RE: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-19 Par sujet Michel Py
Bon je revisite ce fil après en avoir parlé en privé :

En n'étant pas tier-1, filtrer les AS privés : oui.
Accepter la route par défaut d'un des fournisseurs de transit : oui aussi, au 
cas-ou.

Est-ce que çà a de l'allure ?

[in English in the text : does it make sense ?]

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-12 Par sujet Jérôme Nicolle

Christophe,

Le 12/06/2018 à 13:16, Christophe LUCAS a écrit :

Bah faut pas que tu sois transitaire pour un ASN sur 2 octets vu :

 add action=accept bgp-as-path=_23456_ chain=bogons-asn


Mikrotik supporte bien les ASN32, cette ligne ne fait que filtrer une 
route dont l'ASN32 n'est pas présent malgré la présence de l'ASN16 de 
transition, ce qui arrive souvent dans un cas de hijack.


Donc ça me semble correct.

@+

--
Jérôme Nicolle
+33 6 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-12 Par sujet Christophe LUCAS
Bonjour,

Bah faut pas que tu sois transitaire pour un ASN sur 2 octets vu : 

add action=accept bgp-as-path=_23456_ chain=bogons-asn

Après je connais pas du tout les Mikrotik...

A plus,
Christophe

- Mail original -
De: "Julien Escario" 
À: frnog@frnog.org
Envoyé: Mardi 12 Juin 2018 12:36:58
Objet: Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

Bonjour,
Pour en terminer avec ce sujet, j'ai repris l'exemple de conf pour IOS publié
par Job, adapté à du Mikrotik.

Les regex sont tellement complexes que je ne peux pas garantir que ça ne
filtre pas plus que ça ne devrait. En tout cas, ça filtre ce que ça doit filtrer
.
Il faudrait exporter les AS-PATH complets d'une full route et les passer à la
moulinette pour être certain. Si quelqu'un a le temps pour ça ...

En somme, ca donne ça :
add action=accept bgp-as-path=_0_ chain=bogons-asn
add action=accept bgp-as-path=_23456_ chain=bogons-asn
add action=accept bgp-as-path="_(6449[6-9])_|_(6450[0-9])_|_(6451[0-1])_|_(655\
3[6-9])_|_(6554[0-9])_|_(6555[0-1])_" chain=bogons-asn
add action=accept bgp-as-path="_6(4(5(1[2-9]|[2-9][0-9])|[6-9][0-9][0-9])|5([0\
-4][0-9][0-9]|5([0-2][0-9]|3[0-5])))_" chain=bogons-asn
add action=accept bgp-as-path=\
"_6555[2-9]_|_655[6-9][0-9]_|_65[6-9][0-9][0-9]_|_6[6-9][0-9][0-9][0-9]_" \
chain=bogons-asn
add action=accept bgp-as-path="_[7-9][0-9][0-9][0-9][0-9]_|_1[0-2][0-9][0-9][0\
-9][0-9]_|_130[0-9][0-9][0-9]_" chain=bogons-asn
add action=accept bgp-as-path="_1310[0-6][0-9]_|_13107[0-1]_" chain=\
bogons-asn
add action=accept bgp-as-path="_42[0-8][0-9][0-9][0-9][0-9][0-9][0-9][0-9]_" \
chain=bogons-asn
add action=accept bgp-as-path="_(429[0-3][0-9][0-9][0-9][0-9][0-9][0-9])_|_(42\
94[0-8][0-9][0-9][0-9][0-9][0-9])_" chain=bogons-asn
add bgp-as-path=\
"_(42949[0-5][0-9][0-9][0-9][0-9])_|_(429496[0-6][0-9][0-9][0-9])_" \
chain=bogons-asn
add action=accept bgp-as-path=\
"_(4294967[0-1][0-9][0-9])_|_(42949672[0-8][0-9])_|_(429496729[0-4])_" \
chain=bogons-asn

Et ça créé un filtre bogons-asn à intégrer dans les filtres entrants.

Au cas où ça puisse servir à quelqu'un. Je l'ai envoyé à Job pour qu'il puisse
l'intégrer dans ses exemples mais ce n'est pas fait à l'heure où j'écris ces
lignes.

Julien


Le 06/06/2018 à 18:40, Michel Py a écrit :
>> Youssef Bengelloun-Zahr a écrit : Tout ce qui leak dans la DFZ avec un AS
>> privé dans le path : 
>> http://as2914.net/bogon_asns/configuration_examples.txt
>> <http://as2914.net/bogon_asns/configuration_examples.txt> My 2 cents.
> 
> +1
> 
> Michel.
> 
> --- Liste de diffusion du FRnOG 
> http://www.frnog.org/
> 
-BEGIN PGP SIGNATURE-
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=c4JB
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-12 Par sujet Julien Escario
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

Bonjour,
Pour en terminer avec ce sujet, j'ai repris l'exemple de conf pour IOS publié
par Job, adapté à du Mikrotik.

Les regex sont tellement complexes que je ne peux pas garantir que ça ne
filtre pas plus que ça ne devrait. En tout cas, ça filtre ce que ça doit filtrer
.
Il faudrait exporter les AS-PATH complets d'une full route et les passer à la
moulinette pour être certain. Si quelqu'un a le temps pour ça ...

