<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Apr 1, 2022 at 6:37 AM Masataka Ohta <<a href="mailto:mohta@necom830.hpcl.titech.ac.jp">mohta@necom830.hpcl.titech.ac.jp</a>> wrote:</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
If you make the stateful NATs static, that is, each<br>
private address has a statically configured range of<br>
public port numbers, it is extremely easy because no<br>
logging is necessary for police grade audit trail<br>
opacity. </blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
                                        Masataka Ohta<br></blockquote><div><br></div><div>Hi Masataka,</div><div>One quick question.  If every host is granted a range of public port </div><div>numbers on the static stateful NAT device, what happens when </div><div>two customers need access to the same port number?</div><div><br></div><div>Because there's no way in a DNS NS entry to specify a </div><div>port number, if I need to run a DNS server behind this </div><div>static NAT, I *have* to be given port 53 in my range; </div><div>there's no other way to make DNS work.  This means </div><div>that if I have two customers that each need to run a </div><div>DNS server, I have to put them on separate static </div><div>NAT boxes--because they can't both get access to </div><div>port 53.</div><div><br></div><div>This limits the effectiveness of a stateful static NAT </div><div>box to the number of customers that need hard-wired </div><div>port numbers to be mapped through; which, depending </div><div>on your customer base, could end up being all of them, </div><div>at which point you're back to square one, with every </div><div>customer needing at least 1 IPv4 address dedicated </div><div>to them on the NAT device.</div><div><br></div><div>Either that, or you simply tell your customers "so sorry </div><div>you didn't get on the Internet soon enough; you're all </div><div>second class citizens that can't run your own servers; </div><div>if you need to do that, you can go pay Amazon to host </div><div>your server needs."  </div><div><br></div><div>And perhaps that's not as unreasonable as it first sounds; </div><div>we may all start running IPv4-IPv6 application gateways </div><div>on Amazon, so that IPv6-only networks can still interact </div><div>with the IPv4-only internet, and Amazon will be the great </div><div>glue that holds it all together.</div><div><br></div><div>tl;dr -- "if only we'd thought of putting a port number field </div><div>in the NS records in DNS back in 1983..."</div><div><br></div><div>Matt</div><div><br></div></div></div>