Differences

This shows you the differences between two versions of the page.

--- ddos:flowspec [2019/07/25 11:58]
rb [Retn]
+++ ddos:flowspec [2020/07/30 10:12] (current)
rb ↷ Page moved and renamed from ddos-flowspec to ddos:flowspec
@@ Line 5: / Line 5: @@
 Правила для фильтрации:
-  * destination prefix (подсеть, хост который защищаем) - обязательное поле
+  * Destination prefix
-  * source prefix (подсеть с которой хотим фильтровать трафик)
+  * Source prefix
-  * IP protocols (список протоколов которые хотим фильтровать)
+  * IP protocols
-  * TCP/UDP ports (список исходящих портов или портов на которые защищать)
+  * Source or Destination port
+  * Destination port
+  * Source port
   * ICMP Type
   * ICMP Code
   * TCP Flags
   * Packet Length
-  * Diffserv Codepoint
+  * DSCP
-  * Fragmentation
+  * Fragment encoding
 Действия которые можем применять:
-  * Rate Limit
+  * traffic-rate (0 for drop)
-  * Traffic-Action - Sample, Accept, Drop
+  * Traffic-Action (sampling)
-  * Redirect - change route VRF or other
+  * Redirect to VRF
-  * Traffic-Marking - Modify DSCP Value
+  * Traffic-Marking
 ==== Пример настройки на Juniper ====
@@ Line 39: / Line 42: @@
 <code>
 firewall-install-disable
+</code>
+Создаем policy-option для принятия нужного правила
+<code>
+set policy-options policy-statement p1 term a from rib inetflow.0
+set policy-options policy-statement p1 term a from route-filter 10.13.0.0/16 orlonger
+set policy-options policy-statement p1 term a then accept
+set policy-options policy-statement p1 term b then reject
 </code>
@@ Line 46: / Line 58: @@
 set protocol bgp group TestFlowBgp neighbor 111.222.333.444 family inet unicast
 set protocol bgp group TestFlowBgp neighbor 111.222.333.444 family inet flow
+set protocol bgp group TestFlowBgp neighbor 111.222.333.444 export p1
 </code>
@@ Line 59: / Line 72: @@
 show system resource-monitor fpc
 </code>
 ==== Пример автоматизации с PyEZ ====

R.B. wiki

User Tools

Site Tools

Differences

Page Tools