Анонсирование IP адресов подсетями

{toc}


h1. Перед тем как начать

Проверьте, что хук работает:

{code}
tail -f /var/log/reductor/reductor.log
{code}

Бэкапим старый хук:
Для Carbon Reductor 7:
{code}
cp -a /usr/local/Reductor/userinfo/hooks/events.sh /root/events.sh.$(date +%s)
{code}

Для Carbon Reductor 8:
{code}
cp -a /app/reductor/cfg/userinfo/hooks/events.sh /root/events.sh.$(date +%s)
{code}
Заменить хук приведённым ниже примером, с поддержкой подсетей.

{code}
#!/bin/bash

# этот хук поддерживает отправку только подсетями
# предполагается, что синхронизируемый список содержит
# только подсети уже с маской и в ответ мы получаем

local ip="$1"
read SEQ < $TMPDIR/blockseq
SEQ=${SEQ:-0}
let SEQ+=5
echo $SEQ > $TMPDIR/blockseq
echo $SEQ
{
echo "conf t"
echo "ip prefix-list BLACKHOLE seq $SEQ permit $ip"
echo "ip route $ip Null0"
echo "end"
echo "clear ip bgp * soft"
} | vtysh
}

# отправить на оборудование команду на снятие блокировки ip адреса
ip_block_full_del() {
local ip="$1"
{
echo "conf t"
echo "no ip prefix-list BLACKHOLE permit $ip"
echo "no ip route $ip Null0"
echo "end"
echo "clear ip bgp * soft"
} | vtysh
}

# получить список заблокированных ip адресов
ip_block_full_get() {
echo -ne "show ip route static" | vtysh > $HOOKDIR/ip_route.txt
egrep -o "$ipmask_regex" $HOOKDIR/ip_route.txt | tee $HOOKDIR/ip.txt
}
{code}

Включить опцию menu \-> "Настройки алгоритма фильтрации" \-> "Синхронизировать IP-адреса подсетями"

Очистить конфиги quagga от маршрутов и перезаполнить их:
{code}
/etc/init.d/crond stop
killall events.sh
grep -v '^ip prefix-list' /etc/quagga/bgpd.conf > /etc/quagga/bgpd.conf.no_ip
cat /etc/quagga/bgpd.conf.no_ip > /etc/quagga/bgpd.conf
egrep -v '^(ip prefix-list|ip route)' /etc/quagga/zebra.conf > /etc/quagga/zebra.conf.no_ip
cat /etc/quagga/zebra.conf.no_ip > /etc/quagga/zebra.conf
/etc/init.d/zebra restart
/etc/init.d/bgpd restart
/etc/init.d/crond start
/usr/local/Reductor/bin/events.sh
{code}

Если используется другой способ синхронизации (ssh, telnet, web api), лучше сперва вручную очистить маршруты перед синхронизацией.

{code}
echo '/ip firewal address-list remove [find list~"reductor_ip_block_list"]' | /usr/bin/ssh -T admin@10.0.0.1
{code}

Сам хук

{code}
#!/bin/bash

SSH="/usr/bin/ssh -T admin@10.0.0.1"

# отсекаем лишнее из вывода /print
__only_ip() {
egrep -o "$ip_or_ipmask_regex" | sed -E "s|^$ip_regex$|&/32|g"
}

# Отправляем на оборудование команду на блокирование ip адреса
ip_block_full_add() {
local ip="$1"
echo "/ip firewall address-list add list=reductor_ip_block_list address=$ip comment=${ip}_reductor_ip_block" | $SSH
}
# Отправляем на оборудование команду на снятие блокировки ip адреса
ip_block_full_del() {
local ip="$1"
echo "/ip firewall address-list remove [find comment=${ip}_reductor_ip_block]" | $SSH
}

mikrotik_firewall_prepare() {
echo "/ip firewall filter add chain=reductor_forward comment=reductor_ip_block dst-address-list=reductor_ip_block_list action=drop" | $SSH
echo "/ip firewall filter add chain=forward action=jump jump-target=reductor_forward place-before=0" | $SSH
}

# Получаем список заблокированных IP
ip_block_full_get() {
# mikrotik_firewall_prepare
echo "/ip firewall address-list print where list=reductor_ip_block_list" | $SSH | __only_ip
}

Чтобы пересоздать ipset нужно удалить все правила в iptables, которые его используют.

Быстрая очистка ipset:

{code}
ipset flush rkn
{code}

Хук:

{code}
#!/bin/bash

SSH="/usr/bin/ssh -T root@10.0.0.1 bash"
SET_RKN=rkn

# отсекаем лишнее из вывода ipset
__only_ip() {
grep add | egrep -o "$ip_or_ipmask_regex" | sed -E "s|^$ip_regex$|&/32|g"
}

# отправить на оборудование команду на блокирование ip адреса
ip_block_full_add() {
local ip="$1"
echo "/sbin/ipset add $SET_RKN $ip" | $SSH
}

# отправить на оборудование команду на снятие блокировки ip адреса
ip_block_full_del() {
local ip="$1"
echo "/sbin/ipset del $SET_RKN $ip" | $SSH
}

# получить список заблокированных ip адресов
ip_block_full_get() {
echo "/sbin/ipset save $SET_RKN" | $SSH | __only_ip
}
{code}