[GTER] ASN / IP do Brasil
Renato Frederick
renato at frederick.eti.br
Thu Jan 15 08:16:27 -02 2015
Não sei qual o objetivo final do colega ao fazer o bloqueio para IP's
supostamente alocados para o Brasil.
No passado nem tão recente, tive muitos problemas com empresas públicas
e privadas que achavam ainda que o "resto" dos blocos anteriormente
reservados, perante ao iminente esgotamento de IPv4, ficariam reservados
para a eternidade, até o final dos tempos... E usavam uma lista muito
antiga, coisa de 2, 3 anos.
Do tipo, o técnico fez a ACL, recebeu a grana, ou outro entrou no lugar
e isto foi esquecido.
Para a minha pessoa, como técnico da outra ponta, o desgaste foi grande
pois tinha que provar para o meu cliente pagante que o bloqueio era da
outra ponta e gambiarras como fazer um NAT de saída para um IP legado
200.x resolveria por ex navegação, mas não recebimento de email(que
apontaria para o MX com outro IP). E na outra ponta, eu só recebia
telefone no whois registro.br desatualizados, VOIP que chamava e não
atendia. Um custo.
Será que você, ao invés de colocar os IP que não dão match em uma acl e
droppar, não poderia no seu apache, ou em sua aplicação criar uma rotina
que caso o IP não batesse, apareceria uma mensagem WWW informando o
bloqueio, ao estilo que netflix, hbogo e outros fazem?
Atualmente eu uso bloqueio(no BGP) somente de ASN's conhecidos pelos
ataques, dando uma maior proteção a clientes que ainda insistem em usar
Modem em Bridge, Windows XP com SP1 e sem firewall. Mas se o bicho pegar
e estes ASN resolverem fazer um DDoS em mim, vai ter que ser blackhole
no bgp com a operadora.
ABraços
> Rubens Kuhl <mailto:rubensk at gmail.com>
> 15 de janeiro de 2015 00:13
>
> Pegar a lista de prefixos do PTT-Metro de SP para identificar isso já
> dá um
> bom patamar de partida, mas é o tipo de lista que precisa ser
> construída de
> grão em grão.
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> Eduardo Schoedler <mailto:listas at esds.com.br>
> 14 de janeiro de 2015 23:46
> E ip de multinacional em terras brasileiras, como vão tratar?
>
> --
> Eduardo Schoedler
>
>
> Em quarta-feira, 14 de janeiro de 2015, Walison Morales <walison at live.jp>
>
>
>
> Walison Morales <mailto:walison at live.jp>
> 14 de janeiro de 2015 21:55
> Boa Noite,
>
> $ curl -s ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest |
> grep BR | grep ipv4 | awk -F "\|" '{print $4 "/" (32 - (log($5)/log(2)))}'
>
> Att, Walison Morales
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> Bruno Cabral <mailto:bruno at openline.com.br>
> 14 de janeiro de 2015 20:33
> Voce consegue a mascara com log2 N
>
> !3runo
>
> --
> Cursos e Consultoria BGP
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> Rubens Kuhl <mailto:rubensk at gmail.com>
> 14 de janeiro de 2015 20:22
> Então o ipset deve ser o melhor caminho.
>
> ipset create brasil hash:net
>
> Aí para cada linha do delegated-latest do LACNIC que tivesse BR no país,
> você faria
>
> ipset add brasil 189.70.0.0/15
>
> Notar que aqui o IP é o mesmo que está no arquivo do LACNIC, mas a máscara
> precisa ser obtida a partir da quantidade. É uma conversão direta com em
> tese 32 possibilidades (65536 -> /16, 1310172 -/15 etc.), na prática menos
> pq não há blocos /25 ou mais específicos delegados, por exemplo.
>
> Outros comandos ipset são úteis para listar e ver se está tudo lá.
>
> Para tornar esse novo set permanente:
> ipset save > /etc/ipset.conf
>
> Aí para usar numa regra:
>
> iptables -I FORWARD -m set --match-set brasil src -j DROP
>
>
> Rubens
>
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list