En somme, ca donne ça :
add action=accept bgp-as-path=_0_ chain=bogons-asn
add action=accept bgp-as-path=_23456_ chain=bogons-asn
add action=accept bgp-as-path="_(6449[6-9])_|_(6450[0-9])_|_(6451[0-1])_|_(655\
3[6-9])_|_(6554[0-9])_|_(6555[0-1])_" chain=bogons-asn
add action=accept bgp-as-path="_6(4(5(1[2-9]|[2-9][0-9])|[6-9][0-9][0-9])|5([0\
-4][0-9][0-9]|5([0-2][0-9]|3[0-5])))_" chain=bogons-asn
add action=accept bgp-as-path=\
"_6555[2-9]_|_655[6-9][0-9]_|_65[6-9][0-9][0-9]_|_6[6-9][0-9][0-9][0-9]_" \
chain=bogons-asn
add action=accept bgp-as-path="_[7-9][0-9][0-9][0-9][0-9]_|_1[0-2][0-9][0-9][0\
-9][0-9]_|_130[0-9][0-9][0-9]_" chain=bogons-asn
add action=accept bgp-as-path="_1310[0-6][0-9]_|_13107[0-1]_" chain=\
bogons-asn
add action=accept bgp-as-path="_42[0-8][0-9][0-9][0-9][0-9][0-9][0-9][0-9]_" \
chain=bogons-asn
add action=accept bgp-as-path="_(429[0-3][0-9][0-9][0-9][0-9][0-9][0-9])_|_(42\
94[0-8][0-9][0-9][0-9][0-9][0-9])_" chain=bogons-asn
add bgp-as-path=\
"_(42949[0-5][0-9][0-9][0-9][0-9])_|_(429496[0-6][0-9][0-9][0-9])_" \
chain=bogons-asn
add action=accept bgp-as-path=\
"_(4294967[0-1][0-9][0-9])_|_(42949672[0-8][0-9])_|_(429496729[0-4])_" \
chain=bogons-asn

Et ça créé un filtre bogons-asn à intégrer dans les filtres entrants.

Au cas où ça puisse servir à quelqu'un. Je l'ai envoyé à Job pour qu'il puisse
l'intégrer dans ses exemples mais ce n'est pas fait à l'heure où j'écris ces
lignes.

Julien


Le 06/06/2018 à 18:40, Michel Py a écrit :
>> Youssef Bengelloun-Zahr a écrit : Tout ce qui leak dans la DFZ avec un AS
>> privé dans le path : 
>> http://as2914.net/bogon_asns/configuration_examples.txt
>>  My 2 cents.
> 
> +1
> 
> Michel.
> 
> --- Liste de diffusion du FRnOG 
> http://www.frnog.org/
> 
-BEGIN PGP SIGNATURE-
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=c4JB
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-06 Par sujet Michel Py
> Youssef Bengelloun-Zahr a écrit :
> Tout ce qui leak dans la DFZ avec un AS privé dans le path :
> http://as2914.net/bogon_asns/configuration_examples.txt 
> My 2 cents.

+1

Je me réponds à moi-même : j'ai enlevé le filtre ci-dessus, et il n'y avait 
aucun préfixe avec un AS privé.
Mais je l'ai remise.


> Julien Escario a écrit :
> Je suis en train de construire les filtres : tu filtres que ceux qui ont un
> AS privé en queue d'AS-PATH ou même si le dernier AS du path est publique ?

Si c'est un feed public, j'enlève tout ce qui contient un AS privé. A part çà 
je paire avec pas mal de gens avec un AS privé, mais dans ce cas-là la 
route-map n'est pas la même.

Pour être précis : c'est pas un remove-private-AS que je fais, je n'accepte pas 
le préfixe qui contient un AS privé.
En théorie, si ton transit fait son boulot proprement, çà ne devrait pas 
arriver.
En pratique, la théorie et la pratique ne sont pas la même chose.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-06 Par sujet Michel Py
> Youssef Bengelloun-Zahr a écrit :
> Tout ce qui leak dans la DFZ avec un AS privé dans le path :
> http://as2914.net/bogon_asns/configuration_examples.txt 
> 
> My 2 cents.

+1

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-06 Par sujet Youssef Bengelloun-Zahr
Tout ce qui leak dans la DFZ avec un AS privé dans le path :

http://as2914.net/bogon_asns/configuration_examples.txt 


My 2 cents.

Y.



