Dan Lukes wrote (2016/02/08):
> > ifconfig create lo1 inet mask 255.255.255.255
>
> To je vskutku velmi odvazna myslenka - nahodit tu "vnejsi" adresu na
> loopback a ten skutecny vnejsi interface nechat 'up' bez adresy. A
Už se v té BGP diskuzi ztrácím, ale už jsem se taky musel pousmát, jak
j
On 02/08/16 19:37, Zbyněk Burget wrote:
Klicovou je otazka nouzove vzdalene spravy.
Zjistis, ze vnitrni sit neni ze sveta dostupna, takze se potrebujes
pripojit a vyresit to. Skrz vnitrni sit to nepujde, protoze vnitrni site
o konektivitu prisla.
Tak tohle je resitelne pomoci IPMI. Tedy za pre
Dňa 08.02.2016 o 19:37 Zbyněk Burget napísal(a):
Dne 8. 2. 2016 v 18:46 Dan Lukes napsal(a):
Klicovou je otazka nouzove vzdalene spravy.
Upgrady se daji opravdu resit pomoci vnitrnich stroju, synchronizace
casu taky. Denni /tydenni / mesicni e-maily se budou posilat na
mailserver ve vnitrni
Dne 8. 2. 2016 v 18:46 Dan Lukes napsal(a):
Klicovou je otazka nouzove vzdalene spravy.
Zjistis, ze vnitrni sit neni ze sveta dostupna, takze se potrebujes
pripojit a vyresit to. Skrz vnitrni sit to nepujde, protoze vnitrni site
o konektivitu prisla.
Tak tohle je resitelne pomoci IPMI. Tedy z
Je chybne sa snazit na rutri spravit dalsi interface hoci virtualny na
priamu konektivitu, lebo takto si sami zdegradujete bezpecnost, ktoru ste na
zaciatku
vytvorili. Ak ruter ma IP adresu s verejnou konektivitou tak uz sa da na nu
utocit.
Bezpecnost jde vzdycky proti "snadny pouzitelnosti".
Ahoj,
>
> Ak chcete mat router hoci aj BGP dostupny len od providera a
> nedostupny z vacsej dialky
> s cielom aby sa nan nedal viest cieleny utok na niektoru z IP adries,
> tak treba mat u providera
> accesslist so zahadzovanim paketov na vsetky IP adresy rutra, to
> znamena, ze aj na vonkajsiu aj
On 02/08/16 15:56, Vilem Kebrt wrote:
Takze trik je v tom dostat provoz ven se zdrojovou adresou ktera visi
na LO1
Viackrat som precital povodne zadanie a diskusiu a pochopil som, ze som
nepochopil ucel povodneho dotazu.
Ak chcete mat router hoci aj BGP dostupny len od providera a nedost
Doporucuji alespon 6 tabulek, (at je rezerva i do budoucna) , ja osobne
momentalne rekompiluju s hodnoutou 12. Asi sem maximalista, ale na BGP
routeru se odstavka dela FAKT SPATNE :-D
Pokud budes potrebovat BGP/BIRD, klidne se ozvi, mam s tim za poslednich
par mesicu dost zkusenosti :).
Vilem
On
Dne 8. 2. 2016 v 14:58 Vilem Kebrt napsal(a):
Jinak poznamka pro zadavatele doporucuji urychlene kompilovat jadro
s optionem ROUTE_TABLES= >1,
Diky za upozorneni - policy-based routing asi budeme muset resit,
abychom ty dve konektivity, ktere mame mohli vyuzit co nejefektivnej.
Pochopil
On 02/08/16 15:56, Vilem Kebrt wrote:
Takze trik je v tom dostat provoz ven se zdrojovou adresou ktera visi na LO1
Ve chvili, kdy budes umet tohle, budes to umet i pro adresu, ktera je
nahozena na vnitrnim interface. A je otazka, jakou ma vyhodu alokovat
dalsi adresu a davat ji na lo1, kdyz t
> Na vnejsim interface bud' nejaka IP adresa nakonfigurovana je, nebo
> neni. Tertium non datur.
