Vincent, en GP, ok mais je vois mal l'intérêt du CGNAT sur du pro. Si effectivement, tu peux/veux éviter de filer une IP publique à certains clients pro, tu fais du CGNAT en coeur de réseau plutôt que du NAT et effectivement, ça simplifie. Mais si ton client a besoin d'une IP publique, tu gères ça sur le CPE et avec un Mikrotik, une régle iptables qui syslog les SYN vers TCP/80 et 443, et c'est fini.
Le 29 janv. 2018 à 18:30, Vincent JARDIN a écrit : > Je n'ai aucun avis sur ce qui est autorisé ou pas. Mais technologiquement, le > CGNAT[0] est à conseiller pour ce type de solutions car ça permet > d'historiser les attributions des adresses IP privées + ports de translations > sans impacter les performances du NAT. > > A mon avis, pour déployer une telle solution, il faut le faire avec un > CGNAT... > > Qui déploient ces solutions: > - avec Linux+iptables+logs netfilter? Pour ce cas, les performances seront > limitées car chaque sessions est à logguer + historiser. > - avec un CGNAT? > > My 2 cents, > Vincent > > [0] https://en.wikipedia.org/wiki/Carrier-grade_NAT --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
