<div dir="ltr"><div dir="ltr"><br></div><div>Anyone that is using blackhole communities should have enough Clue-fu </div><div>to adjust announcements along each pathway to have the correct sequence</div><div>of ASNs.  Passing a route with a different upstream's ASN as the origin, instead</div><div>of their own, is just *asking* for "blackhole leakage", where they inadvertently</div><div>become a conduit for blackhole prefixes from provider A getting redistributed to</div><div>you as provider B.</div><div><br></div><div>Push back on them, and indicate they must pass properly-crafted AS-PATH </div><div>attributes to you in order to be accepted.  If they don't know how to do that,</div><div>a) they shouldn't be mucking with blackhole communities, and b) they should</div><div>consider hiring Clue-fu to bring their network policies up to snuff.   ^_^;</div><div><br></div><div>Matt</div><div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Feb 11, 2020 at 8:31 AM Chris Adams <<a href="mailto:cma@cmadams.net">cma@cmadams.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">One of our multihomed customers is set up with some type of security<br>
system from another upstream that can announce blackhole routes for<br>
targeted IPs.  They have a BGP policy to take those blackhole routes and<br>
add our blackhole community string so that we can drop the traffic (and<br>
we in turn translate to our transit providers).  All good.<br>
<br>
However, it doesn't work, because the route the customer sends to us has<br>
the other upstream's AS as the source, and we have AS path filtering on<br>
our customer links.<br>
<br>
Is this a typical setup?  Should we just accept the route(s) with<br>
another provider's AS in the path?  That seems... unusual.  Our internal<br>
blackhole system uses a private AS (so it can be stripped off before<br>
sending to anyone else).<br>
<br>
Just curious what others do... I always assumed AS path filtering to<br>
customer (and their downstream customers) AS was a standard best<br>
practice.<br>
<br>
-- <br>
Chris Adams <<a href="mailto:cma@cmadams.net" target="_blank">cma@cmadams.net</a>><br>
<br>
</blockquote></div></div>