[GTER] Regras de Bogons Simplificadas em RouterOS

Rinaldo Vaz rinaldo at anid.com.br
Thu Jul 4 15:58:41 -03 2013


Jonatas,

Funcionaria sim, menos essa primeira:

add chain=BOGONSv4 comment="BOGONS - IPv4"
*prefix=0.0.0.0/8 prefix-length=8-32* set-type=blackhole

*prefix=0.0.0.0/8 prefix-length=8-32 * significa dizer que qualquer prefixo
diferente de /0, /1, /2, /3, /4, /5, /6 ou /7 será colocado em blackhole

Porém é preciso estar atento IP's privadas da sua rede interna (caso
houvesse) ficariam inacessíveis para esse router caso uma um prefixo
privado fosse recebido e posto em blackrole.
Eu recomendo usar a ação "discard" apenas e não por em blackhole:

/routing filter

*#Note que removi a primeira regra (0.0.0.0/0 prefix-lenght=8-32)*
add chain=BOGONSv4 comment="BOGONS - IPv4"
prefix=10.0.0.0/8prefix-length=8-32 action=discard
add chain=BOGONSv4 comment="BOGONS - IPv4"
prefix=127.0.0.0/8prefix-length=8-32 action=discard
add chain=BOGONSv4 comment="BOGONS - IPv4"
prefix=169.254.0.0/16prefix-length=16-32 action=discard
add chain=BOGONSv4 comment="BOGONS - IPv4"
prefix=172.16.0.0/12prefix-length=12-32 action=discard
add chain=BOGONSv4 comment="BOGONS - IPv4"
prefix=192.0.0.0/24prefix-length=24-32 action=discard
add chain=BOGONSv4 comment="BOGONS - IPv4"
prefix=192.0.2.0/24prefix-length=24-32 action=discard
add chain=BOGONSv4 comment="BOGONS - IPv4"
prefix=192.168.0.0/16prefix-length=16-32 action=discard
add chain=BOGONSv4 comment="BOGONS - IPv4"
prefix=198.18.0.0/15prefix-length=15-32 action=discard
add chain=BOGONSv4 comment="BOGONS - IPv4"
prefix=198.51.100.0/24prefix-length=24-32 action=discard
add chain=BOGONSv4 comment="BOGONS - IPv4"
prefix=203.0.113.0/24prefix-length=24-32 action=discard
add chain=BOGONSv4 comment="BOGONS - IPv4"
prefix=224.0.0.0/4prefix-length=4-32 action=discard
add chain=BOGONSv4 comment="BOGONS - IPv4"
prefix=240.0.0.0/4prefix-length=4-32 action=discard
add action=return chain=BOGONSv4 comment="BOGONS - IPv4"


Porém se não houver chances de em algum momento seu router de borda
precisar se comunicar com IPs privados em sua rede interna pode utilizar
blackhole mesmo.

Abs





Em 2 de julho de 2013 17:08, Jonatas M. Victor <jonatasmv at gmail.com>escreveu:

>  Boa Tarde,
>
>  Eu implementei algo dessa forma:
>
>   Nos filtros do Peer eu fiz uma entrada em IN:
>
>  /routing filter add action=jump chain=BGP-IN-IPv4 comment="BOGONSv4"
> jump-target=BOGONSv4
>
>   Dentro dos filtros criei outra chain com o seguinte conteúdo:
>
>  /routing filter
>
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=0.0.0.0/8prefix-length=8-32 set-type=blackhole
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=10.0.0.0/8prefix-length=8-32 set-type=blackhole
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=127.0.0.0/8prefix-length=8-32 set-type=blackhole
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=169.254.0.0/16prefix-length=16-32 set-type=blackhole
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=172.16.0.0/12prefix-length=12-32 set-type=blackhole
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=192.0.0.0/24prefix-length=24-32 set-type=blackhole
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=192.0.2.0/24prefix-length=24-32 set-type=blackhole
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=192.168.0.0/16prefix-length=16-32 set-type=blackhole
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=198.18.0.0/15prefix-length=15-32 set-type=blackhole
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=198.51.100.0/24prefix-length=24-32 set-type=blackhole
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=203.0.113.0/24prefix-length=24-32 set-type=blackhole
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=224.0.0.0/4prefix-length=4-32 set-type=blackhole
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=240.0.0.0/4prefix-length=4-32 set-type=blackhole
> add action=return chain=BOGONSv4 comment="BOGONS - IPv4"
>
>   Funcionaria ? Demandaria muita CPU para aplicação desse filtro ou teria
> que ser algo diferente? Imaginei que dessa
> forma posso aplicar 1 regra de jump em cada Filtro de Cada peer que utilizo
> sem ter que reescrever todo o Bogon.
>   Sei que poderia ser feito via cymru, mas não vi necessidade de tanto para
> esses novos períodos.
>
>   Obrigado,
>
>
>
>
>
> 2013/7/2 Lucas Willian Bocchi <lucas.bocchi at gmail.com>
>
> > Eu baixo o arquivo .TXT do cymru e adiciono as rotas na mão como
> blackhole.
> >
> >
> > Em 1 de julho de 2013 16:14, Jonatas M. Victor <jonatasmv at gmail.com
> > >escreveu:
> >
> > >  Srs,
> > >
> > >    Alguém sabe me indicar exemplos de como colocar regras de Bogons
> para
> > > BGP de forma
> > > simples. Sem a necessidade do team-cymru. Tem que ir adicionando pelas
> > > Chains do Peer
> > > uma linha por rede ou tem uma forma mais prática de fazer isso?
> > >
> > >   Obrigado,
> > >
> > > --
> > > .:Abraços:.
> > >
> > > <<< Jonatas M. Victor >>>
> > > jonatas at jmv.eti.br
> > > jonatasmv at gmail.com
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> .:Abraços:.
>
> <<< Jonatas M. Victor >>>
> jonatas at jmv.eti.br
> jonatasmv at gmail.com
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Rinaldo Vaz
Chefe de operações do NOC
Associação Nacional para Inclusão Digital
Tim - 083 99975736
INOC - 28135*100

*********************************************************
Dias 13,14,15,16 e 17 de maio de 2013
Curso Avançado na sede da ANID em João Pessoa-PB
anid.com.br/cursobgp
*********************************************************



More information about the gter mailing list