[GTER] Problemas com BGP Multihomed

Rubens Kuhl rubensk at gmail.com
Wed May 5 11:17:40 -03 2010 

Como o Quagga roda em diversos sistemas operacionais, e mesmo um único
sistema operacional tem diversos possíveis pacotes de firewall, vou
enumerar as possibilidades que vejo de forma genérica:

- Os pacotes podem estar sendo descartados por controle de spoofing.
Numa máquina Linux por exemplo isso se faz desligando o rp_filter:

 /etc/sysctl.conf:
net.ipv4.conf.all.rp_filter = 1

comando:
/sbin/sysctl -p /etc/sysctl.conf

- Os pacotes podem estar sendo descartados por controle stateful
Você pode testar a ausência de regras se seu sistema for Linux fazendo
algo como

$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -X

(Atenção, isso desligará diversos controles de segurança, funções como
NAT ou outras funcionalidades em uso na máquina que não roteamento)

Rubens

2010/5/5 Jean Carlos Oliveira Guandalini <jean.guandalini at corp.visaonet.com.br>:
> Me desculpem se vier duplicado, é que o anterior não mandei como plaintext e acredito que não chegará.
>
> Caros, estamos com alguns problemas com links que temos para os clientes
> acessarem alguns sites.
> - Cenário:
> [OPERADORA1]----[QUAGGA1]---------------[CLIENTES]---------------[QUAGGA2]----[OPERADORA2]
>
> Então temos dois links em localidades (cidades) separadas, mas ambos os
> servidores estão interconectados por uma outra rede, e nesse meio do
> caminho, temos nossos clientes.
>
> - Problema:
> Os clientes saem pelo quagga2 e respectivamente pela operadora2, e na
> hora de voltar, voltam pela operadora1 e quagga1. Nessa hora que ocorrem
> problemas com alguns sites. Nessa hora os sites ficam carregando, e dão
> timeout.
> Exemplos de sites: www.globo.com, www.mercadolivre.com.br e alguns
> outros sites do governo do estado do paraná.
>
> Rodando um tcpdump nas interfaces é possível verificar o pacote de
> requisição saindo pelo QUAGGA2 e volta um pacote pelo QUAGGA1, mas só
> volta um pacote por exemplo e não o site inteiro, que é o que deveria
> acontecer.
>
> Se alteramos o "upload" de um desses sites para sair pelo QUAGGA1 e
> voltar por ele mesmo, funciona sem problemas. O erro só acontece quando
> saimos pelo QUAGGA2 e tentamos voltar pelo QUAGGA1, e não é
> generalizado, são somente alguns sites.
>
> Achei aqui no GTER um tópico parecido com esse meu problema, mas o mesmo
> não foi solucionado e o que foi sugerido já tentamos.
>
> Alguma dica pessoal?
>
> Obrigado
>
> Jean
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list