Então amigo até tem como fazer totalmente sem LOG, 100% sem registros externos, se os IPs do assinante forem todos fixos, porem não é uma pratica que eu recomendo não. O Log pode ser salvo totalmente pelo ERP, ou em algum coletor de LOG, ambos vão funcionar muito bem, tem várias formas mesmo. E de fato, quanto menos complicação no Firewall melhor, mas ate mesmo no CGN da pra fazer algo bem enxuto, como por exemplo em um NAT do tipo NETMAP, que eu divida as POOLS de bloco igual tamanho ao dos IPS públicos de uso no CGNAT.. enfim, varias possibilidades.