feeman Posted November 5, 2018 Posted November 5, 2018 Спустя некоторое время начали увеличиваться цифры. Гугл, конечно не молчит и выдает кучу инфы, но на враждебном языке. Мож из-за этого, так внятного понимания и не пришло, что есть что!? В связи с этим, люди добрые! Подскажи, что значит ROUTE LEAKS, HIJACKS, BOGONS. Вставить ник Quote
darkagent Posted November 6, 2018 Posted November 6, 2018 https://radar.qrator.net/faq Вставить ник Quote
feeman Posted November 6, 2018 Author Posted November 6, 2018 ссылку кинули не глядя? Вставить ник Quote
darkagent Posted November 6, 2018 Posted November 6, 2018 ах да, не увидел 11 часов назад, feeman сказал: на враждебном языке. в таком случае есть гугл, и даже статьи на хабре по qrator на русском. Вставить ник Quote
feeman Posted November 6, 2018 Author Posted November 6, 2018 Не я про то, что там кроме ROUTE LEAKS больше нет инфы. А мне бы еще понять, что есть что, про HIJACKS, BOGONS. Вставить ник Quote
darkagent Posted November 6, 2018 Posted November 6, 2018 http://xgu.ru/wiki/Bogon https://en.wikipedia.org/wiki/Bogon_filtering https://en.wikipedia.org/wiki/BGP_hijacking Вставить ник Quote
feeman Posted November 6, 2018 Author Posted November 6, 2018 (edited) Если я правильно понял из приведенных выше статей + серфинга по интернету, для противодействия в первую очередь нужно создать ip prefix-list. Вот только, что в нем указать я пока Х.З. Был бы признателен за пример или инфу по данному вопросу. P.S. В моем случае 1 Аплинк + FullView и анонсируемая сеть /23. Edited November 6, 2018 by feeman Вставить ник Quote
pppoetest Posted November 7, 2018 Posted November 7, 2018 13 часов назад, feeman сказал: Вот только, что в нем указать я пока Х.З. Видимо плохо читал предлагаемый материал. Там всё это есть. А от HIJACKS вообще никак не защититься. Можно только надеяться на фильтры остальных. Либо я отстал от жизни и RPKI внедрили и оно работает. Вставить ник Quote
feeman Posted November 8, 2018 Author Posted November 8, 2018 В 07.11.2018 в 06:07, pppoetest сказал: Видимо плохо читал предлагаемый материал Ткни пальцем в материал. Вставить ник Quote
pppoetest Posted November 9, 2018 Posted November 9, 2018 Цитата Bogons also include reserved private address[1] and link-local address ranges, such as those in 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, and 169.254.0.0/16, which are reserved for private networks,[1] sometimes also known as Martian packets. Вставить ник Quote
feeman Posted November 9, 2018 Author Posted November 9, 2018 Это я первым делом сделал. Создал правило ACL и повесил его на интерфейс. remark access_lock_GRAY_NETWORKS deny ip 0.0.0.0 0.0.0.0 any deny ip 0.0.0.0 0.255.255.255 any deny ip 10.0.0.0 0.255.255.255 any deny ip 100.64.0.0 0.63.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip 169.254.0.0 0.0.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.0.0.0 0.0.0.255 any deny ip 192.0.2.0 0.0.0.255 any deny ip 192.88.99.0 0.0.0.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 198.18.0.0 0.1.255.255 any deny ip 198.51.100.0 0.0.0.255 any deny ip 203.0.113.0 0.0.0.255 any deny ip 224.0.0.0 31.255.255.255 any deny ip 240.0.0.0 15.255.255.255 any deny ip 255.255.255.255 0.0.0.0 any но вот судя по скрину в первом посту, это не работает. Вставить ник Quote
pppoetest Posted November 9, 2018 Posted November 9, 2018 Цитата Создал правило ACL и повесил его на интерфейс. Причём тут интерфейс, речь идёт о фильтрах на анонсируемые префиксы в бгп. И "судя по скрину в первом посту", конкретно с этим у тебя проблем нет. Про хайджек я уже сказал, а роут лик одной из причин может быть флап твоей сессии в которой ты анонсишь маленький кусок бОльшей сети которую анонсит кто-то другой. Вставить ник Quote
feeman Posted November 9, 2018 Author Posted November 9, 2018 1 час назад, pppoetest сказал: речь идёт о фильтрах на анонсируемые префиксы в бгп Если задача не пускать с внешней стороны серые айпи + свои же (в случае подделки) Вижу тут два варианта ip prefix-list либо ACL на интерфейс. Я заюзал ACL на интерфейс. Что в этом неправильного? Вставить ник Quote
SyJet Posted November 9, 2018 Posted November 9, 2018 29 минут назад, feeman сказал: Если задача не пускать с внешней стороны серые айпи + свои же (в случае подделки) Вижу тут два варианта ip prefix-list либо ACL на интерфейс. Я заюзал ACL на интерфейс. Что в этом неправильного? Потому-то нужно фильтровать маршруты бгп, а не трафик интерфейса Вставить ник Quote
starik-i-more Posted November 10, 2018 Posted November 10, 2018 На мой взгляд нужно фильтровать и то и другое. Вставить ник Quote
pppoetest Posted November 10, 2018 Posted November 10, 2018 Речь шла о bogon куратора, он рассматривает только префиксы распространяемые по бгп, ему плевать на ваши scrip. И повторюсь, в любом случае у ТС с этим проблем нет, судя по скрину. 10 часов назад, feeman сказал: Если задача не пускать с внешней стороны серые айпи + свои же (в случае подделки) Что в этом неправильного? Задача qrator показать проблемы в BGP. Не более Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.