Re: [FRnOG] [TECH] Prefix-list out bgp
Tu n'as meme pas besoin de la ligne deny any ... les ACL, prefix-list, et route-map ont un deny implicit a la fin. tout ce que tu as dans tes listes peuvent etre reduit a simplement: ip prefix-list PL_OUT seq 5 permit 1.1.1.0/24 ! ipv6 prefix-list PL_OUT seq 5 permit 111:222::/32 ge 32 ! Leland Vandervort Gandi SAS 63-65 Boulevard Massena 75013 Paris, France WWW: http://www.gandi.net/ T: +33 1 70 39 37 59 M: +33 6 31 15 15 07 On 13 Oct 2013, at 14:01, Antoine Durant wrote: Bonjour, Je suis en train de faire le ménage sur mes route-map et prefix-list, j'ai une question concernant ma prefix-list OUT. Actuellement j'ai : ip prefix-list PL_OUT seq 5 permit 1.1.1.0/24 ip prefix-list PL_OUT seq 10 deny 0.0.0.0/0 ip prefix-list PL_OUT seq 15 deny 0.0.0.0/8 le 32 ip prefix-list PL_OUT seq 20 deny 10.0.0.0/8 le 32 ip prefix-list PL_OUT seq 25 deny 127.0.0.0/8 le 32 ip prefix-list PL_OUT seq 30 deny 169.254.0.0/16 le 32 ip prefix-list PL_OUT seq 35 deny 172.16.0.0/12 le 32 ip prefix-list PL_OUT seq 40 deny 192.0.2.0/24 le 32 ip prefix-list PL_OUT seq 45 deny 192.168.0.0/16 le 32 ip prefix-list PL_OUT seq 50 deny 224.0.0.0/3 le 32 ip prefix-list PL_OUT seq 500 deny 0.0.0.0/0 le 32 Est-ce que je peux synthétiser en : ip prefix-list PL_OUT seq 5 permit 1.1.1.0/24 ip prefix-list PL_OUT seq 10 deny any Même chose pour prefix-list IPV6 : ipv6 prefix-list PL_OUT seq 5 permit :::/31 ge 32 ipv6 prefix-list PL_OUT seq 10 deny any J'ai presque envie de dire que cela doit fonctionner, mais je préfère être sur avant d'appliquer la configuration... A++ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Prefix-list out bgp
! ip prefix-list ipv4-AS62713 permit 1.2.3.0/24 ! route-map ipv4-transit-AS-out permit 5 description Export routes to AS - Super Mega Upstream match ip address ipv4-AS62713 match as-path 1 set community none ! Le plus important c'est le IN, c'est la qu'il y du boulot à faire :) On Oct 13, 2013, at 2:01 PM, Antoine Durant antoine.duran...@yahoo.fr wrote: Bonjour, Je suis en train de faire le ménage sur mes route-map et prefix-list, j'ai une question concernant ma prefix-list OUT. Actuellement j'ai : ip prefix-list PL_OUT seq 5 permit 1.1.1.0/24 ip prefix-list PL_OUT seq 10 deny 0.0.0.0/0 ip prefix-list PL_OUT seq 15 deny 0.0.0.0/8 le 32 ip prefix-list PL_OUT seq 20 deny 10.0.0.0/8 le 32 ip prefix-list PL_OUT seq 25 deny 127.0.0.0/8 le 32 ip prefix-list PL_OUT seq 30 deny 169.254.0.0/16 le 32 ip prefix-list PL_OUT seq 35 deny 172.16.0.0/12 le 32 ip prefix-list PL_OUT seq 40 deny 192.0.2.0/24 le 32 ip prefix-list PL_OUT seq 45 deny 192.168.0.0/16 le 32 ip prefix-list PL_OUT seq 50 deny 224.0.0.0/3 le 32 ip prefix-list PL_OUT seq 500 deny 0.0.0.0/0 le 32 Est-ce que je peux synthétiser en : ip prefix-list PL_OUT seq 5 permit 1.1.1.0/24 ip prefix-list PL_OUT seq 10 deny any Même chose pour prefix-list IPV6 : ipv6 prefix-list PL_OUT seq 5 permit :::/31 ge 32 ipv6 prefix-list PL_OUT seq 10 deny any J'ai presque envie de dire que cela doit fonctionner, mais je préfère être sur avant d'appliquer la configuration... A++ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Prefix-list out bgp
