Re: RES: RES: [BPF] Novos Conteúdos na Wiki do BPF

Marcelo Gondim gondim em linuxinfo.com.br
Quarta Julho 3 16:22:32 -03 2019


Modifiquei o artigo do CGNAT para adicionar:

Se não quiser trabalhar com os IPs públicos nas interfaces virtuais 
dummy, basta substituir a linha "*/sbin/ip addr add 192.0.0.0/32 dev 
dummy0 &> /dev/null*" por "*/sbin/ip route add blackhole 192.0.0.0/32*" 
ou se houverem mais IPs, por exemplo, "*/sbin/ip route add blackhole 
192.0.0.0/27"*.Isso é para proteção contra static-loops, já que não 
teremos mais os IPs públicos carregados, e deve ser feito para todos os 
prefixos públicos usados na caixa CGNAT.

Assim pode agradar à todos os gostos rsrsrsrs

Em 03/07/2019 14:55, arthur.bernardes1 em gmail.com escreveu:
> Entendi, está dizendo um loop estático, certo? Pra isso eu coloco os IPs de tradução em blackhole, e hoje funciona que é uma maravilha. Mas ficarei atento nisso.
>
> []'s
>
> Atenciosamente,
>
> Arthur Bernardes
>
>
> -----Mensagem original-----
> De: Marcelo Gondim [mailto:gondim em linuxinfo.com.br]
> Enviada em: quarta-feira, 3 de julho de 2019 14:55
> Para: bpf em listas.brasilpeeringforum.org
> Assunto: Re: RES: [BPF] Novos Conteúdos na Wiki do BPF
>
> Analisando aqui Arthur,
>
> Do jeito que você está fazendo, você pode sofrer um outro tipo de ataque ao meu ver. Veja:
>
> Quando temos IPs nas interfaces virtuais, qualquer pacotes que cheguem ali pra um daqueles IPs, ou eles vão entrar no NAT para o assinante ou vão morrer ali, quando não forem um pacote TCP ou UDP.  Mas se você não tem os IPs, pode-se injetar pacotes tipo icmp ou outros de outros protocolos nessa subrede do CGNAT e eles ficarem fazendo ping pong com o router da frente, até expirar o pacote e isso não é bom pra segurança também. Exatamente o mesmo efeito de concentradores PPPoE quando não tem blackholes definidos pros prefixos em uso. Quando isso acontece o pacote bate no concentrador PPPoE e se aquele IP não estiver conectado, o pacote retorna ao router e do router retorna ao concentrador PPPoE e fica nisso até expirar.
>
> Tendo em vista isso, prefiro manter os IPs nas interfaces virtuais mesmo.
>
> Em 03/07/2019 13:18, arthur.bernardes1 em gmail.com escreveu:
>> Boas, Gondim.
>>
>> Na verdade minha curiosidade é em saber qual a justificativa em adicionar o IP em alguma interface.
>>
>>
>> Hoje faço CGNAT sem precisar criar os IPs públicos de tradução em nenhuma interface, simplesmente jogo numa blackhole.
>>
>> Penso que adicionar os IPs em interfaces ativas é abrir mais espaço para falhas de segurança, e consequentemente exige mais mão de obra no quesito segurança.
>>
>> Atenciosamente,
>>
>> Arthur Bernardes
>>
>> -----Mensagem original-----
>> De: Marcelo Gondim [mailto:gondim em linuxinfo.com.br] Enviada em:
>> quarta-feira, 3 de julho de 2019 12:47
>> Para: bpf em listas.brasilpeeringforum.org
>> Assunto: Re: [BPF] Novos Conteúdos na Wiki do BPF
>>
>> Buenas Arthur,
>>
>> No comando que coloco como exemplo do /etc/rc.local:
>>
>> /sbin/ip addr add 192.0.0.0/32 dev dummy0 &> /dev/null
>>
>> Não estou criando o IP no /dev/null e sim na interface virtual dummy0.
>> O  trecho "&> /dev/null" quer dizer que estou enviando as mensagens da saída padrão para /dev/null. Esse trecho não irá afetar o funcionamento.
>> Se você quiser remover pode fazê-lo.
>>
>> []´s
>>
>> Gondim
>>> -------- Mensagem original --------
>>> Subject: 	Re: [BPF] Novos Conteúdos na Wiki do BPF
>>> Date: 	Tue, 02 Jul 2019 23:25:24 -0300
>>> From: 	arthur.bernardes1 <arthur.bernardes1 em gmail.com>
>>> To: 	Fernando Frediani <fhfrediani em gmail.com>,
>>> bpf em listas.brasilpeeringforum.org
>>>
>>>
>>>
>>> Aproveitando o conteúdo do CGNAT, lanço uma questão no ar:
>>>
>>> Qual a justificativa de se adicionar um IP público numa interface
