<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:"Segoe UI Symbol";
panose-1:2 11 5 2 4 2 4 2 2 3;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman",serif;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
p.msonormal0, li.msonormal0, div.msonormal0
{mso-style-name:msonormal;
mso-margin-top-alt:auto;
margin-right:0cm;
mso-margin-bottom-alt:auto;
margin-left:0cm;
font-size:12.0pt;
font-family:"Times New Roman",serif;}
span.EstiloDeEmail18
{mso-style-type:personal-reply;
font-family:"Calibri",sans-serif;
color:#2A6BA6;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=PT-BR link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2A6BA6;mso-fareast-language:EN-US'>Boa noite a todos <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2A6BA6;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2A6BA6;mso-fareast-language:EN-US'>O fish kkkk<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2A6BA6;mso-fareast-language:EN-US'>Para usar blackhole você vai ter que receber o /32 via community e não realizar a validação do RPKI ou se quiser validar basta não descartar o invalido ou desconhecido <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2A6BA6;mso-fareast-language:EN-US'>Hoje eu faço assim <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2A6BA6;mso-fareast-language:EN-US'>Cliente que quer me anunciar um /32 na minha blackhole ele me anunciar com uma community ai no IN do bgp eu não valido o RPKI simplesmente pego o que recebo na community e mando pra blackhole <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2A6BA6;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2A6BA6;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2A6BA6;mso-fareast-language:EN-US'> <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2A6BA6;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'><b><span style='font-family:"Calibri",sans-serif;color:#2A6BA6'>Atenciosamente,</span></b><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2A6BA6'><o:p></o:p></span></p><table class=MsoNormalTable border=0 cellspacing=0 cellpadding=0 width=0 style='width:465.5pt;margin-left:1.8pt;border-collapse:collapse'><tr style='height:41.95pt'><td width=170 valign=top style='width:123.75pt;border:none;border-right:solid #8DBAE2 1.5pt;padding:0cm 1.4pt 0cm 1.4pt;height:41.95pt'><p class=MsoNormal align=center style='text-align:center;vertical-align:top'><sub><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2A6BA6'><br><img width=160 height=53 style='width:1.6666in;height:.55in' id="Imagem_x0020_1" src="cid:image003.png@01D5E382.663AF090" alt=logo-n><o:p></o:p></span></sub></p></td><td width=450 valign=top style='width:327.0pt;padding:0cm 5.4pt 0cm 5.4pt;height:41.95pt'><p class=MsoNormal><b><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2A6BA6'>Bruno Benatto Adacheski</span></b><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2A6BA6'> <br>CIO Diretor TI <br>Rua Professor Amálio Pinheiro , 20 – Guarapuava/PR - 85015-440<br>http://www.datafibra.com.br <br>(42) 3036-6151 - (42) 3622-8199 <o:p></o:p></span></p></td></tr></table><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2A6BA6'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2A6BA6;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><b><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>De:</span></b><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'> bpf <bpf-bounces@listas.brasilpeeringforum.org> <b>Em nome de </b>Douglas Fischer<br><b>Enviada em:</b> sexta-feira, 14 de fevereiro de 2020 21:45<br><b>Para:</b> Latin America and Caribbean Region Network Operators Group <lacnog@lacnic.net>; Grupo de Trabalho de Engenharia e Operacao de Redes <gter@eng.registro.br>; bpf@listas.brasilpeeringforum.org; Renato Ornelas (Open X) <renato@openx.com.br><br><b>Assunto:</b> Re: [BPF] [lacnog] Prefixos de Black Hole - Validação de Origem - Should i Break RPKI?<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Olá Bernardo!<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Grato pela resposta.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Considerando os momentos de desespero que se vive em uma situação de ataques avançados, e a velocidade necessária para ação de resposta para isso (Ex.: Um carpet bomb com variação de 5 minutos), a ideia de esperar a propagação de um novo ROA de um /32 ou /128 acaba sendo descartada...<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Sim, estou ciente da existência de somente 3 possíveis respostas:<br>4300:0:0 Valid - Unknow 4300:0:1 - Invalid 4300:0:2.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>A minha ideia nesse comentário foi ventilar uma proposição de revisão do protocolo, onde seria informado também a motivação de se ter classificado como Invalid determinada rota.