[Lista ArNOG] Ayuda con Mikrotik
Ivan Chapero
info en ivanchapero.com.ar
Dom Abr 23 12:26:14 ART 2017
Si, es común. Igualmente no sé por qué consultas específicamente por
Mikrotik, ya por BCP38 sobre cualquier plataforma tendrías que tener un
mínimo firewalling en dichas interfaces.
Slds.
El domingo, 23 de abril de 2017, Christian O'Flaherty <oflaherty en isoc.org>
escribió:
> >
> >> lo normal es que con Mikrotik no hagan uRPF? (yo no configuraría
> features de firewall en la interface con el upstream)
> >
> > en realidad, en la interface con el upstream no tiene mucho sentido :-)
> >
> > Si tiene sentido, si por lo anterior comentado no podes manejarlo de
> manera automática por interfaces al menos con firewalling stateless podes
> evitar que salga la basura al mundo con algo como:
>
> Si… pero después me di cuenta que no sería uRPF (sería la misma
> “protección" pero hecho de otra manera).
>
> Tal vez tenemos que cambiar esa parte del curso y dejar el nombre genérico
> que tiene el doc: "Prevent traffic with spoofed source IP addresses” y
> luego poner uRPF y otras técnicas.
>
> Es común que usen configuraciones de Firewall en interfaces con BGP?
>
> > /ip firewall filter add chain=forward action=drop
> in-interface-list=BACKBONE out-interface-list=UPSTREAMS
> src-address-list=!PREFIJOS-PROPIOS
> > /ip firewall filter add chain=forward action=drop
> in-interface-list=UPSTREAMS out-interface-list=BACKBONE
> src-address-list=PREFIJOS-PROPIOS
> >
> >
> > Donde:
> > - BACKBONE y UPSTREAMS son grupos/listas de interfaces (símil a zonas)
> seteables.
> > - PREFIJOS-PROPIOS (autoreferente, address-list con todos los prefijos
> del ISP).
> >
>
>
> Gracias!
>
> >
> > Tal vez se puede hacer una recomendación mostrando como usarlo con sus
> clientes cuando saben que no tienen posibilidad de tráfico asimétrico
> (clientes sin otras conexiones)
> >
> > En ese caso, y solo ese, si podrías tener uRPF strict configurado en el
> CPE / CE del cliente. Parámetro:
> >
> > /ip settings set rp-filter=strict
> >
> > https://wiki.mikrotik.com/wiki/Manual:IP/Settings
> >
>
> Si… eso será lo mejor. Poner esa configuración y explicar bien la
> limitación…
>
> Christian
>
> >
> >
> >
> >
> > Christian
> >
> >>> Te paso una config de ejemplo si sigue sirviéndote esta opción.
> >>
> >> No estaba la config.
> >>
> >> Christian
> >>
> >>>
> >>>
> >>>
> >>>
> >>>
> >>> El 22 de abril de 2017, 0:21, Cesar Javier Robles <
> jrobles en windnet.com.ar <javascript:;>> escribió:
> >>> https://forum.mikrotik.com/viewtopic.php?t=56572
> >>>
> >>> Cesar Javier Robles
> >>> WindNet
> >>> _____________________________
> >>> From: Christian O'Flaherty <oflaherty en isoc.org <javascript:;>>
> >>> Sent: viernes, abril 21, 2017 6:52 p. m.
> >>> Subject: [Lista ArNOG] Ayuda con Mikrotik
> >>> To: <lista en arnog.com.ar <javascript:;>>
> >>>
> >>>
> >>>
> >>>
> >>> Alguno tiene ganas de colaborar con configuraciones para hacer uRPF en
> Mikrotik?
> >>> Es para agregar a un curso para MANRs (http://www.routingmanifesto.org)
> que estamos armando
> >>>
> >>> Me pueden contactar off-list
> >>>
> >>> Gracias!
> >>>
> >>> Christian O'Flaherty oflaherty en isoc.org <javascript:;>
> >>> Regional Development - Internet Society
> >>> Skype/Gmail/Yahoo!: christian.oflaherty
> >>> Mobile/WhatsApp: +598 98769636
> >>>
> >>>
> >>>
> >>>
> >>> _______________________________________________
> >>> Lista mailing list
> >>> Lista en arnog.com.ar <javascript:;>
> >>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >>>
> >>>
> >>>
> >>>
> >>> --
> >>> Ivan Chapero
> >>> Área Técnica y Soporte
> >>> Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype
> ID: ivanchapero
> >>> --
> >>> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
> Arequito - Santa Fe - Argentina
> >>>
> >>>
> >>>
> >>>
> >>>
> >>>
> >>>
> >>> _______________________________________________
> >>> Lista mailing list
> >>> Lista en arnog.com.ar <javascript:;>
> >>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >>
> >
> >
> > _______________________________________________
> > Lista mailing list
> > Lista en arnog.com.ar <javascript:;>
> > http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
> >
> >
> >
> >
> > --
> > Ivan Chapero
> > Área Técnica y Soporte
> > Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
> ivanchapero
> > --
> > GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
> Arequito - Santa Fe - Argentina
> >
> >
> >
> >
> >
> >
> >
> > _______________________________________________
> > Lista mailing list
> > Lista en arnog.com.ar <javascript:;>
> > http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar <javascript:;>
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
--
*Ivan ChaperoÁrea Técnica y Soporte*
Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
- Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20170423/645aab85/attachment-0001.html>
Más información sobre la lista de distribución Lista