>
> Ja mluvil o konfiguraci pri ktery neni a pripsal jsem ten napad tobe.
> Tys nesouhlasil.
>
> Tak jsem pochopil, ze jsem to nepochopil, ze's navrhoval neco jinyho.
> Neco jinyho muze bejt jen to, ze
On 02/08/16 14:58, Vilem Kebrt wrote:
Zde si dovolim nesouhlasit, vystupni interface smerem VEN je
adresovany, i kdyz jsou to adresy pouze pro routing
Aha, tak to jsem v tvym popisu videl vic, nez jsi tam ty vedome vlozil.
Zde si opet dovolim castecne nesouhlasit. Z pohledu routingu se jedna
>> Zde si dovolim nesouhlasit, vystupni interface smerem VEN je
>> adresovany, i kdyz jsou to adresy pouze pro routing
>
> Aha, tak to jsem v tvym popisu videl vic, nez jsi tam ty vedome vlozil.
>
> Pak tedy slo o napad muj, coz muzu vnimat jako pozitivni zjisteni, na
> druhou stranu mi v takovem
On 02/08/16 13:59, Vilem Kebrt wrote:
ifconfig create lo1 inet mask 255.255.255.255
To je vskutku velmi odvazna myslenka - nahodit tu "vnejsi" adresu na
loopback a ten skutecny vnejsi interface nechat 'up' bez adresy.
Zde si dovolim nesouhlasit, vystupni interface smerem VEN je adresovany,
Ahoj,
On 02/08/2016 12:48 PM, Dan Lukes wrote:
> On 02/08/16 12:07, Vilem Kebrt wrote:
>>> A to je koren veci - jak zaridit, aby vsechny lokalni programy
>>> pouzivaly pri svych operacich vyhradne vnitrni IP adresu.
>
>> ifconfig create lo1 inet mask 255.255.255.255
>
> To je vskutku velmi odvazn
On 02/08/16 12:07, Vilem Kebrt wrote:
A to je koren veci - jak zaridit, aby vsechny lokalni programy
pouzivaly pri svych operacich vyhradne vnitrni IP adresu.
ifconfig create lo1 inet mask 255.255.255.255
To je vskutku velmi odvazna myslenka - nahodit tu "vnejsi" adresu na
loopback a ten s
vyhradne vnitrni IP adresu.
Dan
Ano, tento problem pokial je viacero IP existuje (hoci su aj na jednom
interface a nie na viacerych), ale on existuje nezavisle od BGP.
Ten nazov subjektu "Dosazitelnost BGP routeru" na mna zaposobil ako
chytak :(
Jozef
--
FreeBSD mailing lis
> Operacni system, na rozdil do Zbynka, ovsem obcas (okolnosti, kdy se
> to stane jsou zname a nejsou predmetem dotazu) vnejsi adresu jako
> zdrojovou zvoli.
>
> A to je koren veci - jak zaridit, aby vsechny lokalni programy
> pouzivaly pri svych operacich vyhradne vnitrni IP adresu.
>
>
> Dan
>
>
On 02/08/16 11:51, Jozef Drahovsky wrote:
Napríklad raz chce spravit ping, telent ap z IP adresy vonkajsieho
interface a raz z IP adresy vnutorneho interface a aby to fungovalo, ale
pritom chce mat router chraneny pred vonajsou konektivitou aby nan
nemohol byt vedeny utok.
Odporucam dohodnut sa
On 02/08/16 10:42, Zbyněk Burget wrote:
adresa od nich sice je verejna, ale neni routovana do internetu.
a o kousek niz
nejedna se o lokalni IP adresy, jedna se o verejne, ale do internetu
neroutovane.
Ja vim, ze bych se na to mel vykaslat, neni to k veci, a navic je jasny
jak's to mysle
Dňa 08.02.2016 o 10:45 Dan Lukes napísal(a):
Zrejme neresime oba tentyz problem - a je otazka, zda alespon jeden z
nas resi Zbynkuv problem.
