[Lista ArNOG] Ayuda con Mikrotik
Christian O'Flaherty
oflaherty en isoc.org
Dom Abr 23 07:12:31 ART 2017
>
>> lo normal es que con Mikrotik no hagan uRPF? (yo no configuraría features de firewall en la interface con el upstream)
>
> en realidad, en la interface con el upstream no tiene mucho sentido :-)
>
> Si tiene sentido, si por lo anterior comentado no podes manejarlo de manera automática por interfaces al menos con firewalling stateless podes evitar que salga la basura al mundo con algo como:
Si… pero después me di cuenta que no sería uRPF (sería la misma “protección" pero hecho de otra manera).
Tal vez tenemos que cambiar esa parte del curso y dejar el nombre genérico que tiene el doc: "Prevent traffic with spoofed source IP addresses” y luego poner uRPF y otras técnicas.
Es común que usen configuraciones de Firewall en interfaces con BGP?
> /ip firewall filter add chain=forward action=drop in-interface-list=BACKBONE out-interface-list=UPSTREAMS src-address-list=!PREFIJOS-PROPIOS
> /ip firewall filter add chain=forward action=drop in-interface-list=UPSTREAMS out-interface-list=BACKBONE src-address-list=PREFIJOS-PROPIOS
>
>
> Donde:
> - BACKBONE y UPSTREAMS son grupos/listas de interfaces (símil a zonas) seteables.
> - PREFIJOS-PROPIOS (autoreferente, address-list con todos los prefijos del ISP).
>
Gracias!
>
> Tal vez se puede hacer una recomendación mostrando como usarlo con sus clientes cuando saben que no tienen posibilidad de tráfico asimétrico (clientes sin otras conexiones)
>
> En ese caso, y solo ese, si podrías tener uRPF strict configurado en el CPE / CE del cliente. Parámetro:
>
> /ip settings set rp-filter=strict
>
> https://wiki.mikrotik.com/wiki/Manual:IP/Settings
>
Si… eso será lo mejor. Poner esa configuración y explicar bien la limitación…
Christian
>
>
>
>
> Christian
>
>>> Te paso una config de ejemplo si sigue sirviéndote esta opción.
>>
>> No estaba la config.
>>
>> Christian
>>
>>>
>>>
>>>
>>>
>>>
>>> El 22 de abril de 2017, 0:21, Cesar Javier Robles <jrobles en windnet.com.ar> escribió:
>>> https://forum.mikrotik.com/viewtopic.php?t=56572
>>>
>>> Cesar Javier Robles
>>> WindNet
>>> _____________________________
>>> From: Christian O'Flaherty <oflaherty en isoc.org>
>>> Sent: viernes, abril 21, 2017 6:52 p. m.
>>> Subject: [Lista ArNOG] Ayuda con Mikrotik
>>> To: <lista en arnog.com.ar>
>>>
>>>
>>>
>>>
>>> Alguno tiene ganas de colaborar con configuraciones para hacer uRPF en Mikrotik?
>>> Es para agregar a un curso para MANRs (http://www.routingmanifesto.org) que estamos armando
>>>
>>> Me pueden contactar off-list
>>>
>>> Gracias!
>>>
>>> Christian O'Flaherty oflaherty en isoc.org
>>> Regional Development - Internet Society
>>> Skype/Gmail/Yahoo!: christian.oflaherty
>>> Mobile/WhatsApp: +598 98769636
>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> Lista mailing list
>>> Lista en arnog.com.ar
>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>
>>>
>>>
>>>
>>> --
>>> Ivan Chapero
>>> Área Técnica y Soporte
>>> Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID: ivanchapero
>>> --
>>> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> Lista mailing list
>>> Lista en arnog.com.ar
>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
>
>
> --
> Ivan Chapero
> Área Técnica y Soporte
> Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID: ivanchapero
> --
> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina
>
>
>
>
>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
Más información sobre la lista de distribución Lista