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> Exemplos: - Validade expirada,<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> - ASN de Origem divergente,<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> - Mascara muito longa,<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> - Mascara muito curta.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Sim, sei que é uma ideia ousada... E já coloquei ela de lado.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Mas tenho certeza que assim como eu, outros possam estar também preocupados em como fazer uma filtragens de prefixos de BlackHole com responsabilidade e segurança.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>E essa talvez teria sido uma solução viável.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><br>Com relação a se utilizar a base de prefixos de IRRs está perto do inconcebível!<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>No último IX-Fórum em São Paulo eu e o <a href="mailto:renato@openx.com.br" id=plusReplyChip-1>@Renato Ornelas (Open X)</a> fizemos uma apresentação[1] sobre quão suja e reduntante(no sentido RUIM da palavra) estão essas bases de IRR públicas de prefixos.<br>Foram analisados somente os prefixos delegados pelo <a href="http://NIC.BR">NIC.BR</a>.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>O Renato mantém um script fazendo essa mesma análise e gerando um CSV diáriamente[2] do resumo da análise.<br>É REVOLTANTE e ENTRISTECEDOR ver as quantidade de sujeira e bagunça que empresas como as listadas abaixo estão fazendo com as bases de IRR:<br> - EMIX-AS8966(by China Telecom)<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> - NEUSTAR-AS7786<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> - INTERNEXA-AS18678<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> - NEXUSGUARD-AS45474<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> - G8-AS28329<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>[1] <a href="https://youtu.be/riax2Yxhhpo">https://youtu.be/riax2Yxhhpo</a><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>[2] <a href="https://irr.openx.com.br/csv/ox-irr-check-latest.csv">https://irr.openx.com.br/csv/ox-irr-check-latest.csv</a><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>[3] <a href="https://docs.google.com/spreadsheets/d/1XxUI2_JcKgkg5CniRi1E3ieEu9HgRJCfYfaH3hTIaHg/edit?usp=sharing">https://docs.google.com/spreadsheets/d/1XxUI2_JcKgkg5CniRi1E3ieEu9HgRJCfYfaH3hTIaHg/edit?usp=sharing</a><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Como vou validar origem de prefixos de BlackHole?<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>-------------------------------------------------<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Estou decidido a usar as ROA do RPKI como base de validação.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Ainda não temos certeza de como vamos proceder... Mas já achei um outro maluco para trabalharmos juntos.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>O Mais provável que desenvolvamos alguma ferramenta(conjunto de scripts) que usará um RTR client para ler algum Validador de RPKI, e injetar isso de alguma forma numa Engine de IRR (provável IRRd4).<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>A princípio o objetivo é que cada um tenha sua própria base RPKI-to-IRR privada, considerando que essa ferramenta(Scripts) será OpenSource.<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-family:"Courier New"'>Mas a ideia de criar um repositório público disso não está descartada.<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><div><p class=MsoNormal>Em sex., 14 de fev. de 2020 às 09:44, Bernardo Soares <<a href="mailto:bsoares.it@gmail.com">bsoares.it@gmail.com</a>> escreveu:<o:p></o:p></p></div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm'><div><p class=MsoNormal>Douglas, bom dia.<o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Um prefixo pode ter apenas 3 estados de validacao:<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Invalid: Anunciado por outro AS, ou um prefixo mais especifico do que o permitido.<o:p></o:p></p></div><div><p class=MsoNormal>Valid: Anuncio valido<o:p></o:p></p></div><div><p class=MsoNormal>Unknown: Anuncio nao esta coberto por um ROA valido<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Caso seu cliente tenha registrado o ROA para o bloco <a href="http://200.3.12.0/22-24" target="_blank">200.3.12.0/22-24</a>, qualquer /32 anunciado sera INVALIDO (como voce mesmo disse). <o:p></o:p></p></div><div><p class=MsoNormal>Neste caso, <b><u>acredito</u></b> que somente duas alternativas sao possiveis:<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>- efetuar uma tratativa deste especifico + community, validacao IRR, etc (o que pode nao ser a melhor forma, pelos motivos que foram mencionados)<o:p></o:p></p></div><div><p class=MsoNormal>- solicitar ao cliente o registro de um ROA para cobrir estes especificos. Seja com max-length 32/128 em um ROA existente ou criar um ROA para cada /32 ou /128.