<div dir="ltr">Yes, that helps - thx a lot.<div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2018-01-16 20:08 GMT+01:00 Maximilian Wilhelm <span dir="ltr"><<a href="mailto:max@rfc2324.org" target="_blank">max@rfc2324.org</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Anno domini 2018 Mike Neo scripsit:<br>
<span class=""><br>
Hi,<br>
<br>
> could you tell me what is the best practice for sysctl.conf configuration<br>
> (2 or 3 bgp peers, possible asym routing)?<br>
<br>
</span>What exactly are you looking for?<br>
<br>
The first things that come to mind would be<br>
<br>
  * forwarding enabled<br>
<br>
    Old style: global option:<br>
<br>
      net.ipv4.ip_forward = 1<br>
<br>
    or in the new style (per interface option):<br>
<br>
      net.ipv4.conf.default.<wbr>forwarding = 1<br>
      net.ipv4.conf.all.forwarding = 1<br>
<br>
    If you do not want to enable forwarding on all interface, you could<br>
    just add the interfaces you care about to that list (instead of "all"<br>
    and "default"), but beware, that this will only have an effect an<br>
    interfaces already created before sysctls are applied. Therefore this<br>
    would be risky when we are talking about some kind of tunnels like<br>
    OpenVPN / Wireguard / IPse /, etc. which might be recreated while the<br>
    system is running.<br>
<br>
    Also beware, that for IPv6 there only is the new style config:<br>
<br>
      net.ipv6.conf.default.<wbr>forwarding = 1<br>
      net.ipv6.conf.all.forwarding = 1<br>
<br>
<br>
    When using the new style, you probably want to have both settings<br>
    to be safe in all scenarios (interfaces which already are present<br>
    when sysctl is applied + interfaces which (re)emerge later.<br>
<br>
<br>
  * rp_filter disabled<br>
<br>
    Similar to the forwarding setting there is reverse path filtering<br>
<br>
      net.ipv4.conf.default.rp_<wbr>filter = 0<br>
      net.ipv4.conf.all.rp_filter = 0<br>
<br>
    which has to be disabled at least on the interfaces which could be<br>
    involved in asymetric routing. Please make sure to provide some<br>
    other means of BCP38 (like netfilter) to make sure, your routers<br>
    prevent people from spoofing source IPs as early as possible.<br>
<br>
<br>
  * Ignore ICMP redirects<br>
<br>
    When your routers are the only ones in a potentially untrusted<br>
    network, you probaly want to ignore ICMP redirects sent to your<br>
    boxes, to prevent MITM attacks:<br>
<br>
      net.ipv4.conf.default.accept_<wbr>redirects = 0<br>
      net.ipv4.conf.all.accept_<wbr>redirects = 0<br>
      net.ipv6.conf.default.accept_<wbr>redirects = 0<br>
      net.ipv6.conf.all.accept_<wbr>redirects = 0<br>
<br>
<br>
Hope that helps<br>
<br>
Best<br>
Max<br>
<span class="HOEnZb"><font color="#888888">--<br>
Fortschritt bedeutet, einen Schritt so zu machen,<br>
daß man den nächsten auch noch machen kann.<br>
</font></span></blockquote></div><br></div>