
<div dir="auto">Sim meu caro!<div dir="auto"><br></div><div dir="auto">E se o teu downstream te enviar <a href="http://8.8.8.8/32">8.8.8.8/32</a> como BlackHole? Você aceita?</div><div dir="auto"><br></div><div dir="auto">E você testa isso como?</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Em sex, 14 de fev de 2020 22:02, Bruno DataFibra Telecom <<a href="mailto:bruno@datafibra.com.br" target="_blank" rel="noreferrer">bruno@datafibra.com.br</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="PT-BR" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2a6ba6">Boa noite a todos <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2a6ba6"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2a6ba6">O fish kkkk<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2a6ba6">Para usar blackhole  você vai ter que receber o /32 via community  e não realizar a validação do RPKI ou se quiser validar  basta não descartar o invalido ou desconhecido <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2a6ba6">Hoje eu faço assim <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2a6ba6">Cliente que quer me anunciar um /32 na minha blackhole ele me anunciar com uma community   ai no IN do bgp eu não valido  o RPKI simplesmente pego o que recebo na community e mando pra blackhole <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2a6ba6"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2a6ba6"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2a6ba6"> <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2a6ba6"><u></u> <u></u></span></p><p class="MsoNormal" style="margin-bottom:12.0pt"><b><span style="font-family:"Calibri",sans-serif;color:#2a6ba6">Atenciosamente,</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2a6ba6"><u></u><u></u></span></p><table border="0" cellspacing="0" cellpadding="0" width="0" style="width:465.5pt;margin-left:1.8pt;border-collapse:collapse"><tr style="height:41.95pt"><td width="170" valign="top" style="width:123.75pt;border:none;border-right:solid #8dbae2 1.5pt;padding:0cm 1.4pt 0cm 1.4pt;height:41.95pt"><p class="MsoNormal" align="center" style="text-align:center;vertical-align:top"><sub><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2a6ba6"><br><img width="160" height="53" style="width:1.6666in;height:.55in" id="m_6915834125618308430m_540199575627380295Imagem_x0020_1" src="cid:image003.png@01D5E382.663AF090" alt="logo-n"><u></u><u></u></span></sub></p></td><td width="450" valign="top" style="width:327.0pt;padding:0cm 5.4pt 0cm 5.4pt;height:41.95pt"><p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2a6ba6">Bruno Benatto Adacheski</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2a6ba6"> <br>CIO Diretor TI <br>Rua Professor Amálio Pinheiro , 20 – Guarapuava/PR - 85015-440<br><a href="http://www.datafibra.com.br" rel="noreferrer noreferrer" target="_blank">http://www.datafibra.com.br</a> <br>(42) 3036-6151 - (42) 3622-8199 <u></u><u></u></span></p></td></tr></table><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2a6ba6"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#2a6ba6"><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">De:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> bpf <<a href="mailto:bpf-bounces@listas.brasilpeeringforum.org" rel="noreferrer noreferrer" target="_blank">bpf-bounces@listas.brasilpeeringforum.org</a>> <b>Em nome de </b>Douglas Fischer<br><b>Enviada em:</b> sexta-feira, 14 de fevereiro de 2020 21:45<br><b>Para:</b> Latin America and Caribbean Region Network Operators Group <<a href="mailto:lacnog@lacnic.net" rel="noreferrer noreferrer" target="_blank">lacnog@lacnic.net</a>>; Grupo de Trabalho de Engenharia e Operacao de Redes <<a href="mailto:gter@eng.registro.br" rel="noreferrer noreferrer" target="_blank">gter@eng.registro.br</a>>; <a href="mailto:bpf@listas.brasilpeeringforum.org" rel="noreferrer noreferrer" target="_blank">bpf@listas.brasilpeeringforum.org</a>; Renato Ornelas (Open X) <<a href="mailto:renato@openx.com.br" rel="noreferrer noreferrer" target="_blank">renato@openx.com.br</a>><br><b>Assunto:</b> Re: [BPF] [lacnog] Prefixos de Black Hole - Validação de Origem - Should i Break RPKI?<u></u><u></u></span></p><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal"><span style="font-family:"Courier New"">Olá Bernardo!<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">Grato pela resposta.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">Considerando os momentos de desespero que se vive em uma situação de ataques avançados, e a velocidade necessária para ação de resposta para isso (Ex.: Um carpet bomb com variação de 5 minutos), a ideia de esperar a propagação de um novo ROA de um /32 ou /128 acaba sendo descartada...<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">Sim, estou ciente da existência de somente 3 possíveis respostas:<br>4300:0:0 Valid - Unknow 4300:0:1 - Invalid 4300:0:2.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">A minha ideia nesse comentário foi ventilar uma proposição de revisão do protocolo, onde seria informado também a motivação de se ter classificado como Invalid determinada rota.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">  Exemplos: - Validade expirada,<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">            - ASN de Origem divergente,<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">            - Mascara muito longa,<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">            - Mascara muito curta.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">Sim, sei que é uma ideia ousada... E já coloquei ela de lado.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">Mas tenho certeza que assim como eu, outros possam estar também preocupados em como fazer uma filtragens de prefixos de BlackHole com responsabilidade e segurança.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">E essa talvez teria sido uma solução viável.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><br>Com relação a se utilizar a base de prefixos de IRRs está perto do inconcebível!<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">No último IX-Fórum em São Paulo eu e o <a href="mailto:renato@openx.com.br" id="m_6915834125618308430m_540199575627380295plusReplyChip-1" rel="noreferrer noreferrer" target="_blank">@Renato Ornelas (Open X)</a> fizemos uma apresentação[1] sobre quão suja e reduntante(no sentido RUIM da palavra) estão essas bases de IRR públicas de prefixos.<br>Foram analisados somente os prefixos delegados pelo <a href="http://NIC.BR" rel="noreferrer noreferrer" target="_blank">NIC.BR</a>.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">O Renato mantém um script fazendo essa mesma análise e gerando um CSV diáriamente[2] do resumo da análise.<br>É REVOLTANTE e ENTRISTECEDOR ver as quantidade de sujeira e bagunça que empresas como as listadas abaixo estão fazendo com as bases de IRR:<br> - EMIX-AS8966(by China Telecom)<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""> - NEUSTAR-AS7786<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""> - INTERNEXA-AS18678<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""> - NEXUSGUARD-AS45474<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""> - G8-AS28329<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">[1] <a href="https://youtu.be/riax2Yxhhpo" rel="noreferrer noreferrer" target="_blank">https://youtu.be/riax2Yxhhpo</a><u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">[2] <a href="https://irr.openx.com.br/csv/ox-irr-check-latest.csv" rel="noreferrer noreferrer" target="_blank">https://irr.openx.com.br/csv/ox-irr-check-latest.csv</a><u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">[3] <a href="https://docs.google.com/spreadsheets/d/1XxUI2_JcKgkg5CniRi1E3ieEu9HgRJCfYfaH3hTIaHg/edit?usp=sharing" rel="noreferrer noreferrer" target="_blank">https://docs.google.com/spreadsheets/d/1XxUI2_JcKgkg5CniRi1E3ieEu9HgRJCfYfaH3hTIaHg/edit?usp=sharing</a><u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">Como vou validar origem de prefixos de BlackHole?<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">-------------------------------------------------<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">Estou decidido a usar as ROA do RPKI como base de validação.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">Ainda não temos certeza de como vamos proceder... Mas já achei um outro maluco para trabalharmos juntos.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">O Mais provável que desenvolvamos alguma ferramenta(conjunto de scripts) que usará um RTR client para ler algum Validador de RPKI, e injetar isso de alguma forma numa Engine de IRR (provável IRRd4).<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">A princípio o objetivo é que cada um tenha sua própria base RPKI-to-IRR privada, considerando que essa ferramenta(Scripts) será OpenSource.<u></u><u></u></span></p></div><div><p class="MsoNormal" style="margin-bottom:12.0pt"><span style="font-family:"Courier New"">Mas a ideia de criar um repositório público disso não está descartada.<u></u><u></u></span></p></div></div><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">Em sex., 14 de fev. de 2020 às 09:44, Bernardo Soares <<a href="mailto:bsoares.it@gmail.com" rel="noreferrer noreferrer" target="_blank">bsoares.it@gmail.com</a>> escreveu:<u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm"><div><p class="MsoNormal">Douglas, bom dia.<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Um prefixo pode ter apenas 3 estados de validacao:<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Invalid: Anunciado por outro AS, ou um prefixo mais especifico do que o permitido.<u></u><u></u></p></div><div><p class="MsoNormal">Valid: Anuncio valido<u></u><u></u></p></div><div><p class="MsoNormal">Unknown: Anuncio nao esta coberto por um ROA valido<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Caso seu cliente tenha registrado o ROA para o bloco <a href="http://200.3.12.0/22-24" rel="noreferrer noreferrer" target="_blank">200.3.12.0/22-24</a>, qualquer /32 anunciado sera INVALIDO (como voce mesmo disse). <u></u><u></u></p></div><div><p class="MsoNormal">Neste caso, <b><u>acredito</u></b> que somente duas alternativas sao possiveis:<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">- efetuar uma tratativa deste especifico + community, validacao IRR, etc (o que pode nao ser a melhor forma, pelos motivos que foram mencionados)<u></u><u></u></p></div><div><p class="MsoNormal">- solicitar ao cliente o registro de um ROA para cobrir estes especificos. Seja com max-length 32/128 em um ROA existente ou criar um ROA para cada /32 ou /128.