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Neste segundo metodo, a validacao vai se aplicar normalmente e os prefixos serao validos do ponto de vista de BOV.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Att,<o:p></o:p></p></div><div><p class=MsoNormal><br clear=all><o:p></o:p></p><div><div><div><div><div><div><div><div><div><div><div><div><div><p class=MsoNormal><b><span style='font-size:10.0pt'>Bernardo</span></b><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div><p class=MsoNormal><o:p> </o:p></p><div><div><p class=MsoNormal>On Thu, Feb 13, 2020 at 11:44 PM Tomas Lynch <<a href="mailto:tomas.lynch@gmail.com" target="_blank">tomas.lynch@gmail.com</a>> wrote:<o:p></o:p></p></div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm'><div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Entonces el script deberia ser:<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>if /32 then<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> prefix = search_less_specific(/32)<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> if asn(prefix) == asn(/32) then<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> if validate(prefix) then<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> propagate(/32)<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> else call_the_fbi()<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Dime si sigo sin comprender!! Soy un novato con RPKI!<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><div><p class=MsoNormal>On Thu, Feb 13, 2020 at 6:50 PM Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com" target="_blank">fischerdouglas@gmail.com</a>> wrote:<o:p></o:p></p></div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm'><div><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-family:"Courier New"'>Olá Tomas.<br>Antes de mais nada, obrigado pela resposta!<br><br>Bem, eu acho que na verdade fui eu que não consegui me expressar adequadamente.<br>Então vou tentar com exemplos práticos.</span><o:p></o:p></p><div><p class=MsoNormal><span style='font-family:"Courier New"'>- Imagine que o Lacnic é meu cliente trânsito(</span><span style='font-family:"Segoe UI Symbol",sans-serif'>😎</span><span style='font-family:"Courier New"'>)...</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>- E que por algum motivo, algum de meus Peers ou outros Downstreams esteja originando um ataque volumétrico para o <a href="http://www.lacnic.net" target="_blank">www.lacnic.net</a> [200.3.14.184].<br>- E depois de já terem esgotado as outras possibilidades com scrubing ou FlowSpec eles resolvam meter um BlackHole <a href="http://200.3.14.184/32" target="_blank">200.3.14.184/32</a> na sessão com meu ISP.<br>- Eu quero ser o tipo de cara que faz o trabalho de casa corretamente.</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>- A primeira coisa vou fazer é verificar se o prefixo que estou recebendo passa nas validações</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>A máscara estará em /32 Então -> OK</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>E e o ASN de Origem, como eu valido?</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> As bases de IRRs estão VERGONHOSAMENTE sujas. -> Não dá para confiar!</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> Qual a MELHOR base de dados para validação de Origem? -> RPKI!</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> Só que se eu tentar mandar o prefixo <a href="http://200.3.14.184/32" target="_blank">200.3.14.184/32</a> para validar</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> contra a ROA do LACNIC[1], vou receber a resposta INVALID.</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> Apesar de <a href="http://200.3.14.184/32" target="_blank">200.3.14.184/32</a> estar contido em <a href="http://200.3.12.0/22-24" target="_blank">200.3.12.0/22-24</a>,</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> a resposta será somente "INVALID".</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> Se existisse uma esposta complementar do estilo</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> "INVALID BY MASK", eu poderia considerar que:</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> IF Black-Hole AND /32 AND "INVALID BY MASK" -> Accept</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Estou considerando criar uma base de IRR privada, e injetar nela todas as ROAs de todos os RIRs.