Entenda cada regra do CGNAT no MikroTik | AMS SOFT

A crescente demanda por conectividade à Internet e a consequente escassez de endereços IPv4 levaram à adoção de várias técnicas para otimizar o uso desses endereços.

Uma dessas técnicas é o CGNAT (Carrier Grade Network Address Translation), que se tornou uma ferramenta essencial para muitos provedores de serviços de Internet.

O CGNAT permite que múltiplos clientes compartilhem um único endereço IP público, ao mapear endereços IP privados para um endereço IP público específico, com intervalos de portas designados. Esta técnica não apenas ajuda a conservar os endereços IPv4, mas também oferece um nível adicional de segurança, escondendo endereços IP privados atrás de um endereço IP público.

No contexto dos roteadores MikroTik, a configuração do CGNAT pode parecer complexa à primeira vista. No entanto, com uma compreensão adequada de cada regra e sua função, o processo se torna mais claro e gerenciável.

Neste artigo, vamos detalhar algumas das regras mais comuns usadas para configurar o CGNAT em dispositivos MikroTik, ajudando administradores de rede e proprietários de provedores de internet a entender melhor essa importante ferramenta.

1. BLACKHOLE

O conceito de "blackhole" refere-se a uma técnica usada na administração de redes para descartar deliberadamente o tráfego que está sendo enviado a um endereço IP específico.

Este método é frequentemente utilizado como uma medida de segurança ou de otimização.

Regra:

/ip route add type=blackhole dst-address=201.100.1.1/32 comment=CGNAT_BLACKHOLE

Nesta regra específica do MikroTik, uma rota do tipo "blackhole" é criada para o endereço 201.100.1.1/32, geralmente o IP usado aqui é o bloco de IP do provedor que contem o seu ASN ou emprestado da sua operadora.

Isso significa que qualquer pacote de dados que seja destinado a esse endereço IP será imediatamente descartado pelo roteador, sem qualquer processamento adicional.

Aplicações práticas:

• Defesa contra ataques: Se um administrador de rede detectar que um endereço IP específico está sob ataque, ele pode configurar uma rota "blackhole" para esse IP. Isso irá descartar todo o tráfego indesejado, protegendo o resto da rede.
  
  
• Otimização de recursos: Em algumas situações, pode haver tráfego indesejado ou desnecessário direcionado a certos IPs. Ao usar a técnica de "blackhole", esse tráfego é descartado, evitando o consumo desnecessário de largura de banda e recursos do roteador.
  
  
• Diagnóstico e solução de problemas: Os administradores podem usar rotas "blackhole" temporariamente para isolar partes da rede durante a solução de problemas.

É crucial lembrar que o uso de rotas "blackhole" deve ser feito com cautela. Descartar tráfego de forma indiscriminada pode resultar em interrupções de serviço ou em outras complicações indesejadas. Sempre é recomendado monitorar o tráfego e ter certeza do propósito antes de implementar essa técnica.

2. FASTTRACK

O FastTrack é uma funcionalidade especial do MikroTik que foi projetada para aumentar a eficiência e o desempenho do roteador. Ele faz isso ao reduzir a quantidade de processamento que o roteador tem que realizar em pacotes específicos.

Ao invés de passar por todas as regras e verificações do firewall, os pacotes FastTracked são acelerados, levando a uma melhoria no throughput.

No entanto, é importante notar um risco ao usar o FastTrack em concentradores PPPoE: ele pode desativar o controle de banda dos clientes (Queues). Isso significa que os limites de velocidade definidos para os clientes podem não ser respeitados, levando a problemas potenciais de uso excessivo de largura de banda e congestionamento da rede.

Regras:

/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related

/ip firewall filter add chain=forward action=accept connection-state=established,related

Estas duas regras estão trabalhando juntas para otimizar o desempenho:

A primeira regra está dizendo ao roteador para acelerar pacotes de conexões já estabelecidas (established) ou conexões relacionadas (related).

Isso significa que, uma vez que uma conexão é reconhecida e classificada como "estabelecida" ou "relacionada", os pacotes subsequentes dessa conexão serão acelerados, evitando processamentos desnecessários.

A segunda regra simplesmente aceita esses pacotes acelerados, garantindo que eles passem pelo firewall sem obstáculos.

Exemplos práticos e benefícios do FastTrack:

• Streaming de Vídeo e Jogos Online: Ao assistir a um vídeo ou jogar online, uma conexão contínua é estabelecida entre o dispositivo do usuário e o servidor.
  
  O FastTrack garante que, uma vez estabelecida essa conexão, os pacotes de dados fluam mais livremente, reduzindo possíveis latências.
  
  
• Transferências de arquivos grandes: Se você estiver transferindo um arquivo grande de um servidor, a conexão entre seu dispositivo e o servidor é reconhecida como "estabelecida".
  
  O FastTrack garante que essa transferência seja mais eficiente, reduzindo o tempo total de download.
  
  
• Navegação na Web: Ao abrir um website, vários recursos (como imagens, scripts e folhas de estilo) são carregados. Uma vez que a conexão com o servidor web é estabelecida, o FastTrack pode acelerar o carregamento subsequente desses recursos.

É importante notar que, enquanto o FastTrack pode melhorar significativamente o desempenho, ele também pode contornar algumas regras de firewall.

Portanto, ao implementá-lo, é crucial entender as implicações de segurança e monitorar constantemente o tráfego para garantir que a rede permaneça protegida.

3. CGNAT (Carrier Grade Network Address Translation)

O CGNAT, ou NAT de Operadora, é uma solução desenvolvida para abordar a crescente escassez de endereços IP públicos disponíveis no IPv4.

Com a exaustão dos endereços IPv4, provedores de internet e operadoras tiveram que encontrar formas de estender a vida útil desses endereços, permitindo que múltiplos dispositivos ou clientes compartilhem um único endereço IP público.

Como funciona o CGNAT?

O CGNAT funciona mapeando múltiplos endereços IP privados para um único endereço IP público, mas distribuindo diferentes intervalos de portas para cada endereço IP privado.

Dessa forma, cada dispositivo ou cliente tem um "espaço" único na internet, mesmo compartilhando o mesmo endereço IP.

Exemplo de Regra:

/ip firewall nat add action=netmap chain=srcnat protocol=tcp src-address=100.64.0.0/32 to-addresses=201.100.1.1/32 to-ports=1024-2031 out-interface="WAN"

• Esta regra, mapeia o endereço IP 100.64.0.0 para o endereço 201.100.1.1 para tráfego TCP, usando portas entre 1024 e 2031. Isso significa que, se um dispositivo dentro da rede tenta se conectar à internet com o endereço IP 100.64.0.0, o CGNAT irá traduzir esse endereço para 201.100.1.1 e alocará uma porta disponível entre 1024 e 2031.

Aplicações e Considerações:

• Eficiência: O CGNAT é uma ferramenta eficiente para conservar endereços IP, permitindo que provedores continuem a fornecer conexões de internet sem ter que adquirir mais endereços IP públicos.
  
  
• Limitações: O CGNAT pode apresentar limitações para serviços que exigem portas específicas ou quando se precisa de um mapeamento de portas constante (como servidores de jogos ou VPNs). Isso ocorre porque a alocação de portas pode mudar dinamicamente.;
  
  
• Desafios de Rastreabilidade: Devido à natureza do CGNAT, rastrear atividades específicas para um único cliente pode ser mais desafiador, já que múltiplos clientes compartilham o mesmo IP.;
  
  
• Transição para IPv6: A longo prazo, a solução ideal para a escassez de endereços IPv4 é a adoção do IPv6, que possui um espaço de endereçamento muito maior. O CGNAT é uma solução intermediária até que a transição completa para o IPv6 seja realizada.

Em resumo, o CGNAT é uma ferramenta valiosa para provedores de internet na era do IPv4, mas vem com suas próprias complexidades e desafios. As regras de CGNAT no MikroTik ajudam os provedores a implementar essa solução de forma eficaz, mas é essencial entender suas implicações e limitações.

Não deixa de visitar o artigo: CGNAT ou SAME? qual é o melhor

Não Espere Uma Intimação Judicial Para Agir!

Se você é um provedor de internet, sabe a importância de estar em conformidade e protegido. Por mais que o CG-NAT e sistemas RADIUS para PPPoE sejam passos fundamentais, eles NÂO são suficientes por si só para garantir sua total segurança perante a lei.

Não deixe que a falta de informações detalhadas em seus logs seja uma vulnerabilidade em seu negócio. A hora de agir é agora!

Acesse a nossa loja clicando aqui, e descubra uma solução completa que oferece a proteção e conformidade que seu provedor precisa. Garanta a paz de espírito de saber que, quando uma intimação chegar, você estará preparado com todos os dados necessários para responder adequadamente!

Agora que você entende melhor a seção do MikroTik, talvez esteja pensando em adquirir um ou aprimorar sua rede existente.

Seja qual for sua necessidade, confira a nossa loja clicando aqui para encontrar as melhores soluções em MikroTik e outros produtos de telecomunicações.

AMS SOFT - Services ISP

Aqui você encontra produtos e serviços ideais para o seu provedor de internet.
www.amssoft.com.br