Tôi có một bộ định tuyến quagga với hai hàng xóm quá cảnh và thông báo không gian IP của riêng tôi. Gần đây tôi đã tham gia một sàn giao dịch công khai (IXP) và vì vậy tôi là một phần của mạng cục bộ của họ (/ 24), cùng với tất cả những người tham gia khác. Cho đến nay mọi thứ hoạt động tốt.
Bây giờ để bảo mật, tôi tự hỏi nếu những người tham gia khác không thể đơn giản định tuyến tất cả lưu lượng truy cập đi qua họ? Ví dụ: điều gì xảy ra nếu bất kỳ người tham gia nào khác sẽ chỉ một tuyến mặc định tới ip IXP của tôi. Nếu tôi hiểu chính xác tất cả lưu lượng truy cập đi từ người tham gia đó thì sẽ đi đến bộ định tuyến của tôi để định tuyến đến internet bằng đường lên chuyển tuyến của tôi, phải không?
Vì vậy, tôi tự hỏi nếu tôi phải thực hiện bất kỳ biện pháp chống lại nó. Ý tưởng của tôi là:
Thiết lập quy tắc tường lửa (iptables) để chỉ lưu lượng truy cập với đích đến của không gian IP của riêng tôi được chấp nhận từ người tham gia IXP khác. Thả bất kỳ lưu lượng truy cập khác từ những người tham gia IXP.
Bằng cách nào đó làm cho quagga sử dụng một bảng định tuyến kernel khác nhau cho mỗi hàng xóm (hoặc nhóm ngang hàng). Bảng định tuyến cho hàng xóm IXP sẽ không chứa bất kỳ mục nào ngoại trừ không gian IP của riêng tôi và do đó, không có định tuyến nào sử dụng đường dẫn chuyển tiếp ip của tôi sẽ xảy ra. Nhìn vào đầu ra của
ip rule show
chương trình quagga không làm điều này tự động?
Có phải tôi đang trên đường ray bên phải không? Tại sao 2. không được thực hiện trong Quagga trực tiếp? Làm thế nào để các bộ định tuyến phần cứng (cisco, cây bách xù, ..) đối phó với vấn đề này?