web-dev-qa-db-ja.com

ブラックホールルートのプライベートイントラネットトラフィック

私は、OSPFを介してすべてのルートを共有する少数のLinuxルーターを備えたプライベートネットワークを持っています。ルートがないプライベートネットワーク範囲をブラックホール化するにはどうすればよいですか?

つまり、10.0.0.0/8、172.16.0.0/12、または192.168.0.0/24をデフォルトゲートウェイにルーティングしないようにしたいのです。プライベート範囲の1つ内のネットワークがOSPFを介してアドバタイズされる可能性があるため、これらのネットワークの静的シンク(ブラックホール)ルートを作成することはできません。

プライベート範囲内にある場合は、netfilterを使用して、デフォルトのGW接続インターフェイスから送信されるすべてのトラフィックをドロップすることができますが、iproute2/linuxにはより単純またはより「正しい」ソリューションがある可能性があると考えました。

linuxroutingiproute2blackhole
5
tMC
ip route add blackhole 10.0.0.0/8
ip route add blackhole 172.16.0.0/12
ip route add blackhole 192.168.0.0/16

より具体的なルートが常に優先されるため、OSPFを介してアドバタイズされた範囲は、ブラックホールルートよりも優先されます。

router>sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

     xx.0.0.0/32 is subnetted, 2 subnets
C       xx.xx.xx.192 is directly connected, Dialer0
C       xx.xx.xx.1 is directly connected, Dialer0
     10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C       10.10.0.0/30 is directly connected, Tunnel1
S       10.0.0.0/8 is directly connected, Null0
C    192.168.1.0/24 is directly connected, FastEthernet0/0
S*   0.0.0.0/0 is directly connected, Dialer0
S    172.16.0.0/12 is directly connected, Null0
S    192.168.0.0/16 is directly connected, Null0

michael:~$ Sudo ip route add blackhole 192.168.0.0/16 
michael:~$ ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
64 bytes from 192.168.0.1: icmp_req=1 ttl=64 time=0.238 ms
64 bytes from 192.168.0.1: icmp_req=2 ttl=64 time=0.180 ms
<...>
michael@challenger:~$ ping 192.168.1.1
connect: Network is unreachable
7
MikeyB

これらの方針に沿って考えている限り、BOGONリストについて知っておく必要があります。 http://www.team-cymru.org/Services/Bogons/

そして、私はおそらくあなたが提案したようにnetfilter/DROPを使用するでしょう。これを行う最も安全な方法は、BOGON構成を外部インターフェースまたはファイアウォールに保持するため、1つの場所にのみ存在し、内部の変更を壊すことはありません。ファイアウォールマシンまたは外部ルーターをお持ちの場合は、そこにブロックを配置します。最後の可能なステップで。

4
Mark