Bonjour, Tu n'as meme pas besoin de la ligne deny any ... les ACL, prefix-list, et route-map ont un deny implicit a la fin. Ok... J'utilise quagga, est-ce que le deny any est bien implicite à la fin pour lui ?? J'avais pris l'habitude de rajouter deny any en fin des ACL et Prefix-list car sur les tutos que j'avais lu à l'époque il y avait régulièrement le deny any Donc utile ou pas dans mon cas avec quagga ?? Voici comment j'ai configuré mon IN ! route-map v4_in permit 10 match ip address prefix-list PL_IN ! route-map v4_in permit 100 ! ip as-path access-list 1 permit ^$ ip prefix-list PL_IN seq 5 deny 1.1.1.0/24 ip prefix-list PL_IN seq 10 deny 0.0.0.0/0 ip prefix-list PL_IN seq 15 deny 0.0.0.0/8 le 32 ip prefix-list PL_IN seq 20 deny 10.0.0.0/8 le 32 ip prefix-list PL_IN seq 25 deny 127.0.0.0/8 le 32 ip prefix-list PL_IN seq 30 deny 169.254.0.0/16 le 32 ip prefix-list PL_IN seq 35 deny 172.16.0.0/12 le 32 ip prefix-list PL_IN seq 40 deny 192.0.2.0/24 le 32 ip prefix-list PL_IN seq 45 deny 192.168.0.0/16 le 32 ip prefix-list PL_IN seq 50 deny 224.0.0.0/3 le 32 ip prefix-list PL_IN seq 500 permit 0.0.0.0/0 le 32 ipv6 prefix-list PL_IN seq 5 deny :::/31 ge 32 ipv6 prefix-list PL_IN seq 10 deny fec0::/8 ge 9 ipv6 prefix-list PL_IN seq 15 deny ::/0 ipv6 prefix-list PL_IN seq 20 permit 3ffe::/18 ge 24 le 24 ipv6 prefix-list PL_IN seq 25 permit 3ffe:4000::/18 ge 32 le 32 ipv6 prefix-list PL_IN seq 30 permit 3ffe:8000::/22 ge 28 le 28 ipv6 prefix-list PL_IN seq 35 permit 2001::/16 ge 28 le 35 ipv6 prefix-list PL_IN seq 40 permit 2002::/16 ipv6 prefix-list PL_IN seq 500 permit ::/0 le 128 De : Raphael Maunier raph...@maunier.net À : Antoine Durant antoine.duran...@yahoo.fr Cc : frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Dimanche 13 octobre 2013 14h12 Objet : Re: [FRnOG] [TECH] Prefix-list out bgp ! ip prefix-list ipv4-AS62713 permit 1.2.3.0/24 ! route-map ipv4-transit-AS-out permit 5 description Export routes to AS - Super Mega Upstream match ip address ipv4-AS62713 match as-path 1 set community none ! Le plus important c'est le IN, c'est la qu'il y du boulot à faire :) On Oct 13, 2013, at 2:01 PM, Antoine Durant antoine.duran...@yahoo.fr wrote: Bonjour, Je suis en train de faire le ménage sur mes route-map et prefix-list, j'ai une question concernant ma prefix-list OUT. Actuellement j'ai : ip prefix-list PL_OUT seq 5 permit 1.1.1.0/24 ip prefix-list PL_OUT seq 10 deny 0.0.0.0/0 ip prefix-list PL_OUT seq 15 deny 0.0.0.0/8 le 32 ip prefix-list PL_OUT seq 20 deny 10.0.0.0/8 le 32 ip prefix-list PL_OUT seq 25 deny 127.0.0.0/8 le 32 ip prefix-list PL_OUT seq 30 deny 169.254.0.0/16 le 32 ip prefix-list PL_OUT seq 35 deny 172.16.0.0/12 le 32 ip prefix-list PL_OUT seq 40 deny 192.0.2.0/24 le 32 ip prefix-list PL_OUT seq 45 deny 192.168.0.0/16 le 32 ip prefix-list PL_OUT seq 50 deny 224.0.0.0/3 le 32 ip prefix-list PL_OUT seq 500 deny 0.0.0.0/0 le 32 Est-ce que je peux synthétiser en : ip prefix-list PL_OUT seq 5 permit 1.1.1.0/24 ip prefix-list PL_OUT seq 10 deny any Même chose pour prefix-list IPV6 : ipv6 prefix-list PL_OUT seq 5 permit :::/31 ge 32 ipv6 prefix-list PL_OUT seq 10 deny any J'ai presque envie de dire que cela doit fonctionner, mais je préfère être sur avant d'appliquer la configuration... A++ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Prefix-list out bgp