Pokud jsem to ja pochopil spravne, tak on samozrejme ma AS (svuj), ma
pro vnitrni sit blok jako IPv4 tak IPv6 adres a s temi zadny problem
nema. Ty
Dňa 08.02.2016 o 10:42 Zbyněk Burget napísal(a):
ma vas BGP router pingatelnu konektivitu na kazdy bgp peer router?
Ano, ale pouze na nej (resp. na IP adresy v danem bloku). Skrz BGP
router je internet normalne dostupny.
mate od jedneho providera siet IPv4 z neho je jedna IP adrersa
On 02/08/16 10:52, Zbyněk Burget wrote:
STABLE na klicovem produkcnim stroji ? To bych si ja netrouf'. Nicmene,
o tom tenhle thread neni, takze zpatky k veci.
...pardon... RELEASE, samozrejme, + patche - vcera v noci uz na mne bylo
asi moc pozde :-)
No proto ;-)
A to je tak primitivni resen
Dne 8. 2. 2016 v 10:45 Dan Lukes napsal(a):
Zrejme neresime oba tentyz problem - a je otazka, zda alespon jeden z
nas resi Zbynkuv problem.
<---snip--->
Takze Zbynek neresi nejakou konfiguracni chybu ci opomenuti (protoze
soucasna konfigurace je zamerna a vzajemne domluvena), resi jak v dan
Dne 8. 2. 2016 v 10:30 Dan Lukes napsal(a):
On 02/08/16 01:15, Zbyněk Burget wrote:
Tak predpokladam, ze upgrady systemu budeme delat v ramci urdzby STABLE
STABLE na klicovem produkcnim stroji ? To bych si ja netrouf'. Nicmene,
o tom tenhle thread neni, takze zpatky k veci.
...pardon... RELE
On 02/08/16 10:15, Jozef Drahovsky wrote:
Ta tam samozrejme je, ale jak sam rikas, probiha jen mezi
bezprostredne sousedicimi routery a je tudiz zcela fuk jestli jsou
pouzite IP adresy techto routeru globalne routovatelne.
Áno, ale provider musí aspoň po svoj BGP router tu lokálnu IP podporova
Dne 8. 2. 2016 v 9:35 Jozef Drahovsky napsal(a):
Dňa 08.02.2016 o 01:42 Zbyněk Burget napísal(a):
Mame IP adresy (IPv4 /22 - jsme kvuli tomu LIR; IPv6 /29). Mame ASN.
Mame dva providery, prozatim z duvodu testovani a doladeni konfigurace
mame BGP session navazanou jen s jednim. Edge router je
On 02/08/16 01:15, Zbyněk Burget wrote:
Tak predpokladam, ze upgrady systemu budeme delat v ramci urdzby STABLE
STABLE na klicovem produkcnim stroji ? To bych si ja netrouf'. Nicmene,
o tom tenhle thread neni, takze zpatky k veci.
Takze chces funkcni svn, zrejme. Na to nejsem az takovy exper
Dňa 08.02.2016 o 10:03 Dan Lukes napísal(a):
Sorry za tu zkratku. Ano, tuhle komunikaci jsem nezminil.
Ta tam samozrejme je, ale jak sam rikas, probiha jen mezi
bezprostredne sousedicimi routery a je tudiz zcela fuk jestli jsou
pouzite IP adresy techto routeru globalne routovatelne.
Áno, a
On 02/08/16 01:03, Jozef Drahovsky wrote:
V pripade BGP routra to tak nie je, ze by len preposielal pakety.
BGP ruter komunikuje cez BGP protokol s dalsimi rutermi a zo svojej IP
adresy.
Vdaka tejto komunikacii jednotlive peer rutre (susedia) vedia o sebe, ze
ziju.
Sorry za tu zkratku. Ano, tuh
Dňa 08.02.2016 o 01:42 Zbyněk Burget napísal(a):
V pripade BGP routra to tak nie je, ze by len preposielal pakety.
BGP ruter komunikuje cez BGP protokol s dalsimi rutermi a zo svojej IP
adresy.
Vdaka tejto komunikacii jednotlive peer rutre (susedia) vedia o sebe, ze
ziju.
<---snip--->
T
Dne 8. 2. 2016 v 1:03 Jozef Drahovsky napsal(a):
Dňa 07.02.2016 o 19:52 Dan Lukes napísal(a):
On 7.2.2016 19:12, Zbyněk Burget wrote:
Postavili a zprovoznili jsme BGP router. Od ISP jsme pro nej dostali IP
adresy (IPv4 i IPv6) z IXP prefixu, ktere nejsou routovane nikam dal do
internetu, podle
Dne 7. 2. 2016 v 20:52 Dan Lukes napsal(a):
On 7.2.2016 20:23, Zbyněk Burget wrote:
Takze z jmenovanejch veci zustava uz jen ten upgrade. Tam ti poradit
nejde, nebo netusim jakym zpusobem ho delas. Stahnout .iso image s
pomoci FTP (k pozdejsimu namountovani a upgrade) treba problem neni, ftp
ma
Dňa 07.02.2016 o 19:52 Dan Lukes napísal(a):
On 7.2.2016 19:12, Zbyněk Burget wrote:
Postavili a zprovoznili jsme BGP router. Od ISP jsme pro nej dostali IP
adresy (IPv4 i IPv6) z IXP prefixu, ktere nejsou routovane nikam dal do
internetu, podle doporuceni RFC 5963.
Ma nekdo z vas nejaky napa
On 02/07/16 21:46, Zbyněk Burget wrote:
No ona ta RFC5963 nerika, ze neroutovatelnou adresu mit musis. Tam
pisou, ze IXP se muze rozhodnout takovou pouzit ve snaze omezit DoS
utoky na tvuj router. A zminuji tam, ze pak ten router nebude verejne
dostupny (coz neprekvapi, kdyz je to cil te konfigur
O.K. - vetsina se zda byt logicka - s jedinou vyhradou:
Dne 7. 2. 2016 v 20:52 Dan Lukes napsal(a):
No ona ta RFC5963 nerika, ze neroutovatelnou adresu mit musis. Tam
pisou, ze IXP se muze rozhodnout takovou pouzit ve snaze omezit DoS
utoky na tvuj router. A zminuji tam, ze pak ten router nebud
On 7.2.2016 20:23, Zbyněk Burget wrote:
Jde mi o situaci, kdy na routeru budu treba chtit udelat upgrade.
Nebo si nechavat posilat denni vypisy na e-mail, kde mailserver by byl
vne site (tohle asi nenastane)
Nebo synchronizace casu pres NTP
No ona ta RFC5963 nerika, ze neroutovatelnou adresu mi
Na pf bych zkusil neco jako: nat on igb0 from me to any -> verejka_pro_router
U ipv6 bude situace slozitejsi.
Vilem
[Sended by phone]
Zbyněk Burget wrote:
>Jde mi o situaci, kdy na routeru budu treba chtit udelat upgrade.
>Nebo si nechavat posilat denni vypisy na e-mail, kde mailserver by byl
>
Jde mi o situaci, kdy na routeru budu treba chtit udelat upgrade.
Nebo si nechavat posilat denni vypisy na e-mail, kde mailserver by byl
vne site (tohle asi nenastane)
Nebo synchronizace casu pres NTP
Proste mi prijde divne, kdyz router nema konektivitu do internetu :-)
Zbyněk Burget
Mlýnská 3
On 7.2.2016 19:12, Zbyněk Burget wrote:
Postavili a zprovoznili jsme BGP router. Od ISP jsme pro nej dostali IP
adresy (IPv4 i IPv6) z IXP prefixu, ktere nejsou routovane nikam dal do
internetu, podle doporuceni RFC 5963.
Ma nekdo z vas nejaky napad, jak donutit FBSD, aby packety odchazely s
I
Zdravim vespolek,
resime s kolegou takovy problem:
Postavili a zprovoznili jsme BGP router. Od ISP jsme pro nej dostali IP
adresy (IPv4 i IPv6) z IXP prefixu, ktere nejsou routovane nikam dal do
internetu, podle doporuceni RFC 5963. Ovsem diky tomu mame na tom
routeru trochu problem. Nemame z
41 matches
Mail list logo
