[Lista ArNOG] Tráfico no valido en ITX
Ivan Chapero
info en ivanchapero.com.ar
Lun Nov 7 10:48:54 ART 2016
Jorge,
la mayoría de los equipos permiten poner en una VLAN/VRF diferente el MGT.
En el caso de Ubiquiti también, podrías conservar entonces el trafico de
MGT "privado" del equipo y no ponerlo de cara en L2 contra el multilateral
al isolarlo en otra VLAN.
Solo lo comento como opción que existe, después cada uno evaluara que nivel
de necesidad vs complejidad aporta esto.
El 5 de noviembre de 2016, 11:58, Ing. Jorge Filippo <
jfilippo en optimix.com.ar> escribió:
> Gente
> Veo dos análisis en materia de IPs privadas:
>
> 1) ARP, o Neigbours Discovery (son temas distintos, pero ambos atañen
> al tráfico de frames).
> 2) Publicación de prefijos por BGP.
>
> ¿Qué es lo que preocupa más? ¿Se plantea impedir la existencia de frames
> de direccionamiento privado en la WAN? Digo, si por ejemplo tenés un enlace
> con Ubiquitis, que te transportan tu router BGP al NAP (en algún tramo),
> ¿sugieren que a los Ubiquitis les pongamos IPs públicas para evitar la
> presencia de frames de IPs privadas en el broadcast del NAP? Entiendo que
> Uriel Rozenbaum analiza en detalle esto del ARP, por la existencia de
> frames de privadas. A mi me preocuparía un poco ponerle una IP pública a un
> Ubiquiti.
>
> Ahora, si el problema es no publicar prefijos de privadas BGP, entonces es
> cuestión de agregar un filtro discard en el BGP para todo el resto
> (suponiendo que tenés un accept para tus prefijos), y listo! Entiendo que
> Christian O'Flaherty analiza esto de procesar más estrictamente la
> publicaciones BGP.
>
> Disculpen, más allá de los stándares para todos, si alguien propone cómo
> proceder, ya me resultaría nutritivo aprender de esas ideas.
>
> Saludos,
>
> Ing. Jorge Filippo
>
> * O p t i m i x * Network Engineering
> Móvil: +54911 6693 5494
> www.Optimix.com.ar <http://www.optimix.com.ar>
>
> El 05/11/2016 a las 11:15, Jose Gaspoz escribió:
>
> El caso es que algunos con Mikrotik natean directamente en el borde, y
> como es por conexion, cuando viene un Reset de la conexion desde el
> destino, el tracking del MK da de baja la conexion, por lo que por
> ejemplo el Reset que viene despues desde el host no encuentra el tracking y
> el nat no lo agarra por lo que sale sin trasladar.
>
> Si se ponen a ver el tráfico interno que sale sin trasladar desde un MK
> que tiene src-nat o mascarade en su Wan van a ver que es mucho.
>
> Esto ocurre por mas que filtren los inválidos de entrada... porque es de
> salida.
>
> Saludos
>
> Jose
>
>
>
> -----Original Message-----
> From: Eduardo Tealdi Saad <eduardots en amc.com.ar> <eduardots en amc.com.ar>
> To: lista en arnog.com.ar
> Date: Fri, 4 Nov 2016 18:08:00 -0300
> Subject: Re: [Lista ArNOG] Tráfico no valido en ITX
>
> Mas facil, habilita * MikroTik Neighbor* Discovery protocol (MNDP) y
> fijate quien aparece. si no filtran esto o MAC-server, menos van a filtrar
> la salida de IPs privadas, invalidas o algo peor.
>
>
> O sobre el tunel de PaisDigital
>
> Saludos Eduardo
>
>
> El 4/11/2016 a las 9:45 a. m., Uriel Rozenbaum escribió:
>
> Hola Pablo,
>
> Nosotros también recibimos un montón de trafico del NAP con origenes
> privados; digo montón porque debería ser 0 y sorprende un poco que alguien
> se haya olvidado el filtro.
>
> También lo mandamos a masa con filtros ya que todo lo que sea privado
> (entrante o saliente, sin distinci{on) que quiera salir por un transito, se
> descarta.
>
> Podríamos impulsar una movida para incentivar a meter filtros, ya que es
> fácil detectar a quién se le escapa:
> Yo en lo personal tomo una captura en la interfaz que va al NAP, solamente
> filtrando con la red 10.0.0.0/8 (como ejemplo nomás). Luego la analizo
> con wireshark y veo cuales son las MAC que me llegan:
>
> [image: Inline image 1]
>
> Despues buscas esas MAC en la tabla ARP para ver a que IP corresponden:
> ? (200.0.17.107) at 00:12:1e:82:aa:79 [ether] on vlan106
> ? (200.0.17.121) at d4:ca:6d:01:2e:34 [ether] on vlan106
> ? (200.0.17.184) at d4:ca:6d:98:98:5a [ether] on vlan106
>
> Despues en el looking glass ves de quien es cada IP:
>
>
>
>
>
>
>
> *BGP neighbor is 200.0.17.107, remote AS 18747, external link
> Description: MIEMBRO: IFX (IFX) BGP neighbor is 200.0.17.121, remote AS
> 27881, external link Description: MIEMBRO: IPNEXT SA (IPN) BGP neighbor is
> 200.0.17.184, remote AS 263196, external link Description: MIEMBRO:
> Telwinet (TWN)*
>
> Si, me puse la gorra de buchón, pero es por el bien de todos.
>
>
>
>
>
>
> On Thu, Nov 3, 2016 at 5:54 PM, Pablo Moran <pmoran en telecentro.net.ar>
> wrote:
>
>> Buenas tardes.
>>
>> Escribo para compartirles esta lista de flujos IP que nos llegan por
>> nuestra ITX con CABASE, nos llama mucho la atención las redes de origen de
>> estos flujos, redes privadas RFC1918 (192.168/16, 172.16/12, 10.0/8), que
>> intentan acceder redes públicas de nuestra red, esto es solo un extracto
>> hay muchos mas flujos que llegan de forma continua. Aclaro que no nos
>> afecta debido a que aplicamos filtros en la interfaz de la ITX, los
>> paquetes no llegan al destino, pero evidentemente si hay algo que está
>> generando este tráfico.
>>
>> Dicho lo anterior les hago la siguiente consulta
>>
>> ¿Alguno de ustedes vio algo parecido o reconoce si estas IPs privadas
>> pertenecen a los segmentos que utilizan en sus redes de clientes o redes
>> coorporativas?
>>
>> Aggregated flows
>> 455
>> Top 50 flows ordered by bytes:
>> Date first seen Duration Proto Src IP Addr:Port Dst
>> IP Addr:Port Out Pkt In Pkt Out Byte In Byte Flows
>> 2016-11-03 14:13:40.973 0.000 TCP 10.6.3.21:61083 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 190.55.61.221:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 1003 1
>> 2016-11-03 10:36:08.445 0.000 TCP 10.33.31.164:46510 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 190.55.61.204:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 999 1
>> 2016-11-03 11:46:07.408 0.000 TCP 192.168.0.4:35958 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.47.248.88:80 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 603 1
>> 2016-11-03 12:59:09.727 0.000 TCP 10.5.1.11:25971 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 168.83.77.30:80 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 590 1
>> 2016-11-03 06:02:32.451 0.000 TCP 10.1.1.81:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.19.111.211:32964 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 393 1
>> 2016-11-03 05:57:05.811 0.000 TCP 10.50.114.20:993 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.18.173.54:62261 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 156 1
>> 2016-11-03 15:59:48.333 0.000 UDP 10.19.193.204:43832 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.23.58.52:50321 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 145 1
>> 2016-11-03 11:56:51.840 0.000 UDP 10.19.193.204:43832 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.46.106.174:18118 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 145 1
>> 2016-11-03 06:39:45.140 0.000 UDP 10.3.152.2:35906 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 255.255.255.255:5678 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 140 1
>> 2016-11-03 08:24:56.444 0.000 TCP 172.19.15.47:50831 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.18.65.49:16836 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 140 1
>> 2016-11-03 12:45:38.058 0.000 TCP 10.1.219.250:38911 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.74.138:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 129 1
>> 2016-11-03 11:05:07.253 0.000 TCP 10.1.212.68:48728 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.74.147:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 129 1
>> 2016-11-03 15:31:37.815 0.000 TCP 10.1.212.2:55810 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.74.163:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 129 1
>> 2016-11-03 06:26:24.664 0.000 UDP 10.225.2.20:5678 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 255.255.255.255:5678 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 127 1
>> 2016-11-03 11:46:07.438 0.000 TCP 10.255.255.6:15250 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.45.139.2:50186 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 108 1
>> 2016-11-03 14:00:06.547 0.000 TCP 10.255.255.6:57865 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.46.165.236:46582 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 108 1
>> 2016-11-03 14:32:08.541 0.000 TCP 10.255.255.6:53342 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.45.27.38:58732 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 108 1
>> 2016-11-03 12:51:15.782 0.000 TCP 10.154.10.48:59850 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.18.65.179:28579 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 108 1
>> 2016-11-03 11:02:26.444 0.000 TCP 10.1.219.209:47448 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 190.55.61.208:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 105 1
>> 2016-11-03 13:23:10.777 0.000 UDP 192.168.10.57:63398 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.23.224.163:57585 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 91 1
>> 2016-11-03 09:07:02.552 0.000 TCP 172.30.1.4:143 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.218.105:50508 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 85 1
>> 2016-11-03 15:15:18.797 0.000 TCP 10.90.0.23:49694 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.47.248.210:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 76 1
>> 2016-11-03 10:46:34.385 0.000 UDP 192.168.244.50:60345 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 200.115.192.89:53 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 75 1
>> 2016-11-03 15:50:20.988 0.000 UDP 192.168.0.22:63176 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.47.248.205:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 72 1
>> 2016-11-03 10:59:50.265 0.000 UDP 192.168.85.100:30166 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 190.55.61.210:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 67 1
>> 2016-11-03 11:11:03.211 0.000 TCP 10.194.0.192:1236 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.18.86.1:44487 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 64 1
>> 2016-11-03 11:19:53.552 0.000 UDP 10.160.50.51:63530 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 200.16.99.17:53 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 64 1
>> 2016-11-03 12:26:03.474 0.000 TCP 172.17.255.250:49670 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.19.62.108:17146 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 60 1
>> 2016-11-03 08:38:05.822 0.000 UDP 192.168.244.50:55041 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 200.115.192.30:53 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 60 1
>> 2016-11-03 10:28:49.934 0.000 UDP 192.168.244.50:44206 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 200.115.192.89:53 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 60 1
>> 2016-11-03 13:30:40.562 0.000 TCP 10.1.90.13:8003 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.126.234:47774 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>> 60 1
>>
>>
>> Esperamos novedades.
>>
>> Desde ya muchas gracias.
>>
>> Saludos.
>>
>> *Pablo Fernandez Moran *
>> *Ing. de Backbone *
>> 54 11 15-6516-3730 || pmoran en telecentro.net.ar
>>
>>
>>
>> _______________________________________________
>> Lista mailing list
>> Lista en arnog.com.ar
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>
>>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
> --
> Eduardo Tealdi Saad
> Administrador de Red
> Cooperativa Mariano Acosta
> Superi 660, Mariano Acosta (CP 1723)
> Cel: 221 643-4291
> eduardots en amc.com.ar
>
>
>
> _______________________________________________
> Lista mailing listLista en arnog.com.arhttp://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
--
*Ivan ChaperoÁrea Técnica y Soporte*
Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
- Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161107/a1fdad14/attachment-0001.html>
Más información sobre la lista de distribución Lista