> Le 6 juin 2018 à 10:18, Julien Escario  a écrit :
> 
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA512
> 
> Le 05/06/2018 à 20:45, Michel Py a écrit :
>>> Olivier Benghozi a écrit : Le supernet reste généralement annoncé, donc
>>> joignable. Et comme des très gros filtrent désormais (au moins NTT, GTT,
>>> AT&T), ceux qui annoncent de la merde seront immédiatement impactés en
>>> cas d'injoignabilité. Par conséquent tout le monde peut désormais filtrer
>>> sans scrupule.
>> 
>> +1
>> 
>> En plus, annoncer des AS privés c'est vraiment de la daube. Si l'AS privé
>> est en collision avec un AS privé qu'on utilise en interne, bonjour le
>> paratonnerre à emmerdes. Dans l'espace AS 16 bits, il n'y a que 1023 as
>> privés, donc risque de collision non négligeable.
>> 
>> AS privé dans un feed public : nyet; je filtre.
> 
> Je suis en train de construire les filtres : tu filtres que ceux qui ont un AS
> privé en queue d'AS-PATH ou même si le dernier AS du path est publique ?
> 
> Merci,
> Julien
> -BEGIN PGP SIGNATURE-
> 
> iQIcBAEBCgAGBQJbF5juAAoJEOWv2Do/McturA0QAKvp3IGNKew+MXBb+L7VAgTO
> Fzj57p1wGr9aNCzM1LFgIAer4CEIDlNRXQw1p0YvOvaHdIt9IAoQjV6ZrfSRkvmE
> RvZlzT4BGyAYt22MGx+iE2N/FJOaQxLtdjipMCSjR0vOajBv5ZY3/J4hE8mSeYBe
> OdoYVFWIZGCoDMrG12+UNI4NnFUukRFcxmazlXIdU+YxUa1Kl5fCdAC8gPl1bW27
> wZcvBkBQacG03wkH6khsRxPWT/dyTUDZrto4Ggh1RdrQ9EUzlPzfhm3EKCikl50N
> CETfw7HUuumCMG6lM0rXc4KoyweoC+0wSnIRh2oMAWUQDhTHohPx3oCaf2nSvviD
> LmgRYwEU+68z3cjsR84U3I0XtJ7gBlFzPTs71I8AoxAgi5SBs0HTiU2k24k81VVf
> x9OSxp1gYI/RnRqe4xTRPJAVLNmhyag13RWtuhqCgjrcDuV4+OoEeUo7oKO+trs5
> 8733FEfaQ6M+U6KJBNQ2BZKv9nBSJ0ANAs49bzSSBDfBCsKvi7RbyXxiFnQxGhLp
> u57IZQr2qbpP5ltCUEQuzV9RGSjKHZ5NGMa3Mes3F0oY3mfaVAKzIgyRndCwHQSV
> 5nO58QNfwyJfMUyS6lVUD0WbFscF4p3PaXSucLABMDSIFfd/EMs8vuF4lTuG2Xlo
> BNQASdH7HqFfyYh44PS0
> =yJaA
> -END PGP SIGNATURE-
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-06 Par sujet Julien Escario
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

Le 05/06/2018 à 20:45, Michel Py a écrit :
>> Olivier Benghozi a écrit : Le supernet reste généralement annoncé, donc
>> joignable. Et comme des très gros filtrent désormais (au moins NTT, GTT,
>> AT&T), ceux qui annoncent de la merde seront immédiatement impactés en
>> cas d'injoignabilité. Par conséquent tout le monde peut désormais filtrer
>> sans scrupule.
> 
> +1
> 
> En plus, annoncer des AS privés c'est vraiment de la daube. Si l'AS privé
> est en collision avec un AS privé qu'on utilise en interne, bonjour le
> paratonnerre à emmerdes. Dans l'espace AS 16 bits, il n'y a que 1023 as
> privés, donc risque de collision non négligeable.
> 
> AS privé dans un feed public : nyet; je filtre.

Je suis en train de construire les filtres : tu filtres que ceux qui ont un AS
privé en queue d'AS-PATH ou même si le dernier AS du path est publique ?

Merci,
Julien
-BEGIN PGP SIGNATURE-
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=yJaA
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-05 Par sujet Michel Py
> Olivier Benghozi a écrit :
> Le supernet reste généralement annoncé, donc joignable. Et comme des très 
> gros filtrent désormais
> (au moins NTT, GTT, AT&T), ceux qui annoncent de la merde seront 
> immédiatement impactés en cas
> d'injoignabilité. Par conséquent tout le monde peut désormais filtrer sans 
> scrupule.

+1

En plus, annoncer des AS privés c'est vraiment de la daube. Si l'AS privé est 
en collision avec un AS privé qu'on utilise en interne, bonjour le paratonnerre 
à emmerdes. Dans l'espace AS 16 bits, il n'y a que 1023 as privés, donc risque 
de collision non négligeable.

AS privé dans un feed public : nyet; je filtre.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-05 Par sujet Youssef Bengelloun-Zahr
+1

Y.



> Le 5 juin 2018 à 14:10, Olivier Benghozi  a 
> écrit :
> 
> 
>> Le 5 juin 2018 à 12:27, Frederic Dhieux  a écrit :
>> 
>> sauf que c'est arrivé parfois aussi à des gros
>> FAI français par exemple qui découpent leur réseau par zones comme ça et
>> oublient le remove-private-as
> 
> Le supernet reste généralement annoncé, donc joignable.
> 
> Et comme des très gros filtrent désormais (au moins NTT, GTT, AT&T), ceux qui 
> annoncent de la merde seront immédiatement impactés en cas d'injoignabilité.
> Par conséquent tout le monde peut désormais filtrer sans scrupule.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-05 Par sujet Olivier Benghozi


> Le 5 juin 2018 à 12:27, Frederic Dhieux  a écrit :
> 
> sauf que c'est arrivé parfois aussi à des gros
> FAI français par exemple qui découpent leur réseau par zones comme ça et
> oublient le remove-private-as

Le supernet reste généralement annoncé, donc joignable.

