[GTER] Edgerouter ERpro-8 - table full, dropping packet

Mon Aug 10 16:46:14 -03 2015

<comentariozinho_safado>
   Quando será que caixas como UBNT e MK vão ter suporte a VRF de Gerencia?
   Control-Plane e Data-Plane Separados...
</comentariozinho_safado>

Em 10 de agosto de 2015 16:16, Fernando Frediani <fhfrediani at gmail.com>
escreveu:

> Olá,
> Compreendo o que diz, mas uma abordagem dessa me parece no mínimo
> estranho. Ter que ter uma caixa na frente da borda só pra fazer access list
> do management da caixa (borda).
> Concordo que uma borda não deva ter regras de firewall para controle de
> forward muito menos coisas como NAT. Apenas o mínimo do mínimo para
> protege-la de um acesso não autorizado nas portas de gerenciamento.
> Dependendo do firewall usado (netfilter,pf, ipfw, etc) o INPUT não deve
> ser tratado de maneira diferente que o FORWARD ?
>
> Fernando
>
>
>
> On 09/08/2015 08:20, Uesley Correa wrote:
>
>> Fernando,
>>
>>            Uma abordagem defendida por muitas operadoras / provedores /
>> consultores, consiste em borda limpa. Firewall antes ou depois da borda,
>> dependendo da abordagem e da necessidade dos casos. Principalmente numa
>> caixa LOW COST como a Edge, se você lotar o firewall, vai perder preciosos
>> clocks de CPU que poderiam estar te trabalhando em Routing. Houve até um
>> caso muito interessante abordado em uma das listas mostrando que Firewall
>> na caixa muitas vezes não resolve o problema (o cara estava recebendo
>> ataque no Juniper, e um firewall com FreeBSD na frente foi a única solução
>> para o caso até onde acompanhei).
>>
>> Att,
>>
>> Uesley Corrêa - Analista de Telecomunicações
>> Instrutor Oficial UBNT UBRSS, UBWS & UBWA
>>
>> Em 9 de agosto de 2015 08:16, Uesley Correa <uesleycorrea at gmail.com>
>> escreveu:
>>
>> Mesmo com firewall e NAT desabilitados, a conntrack enche. As técnicas são
>>> as diversas mencionadas pelos amigos acima.
>>>
>>> Abraço!
>>>
>>> Uesley Corrêa - Analista de Telecomunicações
>>> Instrutor Oficial UBNT UBRSS, UBWS & UBWA
>>>
>>> Em 8 de agosto de 2015 22:14, Rubens Kuhl <rubensk at gmail.com> escreveu:
>>>
>>> 2015-08-08 21:20 GMT-03:00 Jader Vieira da Rosa <noc03 at contato.net>:
>>>>
>>>> Ja tive problema esse problema....
>>>>>
>>>>> system {
>>>>>      conntrack {
>>>>>          expect-table-size 2048
>>>>>          hash-size 32768
>>>>>          ignore {
>>>>>              rule 1 {
>>>>>                  destination {
>>>>>                      address 0.0.0.0/0
>>>>>                  }
>>>>>              }
>>>>>          }
>>>>>
>>>>> Talvez deixar o conntrack para o tráfego em direção ao IP de
>>>> gerência...
>>>>
>>>>
>>>> Rubens
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>>
>>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

-- 
Douglas Fernando Fischer
Engº de Controle e Automação