Re: [FRnOG] BGP announces & RFC1918

Wed, 14 Nov 2007 02:14:45 -0800 

Ah bin ca faisait longtemps qu'on avait pas eu de sujet de fond.
Ca me semble en être un :)
Discutons, discutons...
En ce qui me concerne, je trouve assez irresponsable de pas documenter son routage dans un IRR... a mon sens, c'est le seul référenciel dispo et objectif. 
Pour notre core, on fait ceinture/bretelles:
- Inbound ACLs Bogons + 1918, rafraichies selon convenance
- outbount ACLs qui ne laissent sortir que les paquets qu'on source dans notre supernet 
- max-prefix
Par contre, ce qu'on ne fait pas, c'est filtrer sur la base de préfixes IRR de l'AS-Set avec lequel on peere... j'ai peur que ca fasse trop d'entrées à scanner. 

Greg

On Nov 13, 2007, at 10:34 PM, Michael Hallgren wrote:


Suis d'accord, sauf que parfois (avec des peers tres riches en cust- 
routes) il est doulereux de filtrer par pfx et AS_PATH (AS-Set).  
Comme on le sais bien,
le nombre de faux negatifs est parfois assez large quand on se base  
sur l'IRR... "max-prefix" a eviter si possible, je suis d'accord en  
principe pour des raisons
operationelles. Il y a des schemes alternatifs : age d'un prefix ;  
avoir confiance d'un nouveau prefix avec un certain origin en  
fonction de son age et out-of-band
info ; on peut imaginer un "trust rating" via LOCAL_PREF... Si cela  
interesse notre liste, discutons ?


mh


De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part  
de David Ramahefason

Envoyé : mardi 13 novembre 2007 19:39
À : Greg VILLAIN
Cc : frnog@frnog.org
Objet : Re: [FRnOG] BGP announces & RFC1918

Ben tu as donné la réponse :)

C'est non ce n'est pas normal, mais comme tout le monde ne fait pas  
forcement attention ben faut filtrer ce que tu reçois, pour cela que  
je n'aime pas trop les "max-prefix" comme "securité" en peering.
Je suis/étais assez partisan des filter-list basées sur les objet  
RIPE mais par chez nous ça ne fonctionne pas très bien (fonctionne  
trop bien plutôt :)) car beaucoup de personnes ne tiennent pas à  
jour leur RIPE objects, le truc est peut être de filtrer et forcer  
les personnes à mettre à jour leur records RIPE, ce que j'ai fais un  
temps.
J'ai une moulinette sous la main pour ceux qui veulent pour la  
construction de filter list.



Le 13/11/07, Greg VILLAIN < [EMAIL PROTECTED]> a  
écrit : On Nov 13, 2007, at 6:56 PM, Greg VILLAIN wrote:


> Hello, j'en profite que la liste soit bien en éveil en ce moment.
>
> C'est probablement off-topic, mais y'a une discussion NANOG en cours
> sur le theme de "est-ce normal que je reçoive des annonces de type
> RFC1918" sur nos upstreams.
> La réponse bien évidemment est NON, mais une petite expérimentation
> en cas réel, pour ceux qui ont l'ACL-Accounting, celle-ci est
> édifiante.
> Le but est pas de lancer le troll du siècle, mais plutôt de
> sensibiliser le filtrage des annonces: c'est censé être trivial,
> mais en fait pas du tout !
>
> [EMAIL PROTECTED] access-list accounting ethernet 1/3 in
> Collecting ACL accounting for 1/3  ...  Completed successfully.
> ACL Accounting Information:
> Inbound: ACL ACL_IN_TRANSIT-PROVIDER-1
>   5: deny ip 192.168.0.0 0.0.255.255 any log
>      Hit count: (1 sec)                    1   (1
> min)                   48
>                 (5 min)                  110   (accum)
> 2132627
>   1: deny ip 10.0.0.0 0.255.255.255 any log
>      Hit count: (1 sec)                    1   (1
> min)                   22
>                 (5 min)                   75   (accum)
> 290302
>   3: deny ip 172.16.0.0 0.15.255.255 any log
>      Hit count: (1 sec)                    0   (1
> min)                    4
>                 (5 min)                   33   (accum)
> 148613
>
> [EMAIL PROTECTED] access-list accounting ethernet 1/3 in
> Collecting ACL accounting for 1/3  ...  Completed successfully.
> ACL Accounting Information:
> Inbound: ACL ACL_IN_TRANSIT-PROVIDER-2
>   5: deny ip 192.168.0.0 0.0.255.255 any log
>      Hit count: (1 sec)                    0   (1
> min)                    4
>                 (5 min)                   57   (accum)
> 1598758
>   1: deny ip 10.0.0.0 0.255.255.255 any log
>      Hit count: (1 sec)                    1   (1
> min)                    0
>                 (5 min)                   27   (accum)
> 312758
>   3: deny ip 172.16.0.0 0.15.255.255 any log
>      Hit count: (1 sec)                    0   (1
> min)                    0
>                 (5 min)                   22   (accum)
> 167969
>
> [EMAIL PROTECTED] access-list accounting ethernet 2/3 in
> Collecting ACL accounting for 2/3  ...  Completed successfully.
> ACL Accounting Information:
> Inbound: ACL ACL_IN_TRANSIT-PROVIDER-3
>   5: deny ip 192.168.0.0 0.0.255.255 any log
>      Hit count: (1 sec)                    0   (1
> min)                    0
>                 (5 min)                    0
> (accum)                 4575
>   3: deny ip 172.16.0.0 0.15.255.255 any log
>      Hit count: (1 sec)                    0   (1
> min)                    0
>                 (5 min)                    0
> (accum)                  291
>   1: deny ip 10.0.0.0 0.255.255.255 any log
>      Hit count: (1 sec)                    0   (1
> min)                    0
>                 (5 min)                    0
> (accum)                   75
>
> Greg VILLAIN

Correction: s/announces/traffic/g dans le sujet et dans le corps du
mail.
Toutes mes confuses pour cette coquille.

Greg VILLAIN

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/




--
David Ramahefason - [EMAIL PROTECTED]


Greg VILLAIN
Network Architect / Dailymotion Corp.
35 bis rue Greneta 75002 Paris
DDI: +33 (0)1 77 35 11 13
GSM: +33 (0)6 87 48 66 14 <-- OLD
GSM: +33 (0)6 28 62 16 22 <-- NEW
WWW: www.dailymotion.com
Linkedin: www.linkedin.com/in/gvillain



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/























					Répondre à