan sencillo, especialmente en tiempos de escasez de IPv4.<br>
<br>
Mientras los bancos y el contenido en general sigan descuidando el
soporte de IPv6 y mientras esperamos y respetemos pacientemente
"la buena voluntad" de que cada uno tenga IPv6 operativo, un
intento en los sistemas CGNAT existentes, si compatible, es tratar
de difundir a los usuarios tanto como sea posible posible a través
de un mayor número de direcciones IPv4 diferentes disponibles en
el grupo disponible para el equipo de CGNAT.</p>
<p>Fernando<br>
</p>
<div class="moz-cite-prefix">On 29/07/2021 13:35, Ariel Weher wrote:<br>
</div>
<blockquote type="cite"
cite="mid:CA+=gdqWKhmr+VdwAfqy94u5TFTL=zDW21BXv=2mP08Ecfbh0fg@mail.gmail.com">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="ltr">
<div class="gmail_default"
style="font-family:monospace,monospace">Muy buenas tardes</div>
<div class="gmail_default"
style="font-family:monospace,monospace"><br>
</div>
<div class="gmail_default"
style="font-family:monospace,monospace">El inconveniente
ocurre desde hace unos meses atrás y es cada día más
frecuente.</div>
<div class="gmail_default"
style="font-family:monospace,monospace"><br>
</div>
<div class="gmail_default"
style="font-family:monospace,monospace">Algunos sitios,
principalmente portales de banca online están empezando a
filtrar direcciones IP asignadas a cajas de CGN. Aparentemente
deben estar basados en alguna fuente de información externa
tipo blacklist.</div>
<div class="gmail_default"
style="font-family:monospace,monospace"><br>
</div>
<div class="gmail_default"
style="font-family:monospace,monospace">Entiendo que hay
alguna consideración de "seguridad" en donde estos bancos
determinan que muchas sesiones desde un mismo bloque IPv4
(CGN) es considerado un potencial peligro y deciden
filtrarlos. En un principio parecía que se mandaba el tráfico
a blackhole, pero durante el último tiempo agregaron una
página de error 403 en donde estos bancos informan que el ISP
"tiene algún problema en su infraestructura" e invitan a sus
clientes a abrir un reclamo con su ISP para poder volver a
acceder al servicio de homebanking.</div>
<div class="gmail_default"
style="font-family:monospace,monospace"><br>
</div>
<div class="gmail_default"
style="font-family:monospace,monospace">Ninguno de estos
portales tiene registros AAAA publicados, por lo que (al
momento de escribir este mail) desplegar IPv6 en el ISP no
resolvería el problema.</div>
<div class="gmail_default"
style="font-family:monospace,monospace"><br>
</div>
<div class="gmail_default"
style="font-family:monospace,monospace">Una solución temporal
sería asignar IPv4 nuevas a los CGN o bien asignar bloques
IPv4 públicos a los clientes para que puedan acceder a estos
portales, pero está claro que luego del agotamiento esto es
inviable. Tampoco está claro cuánto dura en el tiempo una
asignación dedicada hasta que sea bloqueada nuevamente.</div>
<div class="gmail_default"
style="font-family:monospace,monospace"><br>
</div>
<div class="gmail_default"
style="font-family:monospace,monospace">Otro grave problema es
que algunos clientes del ISP pueden acceder al servicio y
otros no (los CGN-eados), creando un verdadero escenario de
"el ISP no anda bien". Personalmente he intentado comunicarme
con los responsables de networking de estas organizaciones vía
los datos de whois y hasta el momento nunca me respondieron.</div>
<div class="gmail_default"
style="font-family:monospace,monospace"><br>
</div>
<div class="gmail_default"
style="font-family:monospace,monospace">IMHO, en caso de que
estos portales continúen con estas prácticas, puede pasar que
los ISP en conjunto también decidan filtrar para todos sus
clientes los sitios que hacen este tipo de mala práctica, y se
terminará afectando la neutralidad de la red.</div>
<div class="gmail_default"
style="font-family:monospace,monospace"><br>
</div>
<div class="gmail_default"
style="font-family:monospace,monospace">Saludos!</div>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">On Mon, Jul 26, 2021 at 8:53
AM Carlos Marcelo Martinez Cagnazzo <<a
href="mailto:carlosm3011@gmail.com" target="_blank"
moz-do-not-send="true">carlosm3011@gmail.com</a>> wrote:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px
0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div dir="auto"> Hola Leandro
<div><br>
</div>
<div>Si pudieras darnos información concreta por privado
vemos si desde lacnic podemos hacer algo</div>
<div><br>
</div>
<div>Carlos<br>
<br>
<div
id="gmail-m_4902269221798225226gmail-m_-176297755498524181cm_footer">
<div
id="gmail-m_4902269221798225226gmail-m_-176297755498524181cm_sent_from">via
<a
href="https://cloudmagic.com/k/d/mailapp?ct=pi&cv=10.0.58&pv=14.6&source=email_footer_2"
target="_blank" moz-do-not-send="true">Newton Mail</a></div>
</div>
<br>
<div
id="gmail-m_4902269221798225226gmail-m_-176297755498524181cm_replymail_content_wrap">
<div>On Mon, Jul 26, 2021 at 8:49, Leandro Roggerone
<<a href="mailto:leandro@tecnetmza.com.ar"
rel="noopener noreferrer" target="_blank"
moz-do-not-send="true">leandro@tecnetmza.com.ar</a>>
wrote:<br>
<div
id="gmail-m_4902269221798225226gmail-m_-176297755498524181cm_replymail_content_1627300313"
style="overflow:visible">
<blockquote style="margin:0px;border-left:1px solid
rgb(214,214,214);padding-left:10px">
<div dir="ltr">Buenas, colegas ; <br>
Para comentarles sobre una situacion que se esta
repitiendo ultimamente en nuestro ips.<br>
Estamos recibiendo reclamos sobre clientes que
no pueden acceder a distintos servicios:<br>
Ej,<br>
Portales privados , apps de pedidos de comida ,
Home banking , etc.<br>
En la mayoria de estos intentos se devuelven
mensajes refiriendose a problemas con nuestras
ips.<br>
Les queria consultar si han tenido este
inconveniente y como han procedido para
solucionarlo.<br>
Desde aqui , ya hemos intentado lo siguiente:<br>
a )Contactar al webmaster de los sitios:<br>
Esto es practicamente imposible, la ayuda en los
sitios está referida al sitio en si y no a la
conectividad.<br>
b ) Buscar nuestra ip en listas negras , por
ejemplo a travez de mxtoolbox.<br>
De aqui he logrado obtener una lista de ips
bloqueadas , pero sobre todo para hacer uso de
servidores de correo el cual no es mi caso.<br>
<br>
Cualquier info que nos pueda ayudar sera
bienvenida.<br>
Leandro.<br>
<div><br>
</div>
<div><br>
<br>
</div>
</div>
<div
id="gmail-m_4902269221798225226gmail-m_-176297755498524181DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2"><br>
<table style="border-top:1px solid
rgb(211,212,222)">
<tbody>
<tr>
<td style="width:55px;padding-top:18px"><a
href="https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215927-1361e986-2592-dc9c-c8d2-3bfb55258755/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail"
target="_blank" moz-do-not-send="true"><img
src="https://ipmcdn.avast.com/images/icons/icon-envelope-tick-round-orange-animated-no-repeat-v1.gif"
alt="" style="width: 46px; height:
29px;" moz-do-not-send="true"
width="46" height="29"></a></td>
<td
style="width:470px;padding-top:17px;font-size:13px;font-family:Arial,Helvetica,sans-serif;line-height:18px;color:rgb(65,66,78)">Libre
de virus. <a
href="https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail"
style="color:rgb(68,83,234)"
target="_blank" moz-do-not-send="true">www.avast.com</a>
</td>
</tr>
</tbody>
</table>
</div>
<br>
_______________________________________________
LACNOG mailing list
<a href="mailto:LACNOG@lacnic.net" rel="noopener
noreferrer" target="_blank"
moz-do-not-send="true">LACNOG@lacnic.net</a>
<a
href="https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215944-1bcc89ef-b287-24fd-c2a0-56a56fb20eae/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://mail.lacnic.net/mailman/listinfo/lacnog"
rel="noopener noreferrer" target="_blank"
moz-do-not-send="true">mail.lacnic.net/mailman/listinfo/lacnog</a>
Cancelar suscripcion: <a
href="https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215954-4027e3bf-48c7-d329-7516-0fb3921ad776/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://mail.lacnic.net/mailman/options/lacnog"
rel="noopener noreferrer" target="_blank"
moz-do-not-send="true">mail.lacnic.net/mailman/options/lacnog</a>
</blockquote>
</div>
</div>
</div>
</div>
</div>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank"
moz-do-not-send="true">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog"
rel="noreferrer" target="_blank" moz-do-not-send="true">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a
href="https://mail.lacnic.net/mailman/options/lacnog"
rel="noreferrer" target="_blank" moz-do-not-send="true">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote>
</div>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<pre class="moz-quote-pre" wrap="">_______________________________________________
LACNOG mailing list
<a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a>
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a>
Cancelar suscripcion: <a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a>
</pre>
</blockquote>
</body>
</html>