[GTER] Ajuda - Equipamento está respondendo requisições NTP e SNMP no IPv4 e IPv6

Christian Lyra poplyra+eng at gmail.com
Tue Dec 24 09:14:51 -03 2019


Oi,

As regras de icmp estão erradas. Infelizmente (ou felizmente!) o IPv6
depende e utiliza de vários tipos de icmp para funcionar corretamente. No
mínimo os tipos utilizados para descoberta de vizinhança tem que estar
liberados (neighbor-advertisement, neighbor-solicit). Se não me falha a
memória tem mais alguns detalhes que devem estar contemplado nas regras
(next-header icmp6) mas que eu não lembro agora :-(. Fico devendo pra um
próximo email :-).

On Fri, Dec 20, 2019 at 1:35 PM William Santos <william_souzaa at hotmail.com>
wrote:

> Boa tarde senhores,
> Desde já agradeço.
> Realmente após aplicar a configuração na interface loopback deu certo.
>
> Fiz o mesmo procedimento agora com o IPv6 porem ao aplicar as regras a
> seção BGP com o IPv6 cai.
> Poderiam me dizer se esta algum parâmetro esta errado ou faltando.
>
> family inet6 {
>     filter PROTECT-V6 {
>         term drop-snmp {
>             from {
>                 destination-port 161;
>             }
>             then discard;
>         }
>         term drop-ntp {
>             from {
>                 destination-port 123;
>             }
>             then discard;
>         }
>         term aceita-bgp {
>             from {
>                 destination-port bgp;
>             }
>             then accept;
>         }
>         term aceita-icmp {
>             from {
>                 icmp-type [ echo-reply echo-request ];
>             }
>             then accept;
> -------------------------------------------------------------------
> family inet6 {
>         filter {
>             input PROTECT-V6;
>         }
>         address (IP);
>
> ________________________________
> De: gter <gter-bounces at eng.registro.br> em nome de EDUARDO FERNANDES <
> eduardo.fernandes at noroestecom.com.br>
> Enviado: sexta-feira, 20 de dezembro de 2019 10:45
> Para: gter at eng.registro.br <gter at eng.registro.br>
> Assunto: Re: [GTER] Ajuda - Equipamento está respondendo requisições NTP e
> SNMP no IPv4 e IPv6
>
> Você aplicou a configuração do filtro na loopback?
>
> unit 0 {
>    family inet {
>         filter {
>             input PROTECT-RE;
>         }
>
> --
> Eduardo Sierra Fernandes
> NOC
>
> Noroestecom Telecomunicações S.A.
> Rua Primeiro de Agosto, 10-53
> Centro. CEP 17010-010. Bauru/SP
> Tel. +55 (14) 3717-0000
> eduardo.fernandes at noroestecom.com.br
>
> -----Original Message-----
> From: William Santos <william_souzaa at hotmail.com>
> Reply-To: Grupo de Trabalho de Engenharia e Operacao de Redes <
> gter at eng.registro.br>
> To: Grupo de Trabalho de Engenharia e Operacao de Redes <
> gter at eng.registro.br>
> Subject: Re: [GTER]  Ajuda - Equipamento está respondendo requisições
> NTP e SNMP no IPv4 e IPv6
> Date: Fri, 20 Dec 2019 12:30:29 +0000
>
> Bom dia Jonas,
> Peço desculpas por não ter explicado corretamente no e-mail, na verdade
> preciso de ajuda para bloquear requisições NTP e SNMP nos Ips ou na
> interface que configurei PTT.
> Abaixo o que ja foi configurado no firewall e não deu certo.
>
> filter PROTECT-RE {
>             term aceita-bgp {
>                 from {
>                     protocol tcp;
>                     destination-port bgp;
>                 }
>                 then accept;
>             }
>             term drop-ntp {
>                 from {
>                     protocol udp;
>                     destination-port 123;
>                 }
>                 then {
>                     discard;
>                 }
>             }
>             term aceita-icmp {
>                 from {
>                     icmp-type [ echo-request echo-reply time-exceeded
> ];
>                 }
>                 then accept;
>             }
>
>
> ________________________________
> Esta mensagem contém informações confidenciais e sujeitas a sigilo. A sua
> utilização, cópia e divulgação não autorizadas são proibidas.Caso tenha
> recebido esta mensagem por engano, por favor informe ao remetente e
> apague-a juntamente com seus anexos. This message contain confidential and
> privileged information. Unauthorized use, disclosure or copying is
> prohibited. If you are not the intended recipient, please advise the sender
> and delete this message and any attachments.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


More information about the gter mailing list