Bonjour,
Bah faut pas que tu sois transitaire pour un ASN sur 2 octets vu :
add action=accept bgp-as-path=_23456_ chain=bogons-asn
Après je connais pas du tout les Mikrotik...
A plus,
Christophe
----- Mail original -----
De: "Julien Escario" <julien.esca...@altinea.fr>
À: frnog@frnog.org
Envoyé: Mardi 12 Juin 2018 12:36:58
Objet: Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
Bonjour,
Pour en terminer avec ce sujet, j'ai repris l'exemple de conf pour IOS publié
par Job, adapté à du Mikrotik.
Les regex sont tellement complexes que je ne peux pas garantir que ça ne
filtre pas plus que ça ne devrait. En tout cas, ça filtre ce que ça doit filtrer
.
Il faudrait exporter les AS-PATH complets d'une full route et les passer à la
moulinette pour être certain. Si quelqu'un a le temps pour ça ...
En somme, ca donne ça :
add action=accept bgp-as-path=_0_ chain=bogons-asn
add action=accept bgp-as-path=_23456_ chain=bogons-asn
add action=accept bgp-as-path="_(6449[6-9])_|_(6450[0-9])_|_(6451[0-1])_|_(655\
3[6-9])_|_(6554[0-9])_|_(6555[0-1])_" chain=bogons-asn
add action=accept bgp-as-path="_6(4(5(1[2-9]|[2-9][0-9])|[6-9][0-9][0-9])|5([0\
-4][0-9][0-9]|5([0-2][0-9]|3[0-5])))_" chain=bogons-asn
add action=accept bgp-as-path=\
"_6555[2-9]_|_655[6-9][0-9]_|_65[6-9][0-9][0-9]_|_6[6-9][0-9][0-9][0-9]_" \
chain=bogons-asn
add action=accept bgp-as-path="_[7-9][0-9][0-9][0-9][0-9]_|_1[0-2][0-9][0-9][0\
-9][0-9]_|_130[0-9][0-9][0-9]_" chain=bogons-asn
add action=accept bgp-as-path="_1310[0-6][0-9]_|_13107[0-1]_" chain=\
bogons-asn
add action=accept bgp-as-path="_42[0-8][0-9][0-9][0-9][0-9][0-9][0-9][0-9]_" \
chain=bogons-asn
add action=accept bgp-as-path="_(429[0-3][0-9][0-9][0-9][0-9][0-9][0-9])_|_(42\
94[0-8][0-9][0-9][0-9][0-9][0-9])_" chain=bogons-asn
add bgp-as-path=\
"_(42949[0-5][0-9][0-9][0-9][0-9])_|_(429496[0-6][0-9][0-9][0-9])_" \
chain=bogons-asn
add action=accept bgp-as-path=\
"_(4294967[0-1][0-9][0-9])_|_(42949672[0-8][0-9])_|_(429496729[0-4])_" \
chain=bogons-asn
Et ça créé un filtre bogons-asn à intégrer dans les filtres entrants.
Au cas où ça puisse servir à quelqu'un. Je l'ai envoyé à Job pour qu'il puisse
l'intégrer dans ses exemples mais ce n'est pas fait à l'heure où j'écris ces
lignes.
Julien
Le 06/06/2018 à 18:40, Michel Py a écrit :
>> Youssef Bengelloun-Zahr a écrit : Tout ce qui leak dans la DFZ avec un AS
>> privé dans le path :
>> http://as2914.net/bogon_asns/configuration_examples.txt
>> <http://as2914.net/bogon_asns/configuration_examples.txt> My 2 cents.
>
> +1
>
> Michel.
>
> --------------------------- Liste de diffusion du FRnOG
> http://www.frnog.org/
>
-----BEGIN PGP SIGNATURE-----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=c4JB
-----END PGP SIGNATURE-----
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
