[Lista ArNOG] Ayuda con Mikrotik
Ivan Chapero
info en ivanchapero.com.ar
Sab Abr 22 23:48:51 ART 2017
>
>
>
> lo normal es que con Mikrotik no hagan uRPF? (yo no configuraría features
> de firewall en la interface con el upstream)
>
>
> en realidad, en la interface con el upstream no tiene mucho sentido :-)
>
Si tiene sentido, si por lo anterior comentado no podes manejarlo de
manera automática por interfaces al menos con firewalling stateless podes
evitar que salga la basura al mundo con algo como:
/ip firewall filter add chain=forward action=drop
in-interface-list=BACKBONE out-interface-list=UPSTREAMS
src-address-list=!PREFIJOS-PROPIOS
/ip firewall filter add chain=forward
action=drop in-interface-list=UPSTREAMS out-interface-list=BACKBONE
src-address-list=PREFIJOS-PROPIOS
Donde:
- BACKBONE y UPSTREAMS son grupos/listas de interfaces (símil a zonas)
seteables.
- PREFIJOS-PROPIOS (autoreferente, address-list con todos los prefijos del
ISP).
>
> Tal vez se puede hacer una recomendación mostrando como usarlo con sus
> clientes cuando saben que no tienen posibilidad de tráfico asimétrico
> (clientes sin otras conexiones)
>
En ese caso, y solo ese, si podrías tener uRPF strict configurado en el
CPE / CE del cliente. Parámetro:
/ip settings set rp-filter=strict
https://wiki.mikrotik.com/wiki/Manual:IP/Settings
>
> Christian
>
> Te paso una config de ejemplo si sigue sirviéndote esta opción.
>
>
> No estaba la config.
>
> Christian
>
>
>
>
>
>
> El 22 de abril de 2017, 0:21, Cesar Javier Robles <jrobles en windnet.com.ar>
> escribió:
>
>> https://forum.mikrotik.com/viewtopic.php?t=56572
>>
>> Cesar Javier Robles
>> WindNet
>> _____________________________
>> From: Christian O'Flaherty <oflaherty en isoc.org>
>> Sent: viernes, abril 21, 2017 6:52 p. m.
>> Subject: [Lista ArNOG] Ayuda con Mikrotik
>> To: <lista en arnog.com.ar>
>>
>>
>>
>>
>> Alguno tiene ganas de colaborar con configuraciones para hacer uRPF en
>> Mikrotik?
>> Es para agregar a un curso para MANRs (http://www.routingmanifesto.org)
>> que estamos armando
>>
>> Me pueden contactar off-list
>>
>> Gracias!
>>
>> Christian O'Flaherty oflaherty en isoc.org
>> Regional Development - Internet Society
>> Skype/Gmail/Yahoo!: christian.oflaherty
>> Mobile/WhatsApp: +598 98769636
>>
>>
>>
>>
>> _______________________________________________
>> Lista mailing list
>> Lista en arnog.com.ar
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>
>>
>
>
> --
>
> *Ivan ChaperoÁrea Técnica y Soporte*
> Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
> ivanchapero
> --
> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
> - Santa Fe - Argentina
>
>
>
>
>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
--
*Ivan ChaperoÁrea Técnica y Soporte*
Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
- Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20170422/0dd34c01/attachment-0001.html>
Más información sobre la lista de distribución Lista