Антиспуфинг для клиентов, которые подключаются по BGP

[ne-vlezay80]

Вопрос такой, как сделать так, чтобы анонсы от клиентов по BGP данные записывались в антиспуфинг систему на коммутаторе. Например, к над от клиента с mac адресом 11:22:33:44:55:66 и который подключен к порту eth3 пришли префиксы:

198.18.0.0/24

198.18.1.0/24

198.18.2.0/24

198.18.3.0/24

Сделать так, чтобы на коммутатор в адтиспуфинг добавлялись такие правила:

-A SG -i eth3 -s 11:22:33:44:55:66 -p ipv4 --ip-src 198.18.0.0/24 -j RETURN

-A SG -i eth3 -s 11:22:33:44:55:66 -p ipv4 --ip-src 198.18.1.0/24 -j RETURN

-A SG -i eth3 -s 11:22:33:44:55:66 -p ipv4 --ip-src 198.18.2.0/24 -j RETURN

-A SG -i eth3 -s 11:22:33:44:55:66 -p ipv4 --ip-src 198.18.3.0/24 -j RETURN

 

in_port=3,dl_src=11:22:33:44:55:66,ip,ip_src=198.18.0.0/24,actions=normal

in_port=3,dl_src=11:22:33:44:55:66,ip,ip_src=198.18.1.0/24,actions=normal

in_port=3,dl_src=11:22:33:44:55:66,ip,ip_src=198.18.2.0/24,actions=normal

in_port=3,dl_src=11:22:33:44:55:66,ip,ip_src=198.18.3.0/24,actions=normal

[nuclearcat]

-m rpfilter --invert -j DROP ?

[ne-vlezay80]

22 часа назад, nuclearcat сказал:

-m rpfilter --invert -j DROP ?

Это не работает, если сети пользователей находятся на одном интерфейсе.

Между этими сетями спуфинг будет возможен.

Edited January 6, 2018 by ne-vlezay80

[s.lobanov]

>Это не работает, если сети пользователей находятся на одном интерфейсе.

 

Это либо IX, либо админ - малограмотный, если у него bgp-клиенты не как p2p подключены. У вас какой случай?

 

Скорее всего у вас случай второй, поэтому исправляйте и делайте p2p и обычный URPF (rp_filter=1 на линуксе)

[ne-vlezay80]

А как на IX антиспуфинг реализуют?

 

А занимаются ли магистральные провайдеры антиспуфинг фильтрацией при подключении клиента по BGP?

[myth]

rp filter на бордере и все. Нет проблемы.

[nuclearcat]

Есть еще вариант создавать macvlan интерфейсы для тех кто подключен, если клиентов не очень много.

[2c2i]

Какая то не очень идея фильтровать по анонсу. Почему вы желаете запретить клиенту слать трафик через вас(но ничего вам не анонсировать), а получать через другой апстрим. Договор позволяет такие ограничения? 

[ne-vlezay80]

1 час назад, 2c2i сказал:

Какая то не очень идея фильтровать по анонсу. Почему вы желаете запретить клиенту слать трафик через вас(но ничего вам не анонсировать), а получать через другой апстрим. Договор позволяет такие ограничения? 

Спуфинг будет включаться как отдельная услуга. И после проверки благонадёжности.

[2c2i]

Не понятно почему вы называете спуфингом отсылку трафика со своих адресов без анонсирования их. Спуфинг это когда для отсылки трафика используются _чужие адреса_, и эта принадлежность определяется не анонсами bgp, а базой данных например  RIPE.

[ne-vlezay80]

5 часов назад, 2c2i сказал:

Не понятно почему вы называете спуфингом отсылку трафика со своих адресов без анонсирования их. Спуфинг это когда для отсылки трафика используются _чужие адреса_, и эта принадлежность определяется не анонсами bgp, а базой данных например  RIPE.

Я как то получил предупреждение от своего хостера по этому поводу. А тем более, что некоторый трафик транзитом идёт через vps.

 

А как трафик может вернуться, если адреса не анонсируются.

[2c2i]

Не знаю что там за "транзит через впс", но трафик отлично вернется через другого апстрим провайдера, которому клиент анонсирует свои префиксы.

