Dan Lukes wrote (2016/02/08):
> > ifconfig create lo1 inet mask 255.255.255.255
>
> To je vskutku velmi odvazna myslenka - nahodit tu "vnejsi" adresu na
> loopback a ten skutecny vnejsi interface nechat 'up' bez adresy. A
Už se v té BGP diskuzi ztrácím, ale už jsem se taky musel pousmát, jak
Ahoj,
>
> Ak chcete mat router hoci aj BGP dostupny len od providera a
> nedostupny z vacsej dialky
> s cielom aby sa nan nedal viest cieleny utok na niektoru z IP adries,
> tak treba mat u providera
> accesslist so zahadzovanim paketov na vsetky IP adresy rutra, to
> znamena, ze aj na vonkajsiu
Dne 8. 2. 2016 v 14:58 Vilem Kebrt napsal(a):
Jinak poznamka pro zadavatele doporucuji urychlene kompilovat jadro
s optionem ROUTE_TABLES= >1,
Diky za upozorneni - policy-based routing asi budeme muset resit,
abychom ty dve konektivity, ktere mame mohli vyuzit co nejefektivnej.
Pochopil
On 02/08/16 15:56, Vilem Kebrt wrote:
Takze trik je v tom dostat provoz ven se zdrojovou adresou ktera visi
na LO1
Viackrat som precital povodne zadanie a diskusiu a pochopil som, ze som
nepochopil ucel povodneho dotazu.
Ak chcete mat router hoci aj BGP dostupny len od providera a
On 02/08/16 15:56, Vilem Kebrt wrote:
Takze trik je v tom dostat provoz ven se zdrojovou adresou ktera visi na LO1
Ve chvili, kdy budes umet tohle, budes to umet i pro adresu, ktera je
nahozena na vnitrnim interface. A je otazka, jakou ma vyhodu alokovat
dalsi adresu a davat ji na lo1, kdyz
Doporucuji alespon 6 tabulek, (at je rezerva i do budoucna) , ja osobne
momentalne rekompiluju s hodnoutou 12. Asi sem maximalista, ale na BGP
routeru se odstavka dela FAKT SPATNE :-D
Pokud budes potrebovat BGP/BIRD, klidne se ozvi, mam s tim za poslednich
par mesicu dost zkusenosti :).
Vilem
On
Dne 8. 2. 2016 v 10:30 Dan Lukes napsal(a):
On 02/08/16 01:15, Zbyněk Burget wrote:
Tak predpokladam, ze upgrady systemu budeme delat v ramci urdzby STABLE
STABLE na klicovem produkcnim stroji ? To bych si ja netrouf'. Nicmene,
o tom tenhle thread neni, takze zpatky k veci.
...pardon...
Dne 8. 2. 2016 v 9:35 Jozef Drahovsky napsal(a):
Dňa 08.02.2016 o 01:42 Zbyněk Burget napísal(a):
Mame IP adresy (IPv4 /22 - jsme kvuli tomu LIR; IPv6 /29). Mame ASN.
Mame dva providery, prozatim z duvodu testovani a doladeni konfigurace
mame BGP session navazanou jen s jednim. Edge router je
On 02/08/16 10:52, Zbyněk Burget wrote:
STABLE na klicovem produkcnim stroji ? To bych si ja netrouf'. Nicmene,
o tom tenhle thread neni, takze zpatky k veci.
...pardon... RELEASE, samozrejme, + patche - vcera v noci uz na mne bylo
asi moc pozde :-)
No proto ;-)
A to je tak primitivni
On 02/08/16 11:51, Jozef Drahovsky wrote:
Napríklad raz chce spravit ping, telent ap z IP adresy vonkajsieho
interface a raz z IP adresy vnutorneho interface a aby to fungovalo, ale
pritom chce mat router chraneny pred vonajsou konektivitou aby nan
nemohol byt vedeny utok.
Odporucam dohodnut sa
vyhradne vnitrni IP adresu.
Dan
Ano, tento problem pokial je viacero IP existuje (hoci su aj na jednom
interface a nie na viacerych), ale on existuje nezavisle od BGP.
Ten nazov subjektu "Dosazitelnost BGP routeru" na mna zaposobil ako
chytak :(
Jozef
--
FreeBSD mailing lis
On 02/08/16 10:15, Jozef Drahovsky wrote:
Ta tam samozrejme je, ale jak sam rikas, probiha jen mezi
bezprostredne sousedicimi routery a je tudiz zcela fuk jestli jsou
pouzite IP adresy techto routeru globalne routovatelne.
Áno, ale provider musí aspoň po svoj BGP router tu lokálnu IP
Dňa 08.02.2016 o 01:42 Zbyněk Burget napísal(a):
V pripade BGP routra to tak nie je, ze by len preposielal pakety.
BGP ruter komunikuje cez BGP protokol s dalsimi rutermi a zo svojej IP
adresy.
Vdaka tejto komunikacii jednotlive peer rutre (susedia) vedia o sebe, ze
ziju.
<---snip--->
Dňa 08.02.2016 o 10:45 Dan Lukes napísal(a):
Zrejme neresime oba tentyz problem - a je otazka, zda alespon jeden z
nas resi Zbynkuv problem.
Pokud jsem to ja pochopil spravne, tak on samozrejme ma AS (svuj), ma
pro vnitrni sit blok jako IPv4 tak IPv6 adres a s temi zadny problem
nema.
Dňa 08.02.2016 o 10:42 Zbyněk Burget napísal(a):
ma vas BGP router pingatelnu konektivitu na kazdy bgp peer router?
Ano, ale pouze na nej (resp. na IP adresy v danem bloku). Skrz BGP
router je internet normalne dostupny.
mate od jedneho providera siet IPv4 z neho je jedna IP adrersa
On 02/08/16 10:42, Zbyněk Burget wrote:
adresa od nich sice je verejna, ale neni routovana do internetu.
a o kousek niz
nejedna se o lokalni IP adresy, jedna se o verejne, ale do internetu
neroutovane.
Ja vim, ze bych se na to mel vykaslat, neni to k veci, a navic je jasny
jak's to
> Operacni system, na rozdil do Zbynka, ovsem obcas (okolnosti, kdy se
> to stane jsou zname a nejsou predmetem dotazu) vnejsi adresu jako
> zdrojovou zvoli.
>
> A to je koren veci - jak zaridit, aby vsechny lokalni programy
> pouzivaly pri svych operacich vyhradne vnitrni IP adresu.
>
>
> Dan
>
On 02/08/16 12:07, Vilem Kebrt wrote:
A to je koren veci - jak zaridit, aby vsechny lokalni programy
pouzivaly pri svych operacich vyhradne vnitrni IP adresu.
ifconfig create lo1 inet mask 255.255.255.255
To je vskutku velmi odvazna myslenka - nahodit tu "vnejsi" adresu na
loopback a ten
>> Zde si dovolim nesouhlasit, vystupni interface smerem VEN je
>> adresovany, i kdyz jsou to adresy pouze pro routing
>
> Aha, tak to jsem v tvym popisu videl vic, nez jsi tam ty vedome vlozil.
>
> Pak tedy slo o napad muj, coz muzu vnimat jako pozitivni zjisteni, na
> druhou stranu mi v takovem
On 02/08/16 13:59, Vilem Kebrt wrote:
ifconfig create lo1 inet mask 255.255.255.255
To je vskutku velmi odvazna myslenka - nahodit tu "vnejsi" adresu na
loopback a ten skutecny vnejsi interface nechat 'up' bez adresy.
Zde si dovolim nesouhlasit, vystupni interface smerem VEN je adresovany,
On 02/08/16 14:58, Vilem Kebrt wrote:
Zde si dovolim nesouhlasit, vystupni interface smerem VEN je
adresovany, i kdyz jsou to adresy pouze pro routing
Aha, tak to jsem v tvym popisu videl vic, nez jsi tam ty vedome vlozil.
Zde si opet dovolim castecne nesouhlasit. Z pohledu routingu se
> Na vnejsim interface bud' nejaka IP adresa nakonfigurovana je, nebo
> neni. Tertium non datur.
