[FUG-BR] RES: RES: Bloco 197/8
Edinilson - ATINET
edinilson em atinet.com.br
Sexta Novembro 28 13:47:39 BRST 2008
OK Renato, tem razao.
Apos um post la na lista do Quagga uma outra pessoa tambem respondeu
exatamente igual ao que voce fez (postei abaixo).
Muito obrigado!
Edinilson
---------------------------------------------------------
ATINET-Professional Web Hosting
Tel Voz: (0xx11) 4412-0876
http://www.atinet.com.br
Edinilson - ATINET wrote:
> Mr. Steve, I´m using quagga+bgpd on freebsd.
> I thing that null0 doesn´t work on freebsd.
A few months back, I had extensive issues with using the null interface.
It seemed like when I applied a non-existent IP address (ie. an IP that
did not belong to a prefix in use on the box) to a null interface, it
would not take.
nullN would work ok if I was using one of my public IP addresses, but I
didn't want to do that.
What I ended up doing is thus:
# ifconfig disc0 create
# ifconfig disc0 192.168.222.1/32
Then, in Quagga, for the bogons session:
ip prefix-list CYMRU-OUT seq 5 deny 0.0.0.0/0 le 32
ip community-list 10 permit 65333:888
route-map CYMRU-MAP-IN permit 10
description Null route BOGONS learned from Cymru
match community 10
set ip next-hop 192.168.222.1
...and for my IPv6 null route:
ipv6 route 2607:f118::/32 disc0
...and this seems to work ok.
Cheers,
Steve
----- Original Message -----
From: "Renato Frederick" <frederick at dahype.org>
To: "'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'"
<freebsd at fug.com.br>
Sent: Friday, November 28, 2008 11:11 AM
Subject: [FUG-BR] RES: RES: Bloco 197/8
Edinilson,
Quando eu coloco uma rota para o ip do blackrole pela null0, o quagga
aceita, a rota realmente aparece(se eu der um tracert ou ping não responde).
De fato, se de qualquer host interno da rede eu der um tracert para o IP que
eu fiz o blackhole, ele não passa do firewall.
Porém a rota não aparece na tabela bgp, quando eu fizer o route-map, e aí
que fica o problema:
Se eu digitar um "sh ip bgp" não aparece as rotas para os bogons apontando
para o IP blackrole.
Daí veja o que eu fiz no freebsd:
##BlackHole
cloned_interfaces="disc0"
ifconfig_disc0="192.0.2.1 netmask 255.255.255.255"
route_blackhole="10.255.255.254/32 192.0.2.1"
static_routes="blackhole"
a rota "blackhole"acima pode ser substituída dentro do quagga para:
ip route 10.255.255.254/32 192.0.2.1
fica a seu critério.
Daí eu fiz o route-map:
route-map CYMRUBOGONS permit 10
match community 10
set ip next-hop 10.255.255.254
set origin igp
Eu achei muito estranho também, afinal um tracert funcionava mas não
aparecia no BGP... achei que era erro do meu route-map, etc..
até que achei esta discussão:
http://osdir.com/ml/network.quagga.user/2004-10/msg00157.html
e achei interessante esta parte:
FreeBSD has RTF_BLACKHOLE and RTF_REJECT flags in kernel RIB rtentry which
is
triggered by 'ip route a.b.c.d/32 Null0' or 'ip route a.b.c.d/32 reject'
respectively. Linux also provides blackhole capabilities in the kernel
routing subsystem. This is the recommended method.
Otherwise, just route to a network hosted by dummy0 or 'software discard'
e.g.
disc0/ds0 interface.
P.S. And yes there was (or is still?) a bug in zeb|Q bgpd that won't resolve
recursive routes pointed to "Null0|blackhole|reject" next-hops. But I think
there was a recent bug id on that addressing this issue.
Aí o "truque" é que o nex-hop nao é a null0 propriamente, mas um IP que por
sua vez aponta uma rota para null0 :)
> -----Mensagem original-----
> De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em
> nome de Edinilson - ATINET
> Enviada em: sexta-feira, 28 de novembro de 2008 10:51
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] RES: Bloco 197/8
> Prioridade: Alta
>
> Caro Renato, eu participo tambem da lista do Quagga e o pessoal la
> insiste
> que o null0 funciona no freebsd.
> Quais problemas voce teve em utilizar o null0 ?
>
> Obrigado
>
> Edinilson
> ---------------------------------------------------------
> ATINET-Professional Web Hosting
> Tel Voz: (0xx11) 4412-0876
> http://www.atinet.com.br
>
>
> ----- Original Message -----
> From: "Renato Frederick" <frederick at dahype.org>
> To: "'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'"
> <freebsd at fug.com.br>
> Sent: Thursday, November 27, 2008 10:21 AM
> Subject: [FUG-BR] RES: Bloco 197/8
>
>
> Edinilson,
>
> Sim, uso no quagga.
>
> Primeiro você tem que enviar um email a eles solicitando, no site
> explica o
> formato.. basicamente é falar que não quer autenticação md5 na
> sessão(quagga
> não suporta) e passar seu as e o seu ip para o peering.
>
> Depois é só subir como se fosse uma sessão bgp normal. Como eles usam 2
> peers para a sessão, eu uso peer-group:
>
> [...]
> neighbor cymru-bogon peer-group
> neighbor cymru-bogon description BOGUS-SERVER
> neighbor cymru-bogon ebgp-multihop 255
> neighbor cymru-bogon update-source lo0
> neighbor cymru-bogon send-community both
> neighbor cymru-bogon soft-reconfiguration inbound
> neighbor cymru-bogon maximum-prefix 100 90
> neighbor cymru-bogon prefix-list cymru-out out
> neighbor cymru-bogon route-map CYMRUBOGONS in
> neighbor 200.x.x.x remote-as 65333
> neighbor 200.x.x.x peer-group cymru-bogon
> neighbor 208.x.x.x remote-as 65333
> neighbor 208.x8.x.x peer-group cymru-bogon
> [...]
>
> a cymru usa a comunity 65333:888 para enviar a lista de bogus(tem
> outras 2
> comunity com mais granularidade, no site fala).
>
> Entao, basta fazer um Black role para esta comunidade:
>
>
> [...]
> ip community-list 10 permit 65333:888
> route-map CYMRUBOGONS permit 10
> match community 10
> set ip next-hop 10.255.255.254
> set local-preference 200
> set origin igp
> !
> [...]
>
> No caso, criei uma rota que entrega o IP 10.255.255.254 para minha
> interface
> "disc0" no freebsd.
> Se fosse cisco você poderia fazer um iproute 10.255.255.254 null0, mas
> o
> quagga apesar de aceitar o comando, não funciona.
>
>
> Talvez você precise fazer outro routemap para suprimir algumas redes
> que
> eles te mandam, no meu caso a rede 172.16 pode passar entre meus
> roteadores
> de borda, então tome cuidado.. :)
>
> Caso você não faça o ip next-hop e entregue o tráfego para o peers
> deles, a
> sessão BGP é cancelada.
>
> No final minha tabela de rotas fica algo assim:
>
> * 1.0.0.0 10.255.255.254 0 200 0 65333 i
> *> 10.255.255.254 0 200 0 65333 i
> * 2.0.0.0 10.255.255.254 0 200 0 65333 i
> *> 10.255.255.254 0 200 0 65333 i
>
> E o melhor, atualizam sempre que a IANA aloca uma rede.
>
> Voltando ao assunto que gerou esta discussão, liberaram o bloco /20 mas
> não
> deram satisfação de porque bloqueou e nem responderam como fazem para
> bloquear, ficou algo bem arbitrário.
>
> Abraços.
>
>
>
>
> > -----Mensagem original-----
> > De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em
> > nome de Edinilson - ATINET
> > Enviada em: quinta-feira, 27 de novembro de 2008 09:51
> > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > Assunto: Re: [FUG-BR] Bloco 197/8
> > Prioridade: Alta
> >
> > Caro Renato, aproveitando o topico: voce utiliza quagga + bgpd no
> > Freebsd?
> > Se sim, poderia me mandar um exemplo de configuracao do bgpd para
> > utilizar
> > este servico da Cymru?
> >
> > Obrigado
> >
> > Edinilson
> > ---------------------------------------------------------
> > ATINET-Professional Web Hosting
> > Tel Voz: (0xx11) 4412-0876
> > http://www.atinet.com.br
> >
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd