[FUG-BR] RES: RES: Bloco 197/8
Edinilson, Quando eu coloco uma rota para o ip do blackrole pela null0, o quagga aceita, a rota realmente aparece(se eu der um tracert ou ping não responde). De fato, se de qualquer host interno da rede eu der um tracert para o IP que eu fiz o blackhole, ele não passa do firewall. Porém a rota não aparece na tabela bgp, quando eu fizer o route-map, e aí que fica o problema: Se eu digitar um sh ip bgp não aparece as rotas para os bogons apontando para o IP blackrole. Daí veja o que eu fiz no freebsd: ##BlackHole cloned_interfaces=disc0 ifconfig_disc0=192.0.2.1 netmask 255.255.255.255 route_blackhole=10.255.255.254/32 192.0.2.1 static_routes=blackhole a rota blackholeacima pode ser substituída dentro do quagga para: ip route 10.255.255.254/32 192.0.2.1 fica a seu critério. Daí eu fiz o route-map: route-map CYMRUBOGONS permit 10 match community 10 set ip next-hop 10.255.255.254 set origin igp Eu achei muito estranho também, afinal um tracert funcionava mas não aparecia no BGP... achei que era erro do meu route-map, etc.. até que achei esta discussão: http://osdir.com/ml/network.quagga.user/2004-10/msg00157.html e achei interessante esta parte: FreeBSD has RTF_BLACKHOLE and RTF_REJECT flags in kernel RIB rtentry which is triggered by 'ip route a.b.c.d/32 Null0' or 'ip route a.b.c.d/32 reject' respectively. Linux also provides blackhole capabilities in the kernel routing subsystem. This is the recommended method. Otherwise, just route to a network hosted by dummy0 or 'software discard' e.g. disc0/ds0 interface. P.S. And yes there was (or is still?) a bug in zeb|Q bgpd that won't resolve recursive routes pointed to Null0|blackhole|reject next-hops. But I think there was a recent bug id on that addressing this issue. Aí o truque é que o nex-hop nao é a null0 propriamente, mas um IP que por sua vez aponta uma rota para null0 :) -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Edinilson - ATINET Enviada em: sexta-feira, 28 de novembro de 2008 10:51 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Bloco 197/8 Prioridade: Alta Caro Renato, eu participo tambem da lista do Quagga e o pessoal la insiste que o null0 funciona no freebsd. Quais problemas voce teve em utilizar o null0 ? Obrigado Edinilson - ATINET-Professional Web Hosting Tel Voz: (0xx11) 4412-0876 http://www.atinet.com.br - Original Message - From: Renato Frederick [EMAIL PROTECTED] To: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' freebsd@fug.com.br Sent: Thursday, November 27, 2008 10:21 AM Subject: [FUG-BR] RES: Bloco 197/8 Edinilson, Sim, uso no quagga. Primeiro você tem que enviar um email a eles solicitando, no site explica o formato.. basicamente é falar que não quer autenticação md5 na sessão(quagga não suporta) e passar seu as e o seu ip para o peering. Depois é só subir como se fosse uma sessão bgp normal. Como eles usam 2 peers para a sessão, eu uso peer-group: [...] neighbor cymru-bogon peer-group neighbor cymru-bogon description BOGUS-SERVER neighbor cymru-bogon ebgp-multihop 255 neighbor cymru-bogon update-source lo0 neighbor cymru-bogon send-community both neighbor cymru-bogon soft-reconfiguration inbound neighbor cymru-bogon maximum-prefix 100 90 neighbor cymru-bogon prefix-list cymru-out out neighbor cymru-bogon route-map CYMRUBOGONS in neighbor 200.x.x.x remote-as 65333 neighbor 200.x.x.x peer-group cymru-bogon neighbor 208.x.x.x remote-as 65333 neighbor 208.x8.x.x peer-group cymru-bogon [...] a cymru usa a comunity 65333:888 para enviar a lista de bogus(tem outras 2 comunity com mais granularidade, no site fala). Entao, basta fazer um Black role para esta comunidade: [...] ip community-list 10 permit 65333:888 route-map CYMRUBOGONS permit 10 match community 10 set ip next-hop 10.255.255.254 set local-preference 200 set origin igp ! [...] No caso, criei uma rota que entrega o IP 10.255.255.254 para minha interface disc0 no freebsd. Se fosse cisco você poderia fazer um iproute 10.255.255.254 null0, mas o quagga apesar de aceitar o comando, não funciona. Talvez você precise fazer outro routemap para suprimir algumas redes que eles te mandam, no meu caso a rede 172.16 pode passar entre meus roteadores de borda, então tome cuidado.. :) Caso você não faça o ip next-hop e entregue o tráfego para o peers deles, a sessão BGP é cancelada. No final minha tabela de rotas fica algo assim: * 1.0.0.0 10.255.255.254 0200 0 65333 i * 10.255.255.254 0200 0 65333 i * 2.0.0.0 10.255.255.254 0200 0 65333 i * 10.255.255.254 0200 0 65333 i E o melhor, atualizam sempre que a IANA aloca uma rede. Voltando ao assunto
Re: [FUG-BR] RES: RES: Bloco 197/8