Voici comment j'ai configuré mon IN ! route-map v4_in permit 10 match ip address prefix-list PL_IN ! route-map v4_in permit 100 Ta route-map n'a que des permit donc aucun effet ! Je te conseile de faire l'inverse : deny d'abord et permit le reste route-map v4_in deny 10 match ip address prefix-list bogons route-map v4_in permit 100 ip prefix-list bogons permit 0.0.0.0/8 le 32 ip prefix-list bogons permit 10.0.0.0/8 le 32 [...] ip prefix-list bogons permit 224.0.0.0/3 le 32 Il est coutume aussi de filtrer tous les prefix plus longs que /24. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Prefix-list out bgp
Le 13/10/2013 16:29, Cedric T. a écrit : Voici comment j'ai configuré mon IN ! route-map v4_in permit 10 match ip address prefix-list PL_IN ! route-map v4_in permit 100 Ta route-map n'a que des permit donc aucun effet ! Je te conseile de faire l'inverse : deny d'abord et permit le reste route-map v4_in deny 10 match ip address prefix-list bogons route-map v4_in permit 100 ip prefix-list bogons permit 0.0.0.0/8 le 32 ip prefix-list bogons permit 10.0.0.0/8 le 32 [...] ip prefix-list bogons permit 224.0.0.0/3 le 32 Il est coutume aussi de filtrer tous les prefix plus longs que /24. Cédric En peu plus en générale, le recent guide de nos amis ANSSI -- c.f. mail to list il y a peu -- pourrait servir ? (Il y a peut-etre des détail à discuter, mais je le trouve globalement un bon doc. En plus, il est beau et fait en TeX. :-).) Cheers, mh --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Prefix-list out bgp
Oulaaa Donc j'ai tous faux ??? Donc si je comprends il faut que je configure comme ceci : neighbor 10.1.1.1 remote-as 10 neighbor 10.1.1.1 description FAI_10 neighbor 10.1.1.1 soft-reconfiguration inbound neighbor 10.1.1.1 route-map FAI_10-in in neighbor 10.1.1.1 route-map FAI_10-out out ip prefix-list bogons description BOGONS ip prefix-list bogons seq 10 permit 127.0.0.0/8 le 32 ip prefix-list bogons seq 20 permit 10.0.0.0/8 le 32 ip prefix-list IPv4 seq 10 permit 1.1.1.1/24 ip as-path access-list 1 permit ^$ ! route-map FAI_10-in deny 10 match as-path 1 ! route-map FAI_10-in deny 20 match ip address prefix-list bogons ! route-map FAI_10-in deny 30 match ip address prefix-list IPv4 ! route-map FAI_10-in permit 100 ! route-map FAI_10-out permit 10 match ip address prefix-list IPv4 ! route-map FAI_10-out deny 100 ! Ce que je ne comprends pas : je cherche à refuser les prefixes 10.0.0.0/8 le 32 dans ma config actuelle je DENY via la prefix-list que j'applique avec ma route-map permit Donc la route-map de dessous permet de refuser tous les prefixes de PL_IN ??? Cela revient au même que de faire du DENY PERMIT, non ?? route-map v4_in permit 10 match ip address prefix-list PL_IN ip prefix-list PL_IN seq 5 deny 1.1.1.0/24 ip prefix-list PL_IN seq 10 deny 0.0.0.0/0 De : Cedric T. fr...@grumly.eu.org À : Antoine Durant antoine.duran...@yahoo.fr; frnog@frnog.org Envoyé le : Dimanche 13 octobre 2013 16h29 Objet : Re: [FRnOG] [TECH] Prefix-list out bgp Voici comment j'ai configuré mon IN ! route-map v4_in permit 10 match ip address prefix-list PL_IN ! route-map v4_in permit 100 Ta route-map n'a que des permit donc aucun effet ! Je te conseile de faire l'inverse : deny d'abord et permit le reste route-map v4_in deny 10 match ip address prefix-list bogons route-map v4_in permit 100 ip prefix-list bogons permit 0.0.0.0/8 le 32 ip prefix-list bogons permit 10.0.0.0/8 le 32 [...] ip prefix-list bogons permit 224.0.0.0/3 le 32 Il est coutume aussi de filtrer tous les prefix plus longs que /24. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Prefix-list out bgp
