[BPF] RES: RES: Novos Conteúdos na Wiki do BPF

Daniel Damito contato em danieldamito.com.br
Quinta Julho 4 12:20:36 -03 2019


As duas formas são possíveis e funcionais, como vocês disseram mesmo.
Sobre a justificativa de colocarem na interface, Arthur, eu entendo que
isso seja apenas para fins organizacionais na *maioria dos casos*, pois
para um administrador de redes leigo é mais fácil entender quais IPs de
CGNAT estão naquele BRAS/NAT Server. Distribui as rotas conectadas no IGP,
adiciona elas numa loopback e manda ver.
Na minha opinião:



*IPs na interface de loopbackPrós:*
- Facilidade de identificação para os administradores mais leigos;
- Funciona como esperado, visto que neste modelo se distribui as rotas do
tipo "connected" no IGP;

*Contras:*
- Abre margem para que o equipamento seja acessível externamente por aquele
IP *ou *cria a necessidade de se refinar as ACLs;

*Rotas estáticas para a blackhole:*

*Prós:*
- Funciona como esperado, visto que neste modelo se distribui as rotas do
tipo "static" no IGP;
- Você pode abandonar o uso de IPs públicos no próprio BRAS/NAT Server,
diminuindo a necessidade de ACLs refinadas neste equipamento;

*Contras:*
- A pessoa que não entende talvez fique confusa sobre quais IPs são usados
para CGNat naquele equipamento.

Em qua, 3 de jul de 2019 às 16:22, Marcelo Gondim via bpf <
bpf em listas.brasilpeeringforum.org> escreveu:

>
>
>
> ---------- Forwarded message ----------
> From: Marcelo Gondim <gondim em linuxinfo.com.br>
> To: bpf em listas.brasilpeeringforum.org
> Cc:
> Bcc:
> Date: Wed, 3 Jul 2019 16:22:32 -0300
> Subject: Re: RES: RES: [BPF] Novos Conteúdos na Wiki do BPF
> Modifiquei o artigo do CGNAT para adicionar:
>
> Se não quiser trabalhar com os IPs públicos nas interfaces virtuais
> dummy, basta substituir a linha "*/sbin/ip addr add 192.0.0.0/32 dev
> dummy0 &> /dev/null*" por "*/sbin/ip route add blackhole 192.0.0.0/32*"
> ou se houverem mais IPs, por exemplo, "*/sbin/ip route add blackhole
> 192.0.0.0/27"*.Isso é para proteção contra static-loops, já que não
> teremos mais os IPs públicos carregados, e deve ser feito para todos os
> prefixos públicos usados na caixa CGNAT.
>
> Assim pode agradar à todos os gostos rsrsrsrs
>
> Em 03/07/2019 14:55, arthur.bernardes1 em gmail.com escreveu:
> > Entendi, está dizendo um loop estático, certo? Pra isso eu coloco os IPs
> de tradução em blackhole, e hoje funciona que é uma maravilha. Mas ficarei
> atento nisso.
> >
> > []'s
> >
> > Atenciosamente,
> >
> > Arthur Bernardes
> >
> >
> > -----Mensagem original-----
> > De: Marcelo Gondim [mailto:gondim em linuxinfo.com.br]
> > Enviada em: quarta-feira, 3 de julho de 2019 14:55
> > Para: bpf em listas.brasilpeeringforum.org
> > Assunto: Re: RES: [BPF] Novos Conteúdos na Wiki do BPF
> >
> > Analisando aqui Arthur,
> >
> > Do jeito que você está fazendo, você pode sofrer um outro tipo de ataque
> ao meu ver. Veja:
> >
> > Quando temos IPs nas interfaces virtuais, qualquer pacotes que cheguem
> ali pra um daqueles IPs, ou eles vão entrar no NAT para o assinante ou vão
> morrer ali, quando não forem um pacote TCP ou UDP.  Mas se você não tem os
> IPs, pode-se injetar pacotes tipo icmp ou outros de outros protocolos nessa
> subrede do CGNAT e eles ficarem fazendo ping pong com o router da frente,
> até expirar o pacote e isso não é bom pra segurança também. Exatamente o
> mesmo efeito de concentradores PPPoE quando não tem blackholes definidos
> pros prefixos em uso. Quando isso acontece o pacote bate no concentrador
> PPPoE e se aquele IP não estiver conectado, o pacote retorna ao router e do
> router retorna ao concentrador PPPoE e fica nisso até expirar.
> >
> > Tendo em vista isso, prefiro manter os IPs nas interfaces virtuais mesmo.
> >
> > Em 03/07/2019 13:18, arthur.bernardes1 em gmail.com escreveu:
> >> Boas, Gondim.
> >>
> >> Na verdade minha curiosidade é em saber qual a justificativa em
> adicionar o IP em alguma interface.
> >>
> >>
> >> Hoje faço CGNAT sem precisar criar os IPs públicos de tradução em
> nenhuma interface, simplesmente jogo numa blackhole.
> >>
> >> Penso que adicionar os IPs em interfaces ativas é abrir mais espaço
> para falhas de segurança, e consequentemente exige mais mão de obra no
> quesito segurança.
> >>
> >> Atenciosamente,
> >>
> >> Arthur Bernardes
> >>
> >> -----Mensagem original-----
> >> De: Marcelo Gondim [mailto:gondim em linuxinfo.com.br] Enviada em:
> >> quarta-feira, 3 de julho de 2019 12:47
> >> Para: bpf em listas.brasilpeeringforum.org
> >> Assunto: Re: [BPF] Novos Conteúdos na Wiki do BPF
> >>
> >> Buenas Arthur,
> >>
> >> No comando que coloco como exemplo do /etc/rc.local:
> >>
> >> /sbin/ip addr add 192.0.0.0/32 dev dummy0 &> /dev/null
> >>
> >> Não estou criando o IP no /dev/null e sim na interface virtual dummy0.
> >> O  trecho "&> /dev/null" quer dizer que estou enviando as mensagens da
> saída padrão para /dev/null. Esse trecho não irá afetar o funcionamento.
> >> Se você quiser remover pode fazê-lo.
> >>
> >> []´s
> >>
> >> Gondim
> >>> -------- Mensagem original --------
> >>> Subject:    Re: [BPF] Novos Conteúdos na Wiki do BPF
> >>> Date:       Tue, 02 Jul 2019 23:25:24 -0300
> >>> From:       arthur.bernardes1 <arthur.bernardes1 em gmail.com>
> >>> To:         Fernando Frediani <fhfrediani em gmail.com>,
> >>> bpf em listas.brasilpeeringforum.org
> >>>
> >>>
> >>>
> >>> Aproveitando o conteúdo do CGNAT, lanço uma questão no ar:
> >>>
> >>> Qual a justificativa de se adicionar um IP público numa interface
> >>> (mesmo que /dev/null) pra fazer a tradução?
> >>>
> >>>
> >>>
> >>> Enviado do meu smartphone Samsung Galaxy.
> >>>
