[FUG-BR] RES: RES: Bloco 197/8

Edinilson - ATINET edinilson em atinet.com.br
Sexta Novembro 28 13:47:39 BRST 2008


OK Renato, tem razao.
Apos um post la na lista do Quagga uma outra pessoa tambem respondeu 
exatamente igual ao que voce fez (postei abaixo).

Muito obrigado!

Edinilson
---------------------------------------------------------
ATINET-Professional Web Hosting
Tel Voz: (0xx11) 4412-0876
http://www.atinet.com.br


Edinilson - ATINET wrote:
> Mr. Steve, I´m using quagga+bgpd on freebsd.
> I thing that null0 doesn´t work on freebsd.

A few months back, I had extensive issues with using the null interface.

It seemed like when I applied a non-existent IP address (ie. an IP that
did not belong to a prefix in use on the box) to a null interface, it
would not take.

nullN would work ok if I was using one of my public IP addresses, but I
didn't want to do that.

What I ended up doing is thus:

# ifconfig disc0 create
# ifconfig disc0 192.168.222.1/32

Then, in Quagga, for the bogons session:

ip prefix-list CYMRU-OUT seq 5 deny 0.0.0.0/0 le 32

ip community-list 10 permit 65333:888

route-map CYMRU-MAP-IN permit 10
 description Null route BOGONS learned from Cymru
 match community 10
 set ip next-hop 192.168.222.1


...and for my IPv6 null route:

ipv6 route 2607:f118::/32 disc0

...and this seems to work ok.

Cheers,

Steve



----- Original Message ----- 
From: "Renato Frederick" <frederick at dahype.org>
To: "'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'" 
<freebsd at fug.com.br>
Sent: Friday, November 28, 2008 11:11 AM
Subject: [FUG-BR] RES: RES: Bloco 197/8


Edinilson,

Quando eu coloco uma rota para o ip do blackrole pela null0, o quagga
aceita, a rota realmente aparece(se eu der um tracert ou ping não responde).

De fato, se de qualquer host interno da rede eu der um tracert para o IP que
eu fiz o blackhole, ele não passa do firewall.

Porém a rota não aparece na tabela bgp, quando eu fizer o route-map, e aí
que fica o problema:

Se eu digitar um "sh ip bgp" não aparece as rotas para os bogons apontando
para o IP blackrole.

Daí veja o que eu fiz no freebsd:

##BlackHole
cloned_interfaces="disc0"
ifconfig_disc0="192.0.2.1 netmask 255.255.255.255"
route_blackhole="10.255.255.254/32 192.0.2.1"
static_routes="blackhole"


a rota "blackhole"acima pode ser substituída dentro do quagga para:
ip route 10.255.255.254/32 192.0.2.1

fica a seu critério.

Daí eu fiz o route-map:


route-map CYMRUBOGONS permit 10
 match community 10
 set ip next-hop 10.255.255.254
 set origin igp

Eu achei muito estranho também, afinal um tracert funcionava mas não
aparecia no BGP... achei que era erro do meu route-map, etc..

até que achei esta discussão:

http://osdir.com/ml/network.quagga.user/2004-10/msg00157.html


e achei interessante esta parte:

FreeBSD has RTF_BLACKHOLE and RTF_REJECT flags in kernel RIB rtentry which
is
triggered by 'ip route a.b.c.d/32 Null0' or 'ip route a.b.c.d/32 reject'
respectively. Linux also provides blackhole capabilities in the kernel
routing subsystem. This is the recommended method.

Otherwise, just route to a network hosted by dummy0 or 'software discard'
e.g.
disc0/ds0 interface.

P.S. And yes there was (or is still?) a bug in zeb|Q bgpd that won't resolve
recursive routes pointed to "Null0|blackhole|reject" next-hops. But I think
there was a recent bug id on that addressing this issue.