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Neste segundo metodo, a validacao vai se aplicar normalmente e os prefixos serao validos do ponto de vista de BOV.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Att,<u></u><u></u></p></div><div><p class="MsoNormal"><br clear="all"><u></u><u></u></p><div><div><div><div><div><div><div><div><div><div><div><div><div><p class="MsoNormal"><b><span style="font-size:10.0pt">Bernardo</span></b><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">On Thu, Feb 13, 2020 at 11:44 PM Tomas Lynch <<a href="mailto:tomas.lynch@gmail.com" rel="noreferrer noreferrer" target="_blank">tomas.lynch@gmail.com</a>> wrote:<u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm"><div><div><p class="MsoNormal"><span style="font-family:"Courier New"">Entonces el script deberia ser:<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">if /32 then<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">    prefix = search_less_specific(/32)<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">    if asn(prefix) == asn(/32) then<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">        if validate(prefix) then<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">            propagate(/32)<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">        else call_the_fbi()<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">Dime si sigo sin comprender!! Soy un novato con RPKI!<u></u><u></u></span></p></div></div><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">On Thu, Feb 13, 2020 at 6:50 PM Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com" rel="noreferrer noreferrer" target="_blank">fischerdouglas@gmail.com</a>> wrote:<u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm"><div><p class="MsoNormal" style="margin-bottom:12.0pt"><span style="font-family:"Courier New"">Olá Tomas.<br>Antes de mais nada, obrigado pela resposta!<br><br>Bem, eu acho que na verdade fui eu que não consegui me expressar adequadamente.<br>Então vou tentar com exemplos práticos.</span><u></u><u></u></p><div><p class="MsoNormal"><span style="font-family:"Courier New"">- Imagine que o Lacnic é meu cliente trânsito(</span><span style="font-family:"Segoe UI Symbol",sans-serif">😎</span><span style="font-family:"Courier New"">)...</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">- E que por algum motivo, algum de meus Peers ou outros Downstreams esteja originando um ataque volumétrico para o <a href="http://www.lacnic.net" rel="noreferrer noreferrer" target="_blank">www.lacnic.net</a> [200.3.14.184].<br>- E depois de já terem esgotado as outras possibilidades com scrubing ou FlowSpec eles resolvam meter um BlackHole <a href="http://200.3.14.184/32" rel="noreferrer noreferrer" target="_blank">200.3.14.184/32</a> na sessão com meu ISP.<br>- Eu quero ser o tipo de cara que faz o trabalho de casa corretamente.</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">- A primeira coisa vou fazer é verificar se o prefixo que estou recebendo passa nas validações</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">A máscara estará em /32 Então -> OK</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">E e o ASN de Origem, como eu valido?</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">  As bases de IRRs estão VERGONHOSAMENTE sujas. -> Não dá para confiar!</span><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">  Qual a MELHOR base de dados para validação de Origem? -> RPKI!</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">  Só que se eu tentar mandar o prefixo <a href="http://200.3.14.184/32" rel="noreferrer noreferrer" target="_blank">200.3.14.184/32</a> para validar</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">  contra a ROA do LACNIC[1], vou receber a resposta INVALID.</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">  Apesar de <a href="http://200.3.14.184/32" rel="noreferrer noreferrer" target="_blank">200.3.14.184/32</a> estar contido em <a href="http://200.3.12.0/22-24" rel="noreferrer noreferrer" target="_blank">200.3.12.0/22-24</a>,</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">  a resposta será somente "INVALID".</span><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">  Se existisse uma esposta complementar do estilo</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">  "INVALID BY MASK", eu poderia considerar que:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">  IF Black-Hole AND /32 AND "INVALID BY MASK" -> Accept</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">Estou considerando criar uma base de IRR privada, e injetar nela todas as ROAs de todos os RIRs.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">Mas ainda estou amadurecendo a ideia.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">[1] rsync://<a href="http://repository.lacnic.net/rpki/lacnic/622c0c28-cc7d-421d-b45b-9ac2b7ced209/626e2d6316910390610ef5e3a9058a3b17a1b0b7.roa" rel="noreferrer noreferrer" target="_blank">repository.lacnic.net/rpki/lacnic/622c0c28-cc7d-421d-b45b-9ac2b7ced209/626e2d6316910390610ef5e3a9058a3b17a1b0b7.roa</a><u></u><u></u></span></p></div><p class="MsoNormal" style="margin-bottom:12.0pt"><u></u> <u></u></p><div><div><p class="MsoNormal">Em qui., 13 de fev. de 2020 às 11:53, Tomas Lynch <<a href="mailto:tomas.lynch@gmail.com" rel="noreferrer noreferrer" target="_blank">tomas.lynch@gmail.com</a>> escreveu:<u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm"><div><div><p class="MsoNormal"><span style="font-family:"Courier New"">Douglas,<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">Puede ser que no entienda bien el problema pero ¿por qué no agregar "orlonger" o similar en los prefix-list? Si bien el ROA no tendrá nada mayor a /24, tu puedes agregar el keyword indicado y aceptar los (/32|/128). Incluso podrías hacer algo como por ejemplo (Juniper style):<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">from {<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">    route-filter <a href="http://192.0.2.0/24" rel="noreferrer noreferrer" target="_blank">192.0.2.0/24</a> exact<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">    route-filter <a href="http://192.0.2.0/24" rel="noreferrer noreferrer" target="_blank">192.0.2.0/24</a> prefix-length-range /32-/32<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">    }<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">then { accept }<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">¿Es esto lo que buscas?<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New""><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-family:"Courier New"">Tomas<u></u><u></u></span></p></div></div><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">On Wed, Feb 12, 2020 at 5:32 PM Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com" rel="noreferrer noreferrer" target="_blank">fischerdouglas@gmail.com</a>> wrote:<u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm"><div><p class="MsoNormal">Como?<u></u><u></u></p><div><p class="MsoNormal">Vou tirar as informações de onde?<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Arial",sans-serif">A ideia de uma base estática de prefixos aceitos está proibida dentro da empresa!</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Nada que não seja dinâmico e alterável pelo próprio cliente.</span><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">A base do NRO não contempla todas as possíveis origens válidas.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">A Base do RPKi seria perfeita para validar origem(a mais segura de todas), mas quebra a análise por causa da máscara muito longa.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div></div><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">Em qua, 12 de fev de 2020 16:48, Luis Balbinot <<a href="mailto:luis@luisbalbinot.com" rel="noreferrer noreferrer" target="_blank">luis@luisbalbinot.com</a>> escreveu:<u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm"><div><div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm"><div><div><div><div><div><p class="MsoNormal"><span style="font-family:"Courier New"">Então pensei em "Quebrar um pouco" o protocolo RPKI.<u></u><u></u></span></p></div></div></div></div></div></blockquote><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Talvez o melhor seja tu quebrar um pouco teu script e tratar exceções nele.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Luis<u></u><u></u></p></div></div></div><p class="MsoNormal">_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" rel="noreferrer noreferrer" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><u></u><u></u></p></blockquote></div><p class="MsoNormal">_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" rel="noreferrer noreferrer" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><u></u><u></u></p></blockquote></div><p class="MsoNormal">_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" rel="noreferrer noreferrer" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><u></u><u></u></p></blockquote></div><p class="MsoNormal"><br clear="all"><br>-- <u></u><u></u></p><div><p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New"">Douglas Fernando Fischer<br>Engº de Controle e Automação</span><u></u><u></u></p></div></div><p class="MsoNormal">_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" rel="noreferrer noreferrer" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><u></u><u></u></p></blockquote></div><p class="MsoNormal">_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" rel="noreferrer noreferrer" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><u></u><u></u></p></blockquote></div><p class="MsoNormal">_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" rel="noreferrer noreferrer" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><u></u><u></u></p></blockquote></div><p class="MsoNormal"><br clear="all"><br>-- <u></u><u></u></p><div><p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New"">Douglas Fernando Fischer<br>Engº de Controle e Automação</span><u></u><u></u></p></div></div></div></blockquote></div>