¶ 🔀 CGNAT Determinístico – Gerar Regras no NetConfig
¶ 📘 O que é CGNAT Determinístico?
O CGNAT determinístico é uma técnica de NAT que permite mapear qual IP privado estava usando um IP público em determinada data/hora, sem a necessidade de armazenar logs completos. Isso é possível porque:
- Cada IP público é compartilhado por um número fixo de clientes (ex: 16 ou 32)
- Cada cliente recebe uma faixa de portas exclusiva
- A partir da porta de origem e IP público, conseguimos descobrir o IP privado original
✅ Este modelo é o recomendado para CGNAT quando utilizando Mikrotik.
¶ ❗ Por que isso é importante?
Caso sua empresa receba requisições judiciais ou de segurança (como da Polícia Federal, CERT.br, ou empresas internacionais), normalmente os dados enviados serão:
- IP público
- Data e hora
- Porta de origem
Sem a porta de origem, não é possível identificar o cliente no modelo determinístico. Por isso, sempre solicite que esse dado seja informado.
O NetConfig possui uma interface para fazer essa conversão automaticamente, além da tabela para verificação manual.
¶ 📍 Acessando o Gerador de CGNAT
- No menu lateral, clique em CGNAT Determinístico → Gerar Comandos
¶ 🛠️ Como gerar as regras de CGNAT
Na tela de geração, preencha os seguintes campos:
¶ 🔹 Blocos de IP públicos
- Insira um ou mais blocos de IP que serão usados no NAT (um por linha)
¶ 🔹 Quantidade de clientes por IP
- Defina quantos clientes vão compartilhar cada IP público
- Recomendado:
32 - Também pode usar
16,64, etc.
- Recomendado:
¶ 🔹 Fabricante
- Se quiser que o NetConfig gere comandos prontos para seu equipamento, selecione o fabricante (ex: Mikrotik)
¶ 🔹 Alívio de CPU
- Marque a opção “Habilitar comandos de alívio de CPU” para reduzir uso de processamento
- ⚠️ Isso desativa o controle de banda na caixa CGNAT
- Ideal para Mikrotiks dedicados apenas ao NAT
¶ 🔹 Criar jump para chain CGNAT
- Se for a primeira vez rodando o script no Mikrotik, habilite a opção para criar o salto para o chain
CGNAT
¶ ✅ Clique em Gerar Comandos
O NetConfig irá montar todas as regras necessárias para aplicar no Mikrotik, incluindo pools, NATs e comentários para facilitar auditorias.
¶ 🧪 Exemplo de Caso Real
Recebido por e-mail judicial:
- IP público:
203.0.113.135 - Portas de origem:
12345e11543 - Data:
28/02/2022 09:48:24(hora local -03:00)
Sabemos que o IP está dentro do bloco 203.0.113.128/26, que possui 16 regras de NAT, ou seja, 16 clientes por IP.
Usando a tabela abaixo, a porta 12345 pertence ao range 9086 - 13116
→ Isso indica que os dois primeiros octetos do IP privado são: 100.66
Como é CGNAT determinístico, os dois últimos octetos são: 113.135
→ O IP privado do cliente é: 100.66.113.135
¶ 🔍 Como fazer isso automaticamente no NetConfig?
- Vá até a ferramenta de Consulta de CGNAT no NetConfig
- Informe:
- IP público
- Porta de origem
- Quantidade de clientes por IP
- O sistema irá mostrar o IP privado correspondente
¶ 📊 Tabelas de Referência – Porta de origem x IP privado
¶ 🔸 Para 32 clientes por IP público
| Range de Portas | Dois Primeiros Octetos |
|---|---|
| 1024 - 3038 | 100.64 |
| 3039 - 5053 | 100.65 |
| 5054 - 7068 | 100.66 |
| 7069 - 9083 | 100.67 |
| ... | ... |
| 63489 - 65535 | 100.95 |
¶ 🔸 Para 16 clientes por IP público
| Range de Portas | Dois Primeiros Octetos |
|---|---|
| 1024 - 5054 | 100.64 |
| 5055 - 9085 | 100.65 |
| 9086 - 13116 | 100.66 |
| 13117 - 17147 | 100.67 |
| ... | ... |
| 51489 - 65535 | 100.79 |
¶ 🧠 Dica Final
Utilize o NetConfig sempre que:
- Precisar gerar novas regras de CGNAT de forma rápida
- Quiser automatizar a identificação de clientes a partir de IP e porta
- Estiver configurando Mikrotik para NAT com alta performance
💡 CGNAT determinístico economiza processamento, evita necessidade de logging e ainda permite rastreamento preciso quando bem configurado.