Bonjour, tu trouveras ci-dessous une conf en IPV4 avec les filtrages BOGONS + les preco de l'ANSSI : neighbor 10.1.1.1 remote-as 10 neighbor 10.1.1.1 description FAI_10 neighbor 10.1.1.1 route-map PREFIX-FROM-FAI_10 in neighbor 10.1.1.1 route-map PREFIX-TO-FAI_10 out neighbor 10.1.1.1 filter-list 10 in neighbor 10.1.1.1 filter-list 1 out ip prefix-list IPv4 seq 10 permit 1.1.1.1/24 ip as-path access-list 1 permit ^(TON-AS_)*$ ip as-path access-list 1 deny .* ip as-path access-list 10 permit ^AS-DE-TON-FAI-10_ ip as-path access-list 10 deny .* ! access-list 190 remark filtrage TES prefixes access-list 190 permit ip host 1.1.1.0 host 255.255.255.0 access-list 191 permit ip 0.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255 access-list 191 permit ip 10.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255 access-list 191 permit ip 127.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255 access-list 191 permit ip 169.254.0.0 0.0.255.255 255.255.0.0 0.0.255.255 access-list 191 permit ip 172.16.0.0 0.15.255.255 255.240.0.0 0.15.255.255 access-list 191 permit ip 192.168.0.0 0.0.255.255 255.255.0.0 0.0.255.255 access-list 191 permit ip 192.0.2.0 0.0.0.255 255.255.255.0 0.0.0.255 access-list 191 permit ip 223.255.255.0 0.0.0.255 255.255.255.0 0.0.0.255 access-list 191 permit ip 224.0.0.0 15.255.255.255 224.0.0.0 15.255.255.255 access-list 191 permit ip 198.51.100.0 0.0.0.255 255.255.255.0 0.0.0.255 access-list 191 permit ip 203.0.113.0 0.0.0.255 255.255.255.0 0.0.0.255 access-list 191 permit ip 192.88.99.0 0.0.0.255 255.255.255.0 0.0.0.255 access-list 191 permit ip host 255.255.255.255 host 255.255.255.255 access-list 191 permit ip 100.64.0.0 0.63.255.255 255.192.0.0 0.63.255.255 access-list 193 permit ip any 255.255.255.128 0.0.0.127 route-map PREFIX-FROM-FAI_10 deny 10 match ip address 190 191 193 route-map PREFIX-FROM-FAI_10 permit 100 set metric 0 set community none route-map PREFIX-TO-FAI_10 permit 10 match ip address prefix-list IPv4 set community none Carrel Antoine Durant antoine.duran...@yahoo.fr a écrit : Oulaaa Donc j'ai tous faux ??? Donc si je comprends il faut que je configure comme ceci : neighbor 10.1.1.1 remote-as 10 neighbor 10.1.1.1 description FAI_10 neighbor 10.1.1.1 soft-reconfiguration inbound neighbor 10.1.1.1 route-map FAI_10-in in neighbor 10.1.1.1 route-map FAI_10-out out ip prefix-list bogons description BOGONS ip prefix-list bogons seq 10 permit 127.0.0.0/8 le 32 ip prefix-list bogons seq 20 permit 10.0.0.0/8 le 32 ip prefix-list IPv4 seq 10 permit 1.1.1.1/24 ip as-path access-list 1 permit ^$ ! route-map FAI_10-in deny 10 match as-path 1 ! route-map FAI_10-in deny 20 match ip address prefix-list bogons ! route-map FAI_10-in deny 30 match ip address prefix-list IPv4 ! route-map FAI_10-in permit 100 ! route-map FAI_10-out permit 10 match ip address prefix-list IPv4 ! route-map FAI_10-out deny 100 ! Ce que je ne comprends pas : je cherche à refuser les prefixes 10.0.0.0/8 le 32 dans ma config actuelle je DENY via la prefix-list que j'applique avec ma route-map permit Donc la route-map de dessous permet de refuser tous les prefixes de PL_IN ??? Cela revient au même que de faire du DENY PERMIT, non ?? route-map v4_in permit 10 match ip address prefix-list PL_IN ip prefix-list PL_IN seq 5 deny 1.1.1.0/24 ip prefix-list PL_IN seq 10 deny 0.0.0.0/0 De : Cedric T. fr...