> >>> -------- Mensagem original --------
> >>> De : Fernando Frediani <fhfrediani em gmail.com>
> >>> Data: 02/07/2019 12:34 (GMT-03:00)
> >>> Para: bpf em listas.brasilpeeringforum.org
> >>> Assunto: [BPF] Novos Conteúdos na Wiki do BPF
> >>>
> >>> Bom dia a todos.
> >>>
> >>> Acredito que muitos aqui na lista seguem ou leem os posts fo BPF no
> >>> Facebook e mensagens no Telegram, alguns dos lugares onde divulgamos
> >>> novos artigos publicados pela comunidade, mas para aqueles que não
> >>> utilizam estas redes sociais segue abaixo uma lista do últimos
> >>> Artigos, Howtos e Tutoriais publicados para leitura de todos.
> >>>
> >>> MANRS <https://wiki.brasilpeeringforum.org/w/MANRS> - Passo a passo
> >>> de como cumprir todos os requisitos do MANRS e para se ter um Sistema
> >>> Autônomo e uma Internet mais segura - por Marcelo Gondim Diferenca
> >>> entre AS-OVERRIDE e ALLOWAS-IN
> >>> <https://wiki.brasilpeeringforum.org/w/Diferenca_entre_AS-OVERRIDE_e_
> >>> A
> >>> LLOWAS-IN>
> >>>
> >>> - Explicação básica sobre a diferença entre os dois mecanismos
> >>> anti-loop do protocolo BGP - por Daniel Damito e Humberto Galiza
> >>> Acesso via IPv6 Link-Local
> >>> <https://wiki.brasilpeeringforum.org/w/Acesso_via_IPv6_Link-Local> -
> >>> Uma maneira de acessar equipamentos via IPv6 Link-Local em caso de
> >>> perda de conectividade por IPv4  - por Marcelo Gondim Boas Práticas
> >>> para a Proteção de Roteadores e Switches
> >>> <https://wiki.brasilpeeringforum.org/w/Boas_Praticas_para_Protecao_de
> >>> _
> >>> Roteadores_e_Switches>
> >>>
> >>> - Artigo que dissemina várias áreas de atenção e práticas para o
> >>> aumento da segurança da rede do Provedor - Por Leonardo Furtado CGNAT
> >>> na prática <https://wiki.brasilpeeringforum.org/w/CGNAT_na_pratica> -
> >>> Tutorial sobre como configurar um servidor Linux com netfilter para
> >>> CGNAT com ajustes de configurações voltadas para performance - por
> >>> Marcelo Gondim Como Consultar e Corrigir a Geolocalização de IPs
> >>> <https://wiki.brasilpeeringforum.org/w/Como_consultar_e_corrigir_a_ge
> >>> o
> >>> localizacao_de_seus_IPs>
> >>>
> >>> - Tutorial explicando como consultar e corrigir as informações de
> >>> geolocalização de alocações de um ASN - por Daniel Damito
> >>> Desmistificando o CGNAT <https://www.youtube.com/watch?v=fy4efZZ-yvg>
> >>> - Hangout realizado para debater o assunto e desmistificar esta
> >>> necessidade dos ISPs. Durante a conversa foram abordadas boas
> >>> práticas, diferentes modelos de CGNAT, problemas com Jogos e um case
> >>> prático. - por Uesley Corea, Fernando Frediani, Douglas Fischer,
> >>> Leonardo Furtado e Marcelo Gondim
> >>>
> >>> Aproveito a oportunidade para convidar os colegas a escreverem novos
> >>> artigos, howtos ou tutoriais na Wiki. Para quem nunca escreveu é algo
> >>> bastante simples, existem instruções com diretrizes para auxiliar e
> >>> eu pessoalmente posso ajudar no primeiro artigo. Também importante
> >>> citar que não há necessidade de ser um artigo complexo nem nada
> >>> parecido com um manual.
> >>> Apenas um material que seja útil para a comunidade. Se existe alguma
> >>> questão ou ponto que você vê que é reiteradamente perguntado em
> >>> grupos ou que aconteceu com você e alguns conhecidos e você pode
> >>> disponibilizar a informação publicamente tudo isso ajuda a fazer uma
> >>> Internet mais segura além de melhorar o conhecimento técnico. Entre
> >>> em contato em particular se você possuir um assunto em mente.
> >>>
> >>> Saudações
> >>> Fernando Frediani
> >>>
> >>> _______________________________________________
> >>> bpf mailing list
> >>> bpf em listas.brasilpeeringforum.org
> >>> https://listas.brasilpeeringforum.org/mailman/listinfo/bpf
> >>
>
>
>
>
> ---------- Forwarded message ----------
> From: Marcelo Gondim via bpf <bpf em listas.brasilpeeringforum.org>
> To: bpf em listas.brasilpeeringforum.org
> Cc:
> Bcc:
> Date: Wed,  3 Jul 2019 16:22:43 -0300 (-03)
> Subject: Re: [BPF] RES: RES:  Novos Conteúdos na Wiki do BPF
> _______________________________________________
> bpf mailing list
> bpf em listas.brasilpeeringforum.org
> https://listas.brasilpeeringforum.org/mailman/listinfo/bpf
>


-- 

*Atenciosamente,Daniel Damito*


More information about the bpf mailing list