<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EstiloCorreo17
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EstiloCorreo18
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=ES-CR link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><a name="_MailEndCompose"><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Claro,<o:p></o:p></span></a></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>En MikroTik que es el CPE que uso en mis clientes la regla es:<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>/ipv6 firewall address-list<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>add address=2800:640:cf::/48 list=valid<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>add address=2800:640:cfd::/48 list=valid<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>/ipv6 firewall filter<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>add action=drop chain=forward in-interface=ether1 src-address-list=!valid<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Básicamente el cliente usa IPs de la red 2800:640:cf::/48 para navegar con equipos que pegue directo. La red es para entregar subredes via DHCP6.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>En fin solo de esas IPs debo ver paquetes que *<b>pasan</b>* por el router, por eso la regla aplica solo a la cadena “forward” en la interface ether1 que es el lado del cliente. Todo lo demás se bota.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Otros paquetes como los de FE80:: no se ven afectados<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D'>Saludos,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D'>Jorge Frater<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D'>Sistemas Fratec S.A.</span><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><b><span lang=ES style='font-size:11.0pt;font-family:"Calibri",sans-serif'>De:</span></b><span lang=ES style='font-size:11.0pt;font-family:"Calibri",sans-serif'> LACNOG [mailto:lacnog-bounces@lacnic.net] <b>En nombre de </b>Rolin Azmitia @ Google<br><b>Enviado el:</b> miércoles, 26 de octubre de 2016 6:43 a. m.<br><b>Para:</b> Latin America and Caribbean Region Network Operators Group <lacnog@lacnic.net><br><b>Asunto:</b> Re: [lacnog] DDoS contra Dyn hoy<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Buen día Jorge.<o:p></o:p></p><div><p class=MsoNormal>Consulta: las reglas en IPv6, ¿podrías compartirlas por favor?<o:p></o:p></p></div><div><p class=MsoNormal>Gracias y salu2<o:p></o:p></p></div><div><p class=MsoNormal>:-)<o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><div><div><p class=MsoNormal>On Tue, Oct 25, 2016, 08:07 Jorge Frater B. <<a href="mailto:jfrater@fratec.com">jfrater@fratec.com</a>> wrote:<o:p></o:p></p></div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm'><p class=MsoNormal>Implementar BCP 38 es parte del trabajo, simplemente viene con ser un<br>administrador de red. Si se ignora, se ignora parte de la responsabilidad<br>laboral.<br><br>En todo caso esta herramienta es útil para diagnosticar si se tienen<br>problemas de spoofing:<br><br><a href="https://www.caida.org/projects/spoofer/" target="_blank">https://www.caida.org/projects/spoofer/</a><br><br><br>He notado que muchas veces se descuidan las reglas en IPv6 y si no queremos<br>que la gente eche para atrás con el despliegue de IPv6 será mejor que se<br>cierre ese portillo.<br><br><br>Saludos,<br><br><br>Jorge Frater<br>Sistemas Fratec S.A.<br><br><br>-----Mensaje original-----<br>De: LACNOG [mailto:<a href="mailto:lacnog-bounces@lacnic.net" target="_blank">lacnog-bounces@lacnic.net</a>] En nombre de Octavio Alvarez<br>Enviado el: sábado, 22 de octubre de 2016 12:12 p. m.<br>Para: Latin America and Caribbean Region Network Operators Group<br><<a href="mailto:lacnog@lacnic.net" target="_blank">lacnog@lacnic.net</a>><br>Asunto: Re: [lacnog] DDoS contra Dyn hoy<br><br>On 10/21/2016 09:48 AM, Carlos M. Martinez wrote:<br>> Nunca es tarde para empezar a configurar BCP38.<br><br>Yo soy fan de implementar BCP38 (y lo tengo implementado) pero la realidad<br>es que lejos de haber incentivos para utilizarlo, los incentivos son para no<br>utilizarlo.<br><br>Por lo anterior entiéndase que es más barato ignorarlo; total, cuando se<br>rompan los platos, el precio lo habrá de pagar alguien más.<br><br>¿Qué ideas existen para resolver el problema de la falta de incentivo?<br><br>Saludos.<br>_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br><br>_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></p></blockquote></div></div></div></body></html>