@grumly.eu.org À : Antoine Durant antoine.duran...@yahoo.fr; frnog@frnog.org Envoyé le : Dimanche 13 octobre 2013 16h29 Objet : Re: [FRnOG] [TECH] Prefix-list out bgp Voici comment j'ai configuré mon IN ! route-map v4_in permit 10 match ip address prefix-list PL_IN ! route-map v4_in permit 100 Ta route-map n'a que des permit donc aucun effet ! Je te conseile de faire l'inverse : deny d'abord et permit le reste route-map v4_in deny 10 match ip address prefix-list bogons route-map v4_in permit 100 ip prefix-list bogons permit 0.0.0.0/8 le 32 ip prefix-list bogons permit 10.0.0.0/8 le 32 [...] ip prefix-list bogons permit 224.0.0.0/3 le 32 Il est coutume aussi de filtrer tous les prefix plus longs que /24. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Prefix-list out bgp
ip as-path access-list 1 permit ^$ ! route-map FAI_10-in deny 10 match as-path 1 Cela n'a de sens qu'en out pour n'annoncer que les routes en provenance de ton réseau (l'as-path vide) Tel que tu l'écris tu refuses les routes de ton fournisseur n'ayant pas d'as-path, ce qui est très improbable :) route-map FAI_10-out permit 10 match ip address prefix-list IPv4 ! route-map FAI_10-out deny 100 Ok, donc la tu peux annoncer 1.1.1.1/24 à ton transitaire. Ce que je ne comprends pas : je cherche à refuser les prefixes 10.0.0.0/8 le 32 dans ma config actuelle je DENY via la prefix-list que j'applique avec ma route-map permit On n'applique pas une prefix-list à une route-map, on applique l'action d'une route-map aux prefix qui passent la prefix-list. Donc la route-map de dessous permet de refuser tous les prefixes de PL_IN ??? Cela revient au même que de faire du DENY PERMIT, non ?? Les 4 lignes suivantes ne font strictement rien : route-map v4_in permit 10 match ip address prefix-list PL_IN ip prefix-list PL_IN seq 5 deny 1.1.1.0/24 ip prefix-list PL_IN seq 10 deny 0.0.0.0/0 Un deny d'un prefix dans la prefix-list ne te garanti pas que le prefix est bloqué, mais seulement que la route-map (deny ou permit) ne s'applique pas à ce prefix. La logique d'une route-map est donc la suivante : route-map XXX permit 10 match ip address prefix-list TRUC est équivalent à J'autorise (permit) les prefix qui _passent_ la prefix-list TRUC. Puis je passe à la route-map suivante s'il y en a une. De même que : route-map XXX deny 10 match ip address prefix-list TRUC est équivalent à : Je _refuse_ (deny) les prefix qui _passent_ la prefix-list TRUC. Puis je passe à la route-map suivante s'il y en a une. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Prefix-list out bgp
