Re: [FUG-BR] entrada de saida
Em 03/03/13 14:20, vic escreveu: Certo, mas você deveria usar o RPF para a sua rede. Se você tem um bloco 200.0.0.0/20, seu roteador não deveria deixar sair da sua rede um IP 201.50.54.10. É isso. Nas interfaces externas do seu roteador de borda chegam qualquer rede, mas na saída só deveriam ser permitidos apenas os endereços IP do seu block AS ou de trânsitos que você tem. att. Com Certeza Vic, aí é um match do openbgpd.conf para fazer o deny! A curiosidade minha foi da sysctl mesmo! Obrigado a todos pelas informações, abraços! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] entrada de saida
Em 3 de março de 2013 11:44, Renato Frederick ren...@frederick.eti.brescreveu: Em 03/03/13 07:03, Marcelo Gondim escreveu: Em 03/03/13 02:07, vic escreveu: Em 02-03-2013 20:05, Renato Frederick escreveu: Em 01/03/13 21:20, Marcelo Gondim escreveu: Opa Renato, Olha eu também tenho nosso router BGP e não lembro de ter habilitado nada no sysctl pra funcionar o BGP. Logicamente que o net.inet.ip.forwarding=1 é importante rsrsrsrs E algumas mudanças de sysctls para melhorias de rede em si mas nada que impeça de funcionar o BGP. :) Vc tem a sysctl que eles estão discutindo lá do Linux? Nem no Linux eu lembro disso, apesar que não usei Linux puro com BGP, só o RouterOS que usei em 2009 rsrsrs Pois é godim, dei uma googlada(hehehhehe) e a systl é esta[1] net.ipv4.conf.default.rp_filter=0 net.ipv4.conf.all.rp_filter=0 Essa configuração ativa o Reverse Packet Filtering[1]. [1]: http://lartc.org/howto/lartc.kernel.html U pode ser que precise dele mesmo mas acredito que desabilitado e não habilitado, ou seja, como você colocou acima. Porque se habilitar ele, no caso do BGP, pode ser que ocorra alguns problemas mesmo, quando o tráfego sair por uma interface e retornar por outra. Mas eu desconheço essa necessidade no FreeBSD. Isso é coisa de Kernel Linux. :) []'s Gondim Valeu Godim! :) minha dúvida era isto mesmo. Mas, pelo visto, não tem problemas o pacote chegar pela XL0 e voltar pela EM3, por exemplo, no caso de um openbgpd! Não, nenhum problema! Eu montei 2 routers de borda rodando FreeBSD + Quagga e eles tem mais de um link... inclusive isso é bem comum de acontecer em BGP. Abs! -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] entrada de saida
Em 03/03/13 02:07, vic escreveu: Em 02-03-2013 20:05, Renato Frederick escreveu: Em 01/03/13 21:20, Marcelo Gondim escreveu: Opa Renato, Olha eu também tenho nosso router BGP e não lembro de ter habilitado nada no sysctl pra funcionar o BGP. Logicamente que o net.inet.ip.forwarding=1 é importante rsrsrsrs E algumas mudanças de sysctls para melhorias de rede em si mas nada que impeça de funcionar o BGP. :) Vc tem a sysctl que eles estão discutindo lá do Linux? Nem no Linux eu lembro disso, apesar que não usei Linux puro com BGP, só o RouterOS que usei em 2009 rsrsrs Pois é godim, dei uma googlada(hehehhehe) e a systl é esta[1] net.ipv4.conf.default.rp_filter=0 net.ipv4.conf.all.rp_filter=0 Essa configuração ativa o Reverse Packet Filtering[1]. [1]: http://lartc.org/howto/lartc.kernel.html U pode ser que precise dele mesmo mas acredito que desabilitado e não habilitado, ou seja, como você colocou acima. Porque se habilitar ele, no caso do BGP, pode ser que ocorra alguns problemas mesmo, quando o tráfego sair por uma interface e retornar por outra. Mas eu desconheço essa necessidade no FreeBSD. Isso é coisa de Kernel Linux. :) []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] entrada de saida