OK Renato, tem razao. Apos um post la na lista do Quagga uma outra pessoa tambem respondeu exatamente igual ao que voce fez (postei abaixo). Muito obrigado! Edinilson - ATINET-Professional Web Hosting Tel Voz: (0xx11) 4412-0876 http://www.atinet.com.br Edinilson - ATINET wrote: Mr. Steve, I´m using quagga+bgpd on freebsd. I thing that null0 doesn´t work on freebsd. A few months back, I had extensive issues with using the null interface. It seemed like when I applied a non-existent IP address (ie. an IP that did not belong to a prefix in use on the box) to a null interface, it would not take. nullN would work ok if I was using one of my public IP addresses, but I didn't want to do that. What I ended up doing is thus: # ifconfig disc0 create # ifconfig disc0 192.168.222.1/32 Then, in Quagga, for the bogons session: ip prefix-list CYMRU-OUT seq 5 deny 0.0.0.0/0 le 32 ip community-list 10 permit 65333:888 route-map CYMRU-MAP-IN permit 10 description Null route BOGONS learned from Cymru match community 10 set ip next-hop 192.168.222.1 ...and for my IPv6 null route: ipv6 route 2607:f118::/32 disc0 ...and this seems to work ok. Cheers, Steve - Original Message - From: Renato Frederick [EMAIL PROTECTED] To: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' freebsd@fug.com.br Sent: Friday, November 28, 2008 11:11 AM Subject: [FUG-BR] RES: RES: Bloco 197/8 Edinilson, Quando eu coloco uma rota para o ip do blackrole pela null0, o quagga aceita, a rota realmente aparece(se eu der um tracert ou ping não responde). De fato, se de qualquer host interno da rede eu der um tracert para o IP que eu fiz o blackhole, ele não passa do firewall. Porém a rota não aparece na tabela bgp, quando eu fizer o route-map, e aí que fica o problema: Se eu digitar um sh ip bgp não aparece as rotas para os bogons apontando para o IP blackrole. Daí veja o que eu fiz no freebsd: ##BlackHole cloned_interfaces=disc0 ifconfig_disc0=192.0.2.1 netmask 255.255.255.255 route_blackhole=10.255.255.254/32 192.0.2.1 static_routes=blackhole a rota blackholeacima pode ser substituída dentro do quagga para: ip route 10.255.255.254/32 192.0.2.1 fica a seu critério. Daí eu fiz o route-map: route-map CYMRUBOGONS permit 10 match community 10 set ip next-hop 10.255.255.254 set origin igp Eu achei muito estranho também, afinal um tracert funcionava mas não aparecia no BGP... achei que era erro do meu route-map, etc.. até que achei esta discussão: http://osdir.com/ml/network.quagga.user/2004-10/msg00157.html e achei interessante esta parte: FreeBSD has RTF_BLACKHOLE and RTF_REJECT flags in kernel RIB rtentry which is triggered by 'ip route a.b.c.d/32 Null0' or 'ip route a.b.c.d/32 reject' respectively. Linux also provides blackhole capabilities in the kernel routing subsystem. This is the recommended method. Otherwise, just route to a network hosted by dummy0 or 'software discard' e.g. disc0/ds0 interface. P.S. And yes there was (or is still?) a bug in zeb|Q bgpd that won't resolve recursive routes pointed to Null0|blackhole|reject next-hops. But I think there was a recent bug id on that addressing this issue. Aí o truque é que o nex-hop nao é a null0 propriamente, mas um IP que por sua vez aponta uma rota para null0 :) -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Edinilson - ATINET Enviada em: sexta-feira, 28 de novembro de 2008 10:51 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Bloco 197/8 Prioridade: Alta Caro Renato, eu participo tambem da lista do Quagga e o pessoal la insiste que o null0 funciona no freebsd. Quais problemas voce teve em utilizar o null0 ? Obrigado Edinilson - ATINET-Professional Web Hosting Tel Voz: (0xx11) 4412-0876 http://www.atinet.com.br - Original Message - From: Renato Frederick [EMAIL PROTECTED] To: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' freebsd@fug.com.br Sent: Thursday, November 27, 2008 10:21 AM Subject: [FUG-BR] RES: Bloco 197/8 Edinilson, Sim, uso no quagga. Primeiro você tem que enviar um email a eles solicitando, no site explica o formato.. basicamente é falar que não quer autenticação md5 na sessão(quagga não suporta) e passar seu as e o seu ip para o peering. Depois é só subir como se fosse uma sessão bgp normal. Como eles usam 2 peers para a sessão, eu uso peer-group: [...] neighbor cymru-bogon peer-group neighbor cymru-bogon description BOGUS-SERVER neighbor cymru-bogon ebgp-multihop 255 neighbor cymru-bogon update-source lo0 neighbor cymru-bogon send-community both neighbor cymru-bogon soft-reconfiguration inbound neighbor cymru-bogon maximum-prefix 100 90 neighbor cymru-bogon prefix-list cymru-out out neighbor cymru-bogon route-map CYMRUBOGONS in neighbor 200.x.x.x
[FUG-BR] RES: RES: Bloco 197/8
Exato.. Inclusive voce pode colocar: bgp config-type cisco ;-) Ai fica 100%, pelo menos a parte do BGP -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Eduardo Schoedler Enviada em: quinta-feira, 27 de novembro de 2008 11:51 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Bloco 197/8 Comandos muito parecidos com o Cisco, por sinal. Abraços, Eduardo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd