OK Renato, tem razao. Apos um post la na lista do Quagga uma outra pessoa tambem respondeu exatamente igual ao que voce fez (postei abaixo).
Muito obrigado! Edinilson --------------------------------------------------------- ATINET-Professional Web Hosting Tel Voz: (0xx11) 4412-0876 http://www.atinet.com.br Edinilson - ATINET wrote: > Mr. Steve, I´m using quagga+bgpd on freebsd. > I thing that null0 doesn´t work on freebsd. A few months back, I had extensive issues with using the null interface. It seemed like when I applied a non-existent IP address (ie. an IP that did not belong to a prefix in use on the box) to a null interface, it would not take. nullN would work ok if I was using one of my public IP addresses, but I didn't want to do that. What I ended up doing is thus: # ifconfig disc0 create # ifconfig disc0 192.168.222.1/32 Then, in Quagga, for the bogons session: ip prefix-list CYMRU-OUT seq 5 deny 0.0.0.0/0 le 32 ip community-list 10 permit 65333:888 route-map CYMRU-MAP-IN permit 10 description Null route BOGONS learned from Cymru match community 10 set ip next-hop 192.168.222.1 ...and for my IPv6 null route: ipv6 route 2607:f118::/32 disc0 ...and this seems to work ok. Cheers, Steve ----- Original Message ----- From: "Renato Frederick" <[EMAIL PROTECTED]> To: "'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'" <freebsd@fug.com.br> Sent: Friday, November 28, 2008 11:11 AM Subject: [FUG-BR] RES: RES: Bloco 197/8 Edinilson, Quando eu coloco uma rota para o ip do blackrole pela null0, o quagga aceita, a rota realmente aparece(se eu der um tracert ou ping não responde). De fato, se de qualquer host interno da rede eu der um tracert para o IP que eu fiz o blackhole, ele não passa do firewall. Porém a rota não aparece na tabela bgp, quando eu fizer o route-map, e aí que fica o problema: Se eu digitar um "sh ip bgp" não aparece as rotas para os bogons apontando para o IP blackrole. Daí veja o que eu fiz no freebsd: ##BlackHole cloned_interfaces="disc0" ifconfig_disc0="192.0.2.1 netmask 255.255.255.255" route_blackhole="10.255.255.254/32 192.0.2.1" static_routes="blackhole" a rota "blackhole"acima pode ser substituída dentro do quagga para: ip route 10.255.255.254/32 192.0.2.1 fica a seu critério. Daí eu fiz o route-map: route-map CYMRUBOGONS permit 10 match community 10 set ip next-hop 10.255.255.254 set origin igp Eu achei muito estranho também, afinal um tracert funcionava mas não aparecia no BGP... achei que era erro do meu route-map, etc.. até que achei esta discussão: http://osdir.com/ml/network.quagga.user/2004-10/msg00157.html e achei interessante esta parte: FreeBSD has RTF_BLACKHOLE and RTF_REJECT flags in kernel RIB rtentry which is triggered by 'ip route a.b.c.d/32 Null0' or 'ip route a.b.c.d/32 reject' respectively. Linux also provides blackhole capabilities in the kernel routing subsystem. This is the recommended method. Otherwise, just route to a network hosted by dummy0 or 'software discard' e.g. disc0/ds0 interface. P.S. And yes there was (or is still?) a bug in zeb|Q bgpd that won't resolve recursive routes pointed to "Null0|blackhole|reject" next-hops. But I think there was a recent bug id on that addressing this issue. Aí o "truque" é que o nex-hop nao é a null0 propriamente, mas um IP que por sua vez aponta uma rota para null0 :) > -----Mensagem original----- > De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em > nome de Edinilson - ATINET > Enviada em: sexta-feira, 28 de novembro de 2008 10:51 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunto: Re: [FUG-BR] RES: Bloco 197/8 > Prioridade: Alta > > Caro Renato, eu participo tambem da lista do Quagga