[GTER] Firewall no ASN

Marcelo Gondim gondim at bsdinfo.com.br
Tue Sep 18 22:26:21 -03 2018 

Em 18/09/2018 17:52, Tárcio Dutra escreveu:
> Boa tarde, Turma.
>
>
> Recentemente recebemos alguns avisos de "Os IPs abaixo são origem de ataques DDoS", tais IPs são de alguns clientes, somos um ISP.
>
> Ele pedem para bloquearmos, a exemplo, o trafego que sai através de uma porta X.
>
>
> Bem, devemos sempre colaborar...
>
>
> Tenho equipamentos Cisco e Mikrotik. O que vocês recomendam?
>
>
> Configurar um Firewall Foward no Router BGP, nos Concentradores PPPoE? Se eu subir um FIREWALL eu vou ter um aumento considerável no processamento dos meus equipamentos.  😖  :(
>
>
> Realmente gostaria de ler a experiência de vocês. Agradeço a quem me ajudar.
>
>
> Att,
>
> Tárcio
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
Boa noite Tárcio,

Aqui vão algumas dicas boas pras suas caixas Mikrotik PPPoE, se for esse 
seu caso:

1º - usar versão bugfix/Long Term atualmente a 6.40.9. Não faça sua rede 
em produção ser beta tester da Mikrotik.  :)

2º - desabilitar os conntracks nos Mikrotiks. Eles só são necessários 
pra fazer firewall stateful, NAT, redirecionamento de portas. Se você 
precisa fazer NAT no seu PPPoE eu sugiro uma outra abordagem: montar um 
servidor para fazer CGNAT de IPv4 e redirecionar os IPs privados para 
essa caixa CGNAT via PBR (Police Based Routing) nos Mikrotiks. Usar 
IPv6, caso não esteja. Desabilitando os conntracks sua caixa vai 
performar muito mais. Aqui eu mesmo montei um servidor em Debian pra 
fazer o CGNAT com uma interface Intel X520-SR2 usando as portas de 
10GbE. O PBR é feito apenas para os IPs privados do CGNAT, quem for IPv6 
sai normalmente para o router de borda.

3º - faça esses bloqueios nas caixas PPPoE. Router de borda tem que 
ficar o mais leve possível. Regras de firewall nele somente pra proteger 
a caixa e alguns bloqueios de boa prática como não permitir que pacotes 
saiam da sua rede com IP origem que não seja seu.

Abaixo um exemplo que faço aqui numa caixa pppoe:

/ip firewall filter
add action=drop chain=forward in-interface=all-ppp protocol=udp 
src-port=111,123,161,53,1900,137-139,19

/ipv6 firewall filter
add action=drop chain=forward in-interface=all-ppp protocol=udp 
src-port=111,123,161,53,1900,137-139,19

Existem outras melhorias mas aí já não entra no contexto do e-mail :)

[]´s
Gondim

More information about the gter mailing list