Et comme des très gros filtrent désormais (au moins NTT, GTT, AT&T), ceux qui 
annoncent de la merde seront immédiatement impactés en cas d'injoignabilité.
Par conséquent tout le monde peut désormais filtrer sans scrupule.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-05 Par sujet Frederic Dhieux


Le 04/06/2018 à 16:37, Clement Cavadore a écrit :
> On Mon, 2018-06-04 at 16:22 +0200, Julien Escario wrote:
>> A priori, ca n'a pas d'intérêt ni bon, ni mauvais si ce n'est
>> d'allonger artificiellement l'AS-PATH. Ceci dit, on est d'accords que
>> ca ne devrait pas sortir d'un AS ce genre de truc ?
>>
>> Vous filtrez ça ?
> Oui, et je t'encourage à le faire.
> Si jean-kevin ne sait pas configurer proprement ses routeurs, il y a
> fort a parier que tu ne veux pas voir ses annonces dans ta RIB/FIB :-)
Hello,

Ouais c'est bien le discours radical "il fait ça mal, il mérite pas que
j'apprenne ses routes", sauf que c'est arrivé parfois aussi à des gros
FAI français par exemple qui découpent leur réseau par zones comme ça et
oublient le remove-private-as, ça peut arriver à un petit qui a juste
loupé une ligne de conf. L'erreur est humaine, ce serait bien que ce
soit remonté par quelque système de suivi, mais je ne trouve pas que ce
soit matière à "bannir" un préfixe quand même (tant que ce n'est pas
l'AS final de l'as-path).

C'est mignon en plus, ça permet de vanner les gens un peu :D

Frédéric


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-05 Par sujet Laurent CARON

On 6/4/18 4:22 PM, Julien Escario wrote:

Vous filtrez ça ?
J'ai lu que sur Cisco, il y a une commande pour virer les private AS des
AS-PATH mais je n'ai pas trouvé sur mes krotik. Si quelqu'un a le filtre
magique, je prends.


Bonjour,

Sous OpenBSD (OpenBGPd):

# filter bogon AS numbers
# http://www.iana.org/assignments/as-numbers/as-numbers.xhtml
deny from any AS 23456  # AS_TRANS
deny from any AS 64496 - 64511  # Reserved for use in docs and 
code RFC5398

deny from any AS 64512 - 65534  # Reserved for Private Use RFC6996
deny from any AS 65535  # Reserved RFC7300
deny from any AS 65536 - 65551  # Reserved for use in docs and 
code RFC5398

deny from any AS 65552 - 131071 # Reserved
deny from any AS 42 - 4294967294    # Reserved for Private Use 
RFC6996

deny from any AS 4294967295 # Reserved RFC7300

Ceci figure dans la conf fournie à titre d'exemple.

Attention toutefois si vous avez établi des sessions avec Cymry, 
SpamHaus, ... qui utilisent des AS figurant dans ces range.



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-04 Par sujet Johann
 Hello,

Par exemple, un AS-PATH appris de 8218 (oui, je suis encore sur 8218, plus
pour longtemps)
> Roooh, tu dis cela comme si c'était une fatalité, c'est blésant ;-)

Personne ici n'ira dire que 8218 font les jambons hein ;-)
> On n'est pas parfait non plus et on prend toute les feedbacks possible :-)
J'ai remarque que des ASN privée en 32bits commençait à fleurir sur la
toile.
Beaucoup de système ou filtre historique n'en tienne pas compte, c'est sur
ma (longue) todo de faire le tour.

Suffit de voir que les docs Juniper n'en parle qu'une fois sur deux,
lorsque tu regarde l'option remove-private.

Johann


Le 4 juin 2018 à 17:11, Julien Escario  a écrit :

> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA512
>
>
>
> Le 04/06/2018 à 16:37, Clement Cavadore a écrit :
> > On Mon, 2018-06-04 at 16:22 +0200, Julien Escario wrote:
> >> A priori, ca n'a pas d'intérêt ni bon, ni mauvais si ce n'est d'allonger
> >> artificiellement l'AS-PATH. Ceci dit, on est d'accords que ca ne devrait
> >> pas sortir d'un AS ce genre de truc ?
> >>
> >> Vous filtrez ça ?
> >
> > Oui, et je t'encourage à le faire. Si jean-kevin ne sait pas configurer
> > proprement ses routeurs, il y a fort a parier que tu ne veux pas voir ses
> > annonces dans ta RIB/FIB :-)
>
> Ouais, enfin, il n'y a pas forcément que des Jean-Kevin non plus.
>
> Par exemple, un AS-PATH appris de 8218 (oui, je suis encore sur 8218, plus
> pour longtemps) :
> 63.147.50.0/23 8218  6461  209  420013
>
> C'est quand même du path qui tue ça. Ca ne tient même pas sur 32bits.
>
> Personne ici n'ira dire que 8218 font les jambons hein ;-)
>
> Julien
>
> P.S. : notez la tentative d'anonymisation.
> -BEGIN PGP SIGNATURE-
>
> iQIcBAEBCgAGBQJbFVakAAoJEOWv2Do/MctuN84P/ijNr3mYj7qMixWfY3Jwmeju
> GZLuz5M//KBigXaBaKC7+DP1t6zn9CwtfFXLclH4K56EKHICYPXabiQuAVZxZvKy
> zPAulE+IEjGMe4/6mk9FKQgYosqy9It8EFJ9O8TUSi8IxFbLXr6ktkD42iq7VaN9
> x6RbQpQniaR9HQCrIHJowfqFLWzA+q2OcuZldS5kwjvermaEZS+mEzc7pEJXDOpG
> u4LmIIteKSVnXexUEMmZkmeLvakCIbV4iVLXOhHrPnREldEYBGVuiGKyTcEtiLDo
> D2zw3aAyJlcaoMTIxzaQN16O+Mc+oOvgcMg73ves2603qUsLFgXCDP7m5Lpberfz
> O00cm9OLPR7G8Mv69Jx5EZk+dE69KeDYTxQrmNKUA2a4G11+Z4PJ93TeUcaYKHDi
> wnsG/Nl9kNq3LumItUmy9upQ2dvY4wiqFTbJ/UurFbR4u7AZ+nd8T5eAgOtu5Lem
> NTZ22xhjZ2A4oLCgKd46vLq9vn0KU7f8RmgJQ5Feh3XValLRRhwMX8zrz5DMrpbm
> iJ3yD6aRi4/Xl+QCtesFumTJfVxCGBczskkUXY1Rs7pT3QGiX4T4uGSVWe8bCf2X
> CVWUkGxAww8O5RqPV9vMr3QdxGavvp54yZq9KIB6H9xlku8fJVfnsWXZmGSB+l/j
> j8QhZQwNQ0oNsJmJo51w
> =VR/L
> -END PGP SIGNATURE-
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-04 Par sujet Olivier Benghozi
Hello,

> Le 4 juin 2018 à 16:22, Julien Escario  a écrit :
> 
> Suite à la mise en place de sessions BGP avec Qrator Radar, ils me remontent
> pas mal de routes en bogons à cause d'AS-PATH contentant des AS privés (donc
> la tranche 64512-65534).
> 
> Vous filtrez ça ?

Tout à fait, tout comme plusieurs fournisseurs de transit. Voir annonce et 
discussion sur NANOG initiée par Job Snijders (NTT):
http://seclists.org/nanog/2016/Jun/56 


> J'ai lu que sur Cisco, il y a une commande pour virer les private AS des
> AS-PATH mais je n'ai pas trouvé sur mes krotik. Si quelqu'un a le filtre
> magique, je prends.

C'est pour le sortant. Ça fait clairement partie des best practices de 
l'activer, ça éviter d'annoncer de la daube.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-04 Par sujet Julien Escario
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

Le 04/06/2018 à 17:16, David Ponzone a écrit :
> Euh, si c’est < à 2^32 :)

My bad, j'ai fait 2^31. Donc oui, ca tient, tout juste.

Julien
-BEGIN PGP SIGNATURE-
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=cNQC
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-04 Par sujet David Ponzone
Euh, si c’est < à 2^32 :)


> Le 4 juin 2018 à 17:11, Julien Escario  a écrit :
> 
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA512
> 
> 
> 
> Le 04/06/2018 à 16:37, Clement Cavadore a écrit :
>> On Mon, 2018-06-04 at 16:22 +0200, Julien Escario wrote:
>>> A priori, ca n'a pas d'intérêt ni bon, ni mauvais si ce n'est d'allonger
>>> artificiellement l'AS-PATH. Ceci dit, on est d'accords que ca ne devrait
>>> pas sortir d'un AS ce genre de truc ?
>>> 
>>> Vous filtrez ça ?
>> 
>> Oui, et je t'encourage à le faire. Si jean-kevin ne sait pas configurer
>> proprement ses routeurs, il y a fort a parier que tu ne veux pas voir ses
>> annonces dans ta RIB/FIB :-)
> 
> Ouais, enfin, il n'y a pas forcément que des Jean-Kevin non plus.
> 
> Par exemple, un AS-PATH appris de 8218 (oui, je suis encore sur 8218, plus
> pour longtemps) :
> 63.147.50.0/23 8218  6461  209  420013
> 
> C'est quand même du path qui tue ça. Ca ne tient même pas sur 32bits.
> 
> Personne ici n'ira dire que 8218 font les jambons hein ;-)
> 
> Julien
> 
> P.S. : notez la tentative d'anonymisation.
> -BEGIN PGP SIGNATURE-
> 
> iQIcBAEBCgAGBQJbFVakAAoJEOWv2Do/MctuN84P/ijNr3mYj7qMixWfY3Jwmeju
> GZLuz5M//KBigXaBaKC7+DP1t6zn9CwtfFXLclH4K56EKHICYPXabiQuAVZxZvKy
> zPAulE+IEjGMe4/6mk9FKQgYosqy9It8EFJ9O8TUSi8IxFbLXr6ktkD42iq7VaN9
> x6RbQpQniaR9HQCrIHJowfqFLWzA+q2OcuZldS5kwjvermaEZS+mEzc7pEJXDOpG
> u4LmIIteKSVnXexUEMmZkmeLvakCIbV4iVLXOhHrPnREldEYBGVuiGKyTcEtiLDo
> D2zw3aAyJlcaoMTIxzaQN16O+Mc+oOvgcMg73ves2603qUsLFgXCDP7m5Lpberfz
> O00cm9OLPR7G8Mv69Jx5EZk+dE69KeDYTxQrmNKUA2a4G11+Z4PJ93TeUcaYKHDi
> wnsG/Nl9kNq3LumItUmy9upQ2dvY4wiqFTbJ/UurFbR4u7AZ+nd8T5eAgOtu5Lem
> NTZ22xhjZ2A4oLCgKd46vLq9vn0KU7f8RmgJQ5Feh3XValLRRhwMX8zrz5DMrpbm
> iJ3yD6aRi4/Xl+QCtesFumTJfVxCGBczskkUXY1Rs7pT3QGiX4T4uGSVWe8bCf2X
> CVWUkGxAww8O5RqPV9vMr3QdxGavvp54yZq9KIB6H9xlku8fJVfnsWXZmGSB+l/j
> j8QhZQwNQ0oNsJmJo51w
> =VR/L
> -END PGP SIGNATURE-
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-04 Par sujet Julien Escario
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512



