Последние несколько лет мы имеем заметный прогресс внедрения RPKI для BGP префиксов, но за этим надо следить. И да это отдельный вид деятельности который всю систему немного усложнил. В блоге APNIC рассуждения на тему, почему существуют, всё ещё, недействительные префиксы и что с этим можно сделать.
Кстати, прогресс наглядно для IPv4 - 15 июля 2021 и 30 мая 2019 - количество подписанных префиксов увеличилось в два раза. Или то же можно поискать в @bgp_table_bot

В любой сети даже из одного компьютера может появиться трафик с адресов которых в этой сети нет, будь это даже 169.254.0.0/16. Если вы используете NAT то убедитесь что эти адреса (которые вы не ожидаете) блокируются - не транслируются и не передаются.

NAT, как правило, определяется сбоку от правил передачи и фильтрации и поэтому поведение по умолчанию - нет правила, нет трансляции, но ничего не блокируется и пропускается как есть. Где-то блокировку можно добавить прямо в NAT настройки, где-то придётся повесить пакетный фильтр. В любом случае, не выпускайте из своей сети ничего что вам не принадлежит, ровно как и не впускайте в неё ничего чего не ожидаете. Обратите внимание на NAT, конечно же.

Очень простой пример использования TTP. С тестовыми данными выглядит красиво, а на моих случайно взятых конфигурациях ничего путного не выдал. Но выглядит действительно просто, чтобы где-то использовать при случае.

6 октября Яндекс в четвертый раз проведет международную конференцию по сетевым технологиям Next Hop. Прием докладов уже открыт — будем рады видеть вас в качестве спикеров!

Ключевые темы конференции:  
·       Data Center network design
·       Network performance analysis
·       New developments in routing protocol design
·       Network side of service scaling (load balancing, CDN, traffic and peering engineering)
·       Network programmability, automation and orchestration
·       Container and VM networking
·       Open-source operating systems based networking
·       High-performance software data path implementations, libraries, and frameworks (e.g. XDP+eBPF, DPDK, VPP)
·       Open interfaces, abstraction models and APIs to network hardware (e.g. switchdev, SAI, P4 runtime)
·       TCP congestion controls and signalling
·       HPC and ML interconnects
·       CI/CD as related to networking

Больше подробностей вы можете увидеть здесь  

Материалы прошедших конференций: 2020, 2019, 2018

Хорошее решение из доступного функционала для автоматического отката сделанных изменений PF, чтобы не закрыть самому себе доступ к управлению. И да, это частая и очень частая проблема, даже на системах с функционалом автоматической отмены изменений надо ещё на забыть к нему обратиться, то есть в конечном итоге всё равно решает человеческий фактор.

Обзор реализаций и немного рабочих примеров netcat с тёмной стороны. Более чем полезный инструмент.

Китай готовится к полному переходу на IPv6 до 2030-го года: https://www.theregister.com/2021/07/26/china_single_stack_ipv6_notice/

Всё что вы хотели знать о безопасности BGP от Geoff Huston. В первой части, про то как всё плохо и во второй части, про то что с этим пытались и пытаются сделать.

Это наверное что-то значит, помимо того что Hetzner хочет подзаработать, но вряд ли говорит о скором отказе от IPv4. Рынок есть и адреса можно купить, дороже чем это было 2 или 3 года назад, но можно. Даже больше, RIPE NCC свободно отдаёт /24 в руки любому новому LIR и очереди - нет, а адреса - есть. Кроме того, те у кого надо адресов много и процесс их накопления не останавливается.
Конечно, IPv6 у вас должен быть, хотя бы смириться с этим морально - ситуация должна разрешиться, нельзя быть вечно беременной, но период паритета может быть достаточно долгий. Загляните, кстати, в цены Hetzner там не ужас-ужас, особенно если увидели их впервые, вполне себе, если вы делаете бизнес.

Более чем вдвое увеличивает стоимость аренды IPv4-адресов известный европейский хостер Hetzner. Помимо выросшей абонентской платы, появляется также плата "за установку", достигающая почти 5 тысяч евро для подсетей /24. На профильных форумах стоит вой, скрежет зубов и обещания немедленно сменить хостинг-провайдера. Вот только любой из тех, на которых сейчас можно его сменить, в обозримом будущем наверняка тоже повысит цены на IPv4. Когда думал, что игнорировать IPv6 можно бесконечно, но оказалось, что было нельзя. https://docs.hetzner.com/general/others/ipv4-pricing/

Присоединяйтесь! С недавнего времени проще это делать с помощью software probe. Для Centos всё делается нативно через yum из связанного репозитория, собственно последнюю свою пробу я так и ставил. Но есть и другие варианты из тех что описаны сообществом, включая Docker.

🌐Что я могу сделать для развития глобального интернета?

В новых карточках поднимаем важную тему и рассказываем про проект RIPE Atlas, который вносит неоценимый вклад в развитие глобального интернета.

RIPE NCC – независимая некоммерческая членская организация, поддерживающая инфраструктуру Сети. Она выступает в качестве регионального интернет-реестра (RIR), предоставляющего глобальные интернет-ресурсы и связанные с ними услуги (IPv4, IPv6 и AS Number resources) в регионе обслуживания.

Если вам небезразлично будущее Сети, вы тоже можете присоединиться к проекту, но есть и другие варианты, как вы можете помочь.

Обо всём этом – по ссылке:
➡️ https://roskomsvoboda.org/cards/card/ripe-atlas/

Нет конечно, без поздравлений мы не обойдёмся. Рабочий день кончился несколько минут назад и я рад, что ко мне заехали друзья, настоящие админы не то что я, и поздравили самым что ни на есть админским способом - банкой пива и это ни разу не пропаганда алкоголя.

Поэтому всех настоящих админов с праздником, моих друзей особенно, и в какие бы розовые облака не завела нас кривая прогресса, если есть удовольствие от того что вы делаете и есть друзья рядом, будьте тем кем нравится - сисадмином!

Иван Пепельняк прошёлся в своём блоге про квантовые вычисления, а в комментариях прошлись про SDN, да так хорошо что это выросло в отдельный пост. Реалии таковы, что текущие SD-X это оркестровка на привычных протоколах. А что с настоящим SDN, где мозги и трафик отдельно?

Тесты производительности GoBGP, BIRD, FRR: память, процессор, время - при разных вводных по количеству пиров и префиксов.

А вот так тестирует FUJITA Tomonori, тот самый автор GoBGP и RustyBGP и чем он это делает.

Не теряйте свои ноутбуки:

At the time of this writing BitLocker does not utilize any encrypted communication features of the TPM 2.0 standard, which means any data coming out of the TPM is coming out in plaintext, including the decryption key for Windows. If we can grab that key, we should be able to decrypt the drive, get access to the VPN client config, and maybe get access to the internal network.

Если вы не делаете со своими компьютерами так, то стоит менять все ключи после каждого физического инцидента.

Да простят меня за оффтоп, но этот блог стоит того чтобы его читать https://ciechanow.ski/archives/ - интерактивный ликбез по разным инженерным дисциплинам, самые основы сложных вещей, с формулами (это стоит многого) и подвижными картинками, английским языком. Статей не так много, но каждая достойна.

Очень круто когда люди докапываются до сути проблемы до той точки до которой понимают и могут дойти, хотя вернуть всё в рабочее состояние можно было бы и раньше. Тут конечно повезло, чуть, что поймали баг на стенде, но всё равно, не бросили просто откатив драйвер.