Ce n'est pas une mauvaise pratique _SI_ c'est automatise via RIPE et mis a jour toutes les nuits sinon c'est juste bon pour null router le trafic. Les trucs que je donne ne nécessite pas de mise a jour journalière (seulement quand tu changes ton transit, ce qui n'est pas tous les jours)
C'est comme uRPF, c'est tout simple et si tout le monde le faisait ... mais avec des si .... !! Thomas On 17 Nov 2010, at 19:44, Bertrand MAUJEAN wrote: > Bonjour, > > Une petite question en marge de ce débat : avez-vous des peers qui en plus de > filtrer les annonces BGP, vous font une ACL en entrée de leur réseau et > n'acceptent que les réseaux que vous leur avez déclarés, pour ce qui est des > flux de chez vous vers chez eux ? > > Moi j'ai un peer dans ce cas, à chaque nouveau préfixe ça me pose problème. > Faudrait-il refuser le préfixe du nouveau client tant que les peers n'ont pas > tous confirmé la prise en compte ? C'est ingérable si tout le monde fait ça. > > Et franchement, c'est difficile de les blâmer. Il me semble qu'il serait plus > correct que chacun ait cette ACL d'antispoofing chez lui, mais ça je pense > que c'est un voeu pieu... > > Bertrand > > > > -----Message d'origine----- > De : [email protected] [mailto:[email protected]] De la part de > Thomas Mangin > Envoyé : mercredi 17 novembre 2010 20:29 > À : Michel Py > Cc : Raphael Maunier; frnog > Objet : Re: [FRnOG] Re: Hijacked the Internet > >> Question bête: >> En France, quand on peer avec (ou qu'on revend du transit à) un petit FAI, >> est-il courant de limiter le nombre de préfixes annoncés par le peer en >> question? (proportionnel à sa taille) > > Soit tu bloques par une combinaison d' AS_PATH, de prefixes, ou de max-prefix > . > Les FAI qui font leur boulot génèrent des filtres depuis les bases des > donnees des registrar (RIPE, ..). > > Mais dans la liste des choses que tout le monde devrait faire. > > En sortie: > - bloquer les prefix plus petit qu'un /24 (evite de passer son IGP a son peer) > - bloquer les block d'IP des RFC 1918 et autres > - bloquer toutes les AS_PATH avec ses fournisseur de transit, ca évite le > donner gratuitement a ses peers. > - tagger toutes ses routes de transit en entree et les filtrer en sortie > - tagger toutes ses routes de peers en entree et les filter en sortie > - tagger toutes ses routes de CLIENTS en entree et les laisser passer en > sortie. > - ne pas envoyer les IP des LAN des IX > > En Entree : > - refuser un route par default > - bloquer les prefix plus petit qu'un /24 > - bloquer les block d'IP des RFC 1918 et autres > - bloquer toutes les AS_PATH avec un T1 en tete - un peer n'offre du transit > gratuit que quand il a une fuite !! > - utiliser max-prefix avec ses peers pour ne pas accepter une fuite de leur > part > - ne pas accepter les IP des LAN des IX > > Les configs Juniper qui font ca : > http://thomas.mangin.com/data/pdf/Linx%2057%20-%20Mangin%20-%20BGP%20Leak.pdf > > Thomas > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
