<div dir="ltr"><span style="font-family:monospace">Olá Tomas.<br>Antes de mais nada, obrigado pela resposta!<br><br>Bem, eu acho que na verdade fui eu que não consegui me expressar adequadamente.<br>Então vou tentar com exemplos práticos.<br><br></span><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">- Imagine que o Lacnic é meu cliente trânsito(😎)...<br></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">- E que por algum motivo, algum de meus Peers ou outros Downstreams esteja originando um ataque volumétrico para o <a href="http://www.lacnic.net">www.lacnic.net</a> [200.3.14.184].<br>- E depois de já terem esgotado as outras possibilidades com scrubing ou FlowSpec eles resolvam meter um BlackHole <a href="http://200.3.14.184/32">200.3.14.184/32</a> na sessão com meu ISP.<br>- Eu quero ser o tipo de cara que faz o trabalho de casa corretamente.</span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">- A primeira coisa vou fazer é verificar se o prefixo que estou recebendo passa nas validações<br></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">A máscara estará em /32 Então -> OK</span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">E e o ASN de Origem, como eu valido?</span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace"> As bases de IRRs estão VERGONHOSAMENTE sujas. -> Não dá para confiar!</span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace"><br></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace"> Qual a MELHOR base de dados para validação de Origem? -> RPKI!<br></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace"> Só que se eu tentar mandar o prefixo <a href="http://200.3.14.184/32">200.3.14.184/32</a> para validar</span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace"> contra a ROA do LACNIC[1], vou receber a resposta INVALID.<br></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace"> Apesar de <a href="http://200.3.14.184/32">200.3.14.184/32</a> estar contido em <a href="http://200.3.12.0/22-24">200.3.12.0/22-24</a>,</span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace"> a resposta será somente "INVALID".<br></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace"><br></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace"> Se existisse uma esposta complementar do estilo</span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace"> "INVALID BY MASK", eu poderia considerar que:<br></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace"> IF Black-Hole AND /32 AND "INVALID BY MASK" -> Accept<br></span></div><div style="font-family:courier new,monospace;font-size:small" class="gmail_default"><br></div><div style="font-family:courier new,monospace;font-size:small" class="gmail_default"><br></div><div style="font-family:courier new,monospace;font-size:small" class="gmail_default"><br></div><div style="font-family:courier new,monospace;font-size:small" class="gmail_default">Estou considerando criar uma base de IRR privada, e injetar nela todas as ROAs de todos os RIRs.<br></div><div style="font-family:courier new,monospace;font-size:small" class="gmail_default">Mas ainda estou amadurecendo a ideia.<br></div><div style="font-family:courier new,monospace;font-size:small" class="gmail_default"><br></div><div style="font-family:courier new,monospace;font-size:small" class="gmail_default"><br></div><div style="font-family:courier new,monospace;font-size:small" class="gmail_default"><br></div><div style="font-family:courier new,monospace;font-size:small" class="gmail_default"><br></div><div style="font-family:courier new,monospace;font-size:small" class="gmail_default">[1] rsync://<a href="http://repository.lacnic.net/rpki/lacnic/622c0c28-cc7d-421d-b45b-9ac2b7ced209/626e2d6316910390610ef5e3a9058a3b17a1b0b7.roa">repository.lacnic.net/rpki/lacnic/622c0c28-cc7d-421d-b45b-9ac2b7ced209/626e2d6316910390610ef5e3a9058a3b17a1b0b7.roa</a></div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Em qui., 13 de fev. de 2020 às 11:53, Tomas Lynch <<a href="mailto:tomas.lynch@gmail.com" target="_blank">tomas.lynch@gmail.com</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div style="font-family:monospace,monospace">Douglas,</div><div style="font-family:monospace,monospace"><br></div><div style="font-family:monospace,monospace">Puede ser que no entienda bien el problema pero ¿por qué no agregar "orlonger" o similar en los prefix-list? Si bien el ROA no tendrá nada mayor a /24, tu puedes agregar el keyword indicado y aceptar los (/32|/128). Incluso podrías hacer algo como por ejemplo (Juniper style):</div><div style="font-family:monospace,monospace"><br></div><div style="font-family:monospace,monospace">from {</div><div style="font-family:monospace,monospace"> route-filter <a href="http://192.0.2.0/24" target="_blank">192.0.2.0/24</a> exact</div><div style="font-family:monospace,monospace"> route-filter <a href="http://192.0.2.0/24" target="_blank">192.0.2.0/24</a> prefix-length-range /32-/32</div><div style="font-family:monospace,monospace"> }</div><div style="font-family:monospace,monospace">then { accept }</div><div style="font-family:monospace,monospace"><br></div><div style="font-family:monospace,monospace">¿Es esto lo que buscas?</div><div style="font-family:monospace,monospace"><br></div><div style="font-family:monospace,monospace">Tomas</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Feb 12, 2020 at 5:32 PM Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com" target="_blank">fischerdouglas@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">Como?<div dir="auto">Vou tirar as informações de onde?</div><div dir="auto"><br></div><div dir="auto"><span style="font-family:sans-serif">A ideia de uma base estática de prefixos aceitos está proibida dentro da empresa!</span></div><div dir="auto"><span style="font-family:sans-serif">Nada que não seja dinâmico e alterável pelo próprio cliente.</span></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto">A base do NRO não contempla todas as possíveis origens válidas.</div><div dir="auto"><br></div><div dir="auto">A Base do RPKi seria perfeita para validar origem(a mais segura de todas), mas quebra a análise por causa da máscara muito longa.</div><div dir="auto"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Em qua, 12 de fev de 2020 16:48, Luis Balbinot <<a href="mailto:luis@luisbalbinot.com" target="_blank">luis@luisbalbinot.com</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div><div style="font-family:"courier new",monospace;font-size:small"><div style="font-family:"courier new",monospace;font-size:small">Então pensei em "Quebrar um pouco" o protocolo RPKI.<br></div></div></div></div></div></blockquote><div><br></div><div>Talvez o melhor seja tu quebrar um pouco teu script e tratar exceções nele.</div><div><br></div><div>Luis</div></div></div>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" rel="noreferrer" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr"><font size="2"><span style="font-family:courier new,monospace">Douglas Fernando Fischer</span><br style="font-family:courier new,monospace"><span style="font-family:courier new,monospace">Engº de Controle e Automação</span></font><div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;color:black;text-align:left;line-height:130%;font-family:courier new,monospace"></div></div>
</div>