[GTER] Campanha Técnica IP-Spoofing

Douglas Fischer fischerdouglas at gmail.com
Thu Feb 1 09:05:04 -02 2018


​Uma coisa, não muito bonita, que faço por exemplo ​nos trânsitos que tem
RP-Filter para assegurar que o pacote consiga voltar por aquele caminho é
anunciar mais específico(geralmente /24) para o trânsito com no-export.

Assim, por mais que a conexão saia por um trânsito e volte por outro, não
será bloqueado por RP-Filter.


Em 1 de fevereiro de 2018 08:57, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:

> ​Opa, acho que está havendo uma confusão de conceitos...
>
> RP-Filter não é statefull firewall.
> Não necessariamente a conexão precisa ter saído por aquela interface.
> É só um lookup na tabela para ver se existe rota para aquela interface
> apontando para alguma coisa que bata com a origem do pacote.
>
> A rota default pode ou não cobrir o RP-Filter lookup, depende da
> implementação.
>
>
>
> Em 31 de janeiro de 2018 21:42, Danton Nunes <danton.nunes at inexo.com.br>
> escreveu:
>
>> On Wed, 31 Jan 2018, Leandro Bertholdo wrote:
>>
>> * Se estiver na duvida, esquece RPF e colocar as ACLs simplezinhas nas
>>> tuas interfaces com teus provedores/PTT, permitindo sair somente teus
>>> blocos IPv4/v6 que já esta ajudando bastante!
>>>
>>
>> Bingo! na maior parte dos casos vão ser poucos prefixos na rede interna e
>> dos clientes, então filtrozinhos simples resolvem muito bem. Se houver
>> muitos prefixos, sessões BGP com vários parceiros, upstreams, e clientes,
>> aí a coisa muda de figura, pois você não sabe a priori quais são os blocos
>> a permitir.
>>
>>
>> -- Danton
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list