Le 04/06/2018 à 16:37, Clement Cavadore a écrit :
> On Mon, 2018-06-04 at 16:22 +0200, Julien Escario wrote:
>> A priori, ca n'a pas d'intérêt ni bon, ni mauvais si ce n'est d'allonger
>> artificiellement l'AS-PATH. Ceci dit, on est d'accords que ca ne devrait
>> pas sortir d'un AS ce genre de truc ?
>> 
>> Vous filtrez ça ?
> 
> Oui, et je t'encourage à le faire. Si jean-kevin ne sait pas configurer
> proprement ses routeurs, il y a fort a parier que tu ne veux pas voir ses
> annonces dans ta RIB/FIB :-)

Ouais, enfin, il n'y a pas forcément que des Jean-Kevin non plus.

Par exemple, un AS-PATH appris de 8218 (oui, je suis encore sur 8218, plus
pour longtemps) :
63.147.50.0/23 8218  6461  209  420013

C'est quand même du path qui tue ça. Ca ne tient même pas sur 32bits.

Personne ici n'ira dire que 8218 font les jambons hein ;-)

Julien

P.S. : notez la tentative d'anonymisation.
-BEGIN PGP SIGNATURE-

iQIcBAEBCgAGBQJbFVakAAoJEOWv2Do/MctuN84P/ijNr3mYj7qMixWfY3Jwmeju
GZLuz5M//KBigXaBaKC7+DP1t6zn9CwtfFXLclH4K56EKHICYPXabiQuAVZxZvKy
zPAulE+IEjGMe4/6mk9FKQgYosqy9It8EFJ9O8TUSi8IxFbLXr6ktkD42iq7VaN9
x6RbQpQniaR9HQCrIHJowfqFLWzA+q2OcuZldS5kwjvermaEZS+mEzc7pEJXDOpG
u4LmIIteKSVnXexUEMmZkmeLvakCIbV4iVLXOhHrPnREldEYBGVuiGKyTcEtiLDo
D2zw3aAyJlcaoMTIxzaQN16O+Mc+oOvgcMg73ves2603qUsLFgXCDP7m5Lpberfz
O00cm9OLPR7G8Mv69Jx5EZk+dE69KeDYTxQrmNKUA2a4G11+Z4PJ93TeUcaYKHDi
wnsG/Nl9kNq3LumItUmy9upQ2dvY4wiqFTbJ/UurFbR4u7AZ+nd8T5eAgOtu5Lem
NTZ22xhjZ2A4oLCgKd46vLq9vn0KU7f8RmgJQ5Feh3XValLRRhwMX8zrz5DMrpbm
iJ3yD6aRi4/Xl+QCtesFumTJfVxCGBczskkUXY1Rs7pT3QGiX4T4uGSVWe8bCf2X
CVWUkGxAww8O5RqPV9vMr3QdxGavvp54yZq9KIB6H9xlku8fJVfnsWXZmGSB+l/j
j8QhZQwNQ0oNsJmJo51w
=VR/L
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-04 Par sujet David Ponzone
Ils ont surtout pas fait gaffe à mon avis.
Jamais trop compris pourquoi RIPE/ARIN/etc… ne peuvent/veulent pas faire le 
gendarme là-dessus.



