[Lista ArNOG] Ayuda con Mikrotik

Pablo Fritz pablo.fritz en nap.cabase.org.ar
Dom Abr 23 10:04:26 ART 2017 

Perdón, aclaro: esto solo afecta si se usan configuraciones con estado en el firewall. 
Saludos, Pablo

Sent from my Phone

> El 23 abr. 2017, a las 09:52, Pablo Fritz <pablo.fritz en nap.cabase.org.ar> escribió:
> 
> Cuidado que el firewall de mikrotik tiene un "feature": el tráfico asimétrico no es reconocido como el mismo flujo.
> En otras palabras, si un flujo sale por una de las interfaces y vuelve por otra, no pasa.
> Esto hasta sucede si en una misma interfaces tenes dos routers conectados, y el tráfico sale por un router y vuelve por otro.
> Hay muchos que tienen problemas con esto. En mi opinión, si usas mikrotik deberías usar un equipo sin firewall en tu borde y un equipo separado para el firewall.
> Saludos,
> Pablo
> 
> Sent from my Phone
> 
> El 23 abr. 2017, a las 07:12, Christian O'Flaherty <oflaherty en isoc.org> escribió:
> 
>>> 
>>>> lo normal es que con Mikrotik no hagan uRPF? (yo no configuraría features de firewall en la interface con el upstream)
>>> 
>>> en realidad, en la interface con el upstream no tiene mucho sentido :-)
>>> 
>>> ​Si tiene sentido, si por lo anterior comentado no podes manejarlo de manera automática por interfaces al menos con firewalling stateless podes evitar que salga la basura al mundo con algo como:
>> 
>> Si… pero después me di cuenta que no sería uRPF (sería la misma “protección" pero hecho de otra manera).
>> 
>> Tal vez tenemos que cambiar esa parte del curso y dejar el nombre genérico que tiene el doc: "Prevent traffic with spoofed source IP addresses” y luego poner uRPF y otras técnicas.
>> 
>> Es común que usen configuraciones de Firewall en interfaces con BGP? 
>> 
>>> /ip firewall filter add chain=forward action=drop in-interface-list=BACKBONE out-interface-list=UPSTREAMS src-address-list=!PREFIJOS-PROPIOS  
>>> /ip firewall filter add chain=forward action=drop in-interface-list=UPSTREAMS out-interface-list=BACKBONE src-address-list=PREFIJOS-PROPIOS
>>> 
>>> 
>>> ​Donde:
>>> - BACKBONE y UPSTREAMS son grupos/listas de interfaces (símil a zonas)​ seteables.
>>> - PREFIJOS-PROPIOS (autoreferente, address-list con todos los prefijos del ISP).
>>> 
>> 
>> 
>> Gracias!
>> 
>>> 
>>> Tal vez se puede hacer una recomendación mostrando como usarlo con sus clientes cuando saben que no tienen posibilidad de tráfico asimétrico (clientes sin otras conexiones)
>>> 
>>> ​En ese caso, y solo ese, si podrías tener uRPF strict configurado en el CPE / CE del cliente. Parámetro:
>>> 
>>> /ip settings set rp-filter=strict
>>> 
>>> https://wiki.mikrotik.com/wiki/Manual:IP/Settings
>>> 
>> 
>> Si… eso será lo mejor. Poner esa configuración y explicar bien la limitación…  
>> 
>> Christian
>> 
>>> 
>>> 
>>> 
>>> 
>>> Christian
>>> 
>>>>> Te paso una config de ejemplo si sigue sirviéndote esta opción.
>>>> 
>>>> No estaba la config.
>>>> 
>>>> Christian
>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> El 22 de abril de 2017, 0:21, Cesar Javier Robles <jrobles en windnet.com.ar> escribió:
>>>>> https://forum.mikrotik.com/viewtopic.php?t=56572
>>>>> 
>>>>> Cesar Javier Robles
>>>>> WindNet
>>>>> _____________________________
>>>>> From: Christian O'Flaherty <oflaherty en isoc.org>
>>>>> Sent: viernes, abril 21, 2017 6:52 p. m.
>>>>> Subject: [Lista ArNOG] Ayuda con Mikrotik
>>>>> To: <lista en arnog.com.ar>
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> Alguno tiene ganas de colaborar con configuraciones para hacer uRPF en Mikrotik? 
>>>>> Es para agregar a un curso para MANRs (http://www.routingmanifesto.org) que estamos armando 
>>>>> 
>>>>> Me pueden contactar off-list
>>>>> 
>>>>> Gracias!
>>>>> 
>>>>> Christian O'Flaherty  oflaherty en isoc.org
>>>>> Regional Development - Internet Society 
>>>>> Skype/Gmail/Yahoo!:  christian.oflaherty 
>>>>> Mobile/WhatsApp: +598 98769636
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> _______________________________________________
>>>>> Lista mailing list
>>>>> Lista en arnog.com.ar
>>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> -- 
>>>>> Ivan Chapero
>>>>> Área Técnica y Soporte 
>>>>> Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID: ivanchapero
>>>>> --
>>>>> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> _______________________________________________
>>>>> Lista mailing list
>>>>> Lista en arnog.com.ar
>>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>> 
>>> 
>>> 
>>> _______________________________________________
>>> Lista mailing list
>>> Lista en arnog.com.ar
>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>> 
>>> 
>>> 
>>> 
>>> -- 
>>> Ivan Chapero
>>> Área Técnica y Soporte 
>>> Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID: ivanchapero
>>> --
>>> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina
>>> 
>>> 
>>> 
>>> 
>>> 
>>> 
>>> 
>>> _______________________________________________
>>> Lista mailing list
>>> Lista en arnog.com.ar
>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>> 
>> _______________________________________________
>> Lista mailing list
>> Lista en arnog.com.ar
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista

Más información sobre la lista de distribución Lista