[GTER] Edgerouter ERpro-8 - table full, dropping packet

Fernando Frediani fhfrediani at gmail.com
Mon Aug 10 16:16:39 -03 2015 

Olá,
Compreendo o que diz, mas uma abordagem dessa me parece no mínimo 
estranho. Ter que ter uma caixa na frente da borda só pra fazer access 
list do management da caixa (borda).
Concordo que uma borda não deva ter regras de firewall para controle de 
forward muito menos coisas como NAT. Apenas o mínimo do mínimo para 
protege-la de um acesso não autorizado nas portas de gerenciamento.
Dependendo do firewall usado (netfilter,pf, ipfw, etc) o INPUT não deve 
ser tratado de maneira diferente que o FORWARD ?

Fernando


On 09/08/2015 08:20, Uesley Correa wrote:
> Fernando,
>
>            Uma abordagem defendida por muitas operadoras / provedores /
> consultores, consiste em borda limpa. Firewall antes ou depois da borda,
> dependendo da abordagem e da necessidade dos casos. Principalmente numa
> caixa LOW COST como a Edge, se você lotar o firewall, vai perder preciosos
> clocks de CPU que poderiam estar te trabalhando em Routing. Houve até um
> caso muito interessante abordado em uma das listas mostrando que Firewall
> na caixa muitas vezes não resolve o problema (o cara estava recebendo
> ataque no Juniper, e um firewall com FreeBSD na frente foi a única solução
> para o caso até onde acompanhei).
>
> Att,
>
> Uesley Corrêa - Analista de Telecomunicações
> Instrutor Oficial UBNT UBRSS, UBWS & UBWA
>
> Em 9 de agosto de 2015 08:16, Uesley Correa <uesleycorrea at gmail.com>
> escreveu:
>
>> Mesmo com firewall e NAT desabilitados, a conntrack enche. As técnicas são
>> as diversas mencionadas pelos amigos acima.
>>
>> Abraço!
>>
>> Uesley Corrêa - Analista de Telecomunicações
>> Instrutor Oficial UBNT UBRSS, UBWS & UBWA
>>
>> Em 8 de agosto de 2015 22:14, Rubens Kuhl <rubensk at gmail.com> escreveu:
>>
>>> 2015-08-08 21:20 GMT-03:00 Jader Vieira da Rosa <noc03 at contato.net>:
>>>
>>>> Ja tive problema esse problema....
>>>>
>>>> system {
>>>>      conntrack {
>>>>          expect-table-size 2048
>>>>          hash-size 32768
>>>>          ignore {
>>>>              rule 1 {
>>>>                  destination {
>>>>                      address 0.0.0.0/0
>>>>                  }
>>>>              }
>>>>          }
>>>>
>>> Talvez deixar o conntrack para o tráfego em direção ao IP de gerência...
>>>
>>>
>>> Rubens
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list