[FUG-BR] DUVIDAS COM OPENBGPD
Renato Frederick
renato em frederick.eti.br
Segunda Abril 2 12:04:50 BRT 2012
isto aí mesmo.
você pode adicionar nas linhas de deny from any seu bloco CIDR,
garantindo assim que você não receba uma rota para seu bloco vindo de
alguém que por engano ou maliciosamente anunciou sua rede(200.0.0.0/20
no exemplo):
deny from any prefix 0.0.0.0/0
deny from any prefix 200.0.0.0/20
[....]
deny from any prefix 240.0.0.0/4 prefixlen>= 4
[...]
etc
Coloque também uma linha do tipo
allow to any prefix 200.0.0.0/20
deny to any prefix 0.0.0.0/0
isto vai garantir o inverso: que você vai divulgar para seus peers
somente o seu CIDR(200.0.0.0/20 no exemplo) e não vai divulgar nada
mais. Isto vai garantir que caso você tenha colocado na configuração
alguma rede a mais - por engano - ou então colocado - por engano - na
configuração do peer uma linha "anounce all", não vai entregar redes que
não são suas ou todas as rotas que você aprende de outros parceiros ,
virando um provedor de trânsito ou sequestrando outras redes, caso seus
peers não façam a filtragem de rotas enviadas por você(muito difícil uma
operadora não fazer isto, mas nunca se sabe... desastres ocorrem assim).
[]s
Em 02/04/2012 10:33, Flávio Marcelo escreveu:
> Opa.
> Bom dia !
>
> Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação (
> http://www.openbsd.org/papers/linuxtag06-network.pdf)
> Seria isso:
>
> # publicacao de 8 a 24 bits, nem mais nem menos
>
> allow from any prefixlen 8 - 24
>
> # nao aceita publicacao de rota padrao
>
> deny from any prefix 0.0.0.0/0
>
> # Redes as quais nunca permitiremos publicacao de rotas
> deny from any prefix 10.0.0.0/8 prefixlen>= 8
> deny from any prefix 172.16.0.0/12 prefixlen>= 12
> deny from any prefix 192.168.0.0/16 prefixlen>= 16
> deny from any prefix 169.254.0.0/16 prefixlen>= 16
> deny from any prefix 192.0.2.0/24 prefixlen>= 24
> deny from any prefix 224.0.0.0/4 prefixlen>= 4
> deny from any prefix 240.0.0.0/4 prefixlen>= 4
>
>
> Bom quanto aos filtros é basicamente isso.
>
>
>
> Em 28 de março de 2012 17:37, Crica Bsd<cricabsd em gmail.com> escreveu:
>
>> Boa Tarde.
>>
>> Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou com
>> algumas duvidas.
>> Estou utilizando o OpenBGPD e FreeBSD.
>>
>> Vamos as duvidas.
>> *
>> *
>> *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o Firewall
>> da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais
>> indicado ?
>>
>>
>> *Segunda:* Na configuração do bgpd.conf que segui (
>> http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com
>> alguns
>> filtros:
>>
>> # filter out prefixes longer than 24 or shorter than 8 bits
>>> deny from any
>>> allow from any prefixlen 8 - 24
>>> # do not accept a default route
>>> deny from any prefix 0.0.0.0/0
>>> # filter bogus networks
>>> deny from any prefix 10.0.0.0/8 prefixlen>= 8
>>> deny from any prefix 172.16.0.0/12 prefixlen>= 12
>>> deny from any prefix 192.168.0.0/16 prefixlen>= 16
>>> deny from any prefix 169.254.0.0/16 prefixlen>= 16
>>> deny from any prefix 192.0.2.0/24 prefixlen>= 24
>>> deny from any prefix 224.0.0.0/4 prefixlen>= 4
>>> deny from any prefix 240.0.0.0/4 prefixlen>=
>>
>> Dei uma procurada mas ainda não consegui entender como eles funcionam.
>> Alguém com experiência e um pouco de paciência pode exclare-los de forma
>> mais clara.
>>
>> Grato desde já a todos pela atenção.
>> Obrigado.
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
Mais detalhes sobre a lista de discussão freebsd