Q: Можно ли нуллроутить трафик не по destination адресу, а по source адресу? Чтобы, например, отбрасывать трафик приходящий из конкретных AS в случае DDoS-а?
Вроде существует подобная фильтрация с помощью fake-AS
A: Маршрутизировать таким образом можно (называется policy-routing), но на сколько это будет Вас спасать — вопрос спорный.
Пример:
ip route 192.168.100.1 255.255.255.255 Null0 ip access-list standard bad-hosts permit 1.1.1.1 0.0.0.0 permit 2.2.2.2 0.0.0.0 route-map NULL-ROUTE permit 5 match ip address bad-hosts set ip next-hop 192.168.100.1 interface Gix/x ip policy route-map NULL-ROUTE
Будете просто в ACL bad-hosts дописывать адреса «вражеских» хостов.
habrahabr.ru
- Системный администратор с 2000 года
- Участник Хабр Q&A и cyberforum
- Кейсы
