ne-vlezay80 Опубликовано 5 января, 2018 · Жалоба Вопрос такой, как сделать так, чтобы анонсы от клиентов по BGP данные записывались в антиспуфинг систему на коммутаторе. Например, к над от клиента с mac адресом 11:22:33:44:55:66 и который подключен к порту eth3 пришли префиксы: 198.18.0.0/24 198.18.1.0/24 198.18.2.0/24 198.18.3.0/24 Сделать так, чтобы на коммутатор в адтиспуфинг добавлялись такие правила: -A SG -i eth3 -s 11:22:33:44:55:66 -p ipv4 --ip-src 198.18.0.0/24 -j RETURN -A SG -i eth3 -s 11:22:33:44:55:66 -p ipv4 --ip-src 198.18.1.0/24 -j RETURN -A SG -i eth3 -s 11:22:33:44:55:66 -p ipv4 --ip-src 198.18.2.0/24 -j RETURN -A SG -i eth3 -s 11:22:33:44:55:66 -p ipv4 --ip-src 198.18.3.0/24 -j RETURN in_port=3,dl_src=11:22:33:44:55:66,ip,ip_src=198.18.0.0/24,actions=normal in_port=3,dl_src=11:22:33:44:55:66,ip,ip_src=198.18.1.0/24,actions=normal in_port=3,dl_src=11:22:33:44:55:66,ip,ip_src=198.18.2.0/24,actions=normal in_port=3,dl_src=11:22:33:44:55:66,ip,ip_src=198.18.3.0/24,actions=normal Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 6 января, 2018 · Жалоба -m rpfilter --invert -j DROP ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 6 января, 2018 (изменено) · Жалоба 22 часа назад, nuclearcat сказал: -m rpfilter --invert -j DROP ? Это не работает, если сети пользователей находятся на одном интерфейсе. Между этими сетями спуфинг будет возможен. Изменено 6 января, 2018 пользователем ne-vlezay80 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 15 января, 2018 · Жалоба >Это не работает, если сети пользователей находятся на одном интерфейсе. Это либо IX, либо админ - малограмотный, если у него bgp-клиенты не как p2p подключены. У вас какой случай? Скорее всего у вас случай второй, поэтому исправляйте и делайте p2p и обычный URPF (rp_filter=1 на линуксе) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 15 января, 2018 · Жалоба А как на IX антиспуфинг реализуют? А занимаются ли магистральные провайдеры антиспуфинг фильтрацией при подключении клиента по BGP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 16 января, 2018 · Жалоба rp filter на бордере и все. Нет проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 16 января, 2018 · Жалоба Есть еще вариант создавать macvlan интерфейсы для тех кто подключен, если клиентов не очень много. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2c2i Опубликовано 17 января, 2018 · Жалоба Какая то не очень идея фильтровать по анонсу. Почему вы желаете запретить клиенту слать трафик через вас(но ничего вам не анонсировать), а получать через другой апстрим. Договор позволяет такие ограничения? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 17 января, 2018 · Жалоба 1 час назад, 2c2i сказал: Какая то не очень идея фильтровать по анонсу. Почему вы желаете запретить клиенту слать трафик через вас(но ничего вам не анонсировать), а получать через другой апстрим. Договор позволяет такие ограничения? Спуфинг будет включаться как отдельная услуга. И после проверки благонадёжности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2c2i Опубликовано 18 января, 2018 · Жалоба Не понятно почему вы называете спуфингом отсылку трафика со своих адресов без анонсирования их. Спуфинг это когда для отсылки трафика используются _чужие адреса_, и эта принадлежность определяется не анонсами bgp, а базой данных например RIPE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 18 января, 2018 · Жалоба 5 часов назад, 2c2i сказал: Не понятно почему вы называете спуфингом отсылку трафика со своих адресов без анонсирования их. Спуфинг это когда для отсылки трафика используются _чужие адреса_, и эта принадлежность определяется не анонсами bgp, а базой данных например RIPE. Я как то получил предупреждение от своего хостера по этому поводу. А тем более, что некоторый трафик транзитом идёт через vps. А как трафик может вернуться, если адреса не анонсируются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2c2i Опубликовано 18 января, 2018 · Жалоба Не знаю что там за "транзит через впс", но трафик отлично вернется через другого апстрим провайдера, которому клиент анонсирует свои префиксы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 18 января, 2018 · Жалоба Как я понял, достаточно настроить default напримнр на telia а вернуть трафик через ростелеком? А если так делать через vps, можно попасть на 1000$. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 18 января, 2018 · Жалоба или просто сменить хостера на нормального Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 18 января, 2018 · Жалоба А какие штрафы у РКН, если провайдер не блокирует сайты? Я думаю, что меньше чем 1000$. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 18 января, 2018 · Жалоба от 50 до 100 тысяч рублей Могут хоть ежедневно выписывать Так что рекомендую перестать заниматься херней с антиспуфингом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 18 января, 2018 · Жалоба Вот правила хостера: Цитата Также запрещено и может стать поводом для немедленной блокировки:- Онлайн аптеки с нелегальной фармацевтикой- Продажа спайсов, курительных смесей и прочих наркотических и психотропных веществТолько для VPS: Организация публичных VPN сервисов без согласования с администрацией хостинга- TOR exit nodesТолько для VPS: майнинг криптовалют- Replica sites/stores по продаже копий часов, сумок, одежды и тд без предварительного согласования с администрацией- проксирование проектов через наши серверы/впс- использование наших серверов/впс для Anti-DDoS защиты сторонних проектов (не размещенных на наших серверах/ВПС) путем проксирования/тунелирования трафика- нарушение законов страны, в которой располагается ваш сервер/впс - Добавлять и использовать не принадлежащие вам IP адреса. В случае выявления таких злоупотреблений мы немедленно блокируем сервер и выставляем штраф от 500$ до 1000$- Любые другие активности, которые могут причинить материальный либо репутационный ущерб нашей компанииТолько для VPS: - Размещение трафогенерирующих скриптов, сайтов и других ресурсов (аудио/видео-стриминг, файловые хранилища и так далее)- Превышать установленную максимальную нагрузку на канал на постоянной основе.Допустимая постоянная нагрузка на канал для VPS:Тариф Lite: до 5Mbit/sТариф Start: до 10Mbit/sТариф Medium: до 20Mbit/sТариф Premium: до 30Mbit/sТариф Elite: до 50Mbit/sТариф Exclusive: до 100Mbit/sПримечание: мы не лимитируем канал при установке VPS до данных значений, по умолчанию ваш VPS может использовать максимальную ширину канала головного сервера, например 1Gbit/s.Мы оставляем за собой право лимитировать канал до указанных выше значений только в случае постоянных злоупотреблений либо, если превышения создают проблемы для других клиентов.Для PROMO тарифов максимально допустимая нагрузка делится на 2. То есть если для тарифа Premium макс. допустимая нагрузка является 30Mbit/s, то для Premium - PROMO - 30/2=15Mbit/s. 1000$ это где то 56 433.40. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2c2i Опубликовано 18 января, 2018 · Жалоба Вы наверное читаете как то не так - тут написано "Добавлять и использовать не принадлежащие вам IP адреса." Нигде не написано про bgp анонсы. Кроме того не понятно зачем вообще какой либо bgp на впс. >Как я понял, достаточно настроить default напримнр на telia а вернуть трафик через ростелеком? >А если так делать через vps, можно попасть на 1000$. На впс очевидно так сделать не получится, просто потому что никакой хостинг не даст вам подключать свои каналы(телию и ростелеком) к впс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 18 января, 2018 · Жалоба А гнать исходящий трафик от своей сети через vps можно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 19 января, 2018 · Жалоба 7 часов назад, 2c2i сказал: На впс очевидно так сделать не получится, просто потому что никакой хостинг не даст вам подключать свои каналы(телию и ростелеком) к впс. А почему? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 19 января, 2018 · Жалоба В 16.01.2018 в 00:56, ne-vlezay80 сказал: А как на IX антиспуфинг реализуют? Ну если вкратце, то в общем случае, по жалобам от одного участника IX на другого начинают разбираться. Про автоматический антиспуфинг на IX не слышал В 16.01.2018 в 00:56, ne-vlezay80 сказал: А занимаются ли магистральные провайдеры антиспуфинг фильтрацией при подключении клиента по BGP? Кто-то включает urpf, кто-то нет, чаще нет чем да. В анналах форума или гугл-кеше можно найти как это делает Оранж и народ ругается на них за это дело) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...