[Lista ArNOG] Ayuda con Mikrotik
Ivan Chapero
info en ivanchapero.com.ar
Dom Abr 23 12:23:29 ART 2017
Por ello la aclaración en mí propuesta:
Si tiene sentido, si por lo anterior comentado no podes manejarlo de
manera automática por interfaces al menos con firewalling *"stateless"*
podes
evitar que salga la basura al mundo con algo como.....
Saludos.
El domingo, 23 de abril de 2017, Pablo Fritz <pablo.fritz en nap.cabase.org.ar>
escribió:
> Cuidado que el firewall de mikrotik tiene un "feature": el tráfico
> asimétrico no es reconocido como el mismo flujo.
> En otras palabras, si un flujo sale por una de las interfaces y vuelve por
> otra, no pasa.
> Esto hasta sucede si en una misma interfaces tenes dos routers conectados,
> y el tráfico sale por un router y vuelve por otro.
> Hay muchos que tienen problemas con esto. En mi opinión, si usas mikrotik
> deberías usar un equipo sin firewall en tu borde y un equipo separado para
> el firewall.
> Saludos,
> Pablo
>
> Sent from my Phone
>
> El 23 abr. 2017, a las 07:12, Christian O'Flaherty <oflaherty en isoc.org
> <javascript:;>> escribió:
>
> >>
> >>> lo normal es que con Mikrotik no hagan uRPF? (yo no configuraría
> features de firewall en la interface con el upstream)
> >>
> >> en realidad, en la interface con el upstream no tiene mucho sentido :-)
> >>
> >> Si tiene sentido, si por lo anterior comentado no podes manejarlo de
> manera automática por interfaces al menos con firewalling stateless podes
> evitar que salga la basura al mundo con algo como:
> >
> > Si… pero después me di cuenta que no sería uRPF (sería la misma
> “protección" pero hecho de otra manera).
> >
> > Tal vez tenemos que cambiar esa parte del curso y dejar el nombre
> genérico que tiene el doc: "Prevent traffic with spoofed source IP
> addresses” y luego poner uRPF y otras técnicas.
> >
> > Es común que usen configuraciones de Firewall en interfaces con BGP?
> >
> >> /ip firewall filter add chain=forward action=drop
> in-interface-list=BACKBONE out-interface-list=UPSTREAMS
> src-address-list=!PREFIJOS-PROPIOS
> >> /ip firewall filter add chain=forward action=drop
> in-interface-list=UPSTREAMS out-interface-list=BACKBONE
> src-address-list=PREFIJOS-PROPIOS
> >>
> >>
> >> Donde:
> >> - BACKBONE y UPSTREAMS son grupos/listas de interfaces (símil a zonas)
> seteables.
> >> - PREFIJOS-PROPIOS (autoreferente, address-list con todos los prefijos
> del ISP).
> >>
> >
> >
> > Gracias!
> >
> >>
> >> Tal vez se puede hacer una recomendación mostrando como usarlo con sus
> clientes cuando saben que no tienen posibilidad de tráfico asimétrico
> (clientes sin otras conexiones)
> >>
> >> En ese caso, y solo ese, si podrías tener uRPF strict configurado en
> el CPE / CE del cliente. Parámetro:
> >>
> >> /ip settings set rp-filter=strict
> >>
> >> https://wiki.mikrotik.com/wiki/Manual:IP/Settings
> >>
> >
> > Si… eso será lo mejor. Poner esa configuración y explicar bien la
> limitación…
> >
> > Christian
> >
> >>
> >>
> >>
> >>
> >> Christian
> >>
> >>>> Te paso una config de ejemplo si sigue sirviéndote esta opción.
> >>>
> >>> No estaba la config.
> >>>
> >>> Christian
> >>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>> El 22 de abril de 2017, 0:21, Cesar Javier Robles <
> jrobles en windnet.com.ar <javascript:;>> escribió:
> >>>> https://forum.mikrotik.com/viewtopic.php?t=56572
> >>>>
> >>>> Cesar Javier Robles
> >>>> WindNet
> >>>> _____________________________
> >>>> From: Christian O'Flaherty <oflaherty en isoc.org <javascript:;>>
> >>>> Sent: viernes, abril 21, 2017 6:52 p. m.
> >>>> Subject: [Lista ArNOG] Ayuda con Mikrotik
> >>>> To: <lista en arnog.com.ar <javascript:;>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>> Alguno tiene ganas de colaborar con configuraciones para hacer uRPF
> en Mikrotik?
> >>>> Es para agregar a un curso para MANRs (http://www.routingmanifesto.
> org) que estamos armando
> >>>>
> >>>> Me pueden contactar off-list
> >>>>
> >>>> Gracias!
> >>>>
> >>>> Christian O'Flaherty oflaherty en isoc.org <javascript:;>
> >>>> Regional Development - Internet Society
> >>>> Skype/Gmail/Yahoo!: christian.oflaherty
> >>>> Mobile/WhatsApp: +598 98769636
> >>>>
> >>>>
> >>>>
> >>>>
> >>>> _______________________________________________
> >>>> Lista mailing list
> >>>> Lista en arnog.com.ar <javascript:;>
> >>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >>>>
> >>>>
> >>>>
> >>>>
> >>>> --
> >>>> Ivan Chapero
> >>>> Área Técnica y Soporte
> >>>> Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype
> ID: ivanchapero
> >>>> --
> >>>> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
> Arequito - Santa Fe - Argentina
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>> _______________________________________________
> >>>> Lista mailing list
> >>>> Lista en arnog.com.ar <javascript:;>
> >>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >>>
> >>
> >>
> >> _______________________________________________
> >> Lista mailing list
> >> Lista en arnog.com.ar <javascript:;>
> >> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >>
> >>
> >>
> >>
> >> --
> >> Ivan Chapero
> >> Área Técnica y Soporte
> >> Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
> ivanchapero
> >> --
> >> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
> Arequito - Santa Fe - Argentina
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >> _______________________________________________
> >> Lista mailing list
> >> Lista en arnog.com.ar <javascript:;>
> >> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >
> > _______________________________________________
> > Lista mailing list
> > Lista en arnog.com.ar <javascript:;>
> > http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar <javascript:;>
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
--
*Ivan ChaperoÁrea Técnica y Soporte*
Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
- Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20170423/573eb44e/attachment.html>
Más información sobre la lista de distribución Lista