[ne-vlezay80]

Как я понял, достаточно настроить default напримнр на telia а вернуть трафик через ростелеком?

 

А если так делать через vps, можно попасть на 1000$.

[myth]

или просто сменить хостера на нормального

[ne-vlezay80]

А какие штрафы у РКН, если провайдер не блокирует сайты? Я думаю, что меньше чем 1000$.

[myth]

от 50 до 100 тысяч рублей

 

Могут хоть ежедневно выписывать

 

Так что рекомендую перестать заниматься херней с антиспуфингом.

[ne-vlezay80]

Вот правила хостера:

Цитата

Также запрещено и может стать поводом для немедленной блокировки:
- Онлайн аптеки с нелегальной фармацевтикой
- Продажа спайсов, курительных смесей и прочих наркотических и психотропных веществ
Только для VPS: Организация публичных VPN сервисов без согласования с администрацией хостинга
- TOR exit nodes
Только для VPS: майнинг криптовалют
- Replica sites/stores по продаже копий часов, сумок, одежды и тд без предварительного согласования с администрацией
- проксирование проектов через наши серверы/впс
- использование наших серверов/впс для Anti-DDoS защиты сторонних проектов (не размещенных на наших серверах/ВПС) путем проксирования/тунелирования трафика
- нарушение законов страны, в которой располагается ваш сервер/впс 
- Добавлять и использовать не принадлежащие вам IP адреса. В случае выявления таких злоупотреблений мы немедленно блокируем сервер и выставляем штраф от 500$ до 1000$
- Любые другие активности, которые могут причинить материальный либо репутационный ущерб нашей компании
Только для VPS: 
- Размещение трафогенерирующих скриптов, сайтов и других ресурсов (аудио/видео-стриминг, файловые хранилища и так далее)
- Превышать установленную максимальную нагрузку на канал на постоянной основе.
Допустимая постоянная нагрузка на канал для VPS:
Тариф Lite: до 5Mbit/s
Тариф Start: до 10Mbit/s
Тариф Medium: до 20Mbit/s
Тариф Premium: до 30Mbit/s
Тариф Elite: до 50Mbit/s
Тариф Exclusive: до 100Mbit/s

Примечание: мы не лимитируем канал при установке VPS до данных значений, по умолчанию ваш VPS может использовать максимальную ширину канала головного сервера, например 1Gbit/s.
Мы оставляем за собой право лимитировать канал до указанных выше значений только в случае постоянных злоупотреблений либо, если превышения создают проблемы для других клиентов.
Для PROMO тарифов максимально допустимая нагрузка делится на 2. То есть если для тарифа Premium макс. допустимая нагрузка является 30Mbit/s, то для Premium - PROMO - 30/2=15Mbit/s.
 

 

1000$ это где то 56 433.40.

[2c2i]

Вы наверное читаете как то не так - тут написано "Добавлять и использовать не принадлежащие вам IP адреса." Нигде не написано про bgp анонсы.

Кроме того не понятно зачем вообще какой либо bgp на впс.

 

>Как я понял, достаточно настроить default напримнр на telia а вернуть трафик через ростелеком?

>А если так делать через vps, можно попасть на 1000$.

На впс очевидно так сделать не получится, просто потому что никакой хостинг не даст вам подключать свои каналы(телию и ростелеком) к впс.

[ne-vlezay80]

А гнать исходящий трафик от своей сети через vps можно?

[ne-vlezay80]

7 часов назад, 2c2i сказал:

На впс очевидно так сделать не получится, просто потому что никакой хостинг не даст вам подключать свои каналы(телию и ростелеком) к впс.

А почему? 

[s.lobanov]

В 16.01.2018 в 00:56, ne-vlezay80 сказал:

А как на IX антиспуфинг реализуют?

 

Ну если вкратце, то в общем случае, по жалобам от одного участника IX на другого начинают разбираться. Про автоматический антиспуфинг на IX не слышал

 

В 16.01.2018 в 00:56, ne-vlezay80 сказал:

А занимаются ли магистральные провайдеры антиспуфинг фильтрацией при подключении клиента по BGP?

Кто-то включает urpf, кто-то нет, чаще нет чем да. В анналах форума или гугл-кеше можно найти как это делает Оранж и народ ругается на них за это дело)