R.B. wiki

Правила для фильтрации:

• destination prefix (подсеть, хост который защищаем) - обязательное поле
• source prefix (подсеть с которой хотим фильтровать трафик)
• IP protocols (список протоколов которые хотим фильтровать)
• TCP/UDP ports (список исходящих портов или портов на которые защищать)
• ICMP Type
• ICMP Code
• TCP Flags
• Packet Length
• Diffserv Codepoint
• Fragmentation

Действия которые можем применять:

• Rate Limit
• Traffic-Action - Sample, Accept, Drop
• Redirect - change route VRF or other
• Traffic-Marking - Modify DSCP Value

FlowSpec правила определяются в routing-options flowspec и применяются для всего джунипера.

set routing-options flowroute block-10.131.1.1 match destination 10.131.1.1/32
set routing-options flow route block-10.131.1.1 match protocol icmp
set routing-options flow route block-10.131.1.1 match icmp-type echo-request
set routing-options flow route block-10.131.1.1 then discard
set routing-options flow term-order standard

Если мы хотим чтобы правила фильтрации не применялись на нашем оборудовании нужно добавить:

firewall-install-disable

Для пира которому мы хотим анонсировать FlowSpec нужно добавить в BGP сессию flow

set protocol bgp group TestFlowBgp neighbor 111.222.333.444 family inet unicast
set protocol bgp group TestFlowBgp neighbor 111.222.333.444 family inet flow

Проверить список правил которые мы добавили в FlowSpec

show route table inetflow.0 detail

Посмотреть нагрузку на FPC картах

show system resource-monitor fpc

http://lg.retn.net/

9002:666 - традиционный blackhole для префикса, и
9002:667 для фильтрации всего udp трафика
9002:668 фильтрафия известных амплифаеров (source-port 19,53,123,161,1900)

• лимит 10 правил
• best path до этого адреса/префикса должен смотреть туда, откуда получено правило
• в правилах может быть только discard

http://fiord.ru/#lg

• лимит 20 правил