Concernant ip as-path access-list 1 permit ^$ je me suis trompé... Un mauvais copier/coller... Je l'utilise dans le OUT et non pas dans le IN comme ici !!! Je pense même que cela doit fonctionner pour le OUT (en prenant le mail de Carrel) : ip as-path access-list 1 permit ^$ ip as-path access-list 1 permit ^(1234_)*$ ip as-path access-list 1 deny .* De : Cedric T. fr...@grumly.eu.org À : Antoine Durant antoine.duran...@yahoo.fr; frnog@frnog.org Envoyé le : Dimanche 13 octobre 2013 18h07 Objet : Re: [FRnOG] [TECH] Prefix-list out bgp ip as-path access-list 1 permit ^$ ! route-map FAI_10-in deny 10 match as-path 1 Cela n'a de sens qu'en out pour n'annoncer que les routes en provenance de ton réseau (l'as-path vide) Tel que tu l'écris tu refuses les routes de ton fournisseur n'ayant pas d'as-path, ce qui est très improbable :) route-map FAI_10-out permit 10 match ip address prefix-list IPv4 ! route-map FAI_10-out deny 100 Ok, donc la tu peux annoncer 1.1.1.1/24 à ton transitaire. Ce que je ne comprends pas : je cherche à refuser les prefixes 10.0.0.0/8 le 32 dans ma config actuelle je DENY via la prefix-list que j'applique avec ma route-map permit On n'applique pas une prefix-list à une route-map, on applique l'action d'une route-map aux prefix qui passent la prefix-list. Donc la route-map de dessous permet de refuser tous les prefixes de PL_IN ??? Cela revient au même que de faire du DENY PERMIT, non ?? Les 4 lignes suivantes ne font strictement rien : route-map v4_in permit 10 match ip address prefix-list PL_IN ip prefix-list PL_IN seq 5 deny 1.1.1.0/24 ip prefix-list PL_IN seq 10 deny 0.0.0.0/0 Un deny d'un prefix dans la prefix-list ne te garanti pas que le prefix est bloqué, mais seulement que la route-map (deny ou permit) ne s'applique pas à ce prefix. La logique d'une route-map est donc la suivante : route-map XXX permit 10 match ip address prefix-list TRUC est équivalent à J'autorise (permit) les prefix qui _passent_ la prefix-list TRUC. Puis je passe à la route-map suivante s'il y en a une. De même que : route-map XXX deny 10 match ip address prefix-list TRUC est équivalent à : Je _refuse_ (deny) les prefix qui _passent_ la prefix-list TRUC. Puis je passe à la route-map suivante s'il y en a une. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Prefix-list out bgp
re-bonjour, On 13 Oct 2013, at 14:27, Antoine Durant wrote: J'avais pris l'habitude de rajouter deny any en fin des ACL et Prefix-list car sur les tutos que j'avais lu à l'époque il y avait régulièrement le deny any Donc utile ou pas dans mon cas avec quagga ?? Pareil, normalement pas vraiment besoin -- tu peux en avoir, ca ne casse rien... par contre, il y a un probleme avec ton route-map... Voici comment j'ai configuré mon IN ! route-map v4_in permit 10 match ip address prefix-list PL_IN ! route-map v4_in permit 100 ! dans l'etat, ce route-map passe TOUT a cause du permit en sequence 100 a la fin de la chaine (meme ceux qui sont deny dans prefix-list PL_IN). Soit enlever la sequece 100 (permit), soit le changer en deny. Leland --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Prefix-list out bgp
car...@akposso.com a écrit: tu trouveras ci-dessous une conf en IPV4 avec les filtrages BOGONS + les preco de l'ANSSI : Pour les bogons, il y a nettement mieux que les 13 préfixes connus: IPv4 fullbogons http://www.team-cymru.org/Services/Bogons/bgp.html 3262 préfixes aujourd'hui, une grosse descente depuis environ 5000 mi-septembre. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Prefix-list out bgp
