[GTER] Edgerouter ERpro-8 - table full, dropping packet

Uesley Correa uesleycorrea at gmail.com
Sun Aug 9 08:20:34 -03 2015


Fernando,

          Uma abordagem defendida por muitas operadoras / provedores /
consultores, consiste em borda limpa. Firewall antes ou depois da borda,
dependendo da abordagem e da necessidade dos casos. Principalmente numa
caixa LOW COST como a Edge, se você lotar o firewall, vai perder preciosos
clocks de CPU que poderiam estar te trabalhando em Routing. Houve até um
caso muito interessante abordado em uma das listas mostrando que Firewall
na caixa muitas vezes não resolve o problema (o cara estava recebendo
ataque no Juniper, e um firewall com FreeBSD na frente foi a única solução
para o caso até onde acompanhei).

Att,

Uesley Corrêa - Analista de Telecomunicações
Instrutor Oficial UBNT UBRSS, UBWS & UBWA

Em 9 de agosto de 2015 08:16, Uesley Correa <uesleycorrea at gmail.com>
escreveu:

> Mesmo com firewall e NAT desabilitados, a conntrack enche. As técnicas são
> as diversas mencionadas pelos amigos acima.
>
> Abraço!
>
> Uesley Corrêa - Analista de Telecomunicações
> Instrutor Oficial UBNT UBRSS, UBWS & UBWA
>
> Em 8 de agosto de 2015 22:14, Rubens Kuhl <rubensk at gmail.com> escreveu:
>
>> 2015-08-08 21:20 GMT-03:00 Jader Vieira da Rosa <noc03 at contato.net>:
>>
>> > Ja tive problema esse problema....
>> >
>> > system {
>> >     conntrack {
>> >         expect-table-size 2048
>> >         hash-size 32768
>> >         ignore {
>> >             rule 1 {
>> >                 destination {
>> >                     address 0.0.0.0/0
>> >                 }
>> >             }
>> >         }
>> >
>>
>> Talvez deixar o conntrack para o tráfego em direção ao IP de gerência...
>>
>>
>> Rubens
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>



More information about the gter mailing list