[GTER] ASN / IP do Brasil

Renato Frederick renato at frederick.eti.br
Thu Jan 15 08:16:27 -02 2015


Não sei qual o objetivo final do colega ao fazer o bloqueio para IP's 
supostamente alocados para o Brasil.

No passado nem tão recente, tive muitos problemas com empresas públicas 
e privadas que achavam ainda que o "resto" dos blocos anteriormente 
reservados, perante ao iminente esgotamento de IPv4, ficariam reservados 
para a eternidade, até o final dos tempos... E usavam uma lista muito 
antiga, coisa de 2, 3 anos.
Do tipo, o técnico fez a ACL, recebeu a grana, ou outro entrou no lugar 
e isto foi esquecido.

Para a minha pessoa, como técnico da outra ponta, o desgaste foi grande 
pois tinha que provar para o meu cliente pagante que o bloqueio era da 
outra ponta e  gambiarras como fazer um NAT de saída para um IP legado 
200.x resolveria por ex navegação, mas não recebimento de email(que 
apontaria para o MX com outro IP). E na outra ponta,  eu só recebia  
telefone no whois registro.br desatualizados, VOIP que chamava e não 
atendia. Um custo.

Será que você, ao invés de colocar os IP que não dão match em uma acl e 
droppar, não poderia no seu apache, ou em sua aplicação criar uma rotina 
que caso o IP não batesse, apareceria uma mensagem WWW informando o 
bloqueio, ao estilo que netflix, hbogo e outros fazem?

Atualmente eu uso bloqueio(no BGP) somente de ASN's conhecidos pelos 
ataques, dando uma maior proteção a clientes que ainda insistem em usar 
Modem em Bridge, Windows XP com SP1 e sem firewall. Mas se o bicho pegar 
e estes ASN resolverem fazer um DDoS em mim, vai ter que ser blackhole 
no bgp com a operadora.

ABraços


> Rubens Kuhl <mailto:rubensk at gmail.com>
> 15 de janeiro de 2015 00:13
>
> Pegar a lista de prefixos do PTT-Metro de SP para identificar isso já 
> dá um
> bom patamar de partida, mas é o tipo de lista que precisa ser 
> construída de
> grão em grão.
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> Eduardo Schoedler <mailto:listas at esds.com.br>
> 14 de janeiro de 2015 23:46
> E ip de multinacional em terras brasileiras, como vão tratar?
>
> --
> Eduardo Schoedler
>
>
> Em quarta-feira, 14 de janeiro de 2015, Walison Morales <walison at live.jp>
>
>
>
> Walison Morales <mailto:walison at live.jp>
> 14 de janeiro de 2015 21:55
> Boa Noite,
>
> $ curl -s ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest |
> grep BR | grep ipv4 | awk -F "\|" '{print $4 "/" (32 - (log($5)/log(2)))}'
>
> Att, Walison Morales
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> Bruno Cabral <mailto:bruno at openline.com.br>
> 14 de janeiro de 2015 20:33
> Voce consegue a mascara com log2 N
>
> !3runo
>
> --
> Cursos e Consultoria BGP
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> Rubens Kuhl <mailto:rubensk at gmail.com>
> 14 de janeiro de 2015 20:22
> Então o ipset deve ser o melhor caminho.
>
> ipset create brasil hash:net
>
> Aí para cada linha do delegated-latest do LACNIC que tivesse BR no país,
> você faria
>
> ipset add brasil 189.70.0.0/15
>
> Notar que aqui o IP é o mesmo que está no arquivo do LACNIC, mas a máscara
> precisa ser obtida a partir da quantidade. É uma conversão direta com em
> tese 32 possibilidades (65536 -> /16, 1310172 -/15 etc.), na prática menos
> pq não há blocos /25 ou mais específicos delegados, por exemplo.
>
> Outros comandos ipset são úteis para listar e ver se está tudo lá.
>
> Para tornar esse novo set permanente:
> ipset save > /etc/ipset.conf
>
> Aí para usar numa regra:
>
> iptables -I FORWARD -m set --match-set brasil src -j DROP
>
>
> Rubens
>
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list