Também tenho interesse em implementar.
Abraços. Em 2 de abril de 2012 15:25, Marcelo Gondim <[email protected]>escreveu: > Em 02/04/2012 15:08, Flávio Marcelo escreveu: > > Bem lembrado Marcelo: > > Tem mesmo o "inet" antes do prefixlen > > > > Renato valew pela dica. > > > > A pergunta do Crica foi interessante, há alguma objeção em utilizar BGP e > > FIREWALL na mesma maquina ? > > Eu vejo uma coisa interessante de se ter um firewall no router BGP. Em > caso de ataques você pode dar um deny para determinado bloco e parar o > roteamento para aquela rede. Alguns sistemas de proteção de DDoS > utilizam essa técnica direto no BGP. > Por falar nisso, alguém conhece algum IPS que rode no FreeBSD que faça > inclusões em BGP pra proteção de ataques? Seria muito interessante. > Estive pensando algo para eu implementar no nosso router. > > > > > Abraços. > > > > Em 2 de abril de 2012 14:21, Marcelo Gondim<[email protected] > >escreveu: > > > >> Em 02/04/2012 10:33, Flávio Marcelo escreveu: > >>> Opa. > >>> Bom dia ! > >>> > >>> Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação ( > >>> http://www.openbsd.org/papers/linuxtag06-network.pdf) > >>> Seria isso: > >>> > >>> # publicacao de 8 a 24 bits, nem mais nem menos > >>> > >>> allow from any prefixlen 8 - 24 > >>> > >>> # nao aceita publicacao de rota padrao > >>> > >>> deny from any prefix 0.0.0.0/0 > >>> > >>> # Redes as quais nunca permitiremos publicacao de rotas > >>> deny from any prefix 10.0.0.0/8 prefixlen>= 8 > >>> deny from any prefix 172.16.0.0/12 prefixlen>= 12 > >>> deny from any prefix 192.168.0.0/16 prefixlen>= 16 > >>> deny from any prefix 169.254.0.0/16 prefixlen>= 16 > >>> deny from any prefix 192.0.2.0/24 prefixlen>= 24 > >>> deny from any prefix 224.0.0.0/4 prefixlen>= 4 > >>> deny from any prefix 240.0.0.0/4 prefixlen>= 4 > >>> > >>> > >>> Bom quanto aos filtros é basicamente isso. > >>> > >>> > >>> > >>> Em 28 de março de 2012 17:37, Crica Bsd<[email protected]> > escreveu: > >>> > >>>> Boa Tarde. > >>>> > >>>> Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou > >> com > >>>> algumas duvidas. > >>>> Estou utilizando o OpenBGPD e FreeBSD. > >>>> > >>>> Vamos as duvidas. > >>>> * > >>>> * > >>>> *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o > >> Firewall > >>>> da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais > >>>> indicado ? > >>>> > >>>> > >>>> *Segunda:* Na configuração do bgpd.conf que segui ( > >>>> http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com > >>>> alguns > >>>> filtros: > >>>> > >>>> # filter out prefixes longer than 24 or shorter than 8 bits > >>>>> deny from any > >>>>> allow from any prefixlen 8 - 24 > >> Tem um errinho nessa linha acima, pelo menos quando fiz dava erro aqui > >> no meu openbgp e o serviço não levantava. > >> > >> Seria: allow from any inet prefixlen 8 - 24 > >> > >> Porque pelo que vi no man se não especificar o bloco no prefixlen, > >> precisa dizer antes se é inet ou inet6. ;) > >> > >>>>> # do not accept a default route > >>>>> deny from any prefix 0.0.0.0/0 > >>>>> # filter bogus networks > >>>>> deny from any prefix 10.0.0.0/8 prefixlen>= 8 > >>>>> deny from any prefix 172.16.0.0/12 prefixlen>= 12 > >>>>> deny from any prefix 192.168.0.0/16 prefixlen>= 16 > >>>>> deny from any prefix 169.254.0.0/16 prefixlen>= 16 > >>>>> deny from any prefix 192.0.2.0/24 prefixlen>= 24 > >>>>> deny from any prefix 224.0.0.0/4 prefixlen>= 4 > >>>>> deny from any prefix 240.0.0.0/4 prefixlen>= > >>>> Dei uma procurada mas ainda não consegui entender como eles funcionam. > >>>> Alguém com experiência e um pouco de paciência pode exclare-los de > forma > >>>> mais clara. > >>>> > >>>> Grato desde já a todos pela atenção. > >>>> Obrigado. > >>>> ------------------------- > >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>> > >>> > >> ------------------------- > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > > > > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Att Flávio Marcelo Network and Systems Administrator [email protected] [email protected] www.fug.com.br “Se não posso fazer tudo que devo, devo ao menos fazer tudo que posso." ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
