Dosazitelnost BGP routeru

Dan Lukes dan at obluda.cz
Sun Feb 7 20:52:42 CET 2016


On 7.2.2016 20:23, Zbyněk Burget wrote:
> Jde mi o situaci, kdy na routeru budu treba chtit udelat upgrade.
> Nebo si nechavat posilat denni vypisy na e-mail, kde mailserver by byl
> vne site (tohle asi nenastane)
> Nebo synchronizace casu pres NTP

No ona ta RFC5963 nerika, ze neroutovatelnou adresu mit musis. Tam 
pisou, ze IXP se muze rozhodnout takovou pouzit ve snaze omezit DoS 
utoky na tvuj router. A zminuji tam, ze pak ten router nebude verejne 
dostupny (coz neprekvapi, kdyz je to cil te konfigurace).

Takze bud' ho musis presvedcit, ze si ochranu proti DoS neprejes a chces 
globalne routovanou adresu, nebo musis jednotlivy ulohy resit individualne.

Radu veci dokazes celkem prirozene vyresit tim, ze komunikaci routeru 
budes smerovat na server ve svy vlastni siti. Tim vyresis jak odesilani 
emailu tak casovou synchronizaci (stejne mas urcite ve svy siti nejakej 
NTP server pro svy klienty).

Takze z jmenovanejch veci zustava uz jen ten upgrade. Tam ti poradit 
nejde, nebo netusim jakym zpusobem ho delas. Stahnout .iso image s 
pomoci FTP (k pozdejsimu namountovani a upgrade) treba problem neni, ftp 
ma option '-s' taky.

Samozrejme, muzes delat i jiny kouzla - treba si hrat s NATem, i kdyz to 
by u TCP klientu a serveru nemelo byt nutny, prinejmensim u tech, ktery 
umoznujou rict, ktera z IP adres stroje se ma pouzit.

NATem nevyresis IPv6, bindovanim zas typicky nevyresis UDP. No, mas 
proste stroj, jehoz vnejsi adresa nepatri do verejnyho IP prostoru - to 
ma ruzny reseni, ale jenom jedno opravdu obecny. Sehnat si verejnou 
adresu ;-)

> Proste mi prijde divne, kdyz router nema konektivitu do internetu :-)

No to ale neni proto, ze ji mit nesmi. To je proto, ze jste si z moznych 
reseni vybrali takove, ktere je bezpecnejsi - ale omezujici (jak uz to 
tak s bezpecnosti typicky byva).

Zkuz si dohodnout, at ti nejakou routovatelnou adresu da. Treba jako 
"druhou".

Dan



> Zbyněk Burget
> Mlýnská 397
> 798 26 Nezamyslice
>
> tel: 588 580 000, 739 930 931
> http://www.burgnet.cz
> IČ:  606 88 220; DIČ: CZ7210184674
>
> Dne 7. 2. 2016 v 19:52 Dan Lukes napsal(a):
>> On 7.2.2016 19:12, Zbyněk Burget wrote:
>>> Postavili a zprovoznili jsme BGP router. Od ISP jsme pro nej dostali IP
>>> adresy (IPv4 i IPv6) z IXP prefixu, ktere nejsou routovane nikam dal do
>>> internetu, podle doporuceni RFC 5963.
>>
>>> Ma nekdo z vas nejaky napad, jak donutit FBSD, aby packety odchazely s
>>> IP adresami vnitrniho rozhrani toho edge routeru? Nebo jak to resit?
>>
>> Router preci jen preposila pakety, ktery odnekud prijal. Takze typicky v
>> komunikaci, ktera z nej odchazi do Internetu nebude zadna jeho IP adresa.
>>
>> Jeho adresa tam muze byt tak maximalne u jeho vlastni komunikace - a
>> router jako takovy sam o sobe zadnou vlastni komunikaci nema. Ledaze na
>> nem soucasne provozujes jeste nejaky dalsi sluzby.
>>
>> Co se klientu, ktere bys z nej pripadne mohl poustet, tam se vec, na
>> kterou se ptas, nastavuje v kazde konkretni aplikaci jinak, teda, kdyz
>> to vubec jde.
>>
>> Treba u telnetu je to option '-s'
>>
>>
>> Dan
>>
>>
>>
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>





More information about the Users-l mailing list