Привет Ведущие кошкодавы Можно ли средствами кошки исполнить acl запрещающий возвращать на интерфейс то что с него получено? Расширенней - есть 2 роутера в одном vlan С одного из них (кошак) уходят сериалы вот хочу чтобы на нем траффик полученный с ether ни под каким соусом не форвардился назад в ethernet DSCP трогать крайне не желательно -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Big trouble - Bogon emissions =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Думаю что правильнее было бы не принимать траффик требующий обратного форварда изначально. On Thursday 16 October 2003 12:31, Alexander Trotsai wrote:
Привет
Ведущие кошкодавы Можно ли средствами кошки исполнить acl запрещающий возвращать на интерфейс то что с него получено? Расширенней - есть 2 роутера в одном vlan С одного из них (кошак) уходят сериалы вот хочу чтобы на нем траффик полученный с ether ни под каким соусом не форвардился назад в ethernet DSCP трогать крайне не желательно
-- AO618-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Привет! Может это оно? transmit-interface Assign a transmit interface to a receive-only interface Никогда не пользовал. -- WB, Maks Nefedchenko MNF4-RIPE On Thu, 16 Oct 2003, Alexander Trotsai wrote:
Привет
Ведущие кошкодавы Можно ли средствами кошки исполнить acl запрещающий возвращать на интерфейс то что с него получено? Расширенней - есть 2 роутера в одном vlan С одного из них (кошак) уходят сериалы вот хочу чтобы на нем траффик полученный с ether ни под каким соусом не форвардился назад в ethernet DSCP трогать крайне не желательно
-- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Big trouble - Bogon emissions =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
О, кстати, а адреса с той стороны фиксированные? Можно ведь типа такого соорудить: int Fa0/0.5 ip address 192.168.0.1 255.255.255.0 ip access-group AAA out ! ip access-list extended AAA permit ip host 192.168.0.1 any deny ip 192.168.0.0 0.0.0.255 any permit ip any any ну и прочие deny для адресов, которые на этом интерфейсе живут. А если маршрутизация динамическая, то тогда BGP Policy Propagation Alexander Trotsai wrote:
Привет
Ведущие кошкодавы Можно ли средствами кошки исполнить acl запрещающий возвращать на интерфейс то что с него получено? Расширенней - есть 2 роутера в одном vlan С одного из них (кошак) уходят сериалы вот хочу чтобы на нем траффик полученный с ether ни под каким соусом не форвардился назад в ethernet DSCP трогать крайне не желательно
-- :r !ripewhois DOKA-RIPE ------------------------------------------------------------------------- Never try to teach a pig to sing. It wastes your time and annoys the pig. -- Lazarus Long, "Time Enough for Love" =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Oct 16, 2003 at 12:44:20PM +0300, andyo wrote: a>Думаю что правильнее было бы не принимать траффик требующий a>обратного форварда изначально. a>On Thursday 16 October 2003 12:31, Alexander Trotsai wrote: если б я точно знал гед у меня routing loop волзникает пока не могу найти :((( a>> Привет a>> a>> Ведущие кошкодавы a>> Можно ли средствами кошки исполнить acl запрещающий a>> возвращать на интерфейс то что с него получено? a>> Расширенней - есть 2 роутера в одном vlan a>> С одного из них (кошак) уходят сериалы a>> вот хочу чтобы на нем траффик полученный с ether ни под a>> каким соусом не форвардился назад в ethernet a>> DSCP трогать крайне не желательно a>> -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Big trouble - The monitor is plugged into the serial port =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Oct 16, 2003 at 12:41:27PM +0300, Maks Nefedchenko wrote: MN>Привет! MN>Может это оно? MN>transmit-interface Assign a transmit interface to a receive-only interface MN>Никогда не пользовал. не - это по-моему для только приемных интерфейсов -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Big trouble - We're out of slots on the server =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Нее :О) Скорее нечто ворде на влановском субинтфе ip access-g dontreceivetrafficforunknownnets in ip access-li ext dontreceivetrafficforunknownnets permit ip any KNOWN_NOT_VIA_ETHERNET_NET1 ... где KNOWN_NOT_VIA_ETHERNET_NETS сети которые видны НЕ из этого субинтфа On Thursday 16 October 2003 12:41, Maks Nefedchenko wrote:
Привет! Может это оно? transmit-interface Assign a transmit interface to a receive-only interface Никогда не пользовал.