Em 3 de março de 2013 07:03, Marcelo Gondim gon...@bsdinfo.com.brescreveu: Em 03/03/13 02:07, vic escreveu: Em 02-03-2013 20:05, Renato Frederick escreveu: Em 01/03/13 21:20, Marcelo Gondim escreveu: Opa Renato, Olha eu também tenho nosso router BGP e não lembro de ter habilitado nada no sysctl pra funcionar o BGP. Logicamente que o net.inet.ip.forwarding=1 é importante rsrsrsrs E algumas mudanças de sysctls para melhorias de rede em si mas nada que impeça de funcionar o BGP. :) Vc tem a sysctl que eles estão discutindo lá do Linux? Nem no Linux eu lembro disso, apesar que não usei Linux puro com BGP, só o RouterOS que usei em 2009 rsrsrs Pois é godim, dei uma googlada(hehehhehe) e a systl é esta[1] net.ipv4.conf.default.rp_filter=0 net.ipv4.conf.all.rp_filter=0 Essa configuração ativa o Reverse Packet Filtering[1]. [1]: http://lartc.org/howto/lartc.kernel.html U pode ser que precise dele mesmo mas acredito que desabilitado e não habilitado, ou seja, como você colocou acima. Porque se habilitar ele, no caso do BGP, pode ser que ocorra alguns problemas mesmo, quando o tráfego sair por uma interface e retornar por outra. Mas eu desconheço essa necessidade no FreeBSD. Isso é coisa de Kernel Linux. :) []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Eu conheço este recurso apenas via firewall mesmo do man do pf.conf: # block anything coming from source we have no back routes for block in from no-route to any # block packets whose ingress interface does not match the one in # the route back to their source address block in from urpf-failed to any ... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] entrada de saida
Em 03-03-2013 12:06, Marcelo Gondim escreveu: Em 03/03/13 11:44, Renato Frederick escreveu: Em 03/03/13 07:03, Marcelo Gondim escreveu: Em 03/03/13 02:07, vic escreveu: Em 02-03-2013 20:05, Renato Frederick escreveu: Em 01/03/13 21:20, Marcelo Gondim escreveu: Opa Renato, Olha eu também tenho nosso router BGP e não lembro de ter habilitado nada no sysctl pra funcionar o BGP. Logicamente que o net.inet.ip.forwarding=1 é importante rsrsrsrs E algumas mudanças de sysctls para melhorias de rede em si mas nada que impeça de funcionar o BGP. :) Vc tem a sysctl que eles estão discutindo lá do Linux? Nem no Linux eu lembro disso, apesar que não usei Linux puro com BGP, só o RouterOS que usei em 2009 rsrsrs Pois é godim, dei uma googlada(hehehhehe) e a systl é esta[1] net.ipv4.conf.default.rp_filter=0 net.ipv4.conf.all.rp_filter=0 Essa configuração ativa o Reverse Packet Filtering[1]. [1]: http://lartc.org/howto/lartc.kernel.html U pode ser que precise dele mesmo mas acredito que desabilitado e não habilitado, ou seja, como você colocou acima. Porque se habilitar ele, no caso do BGP, pode ser que ocorra alguns problemas mesmo, quando o tráfego sair por uma interface e retornar por outra. Mas eu desconheço essa necessidade no FreeBSD. Isso é coisa de Kernel Linux. :) []'s Gondim Valeu Godim! :) minha dúvida era isto mesmo. Mas, pelo visto, não tem problemas o pacote chegar pela XL0 e voltar pela EM3, por exemplo, no caso de um openbgpd! Abraços! Sem problemas! É muito comum acontecer essas coisas quando se faz uso de localpref, prepends e tal. Pode ir tranquilo. rp_filter é só no linux rsrsrs ou usando recursos através de firewall como o caso do PF já citado. []'s Gondim Mas isso tem haver com práticas anti-spoof. Pelo que está no link que indiquei, parece que essa sysctl do linux faz RPF (Reverse Path Forwarding, está lá como Reverse Path Filterting e pela descrição parece a mesma coisa). De uma lida nesse artigo[1] do nic.br sobre isso e na página[2] ainda tem exemplos e ferramentas para teste. As vezes você já tem isso, mas está com outro nome... é muita sigla :P [1]: http://bcp.nic.br/entenda-o-antispoofing/ [2]: http://bcp.nic.br/antispoofing/ -- vic http://choppnerd.com http://donttrack.us | http://dontbubble.us - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] entrada de saida
Em 03/03/13 12:26, vic escreveu: Mas isso tem haver com práticas anti-spoof. Pelo que está no link que indiquei, parece que essa sysctl do linux faz RPF (Reverse Path Forwarding, está lá como Reverse Path Filterting e pela descrição parece a mesma coisa). De uma lida nesse artigo[1] do nic.br sobre isso e na página[2] ainda tem exemplos e ferramentas para teste. As vezes você já tem isso, mas está com outro nome... é muita sigla :P Hehehehhee, questão é que com o bgp, fica normal isto de um pacote sair por uma interface e voltar por outra! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] entrada de saida
