BGP bogus network prefix en ipv4/ipv6 ?

Salut,

Patrick Lamaizière a écrit :

Bonjour,

Je me demande s'il y a des "bogus network prefix" à filtrer en IpV6
comme on le fait en IpV4 ?

Pour commencer, je dirais tout ce qui est hors de la plage global
unicast 2000::/3. On peut ajouter la plage non routable 2001:db8::/32
réservée à la documentation et sûrement quelques autres, cf. les
documents de l'IANA/ICANN.

Bonjour,

Les bogons sont là :

http://www.team-cymru.org/Services/Bogons/fullbogons-ipv6.txt



Le 09/11/2010 11:39, Patrick Lamaizière a écrit :

Bonjour,

Je me demande s'il y a des "bogus network prefix" à filtrer en IpV6
comme on le fait en IpV4 ?

OpenBGP filtre par défaut l'ipv4 suivant (si vous en voyez à rajouter
?) mais rien pour l'ipv6

# filter bogus networks
deny from any prefix 10.0.0.0/8 prefixlen>= 8
deny from any prefix 172.16.0.0/12 prefixlen>= 12
deny from any prefix 192.168.0.0/16 prefixlen>= 16
deny from any prefix 169.254.0.0/16 prefixlen>= 16
deny from any prefix 192.0.2.0/24 prefixlen>= 24
deny from any prefix 224.0.0.0/4 prefixlen>= 4
deny from any prefix 240.0.0.0/4 prefixlen>= 4

Merci.

Arnal a écrit :

Bonjour,

Les bogons sont là :

http://www.team-cymru.org/Services/Bogons/fullbogons-ipv6.txt

Si je comprends bien, cette liste recense tous les préfixes IPv6 non
alloués. Son utilisation implique donc une mise à jour à chaque nouvelle
allocation, sous peine de rejeter des annonces valides. Il y a des gens
qui s'en servent pour filtrer les annonces BGP ?

Ça me rappelle l'époque où mon adresse IPv4, d'un bloc fraîchement
alloué, était filtrée par un certain nombre de destinations.

Bonsoir,

Il y a des mises à jours régulière, on est prévenu par mail mais pour
ma part j'ai un script (emprunté et modifié) afin de vérifier les
changement tout les soirs je l'utilise pour les IPv4 (pas encore
solutionné le problème d'IPv6 Free avec un BSD)

#!/bin/sh
BOGON_CUR=/etc/ip-bogon
BOGON_NEW=/root/fullbogons.txt
BOGON_PRE=/root/fullbogons-ipv4.txt
PFCTL=/sbin/pfctl
WGET='/usr/bin/ftp'
BOGON_DL='http://www.team-cymru.org/Services/Bogons/fullbogons-ipv4.txt'

echo ""
echo -n "Fetching bogon list: "
cd /root
$WGET $BOGON_DL
/usr/bin/grep -v "#" $BOGON_PRE > $BOGON_NEW
if [ -s $BOGON_NEW ]
then
echo "bogon table found, comparing to current..."
diff $BOGON_CUR $BOGON_NEW > /root/bogon-diff.txt
if [ -s /root/bogon-diff.txt ]
then
echo "Bogon table appears to have changed."
echo -n "Attempting to load new bogon table: "
mv $BOGON_NEW $BOGON_CUR
$PFCTL -t bogon -T flush
if [ `$PFCTL -T load -f /etc/pf.conf` ]
then
echo "something went wrong!"
else
echo "success!"
echo 'Diffs: (< Old > New)'
/bin/cat /root/bogon-diff.txt
fi
else
echo "Bogon table NOT changed."
/bin/rm $BOGON_NEW $BOGON_PRE
fi
/bin/rm /root/bogon-diff.txt
else
echo "bogon table NOT found."
fi
cd



Le 12/11/2010 15:56, Pascal Hambourg a écrit :

Arnal a écrit :

Bonjour,

Les bogons sont là :

http://www.team-cymru.org/Services/Bogons/fullbogons-ipv6.txt

Si je comprends bien, cette liste recense tous les préfixes IPv6 non
alloués. Son utilisation implique donc une mise à jour à chaque nouvelle
allocation, sous peine de rejeter des annonces valides. Il y a des gens
qui s'en servent pour filtrer les annonces BGP ?

Ça me rappelle l'époque où mon adresse IPv4, d'un bloc fraîchement
alloué, était filtrée par un certain nombre de destinations.