-- AO618-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Thu, Oct 16, 2003 at 12:43 +0300, Alexander Trotsai wrote:
On Thu, Oct 16, 2003 at 12:44:20PM +0300, andyo wrote: a>Думаю что правильнее было бы не принимать траффик требующий a>обратного форварда изначально. a>On Thursday 16 October 2003 12:31, Alexander Trotsai wrote:
если б я точно знал гед у меня routing loop волзникает пока не могу найти :(((
А внедрение "ip verify unicast reverse-path" не спасет (на той кошке куда оно возвращает) ? =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Oct 16, 2003 at 12:49:12PM +0300, Andrey Blochintsev wrote: AB>Hi! AB>On Thu, Oct 16, 2003 at 12:43 +0300, Alexander Trotsai wrote: AB>> On Thu, Oct 16, 2003 at 12:44:20PM +0300, andyo wrote: AB>> a>Думаю что правильнее было бы не принимать траффик требующий AB>> a>обратного форварда изначально. AB>> a>On Thursday 16 October 2003 12:31, Alexander Trotsai wrote: AB>> AB>> если б я точно знал гед у меня routing loop волзникает AB>> пока не могу найти :((( AB>А внедрение "ip verify unicast reverse-path" не спасет AB>(на той кошке куда оно возвращает) ? не - это исключено а то получится как с ростелекомом :) -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Big trouble - dynamic software linking table corrupted =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Ага... Т.е. однозначно разделить пространство на 2 части низзя... Тогда без того или иного марканья пакетов на входе АФАЙК никак :О( On Thursday 16 October 2003 12:43, Alexander Trotsai wrote:
On Thu, Oct 16, 2003 at 12:44:20PM +0300, andyo wrote: a>Думаю что правильнее было бы не принимать траффик требующий a>обратного форварда изначально. a>On Thursday 16 October 2003 12:31, Alexander Trotsai wrote:
если б я точно знал гед у меня routing loop волзникает пока не могу найти :(((
-- AO618-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Oct 16, 2003 at 12:50 +0300, Alexander Trotsai wrote:
AB>> a>Думаю что правильнее было бы не принимать траффик требующий AB>> a>обратного форварда изначально. AB>> a>On Thursday 16 October 2003 12:31, Alexander Trotsai wrote: AB>> AB>> если б я точно знал гед у меня routing loop волзникает AB>> пока не могу найти :(((
AB>А внедрение "ip verify unicast reverse-path" не спасет AB>(на той кошке куда оно возвращает) ?
не - это исключено а то получится как с ростелекомом :)
на него можно access-list поставить: deny - то что ты тестируешь pass - все остальное -- Maxim Tuliuk WWW: http://www.primats.org.ua/~mt/ ICQ: 21134222 The bike is absolute freedom of moving =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
verify unicast reverse-path - не то. Unicast RPF checks to see if any packet received at a router interface arrives on the best return path (return route) to the source of the packet. Unicast RPF does this by doing a reverse lookup in the CEF table. If the packet was received from one of the best reverse path routes, the packet is forwarded as normal. If there is no reverse path route on the same interface from which the packet was received, it might mean that the source address was modified. If Unicast RPF does not find a reverse path for the packet, the packet is dropped. Другими словами - бери краски в руки :О) On Thursday 16 October 2003 13:05, Maxim Tuliuk wrote:
On Thu, Oct 16, 2003 at 12:50 +0300, Alexander Trotsai wrote:
AB>> a>Думаю что правильнее было бы не принимать траффик требующий AB>> a>обратного форварда изначально. AB>> a>On Thursday 16 October 2003 12:31, Alexander Trotsai wrote: AB>> AB>> если б я точно знал гед у меня routing loop волзникает AB>> пока не могу найти :(((
AB>А внедрение "ip verify unicast reverse-path" не спасет AB>(на той кошке куда оно возвращает) ?
не - это исключено а то получится как с ростелекомом :)
на него можно access-list поставить: deny - то что ты тестируешь pass - все остальное -- Maxim Tuliuk WWW: http://www.primats.org.ua/~mt/ ICQ: 21134222
The bike is absolute freedom of moving =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- AO618-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Oct 16, 2003 at 12:31:04PM +0300, Alexander Trotsai wrote:
Привет
Ведущие кошкодавы Можно ли средствами кошки исполнить acl запрещающий возвращать на интерфейс то что с него получено? Расширенней - есть 2 роутера в одном vlan С одного из них (кошак) уходят сериалы вот хочу чтобы на нем траффик полученный с ether ни под каким соусом не форвардился назад в ethernet DSCP трогать крайне не желательно
Кроме DSCP на cisco пакеты можно маркировать QOS-group атрибутом, он локален в пределах роутера и не трогает l2/l3 заголовки. На входе - маркировать пакеты policy-map-ом в QOS-group. На выходе - дропать пакеты rate-limit-ом по принадлежности к QOS-group. -- Regards, Volodymyr. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Oct 16, 2003 at 01:38:33PM +0300, Volodymyr Yakovenko wrote: VY>On Thu, Oct 16, 2003 at 12:31:04PM +0300, Alexander Trotsai wrote: VY>>Привет VY>> VY>>Ведущие кошкодавы VY>>Можно ли средствами кошки исполнить acl запрещающий VY>>возвращать на интерфейс то что с него получено? VY>>Расширенней - есть 2 роутера в одном vlan VY>>С одного из них (кошак) уходят сериалы VY>>вот хочу чтобы на нем траффик полученный с ether ни под VY>>каким соусом не форвардился назад в ethernet VY>>DSCP трогать крайне не желательно VY>Кроме DSCP на cisco пакеты можно маркировать QOS-group атрибутом, он локален в VY>пределах роутера и не трогает l2/l3 заголовки. VY>На входе - маркировать пакеты policy-map-ом в QOS-group. VY>На выходе - дропать пакеты rate-limit-ом по принадлежности к QOS-group. получилось спасибо -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Big trouble - Recursive traversal of loopback mount points =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (7)
-
Alexander Trotsai -
Andrey Blochintsev -
andyo -
Maks Nefedchenko -
Maxim Tuliuk -
Vladimir Litovka -
Volodymyr Yakovenko