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Mas ainda estou amadurecendo a ideia.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>[1] rsync://<a href="http://repository.lacnic.net/rpki/lacnic/622c0c28-cc7d-421d-b45b-9ac2b7ced209/626e2d6316910390610ef5e3a9058a3b17a1b0b7.roa" target="_blank">repository.lacnic.net/rpki/lacnic/622c0c28-cc7d-421d-b45b-9ac2b7ced209/626e2d6316910390610ef5e3a9058a3b17a1b0b7.roa</a><o:p></o:p></span></p></div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><div><div><p class=MsoNormal>Em qui., 13 de fev. de 2020 às 11:53, Tomas Lynch <<a href="mailto:tomas.lynch@gmail.com" target="_blank">tomas.lynch@gmail.com</a>> escreveu:<o:p></o:p></p></div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm'><div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Douglas,<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Puede ser que no entienda bien el problema pero ¿por qué no agregar "orlonger" o similar en los prefix-list? Si bien el ROA no tendrá nada mayor a /24, tu puedes agregar el keyword indicado y aceptar los (/32|/128). Incluso podrías hacer algo como por ejemplo (Juniper style):<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>from {<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> route-filter <a href="http://192.0.2.0/24" target="_blank">192.0.2.0/24</a> exact<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> route-filter <a href="http://192.0.2.0/24" target="_blank">192.0.2.0/24</a> prefix-length-range /32-/32<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> }<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>then { accept }<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>¿Es esto lo que buscas?<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Tomas<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><div><p class=MsoNormal>On Wed, Feb 12, 2020 at 5:32 PM Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com" target="_blank">fischerdouglas@gmail.com</a>> wrote:<o:p></o:p></p></div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm'><div><p class=MsoNormal>Como?<o:p></o:p></p><div><p class=MsoNormal>Vou tirar as informações de onde?<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><span style='font-family:"Arial",sans-serif'>A ideia de uma base estática de prefixos aceitos está proibida dentro da empresa!</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Arial",sans-serif'>Nada que não seja dinâmico e alterável pelo próprio cliente.</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>A base do NRO não contempla todas as possíveis origens válidas.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>A Base do RPKi seria perfeita para validar origem(a mais segura de todas), mas quebra a análise por causa da máscara muito longa.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><div><p class=MsoNormal>Em qua, 12 de fev de 2020 16:48, Luis Balbinot <<a href="mailto:luis@luisbalbinot.com" target="_blank">luis@luisbalbinot.com</a>> escreveu:<o:p></o:p></p></div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm'><div><div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm'><div><div><div><div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Então pensei em "Quebrar um pouco" o protocolo RPKI.<o:p></o:p></span></p></div></div></div></div></div></blockquote><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Talvez o melhor seja tu quebrar um pouco teu script e tratar exceções nele.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Luis<o:p></o:p></p></div></div></div><p class=MsoNormal>_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></p></blockquote></div><p class=MsoNormal>_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></p></blockquote></div><p class=MsoNormal>_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></p></blockquote></div><p class=MsoNormal><br clear=all><br>-- <o:p></o:p></p><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New"'>Douglas Fernando Fischer<br>Engº de Controle e Automação</span><o:p></o:p></p></div></div><p class=MsoNormal>_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></p></blockquote></div><p class=MsoNormal>_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></p></blockquote></div><p class=MsoNormal>_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></p></blockquote></div><p class=MsoNormal><br clear=all><br>-- <o:p></o:p></p><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New"'>Douglas Fernando Fischer<br>Engº de Controle e Automação</span><o:p></o:p></p></div></div></body></html>