[ITNOG] Ho visto un Carrier-grade NAT

[Lukas Tribus]

Ciao,


On Sat, 4 Mar 2023 at 11:58, Alessandro Vesely <vesely@tana.it> wrote:
>
> Ciao,
> grazie per la spiegazione.  Mi sembra molto plausibile, anche se non capisco
> quali siano le convenzioni di rete tra Tim e Irideos.

Hai infrastruttura (server IMAP) in Irideos.

L'utente se è su connettività Fastweb si presenta con IP pubblico Fastweb.
L'utente se è su connettività TIM si presenta con IP pubblico TIM.
L'utente se è su connettività Irideos dietro CGN si presenta sulla tua
infrastruttura in Irideos con l'IP RFC6598.

Non c'è nessuna convenzione fra TIM e Irideos.


> Alla luce di questo, non ha molto senso filtrare le reti bogon.  L'utente mi ha
> riferito di non essersi accorta di niente di strano.  Se avessi filtrato non
> sarebbe riuscita a connettersi, giusto?

Infatti non va bloccata.

Una lista di bogon fatta per scartare prefissi in BGP sul border di un
Automous System non è identica alla stessa lista di bogon da deployare
su un firewall davanti a servizi. 100.64.0.0/10 è da scartare
*esclusivamente* sul border router di un Autonomous Systems (BGP e
dataplane), invece un Firewall dovrebbe trattare questo range come
qualsiasi range pubblico. RFC6598 section #6 Security Considerations
parlano esclusivamente di Service Providers (che in questo contesto è
un Autonomous Systems, non un fornitore di servizio su Internet).

Bogon per scopo X non è bogon per scopo Y.

Purtroppo in pratica la differenza non viene ben spiegata da
team-cymru per esempio ...

Non si può dire
"A packet routed over the public Internet (not including over VPNs or
other tunnels) should never have an address in a bogon range."

e poi includere RFC6598 in questa lista, proprio per questo motivo.


Special use non vuol dire automaticamente bogon.


Lukas





Lukas