bgp

[fabrik]

Подскажите советом!

Просьба не пинать, только начинаю разбираться! Поставил сервер на FreeBSD 8.2 с пакетом quagga, по идее же надо файервол настроить? Ifpw для этого сгодится? Или как?

[spaul]

Сгодится. Главное, если вы начинающий, не делать этого удаленно - плохая примета (к дороге).

 

Хотя там и защищать наверное покачто нечего... Если на сервере кроме quagga ничего нету то достаточно поставить надежные пароли на квагу и на ssh.

[fabrik]

состряпал такие правила для ipfw:

ipfw add 100 pass all from any to any via lo0
ipfw add 200 deny all from any to 127.0.0.0/8
ipfw add 300 deny ip from 127.0.0.0/8 to any

ipfw add 500 skipto 10000 ip from me to any
ipfw add 501 skipto 10000 ip from any to me
ipfw add 502 skipto 10000 ip from any to X.X.X.X/X
#
ipfw add 1000 allow ip from any to any
# Allow from me
ipfw add 10000 check-state
ipfw add 10005 allow tcp from any to any established

# CVSUP
ipfw add 10020 allow log tcp from me to any setup keep-state uid root

# SSH
ipfw add 10034 allow log tcp from me to any dst-port 22 setup

# Mail
ipfw add 10040 allow log tcp from me to any dst-port 25 setup

# NTP
ipfw add 10100 allow log udp from any to me dst-port 123
ipfw add 10101 allow log udp from me to any dst-port 123 keep-state

# SNMP
ipfw add 10200 allow log udp from any to me dst-port 161
ipfw add 10201 allow log udp from me to any dst-port 161 keep-state

# DNS
ipfw add 10310 allow log udp from me to any dst-port 53 keep-state

# BGP
ipfw add 10320 allow log tcp from any to me dst-port 179 setup
ipfw add 10321 allow log tcp from me to any dst-port 179 setup
ipfw add 10325 allow log udp from any to me dst-port 179
ipfw add 10325 allow log udp from me to any dst-port 179 keep-state

 

Подскажите, ошибок нет? Может что-то добавить или убрать? Или если не сложно рабочий конфиг! Премного благодарен!

[mlevel]

/etc/hosts.allow налаштуйте.

 

В кінці у Вас є правило deny ip from any to any?

Більшість правил просто не потрібні. Для чого робити firewall закритого типу? Для чого все забороняти?

allow ip from any to any via lo0
deny ip from any to 127.0.0.0/8
deny tcp from any to any dst-port 137-139,445
deny udp from any to any dst-port 137-139,445
deny ip from any to 255.255.255.255
deny ip from 127.0.0.0/8 to any

[Kto To]

а лучше еще поставь фрибсд 7.4 не ставь это убогое 8.х

[VitalyMoiseev]

а лучше еще поставь фрибсд 7.4 не ставь это убогое 8.х

тогда уже лучше сразу 4.8 ставить

[jack]

может тогда вообще не ставить?

[fabrik]

а скажите, если добавляется аплинк, то в базе райпа надо добавить поля

import, export

? или надо еще что-то добавить(изменить)?

[Mobil]

а скажите, если добавляется аплинк, то в базе райпа надо добавить поля

import, export

? или надо еще что-то добавить(изменить)?

 

Для основных настроек этого достаточно.

[fabrik]

будьте добры, скажите как скоро вступают в силу изменения?

[Mobil]

будьте добры, скажите как скоро вступают в силу изменения?

 

Моментально.

[Ajar]

, в райпе мгновенно , а вот фильтры народ обновляет неспешно , обычно 2 раза в сутки .

Уаикс уже обновил фильтры

 

Subject: [ix-tech] UA-IX: filters have changed (2011-05-17)

From: xxxx

Date: 13:38

To: ix-tech@ix.net.ua

 

Body:

Hello,

 

there are changes in filters on peers with:

 

. AS3254

. AS3255

. AS3261

. AS6846

. AS8788

. AS12294

. AS12530

. AS12773

. AS12883

. AS12963

. AS13249

. AS15497

. AS15738

. AS20850

. AS21011

. AS21219

. AS24703

. AS25229

. AS28858

. AS29491

. AS29632

. AS34867

. AS35297

. AS35320

. AS35795

. AS44600

. AS48278

. AS48533

 

--

Cool Robot

 

--

regards,

Serge Pershin

[fabrik]

появился вопрос такого плана:

бгп сессии настроены(пока 1 аплинк, ua-ix + fullview), но не видно части интернета, к примеру:

speedtest.ru

ya.ru

zyxel.ru

www.fast-torrent.org

и т.д.

Подскажите что может быть не так?

[MEDVED]

появился вопрос такого плана:

бгп сессии настроены(пока 1 аплинк, ua-ix + fullview), но не видно части интернета, к примеру:

speedtest.ru

ya.ru

zyxel.ru

www.fast-torrent.org

и т.д.

Подскажите что может быть не так?

Используйте looking glass, возможно кто-то не обновил фильтры...

[fabrik]

проблема в следующем: 2 аплинка, каждый отдает мир+юа, с обоих маршруты принимаю(даже те, в которые нет пингов с клиентских машин), через 2ой аплинк трафик пока вообще не хочет идти, но суть пока не в этом. Для начала разберусь с первым, итак: пинг с клиентской машины к примеру на speedtest.net вообще не идет, но вот с сервера с quagga идет, в чем трабл?

Кстати после передергивания quagga 5-10 пингов прорывается, но не всегда

Відредаговано 21 травня, 2011 fabrik

[pavlabor]

Зебры нет.

[fabrik]

zebra стоит вот конфиг:

!
! Zebra configuration saved from vty
!   2011/05/14 01:59:40
!
hostname zebra-router

log file /var/log/quagga/zebra.log
log stdout
!
interface em0
ipv6 nd suppress-ra
!
interface fwe0
ipv6 nd suppress-ra
!
interface fwip0
ipv6 nd suppress-ra
!
interface lo0
!
interface re0
ip address 10.10.10.254/24
ipv6 nd suppress-ra
!
interface igb0
ipv6 nd suppress-ra
!
interface igb1
ipv6 nd suppress-ra
!
ip route 10.0.0.0/8 Null 254
ip route 172.16.0.0/12 Null 254
ip route 192.168.0.0/16 Null 254
ip route X.X.X.0/22 10.10.10.254
!
ip forwarding
!
line vty
exec-timeout 0 0
!

 

rc.conf

gateway_enable="YES"
keymap="ru.koi8-r"
sshd_enable="YES"
ifconfig_igb0="up"
ifconfig_igb1="up"
defaultrouter="NO"
cloned_interfaces="vlan80 vlan81 vlan370 vlan371"
ifconfig_vlan80=""
ifconfig_vlan81=""
ifconfig_vlan370=""
ifconfig_vlan371=""
ifconfig_re0="inet 10.10.10.254 netmask 255.255.255.0"
ifconfig_lo0="inet 127.0.0.1 netmask 255.0.0.0"
ifconfig_lo0_alias0="inet x.x.x.1 netmask 255.255.255.255"

quagga_enable="YES"
quagga_daemons="zebra bgpd"
watchquagga_enable="YES"
watchquagga_flags="-dz -R '/usr/local/sbin/zebra -d;' /usr/local/sbin/bgpd -d' bgpd"
quagga_flags="-d -A 127.0.0.1"
snmpd_enable="YES"

может где ошибка есть? или чего не написал?

[pavlabor]

покажи

ps -ax | grep '[q]uagga'

и такое

netstat -rn| wc -l

[fabrik]

покажи

ps -ax | grep '[q]uagga'

и такое

netstat -rn| wc -l

 

ps -ax | grep quagga
1874   0  R+     0:00.00 grep quagga

я же говорю маршруты получаю:

BGP router identifier x.x.x.1, local AS number #####
RIB entries 657567, using 40 MiB of memory
Peers 4, using 10080 bytes of memory

Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
y.y.y.y  4 21219    1757       7        0    0    0 00:01:18     5299
x.x.x.x  4 21219   59663       7        0    0    0 00:01:14   353400
a.a.a.a   4 12507   60517       6        0    0    0 00:01:06   355448
b.b.b.b   4 12507    1503       6        0    0    0 00:01:12     4482

Total number of neighbors 4

[pavlabor]

ответ увидел?

покажи то что я прошу

то что ты маршруты получаеш, еще не означает что они строятся

[fabrik]

покажи

ps -ax | grep '[q]uagga'

и такое

netstat -rn| wc -l

 

на это пусто, а вот на: ps -ax | grep quagga

 1874   0  R+     0:00.00 grep quagga

netstat -rn| wc -l

355770

[dir1212]

конфиг bgpd в студию

[pavlabor]

 1874   0  R+     0:00.00 grep quagga

netstat -rn| wc -l

355770

Это говорит о том что у тебя построено 355770 марщрутов,

сноси фаервол и проверяй.

 

Можеш выборочно просмотреть маршруты на какие интерфейсы они указывают

netstat -rn|less

 

думаю что у тебя все работает, разреши все в фаерволе.

[fabrik]

конфиг bgpd в студию

 

bgpd.conf

router bgp #####
bgp router-id x.x.2.1
network x.x.2.0/24
network x.x.3.0/24
network x.x.4.0/24
network x.x.5.0/24
neighbor 1.1.1.x remote-as xxxx1
neighbor 1.1.1.x description 1(UA-IX)
neighbor 1.1.1.x soft-reconfiguration inbound
neighbor 1.1.1.x route-map Network out
neighbor 1.1.1.x weight 7000
neighbor 1.1.1.x prefix-list default in
neighbor 1.1.1.z remote-as xxxx1
neighbor 1.1.1.z description 1(World)
neighbor 1.1.1.z soft-reconfiguration inbound
neighbor 1.1.1.z route-map Network out
neighbor 1.1.1.z weight 1000
neighbor 1.1.1.z prefix-list default in
neighbor 2.2.2.a remote-as xxxx2
neighbor 2.2.2.a description 2(World)
neighbor 2.2.2.a soft-reconfiguration inbound
neighbor 2.2.2.a route-map Network out
neighbor 2.2.2.a weight 4000
neighbor 2.2.2.a prefix-list default in
neighbor 2.2.2.b remote-as xxxx2
neighbor 2.2.2.b description 2(UA-IX)
neighbor 2.2.2.b soft-reconfiguration inbound
neighbor 2.2.2.b route-map Network out
neighbor 2.2.2.b weight 9000
neighbor 2.2.2.b prefix-list default in
!
access-list 1 remark Localhost only
access-list 1 permit 127.0.0.1
!
ip prefix-list default seq 5 deny 0.0.0.0/0
ip prefix-list default seq 10 permit any
ip prefix-list mynets permit x.x.2.0/24
ip prefix-list mynets permit x.x.3.0/24
ip prefix-list mynets permit x.x.4.0/24
ip prefix-list mynets permit x.x.5.0/24
!
route-map Network permit 50
match ip address prefix-list mynets
!
line vty
access-class 1
!

[fabrik]

 1874   0  R+     0:00.00 grep quagga

netstat -rn| wc -l

355770

Это говорит о том что у тебя построено 355770 марщрутов,

сноси фаервол и проверяй.

 

Можеш выборочно просмотреть маршруты на какие интерфейсы они указывают

netstat -rn|less

 

думаю что у тебя все работает, разреши все в фаерволе.

 

фаервол ipfw

65535 1228772 1037467726 allow ip from any to any

на часть ресурсов без проблем хожу, как сейчас на local.com.ua, часть не видится вообще, из под сервера вижу