>
> Ja mluvil o konfiguraci pri ktery neni a pripsal jsem ten napad tobe.
> Tys nesouhlasil.
>
> Tak jsem pochopil, ze jsem to nepochopil, ze's navrhoval neco jinyho.
> Neco jinyho muze bejt jen to,
Ahoj,
On 02/08/2016 12:48 PM, Dan Lukes wrote:
> On 02/08/16 12:07, Vilem Kebrt wrote:
>>> A to je koren veci - jak zaridit, aby vsechny lokalni programy
>>> pouzivaly pri svych operacich vyhradne vnitrni IP adresu.
>
>> ifconfig create lo1 inet mask 255.255.255.255
>
> To je vskutku velmi
On 02/08/16 19:37, Zbyněk Burget wrote:
Klicovou je otazka nouzove vzdalene spravy.
Zjistis, ze vnitrni sit neni ze sveta dostupna, takze se potrebujes
pripojit a vyresit to. Skrz vnitrni sit to nepujde, protoze vnitrni site
o konektivitu prisla.
Tak tohle je resitelne pomoci IPMI. Tedy za
Dňa 08.02.2016 o 19:37 Zbyněk Burget napísal(a):
Dne 8. 2. 2016 v 18:46 Dan Lukes napsal(a):
Klicovou je otazka nouzove vzdalene spravy.
Upgrady se daji opravdu resit pomoci vnitrnich stroju, synchronizace
casu taky. Denni /tydenni / mesicni e-maily se budou posilat na
mailserver ve vnitrni
O.K. - vetsina se zda byt logicka - s jedinou vyhradou:
Dne 7. 2. 2016 v 20:52 Dan Lukes napsal(a):
No ona ta RFC5963 nerika, ze neroutovatelnou adresu mit musis. Tam
pisou, ze IXP se muze rozhodnout takovou pouzit ve snaze omezit DoS
utoky na tvuj router. A zminuji tam, ze pak ten router
On 7.2.2016 20:23, Zbyněk Burget wrote:
Jde mi o situaci, kdy na routeru budu treba chtit udelat upgrade.
Nebo si nechavat posilat denni vypisy na e-mail, kde mailserver by byl
vne site (tohle asi nenastane)
Nebo synchronizace casu pres NTP
No ona ta RFC5963 nerika, ze neroutovatelnou adresu
On 02/07/16 21:46, Zbyněk Burget wrote:
No ona ta RFC5963 nerika, ze neroutovatelnou adresu mit musis. Tam
pisou, ze IXP se muze rozhodnout takovou pouzit ve snaze omezit DoS
utoky na tvuj router. A zminuji tam, ze pak ten router nebude verejne
dostupny (coz neprekvapi, kdyz je to cil te
Dňa 07.02.2016 o 19:52 Dan Lukes napísal(a):
On 7.2.2016 19:12, Zbyněk Burget wrote:
Postavili a zprovoznili jsme BGP router. Od ISP jsme pro nej dostali IP
adresy (IPv4 i IPv6) z IXP prefixu, ktere nejsou routovane nikam dal do
internetu, podle doporuceni RFC 5963.
Ma nekdo z vas nejaky
Dne 7. 2. 2016 v 20:52 Dan Lukes napsal(a):
On 7.2.2016 20:23, Zbyněk Burget wrote:
Takze z jmenovanejch veci zustava uz jen ten upgrade. Tam ti poradit
nejde, nebo netusim jakym zpusobem ho delas. Stahnout .iso image s
pomoci FTP (k pozdejsimu namountovani a upgrade) treba problem neni, ftp
Dne 8. 2. 2016 v 1:03 Jozef Drahovsky napsal(a):
Dňa 07.02.2016 o 19:52 Dan Lukes napísal(a):
On 7.2.2016 19:12, Zbyněk Burget wrote:
Postavili a zprovoznili jsme BGP router. Od ISP jsme pro nej dostali IP
adresy (IPv4 i IPv6) z IXP prefixu, ktere nejsou routovane nikam dal do
internetu, podle
31 matches
Mail list logo
