কোয়াগা রুটিং এবং সুরক্ষা


11

আমার দুটি ট্রানজিট প্রতিবেশী এবং আমার নিজস্ব আইপি স্পেস ঘোষণা করে একটি কোয়াগা রাউটার রয়েছে। আমি সম্প্রতি একটি সর্বজনীন পিয়ারিং এক্সচেঞ্জ (আইএক্সপি) এ যোগদান করেছি এবং তাই আমি তাদের সমস্ত স্থানীয় অংশীদারদের সাথে তাদের স্থানীয় নেটওয়ার্কের (/ 24) অংশ। এখনও পর্যন্ত সবকিছু ঠিকঠাক কাজ করে।

এখন সুরক্ষার জন্য আমি ভাবছি যে অন্যান্য অংশগ্রহণকারীরা কেবল তাদের মাধ্যমে আমার সমস্ত বিদায়ী ট্র্যাফিক রুট করতে না পেরে? উদাহরণস্বরূপ, যদি অন্য কোনও অংশগ্রহণকারী আমার আইএক্সপি আইপিতে কোনও ডিফল্ট রুট নির্দেশ করে তবে কী হয়। যদি আমি সঠিকভাবে বুঝতে পারি যে অংশগ্রহণকারী থেকে সমস্ত বহির্গামী ট্র্যাফিকটি তখন আমার রাউটারে যাবে যা আমার ট্রানজিট আপলিংকটি ব্যবহার করে এটি ইন্টারনেটে রুট করবে?

সুতরাং আমি ভাবছি যে এর বিরুদ্ধে যদি আমাকে কোনও পদক্ষেপ নিতে হয় তবে। আমার ধারণাগুলি হ'ল:

  1. সেটআপ ফায়ারওয়াল (iptables) নিয়ম করে যাতে কেবলমাত্র আমার নিজের আইপি স্পেসের গন্তব্য সহ অন্য ট্র্যাফিকটি অন্যান্য আইএক্সপি অংশগ্রহণকারীদের কাছ থেকে গ্রহণযোগ্য হয়। আইএক্সপি অংশগ্রহণকারীদের থেকে অন্য কোনও ট্র্যাফিক ফেলে দিন।

  2. কোনওভাবে কোয়াগা তৈরি করুন প্রতিটি প্রতিবেশীর (বা পিয়ার-গ্রুপ) জন্য আলাদা কার্নেল রাউটিং টেবিল ব্যবহার করুন। IXP প্রতিবেশীদের জন্য রাউটিং টেবিলটিতে আমার নিজের আইপি স্পেস ব্যতীত কোনও এন্ট্রি থাকবে না এবং তাই আমার আইপি ট্রানজিট আপলিংকগুলি ব্যবহার করে কোনও রাউটিং ঘটতে পারে না। ip rule showশোয়ের আউটপুটটি দেখে কোয়াগা স্বয়ংক্রিয়ভাবে এটি করছে না?

আমি কি সঠিক পথে রয়েছি? ২. কোয়াগায় সরাসরি প্রয়োগ করা হয় না কেন? হার্ডওয়্যার রাউটারগুলি (সিসকো, জুনিপার, ..) কীভাবে এই সমস্যাটি মোকাবেলা করে?


কোন উত্তর কি আপনাকে সাহায্য করেছে? যদি তা হয় তবে আপনার উত্তরটি গ্রহণ করা উচিত যাতে উত্তরটি সন্ধান চিরকালের জন্য পপিং না হয়ে থাকে। বিকল্পভাবে, আপনি নিজের উত্তর সরবরাহ করতে এবং গ্রহণ করতে পারেন।
রন মউপিন

উত্তর:


9

আপনি ঠিক বলেছেন, আপনি কোনও পদক্ষেপ না নিলে এটি ঘটতে পারে। এটি আমি জানি বেশিরভাগ আইএক্সপি'র গ্রহণযোগ্য ব্যবহার নীতি লঙ্ঘন, তবে এখনও আপনি এটিকে আটকাতে চান।

আপনার প্রথম সমাধানটি করা ভাল এবং এটি আপনার সমস্যার সমাধান করবে। কেবলমাত্র নিশ্চিত করুন যে আপনি iptables এ সেশন স্থিতির ট্র্যাক রাখেন না, এটি সম্ভবত পারফরম্যান্স এমনকি আপনার রাউটারকেও মেরে ফেলবে।

আপনি একইভাবে আউটবাউন্ড ফিল্টারিং করতেও বিবেচনা করতে পারেন: প্যাকেটগুলি অজানা উত্স থেকে উত্পন্ন উত্স থেকে আপনার নেটওয়ার্ক ছেড়ে যেতে দেবেন না। এটি আপনার নেটওয়ার্কের হোস্টগুলিকে স্পুফড আইপি প্যাকেটগুলি প্রেরণে বাধা দেবে, যা সাধারণত ডিডোএস আক্রমণে ব্যবহৃত হয়।

আমি দ্বিতীয় সমাধানটি বাস্তবায়ন করব না। এটি জটিল এবং আপনার স্ক্রিনগুলি এবং পিয়ারিং পরিচালনা করার জন্য যদি একাধিক রাউটার থাকে বা আপনার প্রচুর পিয়ারিং সেশন থাকে (আইএক্সপি-তে কয়েক দফতর অস্বাভাবিক নয়) তবে এটি সঠিকভাবে স্কেল করে না।

সমস্ত হার্ডওয়্যার রাউটার প্ল্যাটফর্মে আমি জানি যে এই সমস্যাটি আউটবাউন্ড ইন্টারফেসে আরপিএফ কনফিগার করে এবং / অথবা ফিল্টার লেখার মাধ্যমে কনফিগারেশনে সমাধান করা হয়েছে।


1

আপনি যদি লিনাক্স বাক্সে কোয়াগগা চালাচ্ছেন তবে আপনি কার্নেল প্যারামিটারটিকে net.ipv4.conf.default.rp_filter1 বা 2 এ সেট করে আরপিএফ সক্ষম করতে পারবেন ।

আরো বিস্তারিত জানার জন্য এই পৃষ্ঠার দেখুন: http://www.slashroot.in/linux-kernel-rpfilter-settings-reverse-path-filtering


0

আমি যতদূর বুঝতে পেরেছি যে ট্রানজিট সরবরাহকারীদের সাথে আপনার দুটি সংযোগ এবং একটি পিয়ারিং পয়েন্টের সাথে 1 সংযোগ রয়েছে, এই পরিস্থিতিতে আমি ধরে নিয়েছি যে আপনি আপনার ট্রানজিট সরবরাহকারী এবং আইএক্সপি রাউটারের সাথে পিয়ার করতে বিজিপি ব্যবহার করছেন।

বিজিপি অন্যরা যেভাবে কাজ করে তা কেবলমাত্র আপনি যে স্থানে তাদের বিজ্ঞাপন করেন সেগুলিতে পৌঁছতে পারে। সুতরাং উদাহরণস্বরূপ আপনার একটি / ২৪ আছে এবং আপনি এটি আপনার ট্রানজিট সরবরাহকারীদের কাছে বিজ্ঞাপন দেবেন যাতে ইন্টারনেটের হোস্ট আপনার কাছে পিয়ারিং ট্রানজিট পিয়ারের মাধ্যমে পৌঁছতে পারে এবং আপনি আপনার / ২৪ পিয়ারিং পয়েন্টে বিজ্ঞাপনও দিতে পারেন যাতে পিয়ারিং পয়েন্টের সাথে সংযুক্ত হোস্টগুলি পারে ইন্টারনেটে না গিয়ে সরাসরি পৌঁছে যান (এটি সর্বোত্তম পথ হিসাবে দেখা যাবে)।

বিজিপি অধিবেশনগুলির জন্য আপনি সাধারণত আপনার সহকর্মীদের কাছে কী বিজ্ঞাপন দেন এবং তারা আপনাকে কী বিজ্ঞাপন দেয় (উদাহরণস্বরূপ একটি প্রিফিক্স তালিকা সহ ফিল্টারিং করবেন)। সাধারণত আপনি পিয়ারিং এক্সচেঞ্জ থেকে ইনবাউন্ড ফিল্টার করবেন না কারণ এক্সচেঞ্জটি আপনাকে কেবল এক্সচেঞ্জের সাথে সংযুক্ত লোকের রুট প্রেরণ করবে। এটি আপনার ট্রানজিট সরবরাহকারীদের সমান, তারা সাধারণত আপনাকে সম্পূর্ণ গ্লোবাল রুটিং টেবিল (ইন্টারনেটে সমস্ত গন্তব্য) প্রেরণ করবে।

এই পরিস্থিতিতে আপনি পিয়ারিং পয়েন্টের সাথে সংযুক্ত বিজিপি অধিবেশনটিতে আউটবাউন্ড দিকের এসিএল এর সাথে মিলিত একটি উপসর্গ তালিকা যুক্ত করবেন কেবল আপনার 24/24 উপসর্গটি বিজ্ঞাপন করার জন্য এটি পিয়ারিং এক্সচেঞ্জের হোস্টগুলিকে আপনার 24/24-তে কেবল আইপি-তে পৌঁছে দেবে রাউটার (যা আপনি চান)

যদি কেউ আপনার কাছে কোনও ডিফল্ট রুটের বিজ্ঞাপন দেয় এবং আপনি এটি গ্রহণ করেন তবে আপনি তাদের ট্র্যাফিক গ্রহণ এবং এটি ইন্টারনেটে প্রেরণ করবেন না। এই পরিস্থিতিতে আপনি তাদের মাধ্যমে ইন্টারনেটের রুটটি দেখতে পাবেন কারণ আপনার রাউটার তাদের মাধ্যমে 0.0.0.0/0 (ইন্টারনেট) যাওয়ার রুট দেখতে পাবে কারণ তারা আপনাকে এটি বিজ্ঞাপন দিয়েছিল।

পিয়ারিং এক্সচেঞ্জের সাথে সংযুক্ত কেবলমাত্র হোস্টগুলি যদি আপনি নিজেই এক্সচেঞ্জের জন্য কোনও ডিফল্ট রুট বিজ্ঞাপন করেন তবে আপনার মাধ্যমে ইন্টারনেটটি দেখতে পাবেন। আপনি কেবলমাত্র "ট্রানজিট এএস" হিসাবে ব্যবহার করতে পারেন আপনার যদি গ্রাহকরা আপনার সাথে ডাউন স্ট্রিম পিয়ার হয় এবং তারা আপনাকে তাদের আইপি স্পেসটি আইএক্সপিতে বিজ্ঞাপন দেয় যাতে তারা আপনার মাধ্যমে এক্সচেঞ্জে পৌঁছতে পারে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.