Bonjour, Une petite question en marge de ce débat : avez-vous des peers qui en plus de filtrer les annonces BGP, vous font une ACL en entrée de leur réseau et n'acceptent que les réseaux que vous leur avez déclarés, pour ce qui est des flux de chez vous vers chez eux ?
Moi j'ai un peer dans ce cas, à chaque nouveau préfixe ça me pose problème. Faudrait-il refuser le préfixe du nouveau client tant que les peers n'ont pas tous confirmé la prise en compte ? C'est ingérable si tout le monde fait ça. Et franchement, c'est difficile de les blâmer. Il me semble qu'il serait plus correct que chacun ait cette ACL d'antispoofing chez lui, mais ça je pense que c'est un voeu pieu... Bertrand -----Message d'origine----- De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Thomas Mangin Envoyé : mercredi 17 novembre 2010 20:29 À : Michel Py Cc : Raphael Maunier; frnog Objet : Re: [FRnOG] Re: Hijacked the Internet > Question bête: > En France, quand on peer avec (ou qu'on revend du transit à) un petit FAI, > est-il courant de limiter le nombre de préfixes annoncés par le peer en > question? (proportionnel à sa taille) Soit tu bloques par une combinaison d' AS_PATH, de prefixes, ou de max-prefix . Les FAI qui font leur boulot génèrent des filtres depuis les bases des donnees des registrar (RIPE, ..). Mais dans la liste des choses que tout le monde devrait faire. En sortie: - bloquer les prefix plus petit qu'un /24 (evite de passer son IGP a son peer) - bloquer les block d'IP des RFC 1918 et autres - bloquer toutes les AS_PATH avec ses fournisseur de transit, ca évite le donner gratuitement a ses peers. - tagger toutes ses routes de transit en entree et les filtrer en sortie - tagger toutes ses routes de peers en entree et les filter en sortie - tagger toutes ses routes de CLIENTS en entree et les laisser passer en sortie. - ne pas envoyer les IP des LAN des IX En Entree : - refuser un route par default - bloquer les prefix plus petit qu'un /24 - bloquer les block d'IP des RFC 1918 et autres - bloquer toutes les AS_PATH avec un T1 en tete - un peer n'offre du transit gratuit que quand il a une fuite !! - utiliser max-prefix avec ses peers pour ne pas accepter une fuite de leur part - ne pas accepter les IP des LAN des IX Les configs Juniper qui font ca : http://thomas.mangin.com/data/pdf/Linx%2057%20-%20Mangin%20-%20BGP%20Leak.pdf Thomas --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
