[FUG-BR] DUVIDAS COM OPENBGPD

Ricardo Ferreira ricardo.ferreira em sotechdatacenter.com.br
Segunda Abril 2 15:23:06 BRT 2012


On 02-04-2012 15:08, Flávio Marcelo wrote:
> Bem lembrado Marcelo:
> Tem mesmo o "inet" antes do prefixlen
>
> Renato valew pela dica.
>
> A pergunta do Crica foi interessante, há alguma objeção em utilizar BGP e
> FIREWALL na mesma maquina ?
>
> Abraços.
>
> Em 2 de abril de 2012 14:21, Marcelo Gondim<gondim em bsdinfo.com.br>escreveu:
>
>> Em 02/04/2012 10:33, Flávio Marcelo escreveu:
>>> Opa.
>>> Bom dia !
>>>
>>> Bom tbm sou novo na area de BGP mas a grosso modo e pela documentação (
>>> http://www.openbsd.org/papers/linuxtag06-network.pdf)
>>> Seria isso:
>>>
>>> # publicacao de 8 a 24 bits, nem mais nem menos
>>>
>>> allow from any prefixlen 8 - 24
>>>
>>> # nao aceita publicacao de rota padrao
>>>
>>> deny from any prefix 0.0.0.0/0
>>>
>>> # Redes as quais nunca permitiremos publicacao de rotas
>>> deny from any prefix 10.0.0.0/8 prefixlen>= 8
>>> deny from any prefix 172.16.0.0/12 prefixlen>= 12
>>> deny from any prefix 192.168.0.0/16 prefixlen>= 16
>>> deny from any prefix 169.254.0.0/16 prefixlen>= 16
>>> deny from any prefix 192.0.2.0/24 prefixlen>= 24
>>> deny from any prefix 224.0.0.0/4 prefixlen>= 4
>>> deny from any prefix 240.0.0.0/4 prefixlen>= 4
>>>
>>>
>>> Bom quanto aos filtros é basicamente isso.
>>>
>>>
>>>
>>> Em 28 de março de 2012 17:37, Crica Bsd<cricabsd em gmail.com>   escreveu:
>>>
>>>> Boa Tarde.
>>>>
>>>> Sou novo no cenário BGP, estou implementando meu primeiro BGP e estou
>> com
>>>> algumas duvidas.
>>>> Estou utilizando o OpenBGPD e FreeBSD.
>>>>
>>>> Vamos as duvidas.
>>>> *
>>>> *
>>>> *Primeira:* É uma boa pratica manter o serviço BGP (OpenBGPD) e o
>> Firewall
>>>> da rede na mesma maquina ? caso não qual seria o cenário ideal ou mais
>>>> indicado ?
>>>>
>>>>
>>>> *Segunda:* Na configuração do bgpd.conf que segui (
>>>> http://www.openbsd.org/papers/linuxtag06-network.pdf) me deparei com
>>>> alguns
>>>> filtros:
>>>>
>>>> # filter out prefixes longer than 24 or shorter than 8 bits
>>>>> deny from any
>>>>> allow from any prefixlen 8 - 24
>> Tem um errinho nessa linha acima, pelo menos quando fiz dava erro aqui
>> no meu openbgp e o serviço não levantava.
>>
>> Seria: allow from any inet prefixlen 8 - 24
>>
>> Porque pelo que vi no man se não especificar o bloco no prefixlen,
>> precisa dizer antes se é inet ou inet6.  ;)
>>
>>>>> # do not accept a default route
>>>>> deny from any prefix 0.0.0.0/0
>>>>> # filter bogus networks
>>>>> deny from any prefix 10.0.0.0/8 prefixlen>= 8
>>>>> deny from any prefix 172.16.0.0/12 prefixlen>= 12
>>>>> deny from any prefix 192.168.0.0/16 prefixlen>= 16
>>>>> deny from any prefix 169.254.0.0/16 prefixlen>= 16
>>>>> deny from any prefix 192.0.2.0/24 prefixlen>= 24
>>>>> deny from any prefix 224.0.0.0/4 prefixlen>= 4
>>>>> deny from any prefix 240.0.0.0/4 prefixlen>=
>>>> Dei uma procurada mas ainda não consegui entender como eles funcionam.
>>>> Alguém com experiência e um pouco de paciência pode exclare-los de forma
>>>> mais clara.
>>>>
>>>> Grato desde já a todos pela atenção.
>>>> Obrigado.
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
Eu diria depende muito do cenário....
se for um ISP provendo serviços inclusive a outros ISPs e com tráfego 
significativo o melhor a fazer é alocar todos os recursos do roteador 
OpenBGP para rotear pacotes o mais rápido possível e aí filtrar só mesmo 
pacotes dirigidos ao IP do host pra serviços como ssh e outros e deixar 
com que o sistema de firewall resolva a situação mas o pacote já foi 
entregue....Tenho casos onde simplesmente não existe firewall no 
roteador OpenBGP pois o tráfego bate na casa dos 500Mbps em momentos de 
pico e ai todos os recursos tem que estar disponíveis na sua plenitude e 
quanto mais rapido rotear o pacote melhor.
Se for um usuário final, mesmo rodando BGP ai sim pode colocar junto um 
firewall completo incluindo até controle de banda via ALTQ uma vez que 
os requisitos este caso são diferentes.
De qualquer forma não existe uma solução única e especial que se aplica 
sempre. Depende muito de seu cenário, quantos pps vc processa, número de 
interrupçoes por segundo geradas pelas placas de rede, chaveamento de 
contexto, etc, etc ....
Existem situações que não ter firewall pode ajudar se a performance for 
um requisito.



-- 
Cordialmente,

Ricardo Ferreira
Telecom, Tecnologia e Segurança da Informação
CCDP, CCNP, CCDA, CCNA, MCSE, MCP
-------------------------------------------------------------------
Sotech Soluções Tecnologicas
Rua da Alfazema, 761, 1o. andar - 102/103
41820-710 - Caminho das Árvores - Salvador-BA - Brasil
Tel : 55 71 3472.9400 Cel : 55 71 9138 4630

Email:ricardo.ferreira em sotechdatacenter.com.br
Site: www.sotechdatacenter.com.br


Esta mensagem é dirigida apenas ao seu destinatário e pode conter
informações confidenciais, não passíveis de divulgação nos termos da
legislação em vigor. Caso tenha recebido esta mensagem por engano,
solicitamos notificar a Sotech Soluções Tecnológicas e excluí-la de sua
caixa postal.

This message, including its attachments, may contain confidential
information. If you have improperly received this message, please delete
it from your system and notify immediately the sender. Any form of
utilization, reproduction, forward, alteration, distribution and/or
disclosure of this content in whole or in part, without the prior written
authorization of the sender, is strictly prohibited. Thanks for your
cooperation.

-------------- Próxima Parte ----------
Um anexo não texto foi limpo...
Nome  : ricardo_ferreira.vcf
Tipo  : text/x-vcard
Tam   : 463 bytes
Descr.: não disponível
Url   : http://www.fug.com.br/historico/html/freebsd/attachments/20120402/b0b917bf/attachment.vcf 


Mais detalhes sobre a lista de discussão freebsd