[FUG-BR] DUVIDAS COM OPENBGPD

Segunda Abril 2 15:08:25 BRT 2012

Bem lembrado Marcelo:
Tem mesmo o "inet" antes do prefixlen

Renato valew pela dica.

A pergunta do Crica foi interessante, há alguma objeção em utilizar BGP e
FIREWALL na mesma maquina ?

Abraços.

Em 2 de abril de 2012 14:21, Marcelo Gondim <gondim em bsdinfo.com.br>escreveu:

> Em 02/04/2012 10:33, Flávio Marcelo escreveu:
> > Opa.
> > Bom dia !
> >
> > Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação (
> > http://www.openbsd.org/papers/linuxtag06-network.pdf)
> > Seria isso:
> >
> > # publicacao de 8 a 24 bits, nem mais nem menos
> >
> > allow from any prefixlen 8 - 24
> >
> > # nao aceita publicacao de rota padrao
> >
> > deny from any prefix 0.0.0.0/0
> >
> > # Redes as quais nunca permitiremos publicacao de rotas
> > deny from any prefix 10.0.0.0/8 prefixlen>= 8
> > deny from any prefix 172.16.0.0/12 prefixlen>= 12
> > deny from any prefix 192.168.0.0/16 prefixlen>= 16
> > deny from any prefix 169.254.0.0/16 prefixlen>= 16
> > deny from any prefix 192.0.2.0/24 prefixlen>= 24
> > deny from any prefix 224.0.0.0/4 prefixlen>= 4
> > deny from any prefix 240.0.0.0/4 prefixlen>= 4
> >
> >
> > Bom quanto aos filtros é basicamente isso.
> >
> >
> >
> > Em 28 de março de 2012 17:37, Crica Bsd<cricabsd em gmail.com>  escreveu:
> >
> >> Boa Tarde.
> >>
> >> Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou
> com
> >> algumas duvidas.
> >> Estou utilizando o OpenBGPD e FreeBSD.
> >>
> >> Vamos as duvidas.
> >> *
> >> *
> >> *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o
> Firewall
> >> da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais
> >> indicado ?
> >>
> >>
> >> *Segunda:* Na configuração do bgpd.conf que segui (
> >> http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com
> >> alguns
> >> filtros:
> >>
> >> # filter out prefixes longer than 24 or shorter than 8 bits
> >>> deny from any
> >>> allow from any prefixlen 8 - 24
>
> Tem um errinho nessa linha acima, pelo menos quando fiz dava erro aqui
> no meu openbgp e o serviço não levantava.
>
> Seria: allow from any inet prefixlen 8 - 24
>
> Porque pelo que vi no man se não especificar o bloco no prefixlen,
> precisa dizer antes se é inet ou inet6.  ;)
>
> >>> # do not accept a default route
> >>> deny from any prefix 0.0.0.0/0
> >>> # filter bogus networks
> >>> deny from any prefix 10.0.0.0/8 prefixlen>= 8
> >>> deny from any prefix 172.16.0.0/12 prefixlen>= 12
> >>> deny from any prefix 192.168.0.0/16 prefixlen>= 16
> >>> deny from any prefix 169.254.0.0/16 prefixlen>= 16
> >>> deny from any prefix 192.0.2.0/24 prefixlen>= 24
> >>> deny from any prefix 224.0.0.0/4 prefixlen>= 4
> >>> deny from any prefix 240.0.0.0/4 prefixlen>=
> >>
> >> Dei uma procurada mas ainda não consegui entender como eles funcionam.
> >> Alguém com experiência e um pouco de paciência pode exclare-los de forma
> >> mais clara.
> >>
> >> Grato desde já a todos pela atenção.
> >> Obrigado.
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> >
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

-- 
Att
Flávio Marcelo
Network and Systems Administrator
souza.bsd em gmail.com
flavio133 em hotmail.com
www.fug.com.br

“Se não posso fazer tudo que devo, devo ao menos fazer tudo que posso."