Перейти к содержимому
Калькуляторы

Qrator Labs

Спустя некоторое время начали увеличиваться цифры.

Гугл, конечно не молчит и выдает кучу инфы, но на враждебном языке.

Мож из-за этого, так внятного понимания и не пришло, что есть что!?

В связи с этим, люди добрые! Подскажи, что значит ROUTE LEAKS, HIJACKS, BOGONS.

Безымянный.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ах да, не увидел 

11 часов назад, feeman сказал:

на враждебном языке.

в таком случае есть гугл, и даже статьи на хабре по qrator на русском. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не я про то, что там кроме ROUTE LEAKS больше нет инфы.

А мне бы еще понять, что есть что, про HIJACKS, BOGONS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если я правильно понял из приведенных выше статей + серфинга по интернету, для противодействия в первую очередь нужно создать ip prefix-list.

Вот только, что в нем указать я пока Х.З.

Был бы признателен за пример или инфу по данному вопросу.

 

P.S. В моем случае 1 Аплинк + FullView и анонсируемая сеть /23.

Изменено пользователем feeman

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
13 часов назад, feeman сказал:

Вот только, что в нем указать я пока Х.З.

Видимо плохо читал предлагаемый материал. Там всё это есть.

 

А от HIJACKS вообще никак не защититься. Можно только надеяться на фильтры остальных. Либо я отстал от жизни и RPKI внедрили и оно работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 07.11.2018 в 06:07, pppoetest сказал:

Видимо плохо читал предлагаемый материал

Ткни пальцем в материал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Цитата

Bogons also include reserved private address[1] and link-local address ranges, such as those in 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, and 169.254.0.0/16, which are reserved for private networks,[1] sometimes also known as Martian packets.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это я первым делом сделал.

Создал правило ACL и повесил его на интерфейс.

remark access_lock_GRAY_NETWORKS
deny ip 0.0.0.0 0.0.0.0 any
deny ip 0.0.0.0 0.255.255.255 any
deny ip 10.0.0.0 0.255.255.255 any
deny ip 100.64.0.0 0.63.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 169.254.0.0 0.0.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.0.0.0 0.0.0.255 any
deny ip 192.0.2.0 0.0.0.255 any
deny ip 192.88.99.0 0.0.0.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 198.18.0.0 0.1.255.255 any
deny ip 198.51.100.0 0.0.0.255 any
deny ip 203.0.113.0 0.0.0.255 any
deny ip 224.0.0.0 31.255.255.255 any
deny ip 240.0.0.0 15.255.255.255 any
deny ip 255.255.255.255 0.0.0.0 any

 

 

но вот судя по скрину в первом посту, это не работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Цитата

Создал правило ACL и повесил его на интерфейс.

Причём тут интерфейс, речь идёт о фильтрах на анонсируемые префиксы в бгп. И "судя по скрину в первом посту", конкретно с этим у тебя проблем нет. Про хайджек я уже сказал, а роут лик одной из причин может быть флап твоей сессии в которой ты анонсишь маленький кусок бОльшей сети которую анонсит кто-то другой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, pppoetest сказал:

речь идёт о фильтрах на анонсируемые префиксы в бгп

Если задача не пускать с внешней стороны серые айпи + свои же (в случае подделки)

Вижу тут два варианта ip prefix-list либо ACL на интерфейс.

 

Я заюзал ACL на интерфейс. Что в этом неправильного?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
29 минут назад, feeman сказал:

Если задача не пускать с внешней стороны серые айпи + свои же (в случае подделки)

Вижу тут два варианта ip prefix-list либо ACL на интерфейс.

 

Я заюзал ACL на интерфейс. Что в этом неправильного?

 

 

Потому-то нужно фильтровать маршруты бгп, а не трафик интерфейса 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Речь шла о bogon куратора, он рассматривает только префиксы распространяемые по бгп, ему плевать на ваши scrip. И повторюсь, в любом случае у ТС с этим проблем нет, судя по скрину.

 

10 часов назад, feeman сказал:

Если задача не пускать с внешней стороны серые айпи + свои же (в случае подделки)

Что в этом неправильного?

Задача qrator показать проблемы в BGP. Не более

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас