Серые ип для BGP сессий

[John_Doe 301]

  В 24.05.2015 в 21:33, tkapluk сказав:

 

  В 24.05.2015 в 21:08, John_Doe сказав:

Сам по себе роутер даже имея реальные адреса не обязан никому отвечать,трасса будет чакатса с дохлым хопом в чем проблема?

В моем случае два локаьных хопа, и оба чекаются... в сети другого провайдера. Получается дезинформация. 

 

нет,это стечение обстоятельств

вы не режете не свои серые из вне,а серая адресация аплинка не пересекается с вашей

если пересекается то тут печальней но не совсем,на роутере который держит бжп сессию даже если будет маршрут на реально вашу локалку то с пиром как правило /30

маска уже,соответственно приоритет выше пакет уйдет к пиру

Для примера у вас сетка 10.10.10.0/24,с аплинком пиринг 10.10.10.48/30 ваш ip 10.10.10.50 аплинка 10.10.10.49

и если вы выдадите своему локальному пользователю апиху 10.10.10.48-51 вы донего не достучитесь

потому что это сетка /30 а не /24 ну как то так сумбурно попытался объяснить,надеюсь понятно

Если при этом вы пытаетесь чекать чтото не из /30 сессии с пиром то получите ответ от хоста из локалки

это чистая маршрутизация.никакого волшебства и тем более дезинформации. все это вполне выкупается по трассе

 

[Phsm 19]

  В 24.05.2015 в 15:04, supportod сказав:

 

  В 24.05.2015 в 12:57, LENS сказав:

 

 

 

 

 

  В 24.05.2015 в 12:55, twg сказав:

 

 

 

 

 

  В 24.05.2015 в 12:52, LENS сказав:

 

 

Может и eBGP на серые тоже перевести?

а что это вам даст? фволом дропнуть все, если боитесь атак, и все, имхо. не?

Я возможно закрыть фволом внешний ип хоп при трассировке?

Не будет работать TCP offload engine и соответственно каналы будет значительно нагружены.

А можно пруф? Что-то не верится. Это обычное правило, которое дропнет на исход интерфейса пакеты icmp ttl exceeded, как по мне.

[tkapluk 921]

  В 24.05.2015 в 21:53, 'John_Doe' сказав:

ну как то так сумбурно попытался объяснить,надеюсь понятно

 

Спасибо. Это все понятно. Но не относится к данному примеру...

 

Последние хопы из примера выше: 

  В 24.05.2015 в 20:23, 'tkapluk' сказав:

tracert 91.245.5.5

...

91.245.1.1

192.168.15.6

91.245.5.5

 

все хопы чекаются,по всем выводится статистика. 

Но не по причине описанной тобой, а банально из-за того что в сети другого провайдера тоже есть хост 192.168.15.6. 

Для наглядности предположим, что этот провайдер в другой стране. Можем поучить вывод: 

 

 30 мс    30 мс    30 мс 91.245.1.1
 <1 мс    <1 мс    <1 мс 192.168.15.6
 30 мс    30 мс    30 мс 91.245.5.5

Вот по этому я и написал по дезинформацию.

[John_Doe 301]

  В 25.05.2015 в 05:39, tkapluk сказав:

Но не по причине описанной тобой, а банально из-за того что в сети другого провайдера тоже есть хост 192.168.15.6.

это и есть то о чем я говорил - пересечение адресации в двух сетях

[LENS 105]

Вот детально как работает traceroute http://netwild.ru/tracert_and_tracerout/

 

Вывод такой, что ип адреса я могу сделать любые серые, но нужно использовать не 192.168.0.1 а 10.147.239.155 - чтобы сложнее были совпадения.

Они может и будут, но редко.

У себя на граничных маршрутизаторах обязательно добавить в null route все локальные сети.

 

P.S. На внешних пирах с другими AS использовать внешние ип (кстати эти внешние ип могут быть любые. Thepiratebay когда сервер прятали так и делали )

[bsdadm 53]

От "не обязан светиться в трассировке" до "не обязан вести дела честно" один шаг. У меня провайдер например считает, что он не обязан давать возможность получить актуальную диагностическую информацию и предсказуемый канал. Поэтому у него трасса идёт по серым адресам, пинги и скоростемерялки идут с повышенным приоритетом (и возможно в выделенной полосе), GRE зажимается и траффик "кешируется и жмётся" какой-то фигнёй, от которой куча сайтов работает странно. Т. е. вопрос можно перефразировать так:

"Если я положу на всех, кто от меня зависит, и нарушу принятые сообществом соглашения, мне за это ничего плохого не будет? А то мне хочется и возможность есть."

[John_Doe 301]

 

 

  В 26.05.2015 в 20:57, bsdadm сказав:

От "не обязан светиться в трассировке" до "не обязан вести дела честно" один шаг

Голова два уха 

[Ромка 567]

  В 26.05.2015 в 20:57, bsdadm сказав:

От "не обязан светиться в трассировке" до "не обязан вести дела честно" один шаг. У меня провайдер например считает, что он не обязан давать возможность получить актуальную диагностическую информацию и предсказуемый канал. Поэтому у него трасса идёт по серым адресам, пинги и скоростемерялки идут с повышенным приоритетом (и возможно в выделенной полосе), GRE зажимается и траффик "кешируется и жмётся" какой-то фигнёй, от которой куча сайтов работает странно. Т. е. вопрос можно перефразировать так:

"Если я положу на всех, кто от меня зависит, и нарушу принятые сообществом соглашения, мне за это ничего плохого не будет? А то мне хочется и возможность есть."

Почему это "ничего плохого не будет"? Будут санкции! 

Відредаговано 2015-05-27 12:29:27 Ромка