Zebra for ASL

Hmm ... yes ...

Or I could just get on top of the last weeks worth of posts, download the pluspack, and build it myself  [:)]

Ok .. doing that  [:)]

Wish me luck  [:)]

Hi Jon,

please give us feedback from your zebra compile (im interested in all this routing stuff)!

Will do  [:)]

The intial compile worked (I'm still running 1.8 on that box, but the plus pack seems to have worked)

We should (hopefully) have a full bgp session up by tonight ... so I'll report back tomorrow (fingers crossed)

I'm having problems originating and receiving any tcp/udp sessions on the ASL box ... which is making this a little harder than I'd thought  [:)]

I can't ssh out from it, and I can't open a tcp connection to port 179 on a next hop machine ...

I can however telnet to port 179 on the "next hop box" from behind the firewall.

I'm guessing this is some form of paranoid filters affecting the ASL box directly ... any suggestions where I can find them to "re-educate them"?

do you call ssh with the -P (use non-privileged src port) parameter ?

you can also edit the ssh service definition to include the lower src ports.

/tom

The problem relates to the AUTO_INPUT filters being much stricter than the USR_FORWARD filters.

What I need to do is modify the filters that are specific to the firewall, to permit tcp/179 bi-directionally on the firewall.

ssh -P still hangs ... but only when the connections are made FROM the firewall.

the ASL box (1.825) passes through all the relevant protocols in line with the filter rules, it just doesn't honour the filters when referencing itself.

I don't know enough about ipchains yet to figure out what changes to make, however I'll be reading the manual tomorrow when i get back to my desk (in about 8 hours  [:)]

Cheers guys

I'm stumped.

Oct  9 10:40:05 fw kernel: TCP Drop: IN= OUT=eth2 SRC=80.85.76.26 DST=80.85.76.25 LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=0 PROTO=TCP SPT=33354 DPT=179 WINDOW=5840 RES=0x00 SYN URGP=0 

fw:/root # telnet 80.85.76.29 179                           
Trying 80.85.76.29...
Oct  9 13:21:12 fw kernel: TCP Drop: IN= OUT=eth3 SRC=80.85.76.30 DST=80.85.76.29 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=29485 PROTO=TCP SPT=32798 DPT=179 WINDOW=5840 RES=0x00 SYN URGP=0 
Oct  9 13:21:15 fw kernel: TCP Drop: IN= OUT=eth3 SRC=80.85.76.30 DST=80.85.76.29 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=29485 PROTO=TCP SPT=32798 DPT=179 WINDOW=5840 RES=0x00 SYN URGP=0 
Oct  9 13:21:16 fw kernel: TCP Drop: IN= OUT=eth3 SRC=80.85.76.30 DST=80.85.76.29 LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=59591 PROTO=TCP SPT=32795 DPT=179 WINDOW=5840 RES=0x00 SYN URGP=0 
Oct  9 13:21:17 fw kernel: TCP Drop: IN= OUT=eth2 SRC=80.85.76.26 DST=80.85.76.25 LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=1215 PROTO=TCP SPT=32796 DPT=179 WINDOW=5840 RES=0x00 SYN URGP=0 
Oct  9 13:21:21 fw kernel: TCP Drop: IN= OUT=eth3 SRC=80.85.76.30 DST=80.85.76.29 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=29485 PROTO=TCP SPT=32798 DPT=179 WINDOW=5840 RES=0x00 SYN URGP=0

/usr/local/httpd/htdocs/_show_iptables_filter.pl 
Chain INPUT (policy DROP)
target     prot opt source               destination         
LOCAL      all  --  0.0.0.0/0            0.0.0.0/0          
FIX_CONNTRACK  all  --  0.0.0.0/0            0.0.0.0/0          
AUTO_INPUT  all  --  0.0.0.0/0            0.0.0.0/0          
TTT_ACCEPT  all  --  0.0.0.0/0            0.0.0.0/0          
LOGDROP    all  --  0.0.0.0/0            0.0.0.0/0          

Chain FORWARD (policy DROP)
target     prot opt source               destination         
LOCAL      all  --  0.0.0.0/0            0.0.0.0/0          
FIX_CONNTRACK  all  --  0.0.0.0/0            0.0.0.0/0          
AUTO_FORWARD  all  --  0.0.0.0/0            0.0.0.0/0          
USR_FORWARD  all  --  0.0.0.0/0            0.0.0.0/0          
LOGDROP    all  --  0.0.0.0/0            0.0.0.0/0          

