[GTER] Problema BGP envolvendo GVT
Henrique de Moraes Holschuh
hmh at hmh.eng.br
Fri Mar 14 12:33:10 -03 2014
On Fri, Mar 14, 2014, at 11:52, Uesley Correa wrote:
> Douglas, o que seria source guard?
> Christian, uso Quagga. O que seria RPF filter?
Quagga em Linux? Qual? Tem distribuição Linux que comete o absurdo
indefensável de ligar o rp_filter por padrão[1]. No FreeBSD acho que
ninguém fez essa besteira, mas não garanto.
verifique assim (Linux):
grep . /proc/sys/net/ipv4/conf/*/rp_filter
(note o "." separado por espaços entre o grep e o /proc). Tem que
retornar tudo "0", exemplo:
/proc/sys/net/ipv4/conf/all/rp_filter:0
/proc/sys/net/ipv4/conf/default/rp_filter:0
/proc/sys/net/ipv4/conf/dummy0/rp_filter:0
/proc/sys/net/ipv4/conf/eth0/rp_filter:0
/proc/sys/net/ipv4/conf/gre0/rp_filter:0
/proc/sys/net/ipv4/conf/gretap0/rp_filter:0
/proc/sys/net/ipv4/conf/lo/rp_filter:0
/proc/sys/net/ipv4/conf/tunl0/rp_filter:0
/proc/sys/net/ipv4/conf/wlan0/rp_filter:0
Quanto ao que é RPF, olha aqui:
http://en.wikipedia.org/wiki/Reverse_path_forwarding
http://www.cisco.com/web/about/security/intelligence/unicast-rpf.html
Basicamente, no modo "strict", o RPF garante que o pacote só pode voltar
por onde o seu roteador faria ele sair (o que é *garantia* de problema
em roteamento assimétrico).
[1] rp_filter deixa a fase de roteamento de pacotes do Linux duas vezes
mais lento (note que o encaminhamento do pacote tem muito mais
processamento que só o roteamento, então embora o tempo para o pacote
ser processado aumente, ele não dobra). Quase sempre é melhor usar o
sistema de firewall (iptables), particularmente em equipamento com
tabela full.
--
"One disk to rule them all, One disk to find them. One disk to bring
them all and in the darkness grind them. In the Land of Redmond
where the shadows lie." -- The Silicon Valley Tarot
Henrique Holschuh
More information about the gter
mailing list