> Le 4 juin 2018 à 17:02, Julien Escario  a écrit :
> 
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA512
> 
> Le 04/06/2018 à 16:58, David Ponzone a écrit :
>> SI mes souvenirs sont bons, sur Cisco, le remove-private-AS ne concerne que
>> le outbound (on utilise des AS privés en interne, on veut s’assurer de ne
>> jamais les envoyer à ses peers eBGP).
>> 
>> En fait, il faut que tu fasses un mail au NOC des AS qui t’envoient de la 
>> saloperie pour leur expliquer l’usage de remove-private-as. Bon courage :)
> 
> Ah ben oui, tiens. Je n'en ai que 182, facile. On est en 2018, compter sur la
> coopération de Jean-Kevin dans le NOC à l'autre bout du monde, comment dire 
> ...
> 
> Étonnamment, j'en ai même en ipv6. Ce qui signifie que des mecs ont fait
> l'effort intellectuel de configurer des sessions BGP ipv6, mis à jour leur
> IRR, toussa mais annoncent toujours des AS privés. Fait chier ...
> 
> Julien
> -BEGIN PGP SIGNATURE-
> 
> iQIcBAEBCgAGBQJbFVR0AAoJEOWv2Do/MctuQhYP/1NqJ1X6D8qbtorv9wnYkrnT
> XQAXYY6kTMzpZJkdr+/+R8sfcDg9IY7K64gq1MIg13EOOkbyHQSPYzBLHPb3rYBi
> FQ7rUamDp987xde+1P4imqwyyaPMrYQPEalgXB/TyQCgj53J65yo6rzjXfRIivFH
> CULWWy1y0WdRhHC7Hw41D5gEhirv6q6D4rHQlVqld1F/W2mwMsyKBN1TIhiHhtt5
> kuwHkRibGdp9v4BiVxdy0+SkIDPwliJt8Faa8M/PwjQ+x+/uANNCs5P5SRyXvw3z
> A12PSkR7XRP+cXc/Pvk55QH7mI5fFgYYjsPttMsl3TqMBpKTQHy4Y6/FUVcz9M2G
> PmBbeZgKxBawRDx+ub9JuUEHqyvRzo1UhZ0BnChP+iswHEKnHbTzUQvoK/YeOCgP
> xYoGjeq/cKDtPkplRNw0/uVaXbNL/nuOeaAfg/dVa2rdyAOTc4Z1wINoDH32t9n7
> et6E2bKiJ9q7BxddCX5PMLGCni120kOmH7F7/jvJK4L8tUE2vTb4SnDcYY6pThGj
> bGM42XXlg0XXuQdtPOSewRSMxbmCJlFKUZBQv0li5QTp2Wf6HmZLHHLWvfwZn0WY
> XYb5pw/hBkWSca3ItsTK/lUNA4N+Ee2LnMAqeK9f3Fhbc37g/EI5SuccmhW5EllD
> lj11cYxZtBqYVM7bphSh
> =3JU/
> -END PGP SIGNATURE-
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-04 Par sujet Julien Escario
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

Le 04/06/2018 à 16:58, David Ponzone a écrit :
> SI mes souvenirs sont bons, sur Cisco, le remove-private-AS ne concerne que
> le outbound (on utilise des AS privés en interne, on veut s’assurer de ne
> jamais les envoyer à ses peers eBGP).
> 
> En fait, il faut que tu fasses un mail au NOC des AS qui t’envoient de la 
> saloperie pour leur expliquer l’usage de remove-private-as. Bon courage :)

Ah ben oui, tiens. Je n'en ai que 182, facile. On est en 2018, compter sur la
coopération de Jean-Kevin dans le NOC à l'autre bout du monde, comment dire ...

Étonnamment, j'en ai même en ipv6. Ce qui signifie que des mecs ont fait
l'effort intellectuel de configurer des sessions BGP ipv6, mis à jour leur
IRR, toussa mais annoncent toujours des AS privés. Fait chier ...

Julien
-BEGIN PGP SIGNATURE-
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=3JU/
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-04 Par sujet David Ponzone
SI mes souvenirs sont bons, sur Cisco, le remove-private-AS ne concerne que le 
outbound (on utilise des AS privés en interne, on veut s’assurer de ne jamais 
les envoyer à ses peers eBGP).

En fait, il faut que tu fasses un mail au NOC des AS qui t’envoient de la 
saloperie pour leur expliquer l’usage de remove-private-as.
Bon courage :)



> Le 4 juin 2018 à 16:49, Julien Escario  a écrit :
> 
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA512
> 
> Le 04/06/2018 à 16:32, Jérôme Nicolle a écrit :
>> 
>> 
>> Le 04/06/2018 à 16:22, Julien Escario a écrit :
>>> Si quelqu'un a le filtre magique, je prends.
>> 
>> set /routing bgp peer * remove-private-as=yes
> 
> Ah oui, pardon, j'ai essayé mais :
> 
> remove-private-as (yes | no; Default: no) If set, then BGP AS-PATH 
> attribute
> is removed before sending out route update if attribute contains only private
> AS numbers.
> removal process happens before routing filters are applied and before local AS
> 
> number is prepended to the AS path. Option is available starting from v4.3.
> Currently works only with 16-bit ASNs.
> 
> 
> "if attribute contains only private AS numbers" = perdu. En tout cas, j'ai
> toujours les AS privés dans ma FIB après avoir collé ça (sur un peer, en 
> test).
> 
> Julien
> -BEGIN PGP SIGNATURE-
> 
> iQIcBAEBCgAGBQJbFVGFAAoJEOWv2Do/MctuZh0P/jUPiPSIgK/eA/+vyMQBopsQ
> 8dhQ2FFixtA0hh5Xt32iqB1Qwq5xDA+W0OVQCPO6KPhnYnzSfD+hUDVlGhMyVPK0
> 3IrHYOmJKV5LtpEYBb9s4CWO/U3ZiUP3QA/KHEtkBUszZBCjvtRgEbTQh60A6qgr
> vK72s87jMV7fLomV9sfd9wE+7FwLxpAgp8P62TH3G6btY1FmkdnPUHugeqgn6COE
> 6udhl7Ti9U8IcgASQhqExriDKW5WPUFWidhhT4lYw2pvra8Y3y/G4lCX38Pw3lE6
> 4I4Y49My+yBNW1hfaALXJfKAFUw4Mb0hwiEh9KjHfhvphdXSMTQ/mVPUB8NwBVZJ
> bg8sWzxxu5gETm8fm+xZyfI+uQ5si/wIheRxrFLx3G5zIcsKWLPybMRnlXSB6Zur
> ty8gBKNSpu/A0/iCiEwJiQVBXrviOItmcJcL7THOGGgWu47mY444ojyus4FJpcwt
> NRNV9S2Uv6RgMsNDY7XhYDPz10GQmVx5out+TjSa6hMAv3OBFoBHIA+bSTFr65M2
> CbzJQTkOBZXz5JfulEJWW7Z+KafD/TPNtzphOOw9hVcizKpXB1KSGKe5yNZ2HsCt
> zgxkNUEoEWGs40FLbR32+udcPeEEexRzdZMY1TRpQhmDDj4mN/eDKsMy+hTsBKmw
> 6vjRpJsF2iZtr7unV9+E
> =OXsu
> -END PGP SIGNATURE-
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-04 Par sujet Julien Escario
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

Le 04/06/2018 à 16:32, Jérôme Nicolle a écrit :
> 
> 
> Le 04/06/2018 à 16:22, Julien Escario a écrit :
>> Si quelqu'un a le filtre magique, je prends.
> 
> set /routing bgp peer * remove-private-as=yes

Ah oui, pardon, j'ai essayé mais :

remove-private-as (yes | no; Default: no)   If set, then BGP AS-PATH 
attribute
is removed before sending out route update if attribute contains only private
AS numbers.
removal process happens before routing filters are applied and before local AS

number is prepended to the AS path. Option is available starting from v4.3.
Currently works only with 16-bit ASNs.


"if attribute contains only private AS numbers" = perdu. En tout cas, j'ai
toujours les AS privés dans ma FIB après avoir collé ça (sur un peer, en test).

Julien
-BEGIN PGP SIGNATURE-
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=OXsu
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-04 Par sujet Clement Cavadore
On Mon, 2018-06-04 at 16:22 +0200, Julien Escario wrote:
> A priori, ca n'a pas d'intérêt ni bon, ni mauvais si ce n'est
> d'allonger artificiellement l'AS-PATH. Ceci dit, on est d'accords que
> ca ne devrait pas sortir d'un AS ce genre de truc ?
> 
> Vous filtrez ça ?

Oui, et je t'encourage à le faire.
Si jean-kevin ne sait pas configurer proprement ses routeurs, il y a
fort a parier que tu ne veux pas voir ses annonces dans ta RIB/FIB :-)

Clément


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-04 Par sujet Jérôme Nicolle


Le 04/06/2018 à 16:22, Julien Escario a écrit :
> Si quelqu'un a le filtre
> magique, je prends.

set /routing bgp peer * remove-private-as=yes

-- 
Jérôme Nicolle
06 19 31 27 14



signature.asc
Description: OpenPGP digital signature


[FRnOG] [TECH] Les AS privés dans les AS-PATH

2018-06-04 Par sujet Julien Escario
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

Bonjour,
Suite à la mise en place de sessions BGP avec Qrator Radar, ils me remontent
pas mal de routes en bogons à cause d'AS-PATH contentant des AS privés (donc
la tranche 64512-65534).

Vérification faite, j'apprends àa de pas mal de peers différents : des
transitaires, des IX, etc ...

A priori, ca n'a pas d'intérêt ni bon, ni mauvais si ce n'est d'allonger
artificiellement l'AS-PATH. Ceci dit, on est d'accords que ca ne devrait pas
sortir d'un AS ce genre de truc ?

Vous filtrez ça ?
J'ai lu que sur Cisco, il y a une commande pour virer les private AS des
AS-PATH mais je n'ai pas trouvé sur mes krotik. Si quelqu'un a le filtre
magique, je prends.

Merci,
- -- 
Julien Escario
Tél : 03 74 39 10 21
Mob : 06 77 58 31 99

ALTINEA
9 RUE DU FAUBOURG
39570 NOGNA

https://www.altinea.fr
Email Commercial: commerc...@altinea.fr
Email Support: supp...@altinea.fr
Accueil: 03 74 39 10 20
Support (Heure Bureau): 09 70 75 44 25

*
  Les Sociétés ALMIS, AZYLOG ET NETMIND deviennent ALTINEA
*
-BEGIN PGP SIGNATURE-
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=jKgu
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/