Re: RES: [BPF] Novos Conteúdos na Wiki do BPF
Marcelo Gondim
gondim em linuxinfo.com.br
Quarta Julho 3 14:55:27 -03 2019
Analisando aqui Arthur,
Do jeito que você está fazendo, você pode sofrer um outro tipo de ataque
ao meu ver. Veja:
Quando temos IPs nas interfaces virtuais, qualquer pacotes que cheguem
ali pra um daqueles IPs, ou eles vão entrar no NAT para o assinante ou
vão morrer ali, quando não forem um pacote TCP ou UDP. Mas se você não
tem os IPs, pode-se injetar pacotes tipo icmp ou outros de outros
protocolos nessa subrede do CGNAT e eles ficarem fazendo ping pong com o
router da frente, até expirar o pacote e isso não é bom pra segurança
também. Exatamente o mesmo efeito de concentradores PPPoE quando não tem
blackholes definidos pros prefixos em uso. Quando isso acontece o pacote
bate no concentrador PPPoE e se aquele IP não estiver conectado, o
pacote retorna ao router e do router retorna ao concentrador PPPoE e
fica nisso até expirar.
Tendo em vista isso, prefiro manter os IPs nas interfaces virtuais mesmo.
Em 03/07/2019 13:18, arthur.bernardes1 em gmail.com escreveu:
> Boas, Gondim.
>
> Na verdade minha curiosidade é em saber qual a justificativa em adicionar o IP em alguma interface.
>
>
> Hoje faço CGNAT sem precisar criar os IPs públicos de tradução em nenhuma interface, simplesmente jogo numa blackhole.
>
> Penso que adicionar os IPs em interfaces ativas é abrir mais espaço para falhas de segurança, e consequentemente exige mais mão de obra no quesito segurança.
>
> Atenciosamente,
>
> Arthur Bernardes
>
> -----Mensagem original-----
> De: Marcelo Gondim [mailto:gondim em linuxinfo.com.br]
> Enviada em: quarta-feira, 3 de julho de 2019 12:47
> Para: bpf em listas.brasilpeeringforum.org
> Assunto: Re: [BPF] Novos Conteúdos na Wiki do BPF
>
> Buenas Arthur,
>
> No comando que coloco como exemplo do /etc/rc.local:
>
> /sbin/ip addr add 192.0.0.0/32 dev dummy0 &> /dev/null
>
> Não estou criando o IP no /dev/null e sim na interface virtual dummy0.
> O trecho "&> /dev/null" quer dizer que estou enviando as mensagens da saída padrão para /dev/null. Esse trecho não irá afetar o funcionamento.
> Se você quiser remover pode fazê-lo.
>
> []´s
>
> Gondim
>> -------- Mensagem original --------
>> Subject: Re: [BPF] Novos Conteúdos na Wiki do BPF
>> Date: Tue, 02 Jul 2019 23:25:24 -0300
>> From: arthur.bernardes1 <arthur.bernardes1 em gmail.com>
>> To: Fernando Frediani <fhfrediani em gmail.com>,
>> bpf em listas.brasilpeeringforum.org
>>
>>
>>
>> Aproveitando o conteúdo do CGNAT, lanço uma questão no ar:
>>
>> Qual a justificativa de se adicionar um IP público numa interface
>> (mesmo que /dev/null) pra fazer a tradução?
>>
>>
>>
>> Enviado do meu smartphone Samsung Galaxy.
>>
>> -------- Mensagem original --------
>> De : Fernando Frediani <fhfrediani em gmail.com>
>> Data: 02/07/2019 12:34 (GMT-03:00)
>> Para: bpf em listas.brasilpeeringforum.org
>> Assunto: [BPF] Novos Conteúdos na Wiki do BPF
>>
>> Bom dia a todos.
>>
>> Acredito que muitos aqui na lista seguem ou leem os posts fo BPF no
>> Facebook e mensagens no Telegram, alguns dos lugares onde divulgamos
>> novos artigos publicados pela comunidade, mas para aqueles que não
>> utilizam estas redes sociais segue abaixo uma lista do últimos
>> Artigos, Howtos e Tutoriais publicados para leitura de todos.
>>
>> MANRS <https://wiki.brasilpeeringforum.org/w/MANRS> - Passo a passo de
>> como cumprir todos os requisitos do MANRS e para se ter um Sistema
>> Autônomo e uma Internet mais segura - por Marcelo Gondim Diferenca
>> entre AS-OVERRIDE e ALLOWAS-IN
>> <https://wiki.brasilpeeringforum.org/w/Diferenca_entre_AS-OVERRIDE_e_A
>> LLOWAS-IN>
>>
>> - Explicação básica sobre a diferença entre os dois mecanismos
>> anti-loop do protocolo BGP - por Daniel Damito e Humberto Galiza
>> Acesso via IPv6 Link-Local
>> <https://wiki.brasilpeeringforum.org/w/Acesso_via_IPv6_Link-Local> -
>> Uma maneira de acessar equipamentos via IPv6 Link-Local em caso de
>> perda de conectividade por IPv4 - por Marcelo Gondim Boas Práticas
>> para a Proteção de Roteadores e Switches
>> <https://wiki.brasilpeeringforum.org/w/Boas_Praticas_para_Protecao_de_
>> Roteadores_e_Switches>
>>
>> - Artigo que dissemina várias áreas de atenção e práticas para o
>> aumento da segurança da rede do Provedor - Por Leonardo Furtado CGNAT
>> na prática <https://wiki.brasilpeeringforum.org/w/CGNAT_na_pratica> -
>> Tutorial sobre como configurar um servidor Linux com netfilter para
>> CGNAT com ajustes de configurações voltadas para performance - por
>> Marcelo Gondim Como Consultar e Corrigir a Geolocalização de IPs
>> <https://wiki.brasilpeeringforum.org/w/Como_consultar_e_corrigir_a_geo
>> localizacao_de_seus_IPs>
>>
>> - Tutorial explicando como consultar e corrigir as informações de
>> geolocalização de alocações de um ASN - por Daniel Damito
>> Desmistificando o CGNAT <https://www.youtube.com/watch?v=fy4efZZ-yvg>
>> - Hangout realizado para debater o assunto e desmistificar esta
>> necessidade dos ISPs. Durante a conversa foram abordadas boas
>> práticas, diferentes modelos de CGNAT, problemas com Jogos e um case
>> prático. - por Uesley Corea, Fernando Frediani, Douglas Fischer,
>> Leonardo Furtado e Marcelo Gondim
>>
>> Aproveito a oportunidade para convidar os colegas a escreverem novos
>> artigos, howtos ou tutoriais na Wiki. Para quem nunca escreveu é algo
>> bastante simples, existem instruções com diretrizes para auxiliar e eu
>> pessoalmente posso ajudar no primeiro artigo. Também importante citar
>> que não há necessidade de ser um artigo complexo nem nada parecido com
>> um manual.
>> Apenas um material que seja útil para a comunidade. Se existe alguma
>> questão ou ponto que você vê que é reiteradamente perguntado em grupos
>> ou que aconteceu com você e alguns conhecidos e você pode
>> disponibilizar a informação publicamente tudo isso ajuda a fazer uma
>> Internet mais segura além de melhorar o conhecimento técnico. Entre em
>> contato em particular se você possuir um assunto em mente.
>>
>> Saudações
>> Fernando Frediani
>>
>> _______________________________________________
>> bpf mailing list
>> bpf em listas.brasilpeeringforum.org
>> https://listas.brasilpeeringforum.org/mailman/listinfo/bpf
>
>
More information about the bpf
mailing list