[BPF] RES: RES: Novos Conteúdos na Wiki do BPF

arthur.bernardes1 em gmail.com arthur.bernardes1 em gmail.com
Quarta Julho 3 14:55:07 -03 2019 

Entendi, está dizendo um loop estático, certo? Pra isso eu coloco os IPs de tradução em blackhole, e hoje funciona que é uma maravilha. Mas ficarei atento nisso.

[]'s

Atenciosamente,

Arthur Bernardes


-----Mensagem original-----
De: Marcelo Gondim [mailto:gondim em linuxinfo.com.br] 
Enviada em: quarta-feira, 3 de julho de 2019 14:55
Para: bpf em listas.brasilpeeringforum.org
Assunto: Re: RES: [BPF] Novos Conteúdos na Wiki do BPF

Analisando aqui Arthur,

Do jeito que você está fazendo, você pode sofrer um outro tipo de ataque ao meu ver. Veja:

Quando temos IPs nas interfaces virtuais, qualquer pacotes que cheguem ali pra um daqueles IPs, ou eles vão entrar no NAT para o assinante ou vão morrer ali, quando não forem um pacote TCP ou UDP.  Mas se você não tem os IPs, pode-se injetar pacotes tipo icmp ou outros de outros protocolos nessa subrede do CGNAT e eles ficarem fazendo ping pong com o router da frente, até expirar o pacote e isso não é bom pra segurança também. Exatamente o mesmo efeito de concentradores PPPoE quando não tem blackholes definidos pros prefixos em uso. Quando isso acontece o pacote bate no concentrador PPPoE e se aquele IP não estiver conectado, o pacote retorna ao router e do router retorna ao concentrador PPPoE e fica nisso até expirar.

Tendo em vista isso, prefiro manter os IPs nas interfaces virtuais mesmo.

