
<div dir="ltr">Yes, that helps - thx a lot.<div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2018-01-16 20:08 GMT+01:00 Maximilian Wilhelm <span dir="ltr"><<a href="mailto:max@rfc2324.org" target="_blank">max@rfc2324.org</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Anno domini 2018 Mike Neo scripsit:<br>

<span class=""><br>

Hi,<br>

<br>

> could you tell me what is the best practice for sysctl.conf configuration<br>

> (2 or 3 bgp peers, possible asym routing)?<br>

<br>

</span>What exactly are you looking for?<br>

<br>

The first things that come to mind would be<br>

<br>

  * forwarding enabled<br>

<br>

    Old style: global option:<br>

<br>

      net.ipv4.ip_forward = 1<br>

<br>

    or in the new style (per interface option):<br>

<br>

      net.ipv4.conf.default.<wbr>forwarding = 1<br>

      net.ipv4.conf.all.forwarding = 1<br>

<br>

    If you do not want to enable forwarding on all interface, you could<br>

    just add the interfaces you care about to that list (instead of "all"<br>

    and "default"), but beware, that this will only have an effect an<br>

    interfaces already created before sysctls are applied. Therefore this<br>

    would be risky when we are talking about some kind of tunnels like<br>

    OpenVPN / Wireguard / IPse /, etc. which might be recreated while the<br>

    system is running.<br>

<br>

    Also beware, that for IPv6 there only is the new style config:<br>

<br>

      net.ipv6.conf.default.<wbr>forwarding = 1<br>

      net.ipv6.conf.all.forwarding = 1<br>

<br>

<br>

    When using the new style, you probably want to have both settings<br>

    to be safe in all scenarios (interfaces which already are present<br>

    when sysctl is applied + interfaces which (re)emerge later.<br>

<br>

<br>

  * rp_filter disabled<br>

<br>

    Similar to the forwarding setting there is reverse path filtering<br>

<br>

      net.ipv4.conf.default.rp_<wbr>filter = 0<br>

      net.ipv4.conf.all.rp_filter = 0<br>

<br>

    which has to be disabled at least on the interfaces which could be<br>

    involved in asymetric routing. Please make sure to provide some<br>

    other means of BCP38 (like netfilter) to make sure, your routers<br>

    prevent people from spoofing source IPs as early as possible.<br>

<br>

<br>

  * Ignore ICMP redirects<br>

<br>

    When your routers are the only ones in a potentially untrusted<br>

    network, you probaly want to ignore ICMP redirects sent to your<br>

    boxes, to prevent MITM attacks:<br>

<br>

      net.ipv4.conf.default.accept_<wbr>redirects = 0<br>

      net.ipv4.conf.all.accept_<wbr>redirects = 0<br>

      net.ipv6.conf.default.accept_<wbr>redirects = 0<br>

      net.ipv6.conf.all.accept_<wbr>redirects = 0<br>

<br>

<br>

Hope that helps<br>

<br>

Best<br>

Max<br>

<span class="HOEnZb"><font color="#888888">--<br>

Fortschritt bedeutet, einen Schritt so zu machen,<br>

daß man den nächsten auch noch machen kann.<br>

</font></span></blockquote></div><br></div>