On 02-04-2012 15:08, Flávio Marcelo wrote:
Bem lembrado Marcelo: Tem mesmo o "inet" antes do prefixlenRenato valew pela dica. A pergunta do Crica foi interessante, há alguma objeção em utilizar BGP e FIREWALL na mesma maquina ? Abraços. Em 2 de abril de 2012 14:21, Marcelo Gondim<gon...@bsdinfo.com.br>escreveu:Em 02/04/2012 10:33, Flávio Marcelo escreveu:Opa. Bom dia ! Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação ( http://www.openbsd.org/papers/linuxtag06-network.pdf) Seria isso: # publicacao de 8 a 24 bits, nem mais nem menos allow from any prefixlen 8 - 24 # nao aceita publicacao de rota padrao deny from any prefix 0.0.0.0/0 # Redes as quais nunca permitiremos publicacao de rotas deny from any prefix 10.0.0.0/8 prefixlen>= 8 deny from any prefix 172.16.0.0/12 prefixlen>= 12 deny from any prefix 192.168.0.0/16 prefixlen>= 16 deny from any prefix 169.254.0.0/16 prefixlen>= 16 deny from any prefix 192.0.2.0/24 prefixlen>= 24 deny from any prefix 224.0.0.0/4 prefixlen>= 4 deny from any prefix 240.0.0.0/4 prefixlen>= 4 Bom quanto aos filtros é basicamente isso. Em 28 de março de 2012 17:37, Crica Bsd<crica...@gmail.com> escreveu:Boa Tarde. Sou novo no cenário BGP, estou implementando meu primeiro BGP e estoucomalgumas duvidas. Estou utilizando o OpenBGPD e FreeBSD. Vamos as duvidas. * * *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e oFirewallda rede na mesma maquina ? caso não qual seria o cenário ideal ou mais indicado ? *Segunda:* Na configuração do bgpd.conf que segui ( http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com alguns filtros: # filter out prefixes longer than 24 or shorter than 8 bitsdeny from any allow from any prefixlen 8 - 24Tem um errinho nessa linha acima, pelo menos quando fiz dava erro aqui no meu openbgp e o serviço não levantava. Seria: allow from any inet prefixlen 8 - 24 Porque pelo que vi no man se não especificar o bloco no prefixlen, precisa dizer antes se é inet ou inet6. ;)# do not accept a default route deny from any prefix 0.0.0.0/0 # filter bogus networks deny from any prefix 10.0.0.0/8 prefixlen>= 8 deny from any prefix 172.16.0.0/12 prefixlen>= 12 deny from any prefix 192.168.0.0/16 prefixlen>= 16 deny from any prefix 169.254.0.0/16 prefixlen>= 16 deny from any prefix 192.0.2.0/24 prefixlen>= 24 deny from any prefix 224.0.0.0/4 prefixlen>= 4 deny from any prefix 240.0.0.0/4 prefixlen>=Dei uma procurada mas ainda não consegui entender como eles funcionam. Alguém com experiência e um pouco de paciência pode exclare-los de forma mais clara. Grato desde já a todos pela atenção. Obrigado. ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Eu diria depende muito do cenário....se for um ISP provendo serviços inclusive a outros ISPs e com tráfego significativo o melhor a fazer é alocar todos os recursos do roteador OpenBGP para rotear pacotes o mais rápido possível e aí filtrar só mesmo pacotes dirigidos ao IP do host pra serviços como ssh e outros e deixar com que o sistema de firewall resolva a situação mas o pacote já foi entregue....Tenho casos onde simplesmente não existe firewall no roteador OpenBGP pois o tráfego bate na casa dos 500Mbps em momentos de pico e ai todos os recursos tem que estar disponíveis na sua plenitude e quanto mais rapido rotear o pacote melhor. Se for um usuário final, mesmo rodando BGP ai sim pode colocar junto um firewall completo incluindo até controle de banda via ALTQ uma vez que os requisitos este caso são diferentes. De qualquer forma não existe uma solução única e especial que se aplica sempre. Depende muito de seu cenário, quantos pps vc processa, número de interrupçoes por segundo geradas pelas placas de rede, chaveamento de contexto, etc, etc .... Existem situações que não ter firewall pode ajudar se a performance for um requisito.
-- Cordialmente, Ricardo Ferreira Telecom, Tecnologia e Segurança da Informação CCDP, CCNP, CCDA, CCNA, MCSE, MCP ------------------------------------------------------------------- Sotech Soluções Tecnologicas Rua da Alfazema, 761, 1o. andar - 102/103 41820-710 - Caminho das Árvores - Salvador-BA - Brasil Tel : 55 71 3472.9400 Cel : 55 71 9138 4630 Email:ricardo.ferre...@sotechdatacenter.com.br Site: www.sotechdatacenter.com.br Esta mensagem é dirigida apenas ao seu destinatário e pode conter informações confidenciais, não passíveis de divulgação nos termos da legislação em vigor. Caso tenha recebido esta mensagem por engano, solicitamos notificar a Sotech Soluções Tecnológicas e excluí-la de sua caixa postal. This message, including its attachments, may contain confidential information. If you have improperly received this message, please delete it from your system and notify immediately the sender. Any form of utilization, reproduction, forward, alteration, distribution and/or disclosure of this content in whole or in part, without the prior written authorization of the sender, is strictly prohibited. Thanks for your cooperation.
<<attachment: ricardo_ferreira.vcf>>
------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd