Bem lembrado Marcelo: Tem mesmo o "inet" antes do prefixlen Renato valew pela dica.
A pergunta do Crica foi interessante, há alguma objeção em utilizar BGP e FIREWALL na mesma maquina ? Abraços. Em 2 de abril de 2012 14:21, Marcelo Gondim <[email protected]>escreveu: > Em 02/04/2012 10:33, Flávio Marcelo escreveu: > > Opa. > > Bom dia ! > > > > Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação ( > > http://www.openbsd.org/papers/linuxtag06-network.pdf) > > Seria isso: > > > > # publicacao de 8 a 24 bits, nem mais nem menos > > > > allow from any prefixlen 8 - 24 > > > > # nao aceita publicacao de rota padrao > > > > deny from any prefix 0.0.0.0/0 > > > > # Redes as quais nunca permitiremos publicacao de rotas > > deny from any prefix 10.0.0.0/8 prefixlen>= 8 > > deny from any prefix 172.16.0.0/12 prefixlen>= 12 > > deny from any prefix 192.168.0.0/16 prefixlen>= 16 > > deny from any prefix 169.254.0.0/16 prefixlen>= 16 > > deny from any prefix 192.0.2.0/24 prefixlen>= 24 > > deny from any prefix 224.0.0.0/4 prefixlen>= 4 > > deny from any prefix 240.0.0.0/4 prefixlen>= 4 > > > > > > Bom quanto aos filtros é basicamente isso. > > > > > > > > Em 28 de março de 2012 17:37, Crica Bsd<[email protected]> escreveu: > > > >> Boa Tarde. > >> > >> Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou > com > >> algumas duvidas. > >> Estou utilizando o OpenBGPD e FreeBSD. > >> > >> Vamos as duvidas. > >> * > >> * > >> *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o > Firewall > >> da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais > >> indicado ? > >> > >> > >> *Segunda:* Na configuração do bgpd.conf que segui ( > >> http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com > >> alguns > >> filtros: > >> > >> # filter out prefixes longer than 24 or shorter than 8 bits > >>> deny from any > >>> allow from any prefixlen 8 - 24 > > Tem um errinho nessa linha acima, pelo menos quando fiz dava erro aqui > no meu openbgp e o serviço não levantava. > > Seria: allow from any inet prefixlen 8 - 24 > > Porque pelo que vi no man se não especificar o bloco no prefixlen, > precisa dizer antes se é inet ou inet6. ;) > > >>> # do not accept a default route > >>> deny from any prefix 0.0.0.0/0 > >>> # filter bogus networks > >>> deny from any prefix 10.0.0.0/8 prefixlen>= 8 > >>> deny from any prefix 172.16.0.0/12 prefixlen>= 12 > >>> deny from any prefix 192.168.0.0/16 prefixlen>= 16 > >>> deny from any prefix 169.254.0.0/16 prefixlen>= 16 > >>> deny from any prefix 192.0.2.0/24 prefixlen>= 24 > >>> deny from any prefix 224.0.0.0/4 prefixlen>= 4 > >>> deny from any prefix 240.0.0.0/4 prefixlen>= > >> > >> Dei uma procurada mas ainda não consegui entender como eles funcionam. > >> Alguém com experiência e um pouco de paciência pode exclare-los de forma > >> mais clara. > >> > >> Grato desde já a todos pela atenção. > >> Obrigado. > >> ------------------------- > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > > > > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Att Flávio Marcelo Network and Systems Administrator [email protected] [email protected] www.fug.com.br “Se não posso fazer tudo que devo, devo ao menos fazer tudo que posso." ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
