[feeman]

Спустя некоторое время начали увеличиваться цифры.

Гугл, конечно не молчит и выдает кучу инфы, но на враждебном языке.

Мож из-за этого, так внятного понимания и не пришло, что есть что!?

В связи с этим, люди добрые! Подскажи, что значит ROUTE LEAKS, HIJACKS, BOGONS.

[darkagent]

https://radar.qrator.net/faq

[feeman]

ссылку кинули не глядя?

 

[darkagent]

ах да, не увидел 

11 часов назад, feeman сказал:

на враждебном языке.

в таком случае есть гугл, и даже статьи на хабре по qrator на русском. 

[feeman]

Не я про то, что там кроме ROUTE LEAKS больше нет инфы.

А мне бы еще понять, что есть что, про HIJACKS, BOGONS.

[darkagent]

http://xgu.ru/wiki/Bogon

https://en.wikipedia.org/wiki/Bogon_filtering

https://en.wikipedia.org/wiki/BGP_hijacking

 

[feeman]

Если я правильно понял из приведенных выше статей + серфинга по интернету, для противодействия в первую очередь нужно создать ip prefix-list.

Вот только, что в нем указать я пока Х.З.

Был бы признателен за пример или инфу по данному вопросу.

 

P.S. В моем случае 1 Аплинк + FullView и анонсируемая сеть /23.

Edited November 6, 2018 by feeman

[pppoetest]

13 часов назад, feeman сказал:

Вот только, что в нем указать я пока Х.З.

Видимо плохо читал предлагаемый материал. Там всё это есть.

 

А от HIJACKS вообще никак не защититься. Можно только надеяться на фильтры остальных. Либо я отстал от жизни и RPKI внедрили и оно работает.

[feeman]

В 07.11.2018 в 06:07, pppoetest сказал:

Видимо плохо читал предлагаемый материал

Ткни пальцем в материал.

[pppoetest]

Цитата

Bogons also include reserved private address^[1] and link-local address ranges, such as those in 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, and 169.254.0.0/16, which are reserved for private networks,^[1] sometimes also known as Martian packets.

 

[feeman]

Это я первым делом сделал.

Создал правило ACL и повесил его на интерфейс.

remark access_lock_GRAY_NETWORKS
deny ip 0.0.0.0 0.0.0.0 any
deny ip 0.0.0.0 0.255.255.255 any
deny ip 10.0.0.0 0.255.255.255 any
deny ip 100.64.0.0 0.63.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 169.254.0.0 0.0.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.0.0.0 0.0.0.255 any
deny ip 192.0.2.0 0.0.0.255 any
deny ip 192.88.99.0 0.0.0.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 198.18.0.0 0.1.255.255 any
deny ip 198.51.100.0 0.0.0.255 any
deny ip 203.0.113.0 0.0.0.255 any
deny ip 224.0.0.0 31.255.255.255 any
deny ip 240.0.0.0 15.255.255.255 any
deny ip 255.255.255.255 0.0.0.0 any

 

 

но вот судя по скрину в первом посту, это не работает.

[pppoetest]

Цитата

Создал правило ACL и повесил его на интерфейс.

Причём тут интерфейс, речь идёт о фильтрах на анонсируемые префиксы в бгп. И "судя по скрину в первом посту", конкретно с этим у тебя проблем нет. Про хайджек я уже сказал, а роут лик одной из причин может быть флап твоей сессии в которой ты анонсишь маленький кусок бОльшей сети которую анонсит кто-то другой.

[feeman]

1 час назад, pppoetest сказал:

речь идёт о фильтрах на анонсируемые префиксы в бгп

Если задача не пускать с внешней стороны серые айпи + свои же (в случае подделки)

Вижу тут два варианта ip prefix-list либо ACL на интерфейс.

 

Я заюзал ACL на интерфейс. Что в этом неправильного?

 

 

[SyJet]

29 минут назад, feeman сказал:

Если задача не пускать с внешней стороны серые айпи + свои же (в случае подделки)

Вижу тут два варианта ip prefix-list либо ACL на интерфейс.

 

Я заюзал ACL на интерфейс. Что в этом неправильного?

 

 

Потому-то нужно фильтровать маршруты бгп, а не трафик интерфейса 

[starik-i-more]

На мой взгляд нужно фильтровать и то и другое. 

[pppoetest]

Речь шла о bogon куратора, он рассматривает только префиксы распространяемые по бгп, ему плевать на ваши scrip. И повторюсь, в любом случае у ТС с этим проблем нет, судя по скрину.

 

10 часов назад, feeman сказал:

Если задача не пускать с внешней стороны серые айпи + свои же (в случае подделки)

Что в этом неправильного?

Задача qrator показать проблемы в BGP. Не более