Em 03/07/2019 13:18, arthur.bernardes1 em gmail.com escreveu:
> Boas, Gondim.
>
> Na verdade minha curiosidade é em saber qual a justificativa em adicionar o IP em alguma interface.
>
>
> Hoje faço CGNAT sem precisar criar os IPs públicos de tradução em nenhuma interface, simplesmente jogo numa blackhole.
>
> Penso que adicionar os IPs em interfaces ativas é abrir mais espaço para falhas de segurança, e consequentemente exige mais mão de obra no quesito segurança.
>
> Atenciosamente,
>
> Arthur Bernardes
>
> -----Mensagem original-----
> De: Marcelo Gondim [mailto:gondim em linuxinfo.com.br] Enviada em: 
> quarta-feira, 3 de julho de 2019 12:47
> Para: bpf em listas.brasilpeeringforum.org
> Assunto: Re: [BPF] Novos Conteúdos na Wiki do BPF
>
> Buenas Arthur,
>
> No comando que coloco como exemplo do /etc/rc.local:
>
> /sbin/ip addr add 192.0.0.0/32 dev dummy0 &> /dev/null
>
> Não estou criando o IP no /dev/null e sim na interface virtual dummy0.
> O  trecho "&> /dev/null" quer dizer que estou enviando as mensagens da saída padrão para /dev/null. Esse trecho não irá afetar o funcionamento.
> Se você quiser remover pode fazê-lo.
>
> []´s
>
> Gondim
>> -------- Mensagem original --------
>> Subject: 	Re: [BPF] Novos Conteúdos na Wiki do BPF
>> Date: 	Tue, 02 Jul 2019 23:25:24 -0300
>> From: 	arthur.bernardes1 <arthur.bernardes1 em gmail.com>
>> To: 	Fernando Frediani <fhfrediani em gmail.com>,
>> bpf em listas.brasilpeeringforum.org
>>
>>
>>
>> Aproveitando o conteúdo do CGNAT, lanço uma questão no ar:
>>
>> Qual a justificativa de se adicionar um IP público numa interface 
>> (mesmo que /dev/null) pra fazer a tradução?
>>
>>
>>
>> Enviado do meu smartphone Samsung Galaxy.
>>
>> -------- Mensagem original --------
>> De : Fernando Frediani <fhfrediani em gmail.com>
>> Data: 02/07/2019 12:34 (GMT-03:00)
>> Para: bpf em listas.brasilpeeringforum.org
>> Assunto: [BPF] Novos Conteúdos na Wiki do BPF
>>
>> Bom dia a todos.
>>
>> Acredito que muitos aqui na lista seguem ou leem os posts fo BPF no 
>> Facebook e mensagens no Telegram, alguns dos lugares onde divulgamos 
>> novos artigos publicados pela comunidade, mas para aqueles que não 
>> utilizam estas redes sociais segue abaixo uma lista do últimos 
>> Artigos, Howtos e Tutoriais publicados para leitura de todos.
>>
>> MANRS <https://wiki.brasilpeeringforum.org/w/MANRS> - Passo a passo 
>> de como cumprir todos os requisitos do MANRS e para se ter um Sistema 
>> Autônomo e uma Internet mais segura - por Marcelo Gondim Diferenca 
>> entre AS-OVERRIDE e ALLOWAS-IN 
>> <https://wiki.brasilpeeringforum.org/w/Diferenca_entre_AS-OVERRIDE_e_
>> A
>> LLOWAS-IN>
>>
>> - Explicação básica sobre a diferença entre os dois mecanismos 
>> anti-loop do protocolo BGP - por Daniel Damito e Humberto Galiza 
>> Acesso via IPv6 Link-Local 
>> <https://wiki.brasilpeeringforum.org/w/Acesso_via_IPv6_Link-Local> - 
>> Uma maneira de acessar equipamentos via IPv6 Link-Local em caso de 
>> perda de conectividade por IPv4  - por Marcelo Gondim Boas Práticas 
>> para a Proteção de Roteadores e Switches 
>> <https://wiki.brasilpeeringforum.org/w/Boas_Praticas_para_Protecao_de
>> _
>> Roteadores_e_Switches>
>>
>> - Artigo que dissemina várias áreas de atenção e práticas para o 
>> aumento da segurança da rede do Provedor - Por Leonardo Furtado CGNAT 
>> na prática <https://wiki.brasilpeeringforum.org/w/CGNAT_na_pratica> - 
>> Tutorial sobre como configurar um servidor Linux com netfilter para 
>> CGNAT com ajustes de configurações voltadas para performance - por 
>> Marcelo Gondim Como Consultar e Corrigir a Geolocalização de IPs 
>> <https://wiki.brasilpeeringforum.org/w/Como_consultar_e_corrigir_a_ge
>> o
>> localizacao_de_seus_IPs>
>>
>> - Tutorial explicando como consultar e corrigir as informações de 
>> geolocalização de alocações de um ASN - por Daniel Damito 
>> Desmistificando o CGNAT <https://www.youtube.com/watch?v=fy4efZZ-yvg>
>> - Hangout realizado para debater o assunto e desmistificar esta 
>> necessidade dos ISPs. Durante a conversa foram abordadas boas 
>> práticas, diferentes modelos de CGNAT, problemas com Jogos e um case 
>> prático. - por Uesley Corea, Fernando Frediani, Douglas Fischer, 
>> Leonardo Furtado e Marcelo Gondim
>>
>> Aproveito a oportunidade para convidar os colegas a escreverem novos 
>> artigos, howtos ou tutoriais na Wiki. Para quem nunca escreveu é algo 
>> bastante simples, existem instruções com diretrizes para auxiliar e 
>> eu pessoalmente posso ajudar no primeiro artigo. Também importante 
>> citar que não há necessidade de ser um artigo complexo nem nada 
>> parecido com um manual.
>> Apenas um material que seja útil para a comunidade. Se existe alguma 
>> questão ou ponto que você vê que é reiteradamente perguntado em 
>> grupos ou que aconteceu com você e alguns conhecidos e você pode 
>> disponibilizar a informação publicamente tudo isso ajuda a fazer uma 
>> Internet mais segura além de melhorar o conhecimento técnico. Entre 
>> em contato em particular se você possuir um assunto em mente.
>>
>> Saudações
>> Fernando Frediani
>>
>> _______________________________________________
>> bpf mailing list
>> bpf em listas.brasilpeeringforum.org
>> https://listas.brasilpeeringforum.org/mailman/listinfo/bpf
>
>

More information about the bpf mailing list