On 02-04-2012 15:08, Flávio Marcelo wrote:
Bem lembrado Marcelo:
Tem mesmo o "inet" antes do prefixlen

Renato valew pela dica.

A pergunta do Crica foi interessante, há alguma objeção em utilizar BGP e
FIREWALL na mesma maquina ?

Abraços.

Em 2 de abril de 2012 14:21, Marcelo Gondim<gon...@bsdinfo.com.br>escreveu:

Em 02/04/2012 10:33, Flávio Marcelo escreveu:
Opa.
Bom dia !

Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação (
http://www.openbsd.org/papers/linuxtag06-network.pdf)
Seria isso:

# publicacao de 8 a 24 bits, nem mais nem menos

allow from any prefixlen 8 - 24

# nao aceita publicacao de rota padrao

deny from any prefix 0.0.0.0/0

# Redes as quais nunca permitiremos publicacao de rotas
deny from any prefix 10.0.0.0/8 prefixlen>= 8
deny from any prefix 172.16.0.0/12 prefixlen>= 12
deny from any prefix 192.168.0.0/16 prefixlen>= 16
deny from any prefix 169.254.0.0/16 prefixlen>= 16
deny from any prefix 192.0.2.0/24 prefixlen>= 24
deny from any prefix 224.0.0.0/4 prefixlen>= 4
deny from any prefix 240.0.0.0/4 prefixlen>= 4


Bom quanto aos filtros é basicamente isso.



Em 28 de março de 2012 17:37, Crica Bsd<crica...@gmail.com>   escreveu:

Boa Tarde.

Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou
com
algumas duvidas.
Estou utilizando o OpenBGPD e FreeBSD.

Vamos as duvidas.
*
*
*Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o
Firewall
da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais
indicado ?


*Segunda:* Na configuração do bgpd.conf que segui (
http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com
alguns
filtros:

# filter out prefixes longer than 24 or shorter than 8 bits
deny from any
allow from any prefixlen 8 - 24
Tem um errinho nessa linha acima, pelo menos quando fiz dava erro aqui
no meu openbgp e o serviço não levantava.

Seria: allow from any inet prefixlen 8 - 24

Porque pelo que vi no man se não especificar o bloco no prefixlen,
precisa dizer antes se é inet ou inet6.  ;)

# do not accept a default route
deny from any prefix 0.0.0.0/0
# filter bogus networks
deny from any prefix 10.0.0.0/8 prefixlen>= 8
deny from any prefix 172.16.0.0/12 prefixlen>= 12
deny from any prefix 192.168.0.0/16 prefixlen>= 16
deny from any prefix 169.254.0.0/16 prefixlen>= 16
deny from any prefix 192.0.2.0/24 prefixlen>= 24
deny from any prefix 224.0.0.0/4 prefixlen>= 4
deny from any prefix 240.0.0.0/4 prefixlen>=
Dei uma procurada mas ainda não consegui entender como eles funcionam.
Alguém com experiência e um pouco de paciência pode exclare-los de forma
mais clara.

Grato desde já a todos pela atenção.
Obrigado.
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



Eu diria depende muito do cenário....
se for um ISP provendo serviços inclusive a outros ISPs e com tráfego significativo o melhor a fazer é alocar todos os recursos do roteador OpenBGP para rotear pacotes o mais rápido possível e aí filtrar só mesmo pacotes dirigidos ao IP do host pra serviços como ssh e outros e deixar com que o sistema de firewall resolva a situação mas o pacote já foi entregue....Tenho casos onde simplesmente não existe firewall no roteador OpenBGP pois o tráfego bate na casa dos 500Mbps em momentos de pico e ai todos os recursos tem que estar disponíveis na sua plenitude e quanto mais rapido rotear o pacote melhor. Se for um usuário final, mesmo rodando BGP ai sim pode colocar junto um firewall completo incluindo até controle de banda via ALTQ uma vez que os requisitos este caso são diferentes. De qualquer forma não existe uma solução única e especial que se aplica sempre. Depende muito de seu cenário, quantos pps vc processa, número de interrupçoes por segundo geradas pelas placas de rede, chaveamento de contexto, etc, etc .... Existem situações que não ter firewall pode ajudar se a performance for um requisito.



--
Cordialmente,

Ricardo Ferreira
Telecom, Tecnologia e Segurança da Informação
CCDP, CCNP, CCDA, CCNA, MCSE, MCP
-------------------------------------------------------------------
Sotech Soluções Tecnologicas
Rua da Alfazema, 761, 1o. andar - 102/103
41820-710 - Caminho das Árvores - Salvador-BA - Brasil
Tel : 55 71 3472.9400 Cel : 55 71 9138 4630

Email:ricardo.ferre...@sotechdatacenter.com.br
Site: www.sotechdatacenter.com.br


Esta mensagem é dirigida apenas ao seu destinatário e pode conter
informações confidenciais, não passíveis de divulgação nos termos da
legislação em vigor. Caso tenha recebido esta mensagem por engano,
solicitamos notificar a Sotech Soluções Tecnológicas e excluí-la de sua
caixa postal.

This message, including its attachments, may contain confidential
information. If you have improperly received this message, please delete
it from your system and notify immediately the sender. Any form of
utilization, reproduction, forward, alteration, distribution and/or
disclosure of this content in whole or in part, without the prior written
authorization of the sender, is strictly prohibited. Thanks for your
cooperation.

<<attachment: ricardo_ferreira.vcf>>

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Responder a