Jump to content
Калькуляторы

Qrator Labs

Спустя некоторое время начали увеличиваться цифры.

Гугл, конечно не молчит и выдает кучу инфы, но на враждебном языке.

Мож из-за этого, так внятного понимания и не пришло, что есть что!?

В связи с этим, люди добрые! Подскажи, что значит ROUTE LEAKS, HIJACKS, BOGONS.

Безымянный.png

Share this post


Link to post
Share on other sites

ах да, не увидел 

11 часов назад, feeman сказал:

на враждебном языке.

в таком случае есть гугл, и даже статьи на хабре по qrator на русском. 

Share this post


Link to post
Share on other sites

Не я про то, что там кроме ROUTE LEAKS больше нет инфы.

А мне бы еще понять, что есть что, про HIJACKS, BOGONS.

Share this post


Link to post
Share on other sites

Если я правильно понял из приведенных выше статей + серфинга по интернету, для противодействия в первую очередь нужно создать ip prefix-list.

Вот только, что в нем указать я пока Х.З.

Был бы признателен за пример или инфу по данному вопросу.

 

P.S. В моем случае 1 Аплинк + FullView и анонсируемая сеть /23.

Edited by feeman

Share this post


Link to post
Share on other sites
13 часов назад, feeman сказал:

Вот только, что в нем указать я пока Х.З.

Видимо плохо читал предлагаемый материал. Там всё это есть.

 

А от HIJACKS вообще никак не защититься. Можно только надеяться на фильтры остальных. Либо я отстал от жизни и RPKI внедрили и оно работает.

Share this post


Link to post
Share on other sites
В 07.11.2018 в 06:07, pppoetest сказал:

Видимо плохо читал предлагаемый материал

Ткни пальцем в материал.

Share this post


Link to post
Share on other sites

Это я первым делом сделал.

Создал правило ACL и повесил его на интерфейс.

remark access_lock_GRAY_NETWORKS
deny ip 0.0.0.0 0.0.0.0 any
deny ip 0.0.0.0 0.255.255.255 any
deny ip 10.0.0.0 0.255.255.255 any
deny ip 100.64.0.0 0.63.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 169.254.0.0 0.0.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.0.0.0 0.0.0.255 any
deny ip 192.0.2.0 0.0.0.255 any
deny ip 192.88.99.0 0.0.0.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 198.18.0.0 0.1.255.255 any
deny ip 198.51.100.0 0.0.0.255 any
deny ip 203.0.113.0 0.0.0.255 any
deny ip 224.0.0.0 31.255.255.255 any
deny ip 240.0.0.0 15.255.255.255 any
deny ip 255.255.255.255 0.0.0.0 any

 

 

но вот судя по скрину в первом посту, это не работает.

Share this post


Link to post
Share on other sites
Цитата

Создал правило ACL и повесил его на интерфейс.

Причём тут интерфейс, речь идёт о фильтрах на анонсируемые префиксы в бгп. И "судя по скрину в первом посту", конкретно с этим у тебя проблем нет. Про хайджек я уже сказал, а роут лик одной из причин может быть флап твоей сессии в которой ты анонсишь маленький кусок бОльшей сети которую анонсит кто-то другой.

Share this post


Link to post
Share on other sites
1 час назад, pppoetest сказал:

речь идёт о фильтрах на анонсируемые префиксы в бгп

Если задача не пускать с внешней стороны серые айпи + свои же (в случае подделки)

Вижу тут два варианта ip prefix-list либо ACL на интерфейс.

 

Я заюзал ACL на интерфейс. Что в этом неправильного?

 

 

Share this post


Link to post
Share on other sites
29 минут назад, feeman сказал:

Если задача не пускать с внешней стороны серые айпи + свои же (в случае подделки)

Вижу тут два варианта ip prefix-list либо ACL на интерфейс.

 

Я заюзал ACL на интерфейс. Что в этом неправильного?

 

 

Потому-то нужно фильтровать маршруты бгп, а не трафик интерфейса 

Share this post


Link to post
Share on other sites

Речь шла о bogon куратора, он рассматривает только префиксы распространяемые по бгп, ему плевать на ваши scrip. И повторюсь, в любом случае у ТС с этим проблем нет, судя по скрину.

 

10 часов назад, feeman сказал:

Если задача не пускать с внешней стороны серые айпи + свои же (в случае подделки)

Что в этом неправильного?

Задача qrator показать проблемы в BGP. Не более

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this