>>> (mesmo que /dev/null) pra fazer a tradução?
>>>
>>>
>>>
>>> Enviado do meu smartphone Samsung Galaxy.
>>>
>>> -------- Mensagem original --------
>>> De : Fernando Frediani <fhfrediani em gmail.com>
>>> Data: 02/07/2019 12:34 (GMT-03:00)
>>> Para: bpf em listas.brasilpeeringforum.org
>>> Assunto: [BPF] Novos Conteúdos na Wiki do BPF
>>>
>>> Bom dia a todos.
>>>
>>> Acredito que muitos aqui na lista seguem ou leem os posts fo BPF no
>>> Facebook e mensagens no Telegram, alguns dos lugares onde divulgamos
>>> novos artigos publicados pela comunidade, mas para aqueles que não
>>> utilizam estas redes sociais segue abaixo uma lista do últimos
>>> Artigos, Howtos e Tutoriais publicados para leitura de todos.
>>>
>>> MANRS <https://wiki.brasilpeeringforum.org/w/MANRS> - Passo a passo
>>> de como cumprir todos os requisitos do MANRS e para se ter um Sistema
>>> Autônomo e uma Internet mais segura - por Marcelo Gondim Diferenca
>>> entre AS-OVERRIDE e ALLOWAS-IN
>>> <https://wiki.brasilpeeringforum.org/w/Diferenca_entre_AS-OVERRIDE_e_
>>> A
>>> LLOWAS-IN>
>>>
>>> - Explicação básica sobre a diferença entre os dois mecanismos
>>> anti-loop do protocolo BGP - por Daniel Damito e Humberto Galiza
>>> Acesso via IPv6 Link-Local
>>> <https://wiki.brasilpeeringforum.org/w/Acesso_via_IPv6_Link-Local> -
>>> Uma maneira de acessar equipamentos via IPv6 Link-Local em caso de
>>> perda de conectividade por IPv4  - por Marcelo Gondim Boas Práticas
>>> para a Proteção de Roteadores e Switches
>>> <https://wiki.brasilpeeringforum.org/w/Boas_Praticas_para_Protecao_de
>>> _
>>> Roteadores_e_Switches>
>>>
>>> - Artigo que dissemina várias áreas de atenção e práticas para o
>>> aumento da segurança da rede do Provedor - Por Leonardo Furtado CGNAT
>>> na prática <https://wiki.brasilpeeringforum.org/w/CGNAT_na_pratica> -
>>> Tutorial sobre como configurar um servidor Linux com netfilter para
>>> CGNAT com ajustes de configurações voltadas para performance - por
>>> Marcelo Gondim Como Consultar e Corrigir a Geolocalização de IPs
>>> <https://wiki.brasilpeeringforum.org/w/Como_consultar_e_corrigir_a_ge
>>> o
>>> localizacao_de_seus_IPs>
>>>
>>> - Tutorial explicando como consultar e corrigir as informações de
>>> geolocalização de alocações de um ASN - por Daniel Damito
>>> Desmistificando o CGNAT <https://www.youtube.com/watch?v=fy4efZZ-yvg>
>>> - Hangout realizado para debater o assunto e desmistificar esta
>>> necessidade dos ISPs. Durante a conversa foram abordadas boas
>>> práticas, diferentes modelos de CGNAT, problemas com Jogos e um case
>>> prático. - por Uesley Corea, Fernando Frediani, Douglas Fischer,
>>> Leonardo Furtado e Marcelo Gondim
>>>
>>> Aproveito a oportunidade para convidar os colegas a escreverem novos
>>> artigos, howtos ou tutoriais na Wiki. Para quem nunca escreveu é algo
>>> bastante simples, existem instruções com diretrizes para auxiliar e
>>> eu pessoalmente posso ajudar no primeiro artigo. Também importante
>>> citar que não há necessidade de ser um artigo complexo nem nada
>>> parecido com um manual.
>>> Apenas um material que seja útil para a comunidade. Se existe alguma
>>> questão ou ponto que você vê que é reiteradamente perguntado em
>>> grupos ou que aconteceu com você e alguns conhecidos e você pode
>>> disponibilizar a informação publicamente tudo isso ajuda a fazer uma
>>> Internet mais segura além de melhorar o conhecimento técnico. Entre
>>> em contato em particular se você possuir um assunto em mente.
>>>
>>> Saudações
>>> Fernando Frediani
>>>
>>> _______________________________________________
>>> bpf mailing list
>>> bpf em listas.brasilpeeringforum.org
>>> https://listas.brasilpeeringforum.org/mailman/listinfo/bpf
>>



More information about the bpf mailing list