[GTER] acesso A.NTP.BR/C.NTP.BR por ips de routers no PTT-SP
Frederico A C Neves
fneves at registro.br
Thu Jun 15 13:45:14 -03 2017
Cristofer,
On Thu, Jun 15, 2017 at 12:22:11PM -0300, Cristofer Velloso wrote:
> Oi..
> Hoje fui configurar um ntp num router no ptt e deparei de novo com um
> problema que já tive.
>
> A partir do ip do ptt não chega no a.ntp.br, para funcionar tenho que
> forcar origem em outro ip do router, a rota é recebida do router do
> NIC.BR 187.16.217.2 . Acontece o mesmo pro c.ntp.br que roteia pelo
> router da RNP 187.16.220.208 .
>
> Tem algum motivo para isso ? Aparentemente não tem rota dele pros ips
> da rede 187.16.216.0/21 porque nem pinga, se forcar origem em outro ip
> publico do mesmo roteador vai.
A rede do IX é de escopo local, não há nenhum ASN provendo trânsito
para a mesma.
Na fronteira de um ASN no IX é boa prática de segurança, entre outras,
reescrever o next hop dos anúncios eBGP que se aprende para o endereço
do seu router conectado ao IX via next-hop-self, antes de transmitir
via iBGP. Desta forma a sua rede não precisa injetar o prefixo do IX
no seu IGP.
> O b.ntp.br recebo rota pelos trânsitos e é ok quando tenho ips públicos
> pra ter origem pra chegar nele, mas tenho alguns casos de router no
> ptt-sp sem outro ip publico além dos ips do ptt, e sem default só
> roteia entre os blocos anunciados pra ele e os recebidos do ptt.
>
> tenho usado dai outros ntp nesses casos, os do pool.ntp.br tem acesso a
> partir dos ips do ptt por exemplo, dos 4 que informam no site um tá no
> as do STF e os outros 3 na Amazon
Utilizar um endereço seu como cliente NTP é o mais seguro neste
caso. Seja ele uma interface interna ou uma loopback em seu espaço de
endereçamento.
> []os
> Cristofer
[]s
Fred
More information about the gter
mailing list