[geek stuff] rute, bgp si pf

Dupa niste scremeri cu openbgpd unde concluzia a fost sa-mi bag picioarele, ca e documentat cu curu si am trecut pe quagga, i-am dat de cap si acu am si io primu FreeBSD in productiune :)

So, here goes:

Vrei sa pui rute statice care sa fie persistente la un reboot:

editezi /etc/rc.conf in care pui:
static_routes=”route1 route2 etc”
route_route1=”-net 1.2.3.0/24 1.1.1.1″
route_route2=”-net 10.11.12.0/24 1.1.1.1″

unde -net a.b.c.d/netmask reprezinta ruta destinatie si 1.1.1.1 reprezinta gateway-ul prin care sistemul nostru poate ajunge la prefixul respectiv.

Cu BGP-ul a fost chestie mai complicata: io n-am fost in stare sa transcriu o configuratie simpla de tot din quagga in openbgpd. Pana am cedat si-am instalat quagga pe masina si-am sters openbgpd-ul si gata, a mers. Fara scremeri, fara nimic.

Cu pf-ul a durat ceva pana s-a prins creierasul meu cam care ar fi diferentele fata de iptables pe care-l stiu. Si dupa vreo cateva ore de cetit prin manual, am reusit sa fac un ruleset mic care sa-mi rezolve dilemele.

Ce-mi place tare mult la pf, este ca e foarte granular in ce poti face si multe chestii pe care in iptables le faci in multe “linii” aici ies intr-o singura linie, de exemplu: “log packet drop”, “do not keep state”, “have this protocol timeouts” etc. Si faptul ca are macro-uri: internet_junk_ports = “{ 135, 136, 137, 138, 139, 445 }” si dupa aia io dropez doar $internet_junk_ports.

Ciudat mi se pare modul de logging, care e in format aproximativ de PCAP si logurile le vezi cu tcpdump… weird.

Mai am sa invat sa fac NAT si limitari. Da pentru limitari trebuie sa recompilez kernelul… ceea ce e o chestie noua de tre sa vad cum se face si sa-mi iasa din prima…

2 thoughts on “[geek stuff] rute, bgp si pf

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.