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
LOCAL      all  --  0.0.0.0/0            0.0.0.0/0          
FIX_CONNTRACK  all  --  0.0.0.0/0            0.0.0.0/0          
AUTO_OUTPUT  all  --  0.0.0.0/0            0.0.0.0/0          
TTT_ACCEPT  all  --  0.0.0.0/0            0.0.0.0/0          
LOGDROP    all  --  0.0.0.0/0            0.0.0.0/0          

Chain AUTO_FORWARD (1 references)
target     prot opt source               destination         
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED 

Chain AUTO_INPUT (1 references)
target     prot opt source               destination         
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          
LOGDROP    tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpt:25 
ACCEPT     tcp  --  194.159.102.0/24     0.0.0.0/0          tcp dpt:22 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:22 
LOGDROP    tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:22 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpt:443 
LOGDROP    tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpt:443 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:53 
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0          udp dpt:53 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED 

Chain AUTO_OUTPUT (1 references)
target     prot opt source               destination         
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED 

Chain FIX_CONNTRACK (3 references)
target     prot opt source               destination         

Chain LOCAL (3 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          

Chain LOGDROP (7 references)
target     prot opt source               destination         
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0          LOG flags 0 level 6 prefix `TCP Drop: ' 
LOG        udp  --  0.0.0.0/0            0.0.0.0/0          LOG flags 0 level 6 prefix `UDP Drop: ' 
LOG        esp  --  0.0.0.0/0            0.0.0.0/0          LOG flags 0 level 6 prefix `ESP Drop: ' 
LOG        ah   --  0.0.0.0/0            0.0.0.0/0          LOG flags 0 level 6 prefix `AH Drop: ' 
LOG        icmp --  0.0.0.0/0            0.0.0.0/0          LOG flags 0 level 6 prefix `ICMP Drop: ' 
LOG        all  -f  0.0.0.0/0            0.0.0.0/0          LOG flags 0 level 0 prefix `FRAG Drop: ' 
DROP       all  --  0.0.0.0/0            0.0.0.0/0          

Chain TTT_ACCEPT (2 references)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpt:21 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpt:25 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpt:53 
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0          udp spts:1024:65535 dpt:53 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpt:8080 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpt:80 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpt:443 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spts:1:65535 dpt:222 
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0          udp spts:1024:65535 dpts:33000:34000 
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          icmp type 11 code 0 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpt:113 
ACCEPT     tcp  --  80.85.76.24/30       80.85.76.26        tcp spts:1024:65535 dpt:179 
ACCEPT     all  --  80.85.76.28/30       80.85.76.30        
LOGDROP    all  --  0.0.0.0/0            0.0.0.0/0          

