Quagga路由和安全性

我有一台有两个邻居的quagga路由器，并宣布了自己的IP空间。我最近加入了一个公共对等交换（IXP），所以我和所有其他参与者一起加入了他们的本地网络（/ 24）。到目前为止，一切正常。

为了安全起见，我想知道其他参与者是否不能简单地将所有传出的流量路由通过我？例如，如果任何其他参与者将默认路由指向我的IXP ip，会发生什么情况。如果我正确理解了来自该参与者的所有传出流量，然后将其转到我的路由器，该路由器将使用我的传输上行链路将其路由到Internet，对吗？

因此，我想知道是否需要采取任何措施。我的想法是：

1. 设置防火墙（iptables）规则，以便其他IXP参与者仅接受目标地址为我自己IP空间的流量。丢弃来自IXP参与者的任何其他流量。

2. 以某种方式使quagga对每个邻居（或对等组）使用不同的内核路由表。IXP邻居的路由表除了我自己的IP空间外不会包含任何条目，因此不会发生使用ip传输上行链路的路由。查看ip rule showshow quagga 的输出是否不自动执行此操作？

我在正确的轨道上吗？为什么2.不直接在Quagga中实现？硬件路由器（Cisco，Juniper等）如何处理此问题？

没错，如果不采取任何措施，可能会发生这种情况。据我所知，这违反了大多数IXP的可接受使用政策，但是您仍然想防止它发生。

您的第一个解决方案是一件好事，它将解决您的问题。只要确保您不跟踪iptables中的会话状态，那可能会降低性能甚至路由器。

您也可以考虑以类似的方式进行出站过滤：不允许数据包离开网络，而它们来自未知来源。这样可以防止网络中的主机发送欺骗性的IP数据包，该IP数据包通常在DDoS攻击中使用。

我不会实现第二个解决方案。如果您有多个路由器来处理传输和对等事务，或者如果您有大量对等会话，那么它很复杂，并且扩展性不好。（在IXP上有两个小问题并不少见）。

在所有硬件路由器平台上，我都知道可以通过在出站接口上配置RPF和/或编写过滤器来解决此问题。

如果在Linux机器上运行Quagga，则可以通过将内核参数设置net.ipv4.conf.default.rp_filter为1或2 来启用RPF 。

请参阅此页面以获取更多详细信息：http : //www.slashroot.in/linux-kernel-rpfilter-settings-reverse-path-filtering

据我了解，您有2个到传输提供商的连接和1个到对等点的连接，在这种情况下，我假设您正在使用BGP与您的传输提供商和IXP路由器对等。

BGP的工作方式是其他人只能到达您向他们通告的目的地。因此，例如，您有一个/ 24，并且将其发布给您的传输提供商，以便Internet上的主机可以通过您的传输对等方到达您，并且还将您的/ 24发布到对等点，以便连接到对等点的主机可以无需通过互联网即可直接与您联系（这将被视为最佳途径）。

对于BGP会话，通常会使用前缀列表过滤向对等方通告的内容以及对对等体通告的内容（如果您具有下游对等体）。通常，您不会从对等交换机过滤入站，因为该交换机只会向您发送与该交换机相连的人员的路由。这与您的公交服务提供商类似，只是它们通常会向您发送完整的全局路由表（Internet上的所有目的地）。

在这种情况下，您可以在连接到对等点的BGP会话上在出站方向上添加一个与ACL匹配的前缀列表，以仅通告/ 24前缀，这将允许对等交换机上的主机仅通过/ 24到达/ 24中的IP。路由器（这就是您想要的）。

如果有人向您宣传默认路由，并且您接受了该默认路由，则您不会占用他们的流量并将其发送到互联网。在这种情况下，您会看到通过它们到达Internet的路由，因为您的路由器会看到通过它们到0.0.0.0/0（Internet）的路由，因为他们向您发布了路由。

如果您自己发布到交换所的默认路由，则连接到对等交换所的主机只有一次会通过您看到Internet。您唯一一次可以用作“转接AS”的情况是，如果您的客户与您同为下游对等方，并且他们要求您将其IP空间广告发布给IXP，以便他们可以通过您与交易所进行交易。