Aí o "truque" é que  o nex-hop nao é a null0 propriamente, mas um IP que por
sua vez aponta uma rota para null0 :)




> -----Mensagem original-----
> De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em
> nome de Edinilson - ATINET
> Enviada em: sexta-feira, 28 de novembro de 2008 10:51
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] RES: Bloco 197/8
> Prioridade: Alta
>
> Caro Renato, eu participo tambem da lista do Quagga e o pessoal la
> insiste
> que o null0 funciona no freebsd.
> Quais problemas voce teve em utilizar o null0 ?
>
> Obrigado
>
> Edinilson
> ---------------------------------------------------------
> ATINET-Professional Web Hosting
> Tel Voz: (0xx11) 4412-0876
> http://www.atinet.com.br
>
>
> ----- Original Message -----
> From: "Renato Frederick" <frederick at dahype.org>
> To: "'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'"
> <freebsd at fug.com.br>
> Sent: Thursday, November 27, 2008 10:21 AM
> Subject: [FUG-BR] RES: Bloco 197/8
>
>
> Edinilson,
>
> Sim, uso no quagga.
>
> Primeiro você tem que enviar um email a eles solicitando, no site
> explica o
> formato.. basicamente é falar que não quer autenticação md5 na
> sessão(quagga
> não suporta) e passar seu as e o seu ip para o peering.
>
> Depois é só subir como se fosse uma sessão bgp normal. Como eles usam 2
> peers para a sessão, eu uso peer-group:
>
> [...]
>  neighbor cymru-bogon peer-group
>  neighbor cymru-bogon description BOGUS-SERVER
>  neighbor cymru-bogon ebgp-multihop 255
>  neighbor cymru-bogon update-source lo0
>  neighbor cymru-bogon send-community both
>  neighbor cymru-bogon soft-reconfiguration inbound
>  neighbor cymru-bogon maximum-prefix 100 90
>  neighbor cymru-bogon prefix-list cymru-out out
>  neighbor cymru-bogon route-map CYMRUBOGONS in
>  neighbor 200.x.x.x remote-as 65333
>  neighbor 200.x.x.x peer-group cymru-bogon
>  neighbor 208.x.x.x remote-as 65333
>  neighbor 208.x8.x.x peer-group cymru-bogon
> [...]
>
> a cymru usa a comunity 65333:888 para enviar a lista de bogus(tem
> outras 2
> comunity com mais granularidade, no site fala).
>
> Entao, basta fazer um Black role para esta comunidade:
>
>
> [...]
> ip community-list 10 permit 65333:888
> route-map CYMRUBOGONS permit 10
>  match community 10
>  set ip next-hop 10.255.255.254
>  set local-preference 200
>  set origin igp
> !
> [...]
>
> No caso, criei uma rota que entrega o IP 10.255.255.254 para minha
> interface
> "disc0" no freebsd.
> Se fosse cisco você poderia fazer um iproute 10.255.255.254 null0, mas
> o
> quagga apesar de aceitar o comando, não funciona.
>
>
> Talvez você precise fazer outro routemap para suprimir algumas redes
> que
> eles te mandam, no meu caso a rede 172.16 pode passar entre meus
> roteadores
> de borda, então tome cuidado.. :)
>
> Caso você não faça o ip next-hop e entregue o tráfego para o peers
> deles, a
> sessão BGP é cancelada.
>
> No final minha tabela de rotas fica algo assim:
>
> *  1.0.0.0          10.255.255.254           0    200      0 65333 i
> *>                  10.255.255.254           0    200      0 65333 i
> *  2.0.0.0          10.255.255.254           0    200      0 65333 i
> *>                  10.255.255.254           0    200      0 65333 i
>
> E o melhor, atualizam sempre que a IANA aloca uma rede.
>
> Voltando ao assunto que gerou esta discussão, liberaram o bloco /20 mas
> não
> deram satisfação de porque bloqueou e nem responderam como fazem para
> bloquear, ficou algo bem arbitrário.
>
> Abraços.
>
>
>
>
> > -----Mensagem original-----
> > De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em
> > nome de Edinilson - ATINET
> > Enviada em: quinta-feira, 27 de novembro de 2008 09:51
> > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > Assunto: Re: [FUG-BR] Bloco 197/8
> > Prioridade: Alta
> >
> > Caro Renato, aproveitando o topico: voce utiliza quagga + bgpd no
> > Freebsd?
> > Se sim, poderia me mandar um exemplo de configuracao do bgpd para
> > utilizar
> > este servico da Cymru?
> >
> > Obrigado
> >
> > Edinilson
> > ---------------------------------------------------------
> > ATINET-Professional Web Hosting
> > Tel Voz: (0xx11) 4412-0876
> > http://www.atinet.com.br
> >
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




Mais detalhes sobre a lista de discussão freebsd