Chain USR_FORWARD (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:22 
ACCEPT     all  --  194.70.36.0/24       0.0.0.0/0          
ACCEPT     all  --  192.168.250.0/24     0.0.0.0/0          
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.7        tcp dpt:53 
ACCEPT     udp  --  0.0.0.0/0            194.70.36.7        udp dpt:53 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.10       tcp spts:1024:65535 dpt:80 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.21       tcp spts:1024:65535 dpt:80 
ACCEPT     tcp  --  0.0.0.0/0            194.159.102.135    tcp spts:1024:65535 dpt:80 
ACCEPT     tcp  --  0.0.0.0/0            195.224.237.13     tcp spts:1024:65535 dpt:80 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.2        tcp spts:1024:65535 dpt:80 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.10       tcp spts:1024:65535 dpt:80 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.10       tcp spts:1024:65535 dpt:443 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.10       tcp spts:1024:65535 dpt:143 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.10       tcp spts:1:65535 dpt:993 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.10       tcp dpt:389 
ACCEPT     udp  --  0.0.0.0/0            194.70.36.10       udp dpt:389 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.10       tcp dpt:636 
ACCEPT     udp  --  0.0.0.0/0            194.70.36.10       udp dpt:636 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.10       tcp spts:1024:65535 dpt:110 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.10       tcp spts:1024:65535 dpt:25 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.21       tcp spts:1024:65535 dpt:80 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.21       tcp spts:1024:65535 dpt:443 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.21       tcp spts:1024:65535 dpt:143 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.21       tcp spts:1:65535 dpt:993 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.21       tcp dpt:389 
ACCEPT     udp  --  0.0.0.0/0            194.70.36.21       udp dpt:389 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.21       tcp dpt:636 
ACCEPT     udp  --  0.0.0.0/0            194.70.36.21       udp dpt:636 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.21       tcp spts:1024:65535 dpt:110 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.21       tcp spts:1024:65535 dpt:25 
ACCEPT     tcp  --  0.0.0.0/0            194.159.102.135    tcp spts:1024:65535 dpt:80 
ACCEPT     tcp  --  0.0.0.0/0            194.159.102.135    tcp spts:1024:65535 dpt:443 
ACCEPT     tcp  --  0.0.0.0/0            194.159.102.135    tcp spts:1024:65535 dpt:143 
ACCEPT     tcp  --  0.0.0.0/0            194.159.102.135    tcp spts:1:65535 dpt:993 
ACCEPT     tcp  --  0.0.0.0/0            194.159.102.135    tcp dpt:389 
ACCEPT     udp  --  0.0.0.0/0            194.159.102.135    udp dpt:389 
ACCEPT     tcp  --  0.0.0.0/0            194.159.102.135    tcp dpt:636 
ACCEPT     udp  --  0.0.0.0/0            194.159.102.135    udp dpt:636 
ACCEPT     tcp  --  0.0.0.0/0            194.159.102.135    tcp spts:1024:65535 dpt:110 
ACCEPT     tcp  --  0.0.0.0/0            194.159.102.135    tcp spts:1024:65535 dpt:25 
ACCEPT     tcp  --  0.0.0.0/0            195.224.237.13     tcp spts:1024:65535 dpt:80 
ACCEPT     tcp  --  0.0.0.0/0            195.224.237.13     tcp spts:1024:65535 dpt:443 
ACCEPT     tcp  --  0.0.0.0/0            195.224.237.13     tcp spts:1024:65535 dpt:143 
ACCEPT     tcp  --  0.0.0.0/0            195.224.237.13     tcp spts:1:65535 dpt:993 
ACCEPT     tcp  --  0.0.0.0/0            195.224.237.13     tcp dpt:389 
ACCEPT     udp  --  0.0.0.0/0            195.224.237.13     udp dpt:389 
ACCEPT     tcp  --  0.0.0.0/0            195.224.237.13     tcp dpt:636 
ACCEPT     udp  --  0.0.0.0/0            195.224.237.13     udp dpt:636 
ACCEPT     tcp  --  0.0.0.0/0            195.224.237.13     tcp spts:1024:65535 dpt:110 
ACCEPT     tcp  --  0.0.0.0/0            195.224.237.13     tcp spts:1024:65535 dpt:25 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.2        tcp spts:1024:65535 dpts:20:21 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.10       tcp spts:1024:65535 dpts:20:21 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.21       tcp spts:1024:65535 dpts:20:21 
ACCEPT     tcp  --  0.0.0.0/0            194.159.102.135    tcp spts:1024:65535 dpts:20:21 
ACCEPT     tcp  --  0.0.0.0/0            195.224.237.13     tcp spts:1024:65535 dpts:20:21 
ACCEPT     tcp  --  0.0.0.0/0            194.70.36.2        tcp spts:1024:65535 dpts:20:21 
fw:/root # 

Yet I have

Have you gotten Zebra to work? I have it running, but can't get OSPF updates. I am trying to figure out the right firewall rules. Somewhere I read that the protocol was IP 89 and multicast network 224.0.0.5/32 and 224.0.0.6/32. I'd like to post a howto once I get this up and running. Thanks for all the help. 

~David

I'd like to say I got it working, but to be honest I gave up in the end ... reformatted the machine with OpenBSD 3.0 and installed a set of pf filters, squid, and wrote a few scripts.

I don't have a snazzy web interface, but at least I have something that I managed to get working  how I needed it to in approx 1.5 hours from start to finish.

Oh c'mon. There has to be a hacker out there who is doing this. Let's collaberate and get this done! :-)