feeman Опубликовано 5 ноября, 2018 · Жалоба Спустя некоторое время начали увеличиваться цифры. Гугл, конечно не молчит и выдает кучу инфы, но на враждебном языке. Мож из-за этого, так внятного понимания и не пришло, что есть что!? В связи с этим, люди добрые! Подскажи, что значит ROUTE LEAKS, HIJACKS, BOGONS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 6 ноября, 2018 · Жалоба https://radar.qrator.net/faq Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 6 ноября, 2018 · Жалоба ссылку кинули не глядя? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 6 ноября, 2018 · Жалоба ах да, не увидел 11 часов назад, feeman сказал: на враждебном языке. в таком случае есть гугл, и даже статьи на хабре по qrator на русском. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 6 ноября, 2018 · Жалоба Не я про то, что там кроме ROUTE LEAKS больше нет инфы. А мне бы еще понять, что есть что, про HIJACKS, BOGONS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 6 ноября, 2018 · Жалоба http://xgu.ru/wiki/Bogon https://en.wikipedia.org/wiki/Bogon_filtering https://en.wikipedia.org/wiki/BGP_hijacking Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 6 ноября, 2018 (изменено) · Жалоба Если я правильно понял из приведенных выше статей + серфинга по интернету, для противодействия в первую очередь нужно создать ip prefix-list. Вот только, что в нем указать я пока Х.З. Был бы признателен за пример или инфу по данному вопросу. P.S. В моем случае 1 Аплинк + FullView и анонсируемая сеть /23. Изменено 6 ноября, 2018 пользователем feeman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 7 ноября, 2018 · Жалоба 13 часов назад, feeman сказал: Вот только, что в нем указать я пока Х.З. Видимо плохо читал предлагаемый материал. Там всё это есть. А от HIJACKS вообще никак не защититься. Можно только надеяться на фильтры остальных. Либо я отстал от жизни и RPKI внедрили и оно работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 8 ноября, 2018 · Жалоба В 07.11.2018 в 06:07, pppoetest сказал: Видимо плохо читал предлагаемый материал Ткни пальцем в материал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 9 ноября, 2018 · Жалоба Цитата Bogons also include reserved private address[1] and link-local address ranges, such as those in 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, and 169.254.0.0/16, which are reserved for private networks,[1] sometimes also known as Martian packets. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 9 ноября, 2018 · Жалоба Это я первым делом сделал. Создал правило ACL и повесил его на интерфейс. remark access_lock_GRAY_NETWORKS deny ip 0.0.0.0 0.0.0.0 any deny ip 0.0.0.0 0.255.255.255 any deny ip 10.0.0.0 0.255.255.255 any deny ip 100.64.0.0 0.63.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip 169.254.0.0 0.0.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.0.0.0 0.0.0.255 any deny ip 192.0.2.0 0.0.0.255 any deny ip 192.88.99.0 0.0.0.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 198.18.0.0 0.1.255.255 any deny ip 198.51.100.0 0.0.0.255 any deny ip 203.0.113.0 0.0.0.255 any deny ip 224.0.0.0 31.255.255.255 any deny ip 240.0.0.0 15.255.255.255 any deny ip 255.255.255.255 0.0.0.0 any но вот судя по скрину в первом посту, это не работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 9 ноября, 2018 · Жалоба Цитата Создал правило ACL и повесил его на интерфейс. Причём тут интерфейс, речь идёт о фильтрах на анонсируемые префиксы в бгп. И "судя по скрину в первом посту", конкретно с этим у тебя проблем нет. Про хайджек я уже сказал, а роут лик одной из причин может быть флап твоей сессии в которой ты анонсишь маленький кусок бОльшей сети которую анонсит кто-то другой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 9 ноября, 2018 · Жалоба 1 час назад, pppoetest сказал: речь идёт о фильтрах на анонсируемые префиксы в бгп Если задача не пускать с внешней стороны серые айпи + свои же (в случае подделки) Вижу тут два варианта ip prefix-list либо ACL на интерфейс. Я заюзал ACL на интерфейс. Что в этом неправильного? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 9 ноября, 2018 · Жалоба 29 минут назад, feeman сказал: Если задача не пускать с внешней стороны серые айпи + свои же (в случае подделки) Вижу тут два варианта ip prefix-list либо ACL на интерфейс. Я заюзал ACL на интерфейс. Что в этом неправильного? Потому-то нужно фильтровать маршруты бгп, а не трафик интерфейса Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
starik-i-more Опубликовано 10 ноября, 2018 · Жалоба На мой взгляд нужно фильтровать и то и другое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 10 ноября, 2018 · Жалоба Речь шла о bogon куратора, он рассматривает только префиксы распространяемые по бгп, ему плевать на ваши scrip. И повторюсь, в любом случае у ТС с этим проблем нет, судя по скрину. 10 часов назад, feeman сказал: Если задача не пускать с внешней стороны серые айпи + свои же (в случае подделки) Что в этом неправильного? Задача qrator показать проблемы в BGP. Не более Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...