[GTER] Regras de Bogons Simplificadas em RouterOS

Tiago Furbeta tfurbeta at cangere.com.br
Thu Jul 25 08:49:55 -03 2013 

por que não utiliza a CYMRU?

Em 4 de julho de 2013 15:58, Rinaldo Vaz <rinaldo at anid.com.br> escreveu:

> Jonatas,
>
> Funcionaria sim, menos essa primeira:
>
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> *prefix=0.0.0.0/8 prefix-length=8-32* set-type=blackhole
>
> *prefix=0.0.0.0/8 prefix-length=8-32 * significa dizer que qualquer
> prefixo
> diferente de /0, /1, /2, /3, /4, /5, /6 ou /7 será colocado em blackhole
>
> Porém é preciso estar atento IP's privadas da sua rede interna (caso
> houvesse) ficariam inacessíveis para esse router caso uma um prefixo
> privado fosse recebido e posto em blackrole.
> Eu recomendo usar a ação "discard" apenas e não por em blackhole:
>
> /routing filter
>
> *#Note que removi a primeira regra (0.0.0.0/0 prefix-lenght=8-32)*
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=10.0.0.0/8prefix-length=8-32 action=discard
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=127.0.0.0/8prefix-length=8-32 action=discard
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=169.254.0.0/16prefix-length=16-32 action=discard
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=172.16.0.0/12prefix-length=12-32 action=discard
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=192.0.0.0/24prefix-length=24-32 action=discard
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=192.0.2.0/24prefix-length=24-32 action=discard
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=192.168.0.0/16prefix-length=16-32 action=discard
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=198.18.0.0/15prefix-length=15-32 action=discard
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=198.51.100.0/24prefix-length=24-32 action=discard
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=203.0.113.0/24prefix-length=24-32 action=discard
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=224.0.0.0/4prefix-length=4-32 action=discard
> add chain=BOGONSv4 comment="BOGONS - IPv4"
> prefix=240.0.0.0/4prefix-length=4-32 action=discard
> add action=return chain=BOGONSv4 comment="BOGONS - IPv4"
>
>
> Porém se não houver chances de em algum momento seu router de borda
> precisar se comunicar com IPs privados em sua rede interna pode utilizar
> blackhole mesmo.
>
> Abs
>
>
>
>
>
> Em 2 de julho de 2013 17:08, Jonatas M. Victor <jonatasmv at gmail.com
> >escreveu:
>
> >  Boa Tarde,
> >
> >  Eu implementei algo dessa forma:
> >
> >   Nos filtros do Peer eu fiz uma entrada em IN:
> >
> >  /routing filter add action=jump chain=BGP-IN-IPv4 comment="BOGONSv4"
> > jump-target=BOGONSv4
> >
> >   Dentro dos filtros criei outra chain com o seguinte conteúdo:
> >
> >  /routing filter
> >
> > add chain=BOGONSv4 comment="BOGONS - IPv4"
> > prefix=0.0.0.0/8prefix-length=8-32 set-type=blackhole
> > add chain=BOGONSv4 comment="BOGONS - IPv4"
> > prefix=10.0.0.0/8prefix-length=8-32 set-type=blackhole
> > add chain=BOGONSv4 comment="BOGONS - IPv4"
> > prefix=127.0.0.0/8prefix-length=8-32 set-type=blackhole
> > add chain=BOGONSv4 comment="BOGONS - IPv4"
> > prefix=169.254.0.0/16prefix-length=16-32 set-type=blackhole
> > add chain=BOGONSv4 comment="BOGONS - IPv4"
> > prefix=172.16.0.0/12prefix-length=12-32 set-type=blackhole
> > add chain=BOGONSv4 comment="BOGONS - IPv4"
> > prefix=192.0.0.0/24prefix-length=24-32 set-type=blackhole
> > add chain=BOGONSv4 comment="BOGONS - IPv4"
> > prefix=192.0.2.0/24prefix-length=24-32 set-type=blackhole
> > add chain=BOGONSv4 comment="BOGONS - IPv4"
> > prefix=192.168.0.0/16prefix-length=16-32 set-type=blackhole
> > add chain=BOGONSv4 comment="BOGONS - IPv4"
> > prefix=198.18.0.0/15prefix-length=15-32 set-type=blackhole
> > add chain=BOGONSv4 comment="BOGONS - IPv4"
> > prefix=198.51.100.0/24prefix-length=24-32 set-type=blackhole
> > add chain=BOGONSv4 comment="BOGONS - IPv4"
> > prefix=203.0.113.0/24prefix-length=24-32 set-type=blackhole
> > add chain=BOGONSv4 comment="BOGONS - IPv4"
> > prefix=224.0.0.0/4prefix-length=4-32 set-type=blackhole
> > add chain=BOGONSv4 comment="BOGONS - IPv4"
> > prefix=240.0.0.0/4prefix-length=4-32 set-type=blackhole
> > add action=return chain=BOGONSv4 comment="BOGONS - IPv4"
> >
> >   Funcionaria ? Demandaria muita CPU para aplicação desse filtro ou teria
> > que ser algo diferente? Imaginei que dessa
> > forma posso aplicar 1 regra de jump em cada Filtro de Cada peer que
> utilizo
> > sem ter que reescrever todo o Bogon.
> >   Sei que poderia ser feito via cymru, mas não vi necessidade de tanto
> para
> > esses novos períodos.
> >
> >   Obrigado,
> >
> >
> >
> >
> >
> > 2013/7/2 Lucas Willian Bocchi <lucas.bocchi at gmail.com>
> >
> > > Eu baixo o arquivo .TXT do cymru e adiciono as rotas na mão como
> > blackhole.
> > >
> > >
> > > Em 1 de julho de 2013 16:14, Jonatas M. Victor <jonatasmv at gmail.com
> > > >escreveu:
> > >
> > > >  Srs,
> > > >
> > > >    Alguém sabe me indicar exemplos de como colocar regras de Bogons
> > para
> > > > BGP de forma
> > > > simples. Sem a necessidade do team-cymru. Tem que ir adicionando
> pelas
> > > > Chains do Peer
> > > > uma linha por rede ou tem uma forma mais prática de fazer isso?
> > > >
> > > >   Obrigado,
> > > >
> > > > --
> > > > .:Abraços:.
> > > >
> > > > <<< Jonatas M. Victor >>>
> > > > jonatas at jmv.eti.br
> > > > jonatasmv at gmail.com
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> >
> > --
> > .:Abraços:.
> >
> > <<< Jonatas M. Victor >>>
> > jonatas at jmv.eti.br
> > jonatasmv at gmail.com
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Rinaldo Vaz
> Chefe de operações do NOC
> Associação Nacional para Inclusão Digital
> Tim - 083 99975736
> INOC - 28135*100
>
> *********************************************************
> Dias 13,14,15,16 e 17 de maio de 2013
> Curso Avançado na sede da ANID em João Pessoa-PB
> anid.com.br/cursobgp
> *********************************************************
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Att.

Tiago N. Furbeta
Cangere Online Provedor de Internet Ltda.
Empresa de Telecomunicações Autorizada SCM/ANATEL
tfurbeta at cangere.com.br

More information about the gter mailing list