Em 03-03-2013 12:55, Renato Frederick escreveu: Em 03/03/13 12:26, vic escreveu: Mas isso tem haver com práticas anti-spoof. Pelo que está no link que indiquei, parece que essa sysctl do linux faz RPF (Reverse Path Forwarding, está lá como Reverse Path Filterting e pela descrição parece a mesma coisa). De uma lida nesse artigo[1] do nic.br sobre isso e na página[2] ainda tem exemplos e ferramentas para teste. As vezes você já tem isso, mas está com outro nome... é muita sigla :P Hehehehhee, questão é que com o bgp, fica normal isto de um pacote sair por uma interface e voltar por outra! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Certo, mas você deveria usar o RPF para a sua rede. Se você tem um bloco 200.0.0.0/20, seu roteador não deveria deixar sair da sua rede um IP 201.50.54.10. É isso. Nas interfaces externas do seu roteador de borda chegam qualquer rede, mas na saída só deveriam ser permitidos apenas os endereços IP do seu block AS ou de trânsitos que você tem. att. -- vic http://choppnerd.com http://donttrack.us | http://dontbubble.us - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] entrada de saida
Em 01/03/13 21:20, Marcelo Gondim escreveu: Opa Renato, Olha eu também tenho nosso router BGP e não lembro de ter habilitado nada no sysctl pra funcionar o BGP. Logicamente que o net.inet.ip.forwarding=1 é importante rsrsrsrs E algumas mudanças de sysctls para melhorias de rede em si mas nada que impeça de funcionar o BGP. :) Vc tem a sysctl que eles estão discutindo lá do Linux? Nem no Linux eu lembro disso, apesar que não usei Linux puro com BGP, só o RouterOS que usei em 2009 rsrsrs Pois é godim, dei uma googlada(hehehhehe) e a systl é esta[1] net.ipv4.conf.default.rp_filter=0 net.ipv4.conf.all.rp_filter=0 [1]: http://webcache.googleusercontent.com/search?q=cache:Mv91riPDGysJ:eng.registro.br/pipermail/gter/2012-November/042242.html+cd=1hl=ptct=clnkgl=br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] entrada de saida
Em 02-03-2013 20:05, Renato Frederick escreveu: Em 01/03/13 21:20, Marcelo Gondim escreveu: Opa Renato, Olha eu também tenho nosso router BGP e não lembro de ter habilitado nada no sysctl pra funcionar o BGP. Logicamente que o net.inet.ip.forwarding=1 é importante rsrsrsrs E algumas mudanças de sysctls para melhorias de rede em si mas nada que impeça de funcionar o BGP. :) Vc tem a sysctl que eles estão discutindo lá do Linux? Nem no Linux eu lembro disso, apesar que não usei Linux puro com BGP, só o RouterOS que usei em 2009 rsrsrs Pois é godim, dei uma googlada(hehehhehe) e a systl é esta[1] net.ipv4.conf.default.rp_filter=0 net.ipv4.conf.all.rp_filter=0 Essa configuração ativa o Reverse Packet Filtering[1]. [1]: http://lartc.org/howto/lartc.kernel.html -- vic http://choppnerd.com http://donttrack.us | http://dontbubble.us - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] entrada de saida
Pessoal, uma curiosidade, Vejo o pessoal lá na GTER comentando que no linux tem que habilitar uma flag para que o pacote enviado por uma interface possa ser recebido em outra(quando usa BGP por exemplo). No Free temos algo do tipo? Porque sinceramente, nos cenários que montei com bgp, nunca tive que fazer algo diferente nas sysctl. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] entrada de saida
Em 01/03/13 20:20, Renato Frederick escreveu: Pessoal, uma curiosidade, Vejo o pessoal lá na GTER comentando que no linux tem que habilitar uma flag para que o pacote enviado por uma interface possa ser recebido em outra(quando usa BGP por exemplo). No Free temos algo do tipo? Porque sinceramente, nos cenários que montei com bgp, nunca tive que fazer algo diferente nas sysctl. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Opa Renato, Olha eu também tenho nosso router BGP e não lembro de ter habilitado nada no sysctl pra funcionar o BGP. Logicamente que o net.inet.ip.forwarding=1 é importante rsrsrsrs E algumas mudanças de sysctls para melhorias de rede em si mas nada que impeça de funcionar o BGP. :) Vc tem a sysctl que eles estão discutindo lá do Linux? Nem no Linux eu lembro disso, apesar que não usei Linux puro com BGP, só o RouterOS que usei em 2009 rsrsrs []'s Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd