[Lista ArNOG] Tráfico no valido en ITX
Ing. Jorge Filippo
jfilippo en optimix.com.ar
Lun Nov 7 11:06:32 ART 2016
Gracias, Iván. Me resulta una excelente idea para mejorar la
convivencia. Lo pondre en marcha!
Ing. Jorge Filippo - Optimix.com.ar Ing. Jorge Filippo
* O p t i m i x
* Network Engineering
Móvil: +54911 6693 5494
www.Optimix.com.ar <http://www.optimix.com.ar>
El 07/11/2016 a las 10:48, Ivan Chapero escribió:
> Jorge,
> la mayoría de los equipos permiten poner en una VLAN/VRF diferente el
> MGT. En el caso de Ubiquiti también, podrías conservar entonces el
> trafico de MGT "privado" del equipo y no ponerlo de cara en L2 contra
> el multilateral al isolarlo en otra VLAN.
>
> Solo lo comento como opción que existe, después cada uno evaluara que
> nivel de necesidad vs complejidad aporta esto.
>
> El 5 de noviembre de 2016, 11:58, Ing. Jorge Filippo
> <jfilippo en optimix.com.ar <mailto:jfilippo en optimix.com.ar>> escribió:
>
> Gente
> Veo dos análisis en materia de IPs privadas:
>
> 1) ARP, o Neigbours Discovery (son temas distintos, pero ambos
> atañen al tráfico de frames).
> 2) Publicación de prefijos por BGP.
>
> ¿Qué es lo que preocupa más? ¿Se plantea impedir la existencia de
> frames de direccionamiento privado en la WAN? Digo, si por ejemplo
> tenés un enlace con Ubiquitis, que te transportan tu router BGP al
> NAP (en algún tramo), ¿sugieren que a los Ubiquitis les pongamos
> IPs públicas para evitar la presencia de frames de IPs privadas en
> el broadcast del NAP? Entiendo que Uriel Rozenbaum analiza en
> detalle esto del ARP, por la existencia de frames de privadas. A
> mi me preocuparía un poco ponerle una IP pública a un Ubiquiti.
>
> Ahora, si el problema es no publicar prefijos de privadas BGP,
> entonces es cuestión de agregar un filtro discard en el BGP para
> todo el resto (suponiendo que tenés un accept para tus prefijos),
> y listo! Entiendo que Christian O'Flaherty analiza esto de
> procesar más estrictamente la publicaciones BGP.
>
> Disculpen, más allá de los stándares para todos, si alguien
> propone cómo proceder, ya me resultaría nutritivo aprender de esas
> ideas.
>
> Saludos,
>
> Ing. Jorge Filippo
> * O p t i m i x
> * Network Engineering
> Móvil: +54911 6693 5494
> www.Optimix.com.ar <http://www.optimix.com.ar>
>
> El 05/11/2016 a las 11:15, Jose Gaspoz escribió:
>> El caso es que algunos con Mikrotik natean directamente en el
>> borde, y como es por conexion, cuando viene un Reset de la
>> conexion desde el destino, el tracking del MK da de baja la
>> conexion, por lo que por ejemplo el Reset que viene despues desde
>> el host no encuentra el tracking y el nat no lo agarra por lo que
>> sale sin trasladar.
>> Si se ponen a ver el tráfico interno que sale sin trasladar desde
>> un MK que tiene src-nat o mascarade en su Wan van a ver que es mucho.
>> Esto ocurre por mas que filtren los inválidos de entrada...
>> porque es de salida.
>> Saludos
>> Jose
>>
>>
>> -----Original Message-----
>> From: Eduardo Tealdi Saad <eduardots en amc.com.ar>
>> <mailto:eduardots en amc.com.ar>
>> To: lista en arnog.com.ar <mailto:lista en arnog.com.ar>
>> Date: Fri, 4 Nov 2016 18:08:00 -0300
>> Subject: Re: [Lista ArNOG] Tráfico no valido en ITX
>>
>> Mas facil, habilita /MikroTik Neighbor/ Discovery protocol
>> (MNDP) y fijate quien aparece. si no filtran esto o
>> MAC-server, menos van a filtrar la salida de IPs privadas,
>> invalidas o algo peor.
>>
>>
>> O sobre el tunel de PaisDigital
>>
>> Saludos Eduardo
>>
>>
>> El 4/11/2016 a las 9:45 a. m., Uriel Rozenbaum escribió:
>>> Hola Pablo,
>>>
>>> Nosotros también recibimos un montón de trafico del NAP con
>>> origenes privados; digo montón porque debería ser 0 y
>>> sorprende un poco que alguien se haya olvidado el filtro.
>>>
>>> También lo mandamos a masa con filtros ya que todo lo que
>>> sea privado (entrante o saliente, sin distinci{on) que
>>> quiera salir por un transito, se descarta.
>>>
>>> Podríamos impulsar una movida para incentivar a meter
>>> filtros, ya que es fácil detectar a quién se le escapa:
>>> Yo en lo personal tomo una captura en la interfaz que va al
>>> NAP, solamente filtrando con la red 10.0.0.0/8
>>> <http://10.0.0.0/8> (como ejemplo nomás). Luego la analizo
>>> con wireshark y veo cuales son las MAC que me llegan:
>>>
>>> Inline image 1
>>>
>>> Despues buscas esas MAC en la tabla ARP para ver a que IP
>>> corresponden:
>>> ? (200.0.17.107) at 00:12:1e:82:aa:79 [ether] on vlan106
>>> ? (200.0.17.121) at d4:ca:6d:01:2e:34 [ether] on vlan106
>>> ? (200.0.17.184) at d4:ca:6d:98:98:5a [ether] on vlan106
>>>
>>> Despues en el looking glass ves de quien es cada IP:
>>> *BGP neighbor is 200.0.17.107, remote AS 18747, external link
>>> Description: MIEMBRO: IFX (IFX)
>>>
>>> BGP neighbor is 200.0.17.121, remote AS 27881, external link
>>> Description: MIEMBRO: IPNEXT SA (IPN)
>>>
>>> BGP neighbor is 200.0.17.184, remote AS 263196, external link
>>> Description: MIEMBRO: Telwinet (TWN)*
>>>
>>> Si, me puse la gorra de buchón, pero es por el bien de todos.
>>>
>>>
>>>
>>>
>>>
>>>
>>> On Thu, Nov 3, 2016 at 5:54 PM, Pablo Moran
>>> <pmoran en telecentro.net.ar <mailto:pmoran en telecentro.net.ar>>
>>> wrote:
>>>
>>> **
>>> Buenas tardes.
>>>
>>> Escribo para compartirles esta lista de flujos IP
>>> que nos llegan por nuestra ITX con CABASE, nos llama
>>> mucho la atención las redes de origen de estos flujos,
>>> redes privadas RFC1918 (192.168/16, 172.16/12, 10.0/8),
>>> que intentan acceder redes públicas de nuestra red, esto
>>> es solo un extracto hay muchos mas flujos que llegan de
>>> forma continua. Aclaro que no nos afecta debido a que
>>> aplicamos filtros en la interfaz de la ITX, los paquetes
>>> no llegan al destino, pero evidentemente si hay algo que
>>> está generando este tráfico.
>>>
>>> Dicho lo anterior les hago la siguiente consulta
>>>
>>> ¿Alguno de ustedes vio algo parecido o reconoce si estas
>>> IPs privadas pertenecen a los segmentos que utilizan en
>>> sus redes de clientes o redes coorporativas?
>>>
>>> Aggregated flows
>>> 455
>>> Top 50 flows ordered by bytes:
>>> Date first seen Duration Proto Src IP Addr:Port Dst
>>> IP Addr:Port Out Pkt In Pkt Out Byte In Byte Flows
>>> 2016-11-03 14:13:40.973 0.000 TCP10.6.3.21:61083
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->190.55.61.221:443
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 1003 1
>>> 2016-11-03 10:36:08.445 0.000 TCP10.33.31.164:46510
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->190.55.61.204:443
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 999 1
>>> 2016-11-03 11:46:07.408 0.000 TCP192.168.0.4:35958
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.47.248.88:80
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 603 1
>>> 2016-11-03 12:59:09.727 0.000 TCP10.5.1.11:25971
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->168.83.77.30:80
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 590 1
>>> 2016-11-03 06:02:32.451 0.000 TCP10.1.1.81:443
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->186.19.111.211:32964
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 393 1
>>> 2016-11-03 05:57:05.811 0.000 TCP10.50.114.20:993
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->186.18.173.54:62261
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 156 1
>>> 2016-11-03 15:59:48.333 0.000 UDP10.19.193.204:43832
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->186.23.58.52:50321
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 145 1
>>> 2016-11-03 11:56:51.840 0.000 UDP10.19.193.204:43832
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.46.106.174:18118
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 145 1
>>> 2016-11-03 06:39:45.140 0.000 UDP10.3.152.2:35906
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->255.255.255.255:5678
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 140 1
>>> 2016-11-03 08:24:56.444 0.000 TCP172.19.15.47:50831
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->186.18.65.49:16836
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 140 1
>>> 2016-11-03 12:45:38.058 0.000 TCP10.1.219.250:38911
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.44.74.138:443
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 129 1
>>> 2016-11-03 11:05:07.253 0.000 TCP10.1.212.68:48728
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.44.74.147:443
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 129 1
>>> 2016-11-03 15:31:37.815 0.000 TCP10.1.212.2:55810
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.44.74.163:443
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 129 1
>>> 2016-11-03 06:26:24.664 0.000 UDP10.225.2.20:5678
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->255.255.255.255:5678
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 127 1
>>> 2016-11-03 11:46:07.438 0.000 TCP10.255.255.6:15250
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.45.139.2:50186
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 108 1
>>> 2016-11-03 14:00:06.547 0.000 TCP10.255.255.6:57865
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.46.165.236:46582
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 108 1
>>> 2016-11-03 14:32:08.541 0.000 TCP10.255.255.6:53342
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.45.27.38:58732
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 108 1
>>> 2016-11-03 12:51:15.782 0.000 TCP10.154.10.48:59850
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->186.18.65.179:28579
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 108 1
>>> 2016-11-03 11:02:26.444 0.000 TCP10.1.219.209:47448
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->190.55.61.208:443
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 105 1
>>> 2016-11-03 13:23:10.777 0.000 UDP192.168.10.57:63398
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->186.23.224.163:57585
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 91 1
>>> 2016-11-03 09:07:02.552 0.000 TCP172.30.1.4:143
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.44.218.105:50508
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 85 1
>>> 2016-11-03 15:15:18.797 0.000 TCP10.90.0.23:49694
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.47.248.210:443
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 76 1
>>> 2016-11-03 10:46:34.385 0.000 UDP192.168.244.50:60345
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->200.115.192.89:53
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 75 1
>>> 2016-11-03 15:50:20.988 0.000 UDP192.168.0.22:63176
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.47.248.205:443
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 72 1
>>> 2016-11-03 10:59:50.265 0.000 UDP192.168.85.100:30166
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->190.55.61.210:443
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 67 1
>>> 2016-11-03 11:11:03.211 0.000 TCP10.194.0.192:1236
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->186.18.86.1:44487
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 64 1
>>> 2016-11-03 11:19:53.552 0.000 UDP10.160.50.51:63530
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->200.16.99.17:53
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 64 1
>>> 2016-11-03 12:26:03.474 0.000 TCP172.17.255.250:49670
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->186.19.62.108:17146
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 60 1
>>> 2016-11-03 08:38:05.822 0.000 UDP192.168.244.50:55041
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->200.115.192.30:53
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 60 1
>>> 2016-11-03 10:28:49.934 0.000 UDP192.168.244.50:44206
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->200.115.192.89:53
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 60 1
>>> 2016-11-03 13:30:40.562 0.000 TCP10.1.90.13:8003
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <->181.44.126.234:47774
>>> <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0
>>> 60 1
>>>
>>>
>>> Esperamos novedades.
>>>
>>> Desde ya muchas gracias.
>>>
>>> Saludos.
>>>
>>> *Pablo Fernandez Moran *
>>> *Ing. de Backbone *
>>> 54 11 15-6516-3730 || pmoran en telecentro.net.ar
>>> <mailto:pmoran en telecentro.net.ar>
>>>
>>>
>>>
>>> _______________________________________________
>>> Lista mailing list
>>> Lista en arnog.com.ar <mailto:Lista en arnog.com.ar>
>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>> <http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista>
>>>
>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> Lista mailing list
>>> Lista en arnog.com.ar <mailto:Lista en arnog.com.ar>
>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>> <http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista>
>>
>> --
>> Eduardo Tealdi Saad
>> Administrador de Red
>> Cooperativa Mariano Acosta
>> Superi 660, Mariano Acosta (CP 1723)
>> Cel: 221 643-4291
>> eduardots en amc.com.ar <mailto:eduardots en amc.com.ar>
>>
>> _______________________________________________
>> Lista mailing list
>> Lista en arnog.com.ar <mailto:Lista en arnog.com.ar>
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>> <http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista>
> _______________________________________________ Lista mailing list
> Lista en arnog.com.ar <mailto:Lista en arnog.com.ar>
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> <http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista>
>
> --
> *Ivan Chapero Área Técnica y Soporte*Fijo: 03464-470280 (interno
> 535) | Móvil: 03464-155-20282 | Skype ID: ivanchapero
> --
> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
> Arequito - Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161107/029527e8/attachment-0001.html>
Más información sobre la lista de distribución Lista