e o pessoal la > insiste > que o null0 funciona no freebsd. > Quais problemas voce teve em utilizar o null0 ? > > Obrigado > > Edinilson > --------------------------------------------------------- > ATINET-Professional Web Hosting > Tel Voz: (0xx11) 4412-0876 > http://www.atinet.com.br > > > ----- Original Message ----- > From: "Renato Frederick" <[EMAIL PROTECTED]> > To: "'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'" > <freebsd@fug.com.br> > Sent: Thursday, November 27, 2008 10:21 AM > Subject: [FUG-BR] RES: Bloco 197/8 > > > Edinilson, > > Sim, uso no quagga. > > Primeiro você tem que enviar um email a eles solicitando, no site > explica o > formato.. basicamente é falar que não quer autenticação md5 na > sessão(quagga > não suporta) e passar seu as e o seu ip para o peering. > > Depois é só subir como se fosse uma sessão bgp normal. Como eles usam 2 > peers para a sessão, eu uso peer-group: > > [...] > neighbor cymru-bogon peer-group > neighbor cymru-bogon description BOGUS-SERVER > neighbor cymru-bogon ebgp-multihop 255 > neighbor cymru-bogon update-source lo0 > neighbor cymru-bogon send-community both > neighbor cymru-bogon soft-reconfiguration inbound > neighbor cymru-bogon maximum-prefix 100 90 > neighbor cymru-bogon prefix-list cymru-out out > neighbor cymru-bogon route-map CYMRUBOGONS in > neighbor 200.x.x.x remote-as 65333 > neighbor 200.x.x.x peer-group cymru-bogon > neighbor 208.x.x.x remote-as 65333 > neighbor 208.x8.x.x peer-group cymru-bogon > [...] > > a cymru usa a comunity 65333:888 para enviar a lista de bogus(tem > outras 2 > comunity com mais granularidade, no site fala). > > Entao, basta fazer um Black role para esta comunidade: > > > [...] > ip community-list 10 permit 65333:888 > route-map CYMRUBOGONS permit 10 > match community 10 > set ip next-hop 10.255.255.254 > set local-preference 200 > set origin igp > ! > [...] > > No caso, criei uma rota que entrega o IP 10.255.255.254 para minha > interface > "disc0" no freebsd. > Se fosse cisco você poderia fazer um iproute 10.255.255.254 null0, mas > o > quagga apesar de aceitar o comando, não funciona. > > > Talvez você precise fazer outro routemap para suprimir algumas redes > que > eles te mandam, no meu caso a rede 172.16 pode passar entre meus > roteadores > de borda, então tome cuidado.. :) > > Caso você não faça o ip next-hop e entregue o tráfego para o peers > deles, a > sessão BGP é cancelada. > > No final minha tabela de rotas fica algo assim: > > * 1.0.0.0 10.255.255.254 0 200 0 65333 i > *> 10.255.255.254 0 200 0 65333 i > * 2.0.0.0 10.255.255.254 0 200 0 65333 i > *> 10.255.255.254 0 200 0 65333 i > > E o melhor, atualizam sempre que a IANA aloca uma rede. > > Voltando ao assunto que gerou esta discussão, liberaram o bloco /20 mas > não > deram satisfação de porque bloqueou e nem responderam como fazem para > bloquear, ficou algo bem arbitrário. > > Abraços. > > > > > > -----Mensagem original----- > > De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em > > nome de Edinilson - ATINET > > Enviada em: quinta-feira, 27 de novembro de 2008 09:51 > > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > Assunto: Re: [FUG-BR] Bloco 197/8 > > Prioridade: Alta > > > > Caro Renato, aproveitando o topico: voce utiliza quagga + bgpd no > > Freebsd? > > Se sim, poderia me mandar um exemplo de configuracao do bgpd para > > utilizar > > este servico da Cymru? > > > > Obrigado > > > > Edinilson > > --------------------------------------------------------- > > ATINET-Professional Web Hosting > > Tel Voz: (0xx11) 4412-0876 > > http://www.atinet.com.br > > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd