[FUG-BR] DUVIDAS COM OPENBGPD

Segunda Abril 2 15:53:39 BRT 2012

Também tenho interesse em implementar.

Abraços.

Em 2 de abril de 2012 15:25, Marcelo Gondim <gondim em bsdinfo.com.br>escreveu:

> Em 02/04/2012 15:08, Flávio Marcelo escreveu:
> > Bem lembrado Marcelo:
> > Tem mesmo o "inet" antes do prefixlen
> >
> > Renato valew pela dica.
> >
> > A pergunta do Crica foi interessante, há alguma objeção em utilizar BGP e
> > FIREWALL na mesma maquina ?
>
> Eu vejo uma coisa interessante de se ter um firewall no router BGP. Em
> caso de ataques você pode dar um deny para determinado bloco e parar o
> roteamento para aquela rede. Alguns sistemas de proteção de DDoS
> utilizam essa técnica direto no BGP.
> Por falar nisso, alguém conhece algum IPS que rode no FreeBSD que faça
> inclusões em BGP pra proteção de ataques? Seria muito interessante.
> Estive pensando algo para eu implementar no nosso router.
>
> >
> > Abraços.
> >
> > Em 2 de abril de 2012 14:21, Marcelo Gondim<gondim em bsdinfo.com.br
> >escreveu:
> >
> >> Em 02/04/2012 10:33, Flávio Marcelo escreveu:
> >>> Opa.
> >>> Bom dia !
> >>>
> >>> Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação (
> >>> http://www.openbsd.org/papers/linuxtag06-network.pdf)
> >>> Seria isso:
> >>>
> >>> # publicacao de 8 a 24 bits, nem mais nem menos
> >>>
> >>> allow from any prefixlen 8 - 24
> >>>
> >>> # nao aceita publicacao de rota padrao
> >>>
> >>> deny from any prefix 0.0.0.0/0
> >>>
> >>> # Redes as quais nunca permitiremos publicacao de rotas
> >>> deny from any prefix 10.0.0.0/8 prefixlen>= 8
> >>> deny from any prefix 172.16.0.0/12 prefixlen>= 12
> >>> deny from any prefix 192.168.0.0/16 prefixlen>= 16
> >>> deny from any prefix 169.254.0.0/16 prefixlen>= 16
> >>> deny from any prefix 192.0.2.0/24 prefixlen>= 24
> >>> deny from any prefix 224.0.0.0/4 prefixlen>= 4
> >>> deny from any prefix 240.0.0.0/4 prefixlen>= 4
> >>>
> >>>
> >>> Bom quanto aos filtros é basicamente isso.
> >>>
> >>>
> >>>
> >>> Em 28 de março de 2012 17:37, Crica Bsd<cricabsd em gmail.com>
> escreveu:
> >>>
> >>>> Boa Tarde.
> >>>>
> >>>> Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou
> >> com
> >>>> algumas duvidas.
> >>>> Estou utilizando o OpenBGPD e FreeBSD.
> >>>>
> >>>> Vamos as duvidas.
> >>>> *
> >>>> *
> >>>> *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o
> >> Firewall
> >>>> da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais
> >>>> indicado ?
> >>>>
> >>>>
> >>>> *Segunda:* Na configuração do bgpd.conf que segui (
> >>>> http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com
> >>>> alguns
> >>>> filtros:
> >>>>
> >>>> # filter out prefixes longer than 24 or shorter than 8 bits
> >>>>> deny from any
> >>>>> allow from any prefixlen 8 - 24
> >> Tem um errinho nessa linha acima, pelo menos quando fiz dava erro aqui
> >> no meu openbgp e o serviço não levantava.
> >>
> >> Seria: allow from any inet prefixlen 8 - 24
> >>
> >> Porque pelo que vi no man se não especificar o bloco no prefixlen,
> >> precisa dizer antes se é inet ou inet6.  ;)
> >>
> >>>>> # do not accept a default route
> >>>>> deny from any prefix 0.0.0.0/0
> >>>>> # filter bogus networks
> >>>>> deny from any prefix 10.0.0.0/8 prefixlen>= 8
> >>>>> deny from any prefix 172.16.0.0/12 prefixlen>= 12
> >>>>> deny from any prefix 192.168.0.0/16 prefixlen>= 16
> >>>>> deny from any prefix 169.254.0.0/16 prefixlen>= 16
> >>>>> deny from any prefix 192.0.2.0/24 prefixlen>= 24
> >>>>> deny from any prefix 224.0.0.0/4 prefixlen>= 4
> >>>>> deny from any prefix 240.0.0.0/4 prefixlen>=
> >>>> Dei uma procurada mas ainda não consegui entender como eles funcionam.
> >>>> Alguém com experiência e um pouco de paciência pode exclare-los de
> forma
> >>>> mais clara.
> >>>>
> >>>> Grato desde já a todos pela atenção.
> >>>> Obrigado.
> >>>> -------------------------
> >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>
> >>>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> >
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

-- 
Att
Flávio Marcelo
Network and Systems Administrator
souza.bsd em gmail.com
flavio133 em hotmail.com
www.fug.com.br

“Se não posso fazer tudo que devo, devo ao menos fazer tudo que posso."