J'en ai entendu parler... Il est possible de monter une session directement avec eux comme ça (je ne suis présent sur aucun point d'échange...) ? Tu l'utilises Michel ? Quelqu'un a un retour à me faire sur l'utilisation de CYMRU ? De : Michel Py mic...@arneill-py.sacramento.ca.us À : car...@akposso.com; Antoine Durant antoine.duran...@yahoo.fr; frnog@frnog.org Envoyé le : Dimanche 13 octobre 2013 21h13 Objet : RE: [FRnOG] [TECH] Prefix-list out bgp car...@akposso.com a écrit: tu trouveras ci-dessous une conf en IPV4 avec les filtrages BOGONS + les preco de l'ANSSI : Pour les bogons, il y a nettement mieux que les 13 préfixes connus: IPv4 fullbogons http://www.team-cymru.org/Services/Bogons/bgp.html 3262 préfixes aujourd'hui, une grosse descente depuis environ 5000 mi-septembre. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Prefix-list out bgp
Antoine Durant a écrit: J'en ai entendu parler... Il est possible de monter une session directement avec eux comme ça (je ne suis présent sur aucun point d'échange...) ? Oui, pas besoin d'ASN non plus, ils te donneront un ASN privé si tu n'en as pas de public. Faut une adresse IP fixe. Tu l'utilises Michel ? Oui y compris à la maison avec mon aDSL. http://arneill-py.sacramento.ca.us/mrtg/ipv4fullbogons.html (faut pas se fier au graphiques pour la fiabilité; ce réseau est le sujet d'expérimentations sauvages de longue durée). Quelqu'un a un retour à me faire sur l'utilisation de CYMRU ? Ce sont des très grands pros. Si tu as 2 sessions différentes (mon cas) tu en auras toujours une qui marche. En plus, mettre ça en dans le contexte: si tu perds CYMRU pendant quelques heures, ce n'est pas ton réseau qui tombe, uniquement ton filtrage de bogons. Le danger potentiel, c'est qu'ils te donnent un préfixe qui n'est pas un bogon, je n'ai jamais vu le cas mais bon il y a des paranos. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Prefix-list out bgp
A première lecture cela a pas l'air trop mal... J'ai presque envi de me laisser tenter par CYMRU !! Niveau config BGP lorsque on dispose d'un AS public comment on fait ? As tu un exemple d'intégration du route-server dans un AS public sous la main ? De : Michel Py mic...@arneill-py.sacramento.ca.us À : Antoine Durant antoine.duran...@yahoo.fr; car...@akposso.com; frnog@frnog.org Envoyé le : Dimanche 13 octobre 2013 22h24 Objet : RE: [FRnOG] [TECH] Prefix-list out bgp Antoine Durant a écrit: J'en ai entendu parler... Il est possible de monter une session directement avec eux comme ça (je ne suis présent sur aucun point d'échange...) ? Oui, pas besoin d'ASN non plus, ils te donneront un ASN privé si tu n'en as pas de public. Faut une adresse IP fixe. Tu l'utilises Michel ? Oui y compris à la maison avec mon aDSL. http://arneill-py.sacramento.ca.us/mrtg/ipv4fullbogons.html (faut pas se fier au graphiques pour la fiabilité; ce réseau est le sujet d'expérimentations sauvages de longue durée). Quelqu'un a un retour à me faire sur l'utilisation de CYMRU ? Ce sont des très grands pros. Si tu as 2 sessions différentes (mon cas) tu en auras toujours une qui marche. En plus, mettre ça en dans le contexte: si tu perds CYMRU pendant quelques heures, ce n'est pas ton réseau qui tombe, uniquement ton filtrage de bogons. Le danger potentiel, c'est qu'ils te donnent un préfixe qui n'est pas un bogon, je n'ai jamais vu le cas mais bon il y a des paranos. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Prefix-list out bgp
