Bonjour,
tu trouveras ci-dessous une conf en IPV4 avec les filtrages BOGONS +
les preco de l'ANSSI :
neighbor 10.1.1.1 remote-as 10
neighbor 10.1.1.1 description FAI_10
neighbor 10.1.1.1 route-map PREFIX-FROM-FAI_10 in
neighbor 10.1.1.1 route-map PREFIX-TO-FAI_10 out
neighbor 10.1.1.1 filter-list 10 in
neighbor 10.1.1.1 filter-list 1 out
ip prefix-list IPv4 seq 10 permit 1.1.1.1/24
ip as-path access-list 1 permit ^(TON-AS_)*$
ip as-path access-list 1 deny .*
ip as-path access-list 10 permit ^AS-DE-TON-FAI-10_
ip as-path access-list 10 deny .*
!
access-list 190 remark filtrage TES prefixes
access-list 190 permit ip host 1.1.1.0 host 255.255.255.0
access-list 191 permit ip 0.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255
access-list 191 permit ip 10.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255
access-list 191 permit ip 127.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255
access-list 191 permit ip 169.254.0.0 0.0.255.255 255.255.0.0 0.0.255.255
access-list 191 permit ip 172.16.0.0 0.15.255.255 255.240.0.0 0.15.255.255
access-list 191 permit ip 192.168.0.0 0.0.255.255 255.255.0.0 0.0.255.255
access-list 191 permit ip 192.0.2.0 0.0.0.255 255.255.255.0 0.0.0.255
access-list 191 permit ip 223.255.255.0 0.0.0.255 255.255.255.0 0.0.0.255
access-list 191 permit ip 224.0.0.0 15.255.255.255 224.0.0.0 15.255.255.255
access-list 191 permit ip 198.51.100.0 0.0.0.255 255.255.255.0 0.0.0.255
access-list 191 permit ip 203.0.113.0 0.0.0.255 255.255.255.0 0.0.0.255
access-list 191 permit ip 192.88.99.0 0.0.0.255 255.255.255.0 0.0.0.255
access-list 191 permit ip host 255.255.255.255 host 255.255.255.255
access-list 191 permit ip 100.64.0.0 0.63.255.255 255.192.0.0 0.63.255.255
access-list 193 permit ip any 255.255.255.128 0.0.0.127
route-map PREFIX-FROM-FAI_10 deny 10
match ip address 190 191 193
route-map PREFIX-FROM-FAI_10 permit 100
set metric 0
set community none
route-map PREFIX-TO-FAI_10 permit 10
match ip address prefix-list IPv4
set community none
Carrel
Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
Oulaaa.... Donc j'ai tous faux ???
Donc si je comprends il faut que je configure comme ceci :
neighbor 10.1.1.1 remote-as 10
neighbor 10.1.1.1 description FAI_10
neighbor 10.1.1.1 soft-reconfiguration inbound
neighbor 10.1.1.1 route-map FAI_10-in in
neighbor 10.1.1.1 route-map FAI_10-out out
ip prefix-list bogons description BOGONS
ip prefix-list bogons seq 10 permit 127.0.0.0/8 le 32
ip prefix-list bogons seq 20 permit 10.0.0.0/8 le 32
ip prefix-list IPv4 seq 10 permit 1.1.1.1/24
ip as-path access-list 1 permit ^$
!
route-map FAI_10-in deny 10
match as-path 1
!
route-map FAI_10-in deny 20
match ip address prefix-list bogons
!
route-map FAI_10-in deny 30
match ip address prefix-list IPv4
!
route-map FAI_10-in permit 100
!
route-map FAI_10-out permit 10
match ip address prefix-list IPv4
!
route-map FAI_10-out deny 100
!
Ce que je ne comprends pas : je cherche à refuser les prefixes
10.0.0.0/8 le 32 dans ma config actuelle je DENY via la prefix-list
que j'applique avec ma route-map permit
Donc la route-map de dessous permet de refuser tous les prefixes de
PL_IN ??? Cela revient au même que de faire du DENY > PERMIT, non ??
route-map v4_in permit 10
match ip address prefix-list PL_IN
ip prefix-list PL_IN seq 5 deny 1.1.1.0/24
ip prefix-list PL_IN seq 10 deny 0.0.0.0/0
________________________________
De : Cedric T. <fr...@grumly.eu.org>
À : Antoine Durant <antoine.duran...@yahoo.fr>; frnog@frnog.org
Envoyé le : Dimanche 13 octobre 2013 16h29
Objet : Re: [FRnOG] [TECH] Prefix-list out bgp
Voici comment j'ai configuré mon "IN"
!
route-map v4_in permit 10
match ip address prefix-list PL_IN
!
route-map v4_in permit 100
Ta route-map n'a que des permit donc aucun effet !
Je te conseile de faire l'inverse : deny d'abord et permit le reste
route-map v4_in deny 10
match ip address prefix-list bogons
route-map v4_in permit 100
ip prefix-list bogons permit 0.0.0.0/8 le 32
ip prefix-list bogons permit 10.0.0.0/8 le 32
[...]
ip prefix-list bogons permit 224.0.0.0/3 le 32
Il est coutume aussi de filtrer tous les prefix plus longs que /24.
Cédric
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
