[GTER] GVT usando RPF?
Rinaldo Vaz
rinaldopvaz at gmail.com
Wed Apr 9 12:43:58 -03 2014
>Mas porque você queria ligar o RPF, anti-spoofing ? Anti-spoofing se faz
>com filtros sem precisar de RPF...
Por dois motivos:
1-Porque o NIC.br em seu portal de boas práticas ensina a filtrar spooging
aplicando RPF
http://bcp.nic.br/filtro-antispoofing-exemplo-para-cisco/
! habilitando Strict uRPF
ip verify unicast source reachable-via rx
http://bcp.nic.br/filtro-antispoofing-exemplo-para-juniper/
(...)
/* habilitando Strict uRPF */
rpf-check fail-filter rpf_dhcp;
(...)
2- Para não ter que atualizar uma ACL sempre que o cliente solicitar
liberação de filtros BGP. As as causas de desvio de tráfego no PTT são no
meu ver consequência dessa necessidade manual de atualizar filtros. Ativar
um novo cliente BGP->atualizar as expressões regulares no filtro PTT-IN. Um
mecanismo manual de bloqueio de spoofing é ineficiente quando se tem o
tamanho da GVT
Em 8 de abril de 2014 18:39, Rubens Kuhl <rubensk at gmail.com> escreveu:
> 2014-04-08 18:32 GMT-03:00 Uesley Correa <uesley at gigalink.com.br>:
>
> > Desculpem minha ignorância...
> >
> > Mas, eu tive justamente um problema de assimetria em BGP que não foi
> > resolvido enquanto o RPF não foi desativado. Ou seja, o upload sai pela
> > rota melhor (eleita pelo BGP) e ao voltar por onde exporto prefixo mais
> > específico, se não for por onde saiu, ele não volta. Então, nesse caso,
> > precisei desativar para resolver. Como resolver nesse caso?
> >
> > E no caso de quem usa Mikrotik ou outros routers? Como proceder na
> > configuração de forma a ativar o RPF e fazer com que funcione de acordo
> com
> > a melhor prática (se é que esse faz parte, se faz eu desconhecia).
> >
>
> Mas porque você queria ligar o RPF, anti-spoofing ? Anti-spoofing se faz
> com filtros sem precisar de RPF...
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
__________________
Rinaldo Vaz
82 81718528 - VIVO
More information about the gter
mailing list