Il y a des exemples pour les principaux routeurs du marché: http://www.team-cymru.org/Services/Bogons/bgp-examples.html Je réfléchissais aussi à mettre cela en place dans ma config... Donc pas encore testé... Fred Le 13/10/2013 22:34, Antoine Durant a écrit : A première lecture cela a pas l'air trop mal... J'ai presque envi de me laisser tenter par CYMRU !! Niveau config BGP lorsque on dispose d'un AS public comment on fait ? As tu un exemple d'intégration du route-server dans un AS public sous la main ? De : Michel Py mic...@arneill-py.sacramento.ca.us À : Antoine Durant antoine.duran...@yahoo.fr; car...@akposso.com; frnog@frnog.org Envoyé le : Dimanche 13 octobre 2013 22h24 Objet : RE: [FRnOG] [TECH] Prefix-list out bgp Antoine Durant a écrit: J'en ai entendu parler... Il est possible de monter une session directement avec eux comme ça (je ne suis présent sur aucun point d'échange...) ? Oui, pas besoin d'ASN non plus, ils te donneront un ASN privé si tu n'en as pas de public. Faut une adresse IP fixe. Tu l'utilises Michel ? Oui y compris à la maison avec mon aDSL. http://arneill-py.sacramento.ca.us/mrtg/ipv4fullbogons.html (faut pas se fier au graphiques pour la fiabilité; ce réseau est le sujet d'expérimentations sauvages de longue durée). Quelqu'un a un retour à me faire sur l'utilisation de CYMRU ? Ce sont des très grands pros. Si tu as 2 sessions différentes (mon cas) tu en auras toujours une qui marche. En plus, mettre ça en dans le contexte: si tu perds CYMRU pendant quelques heures, ce n'est pas ton réseau qui tombe, uniquement ton filtrage de bogons. Le danger potentiel, c'est qu'ils te donnent un préfixe qui n'est pas un bogon, je n'ai jamais vu le cas mais bon il y a des paranos. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Prefix-list out bgp
Frédéric Perrod a écrit: Il y a des exemples pour les principaux routeurs du marché: http://www.team-cymru.org/Services/Bogons/bgp-examples.html Je réfléchissais aussi à mettre cela en place dans ma config... Donc pas encore testé... Voici la config que j'utilise for fullbogons depuis des lustres (Cisco); c'est un mélange de l'ancienne config avec les peer-groups et de la nouvelle. router bgp Ton AS bgp router-id mon IP publique bgp log-neighbor-changes neighbor CYMRU-BOGON peer-group neighbor CYMRU-BOGON description Team Cymru peer-group neighbor CYMRU-BOGON ebgp-multihop 255 neighbor CYMRU-BOGON prefix-list CYMRU-OUT-V4 out neighbor CYMRU-BOGON route-map CYMRUBOGONS-V4 in neighbor A.B.C.D remote-as 65332 neighbor A.B.C.D peer-group CYMRU-BOGON neighbor A.B.C.D description Team Cymru #1 neighbor A.B.C.D password xxx neighbor A.B.C.D maximum-prefix 8000 neighbor E.F.G.H remote-as 65332 neighbor E.F.G.H peer-group CYMRU-BOGON neighbor E.F.G.H description Team Cymru #2 neighbor E.F.G.H password yy neighbor E.F.G.H maximum-prefix 8000 ! ip bgp-community new-format ip community-list 100 permit 65332:888 ! ip route 192.0.2.1 255.255.255.255 Null0 name BLACKHOLE ! ip prefix-list CYMRU-OUT-V4 seq 5 deny 0.0.0.0/0 le 32 ! route-map CYMRUBOGONS-V4 permit 10 description IPv4 Filter bogons learned from cymru.com bogon route-servers match community 100 set ip next-hop 192.0.2.1 ! --- Liste de diffusion du FRnOG http://www.frnog.org/
