
<html>


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>


</head>


<body dir="ltr">


<div style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


We just ran into a typical case where uRPF caused a partial outage for one of my customers: the customer is multi-homed, with another provider that I'm


<b>also</b> connected to.  Customer advertised a longer-prefix to the other guy, so I started sending traffic destined for Customer to the Other Provider... who then promptly dropped it because they had uRPF enabled on the peering link, and they were seeing


 random source IPs that weren't mine.  Well... yeah, that can happen (semi-legitimately) anytime you have a topological triangle in peering.</div>


<div style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


<br>


</div>


<div style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


I've concluded over the last 2 years that uRPF is <b>only</b> useful on interfaces pointing directly at non-multi-homed customers, and


<b>actively dangerous </b>anywhere else.</div>


<div style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


<br>


</div>


<div style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


-Adam<br>


</div>


<div>


<div style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


<br>


</div>


<div id="Signature">


<div>


<div style="font-family:Calibri,Helvetica,sans-serif; font-size:12pt; color:rgb(0,0,0)">


<b style="text-align:start; background-color:rgb(255,255,255)"><span style="margin:0px; font-size:10pt; color:rgb(68,84,106)">Adam Thompson</span></b><span style="margin:0px; font-size:9pt; color:rgb(68,84,106); text-align:start; background-color:rgb(255,255,255)"><br>


Consultant, Infrastructure Services<br>


<img class="EmojiInsert" alt="1593169877849" style="margin:0px; max-width:100%; height:auto" data-outlook-trace="F:2|T:2" src="cid:bbb702c0-5f25-4b78-8e3c-77d76b316dc7"><br>


100 - 135 Innovation Drive<br>


Winnipeg, MB, R3T 6A8<br>


(204) 977-6824 or 1-800-430-6404 (MB only)<br>


<a href="mailto:athompson@merlin.mb.ca" target="_blank" rel="noopener noreferrer" style="margin:0px"><span style="margin:0px">athompson@merlin.mb.ca</span></a><br>


<a href="http://www.merlin.mb.ca/" target="_blank" rel="noopener noreferrer" style="margin:0px"><span style="margin:0px">www.merlin.mb.ca</span></a></span><br>


</div>


</div>


</div>


</div>


<div id="appendonsend"></div>


<hr style="display:inline-block;width:98%" tabindex="-1">


<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> NANOG <nanog-bounces+athompson=merlin.mb.ca@nanog.org> on behalf of Amir Herzberg <amir.lists@gmail.com><br>


<b>Sent:</b> September 28, 2021 20:06<br>


<b>To:</b> Randy Bush <randy@psg.com><br>


<b>Cc:</b> North American Network Operators' Group <nanog@nanog.org><br>


<b>Subject:</b> Re: uPRF strict more</font>


<div> </div>


</div>


<div>


<div dir="ltr">Randy, great question. I'm teaching that it's very rarely, if ever, used (due to high potential for benign loss); it's always great to be either confirmed or corrected... 


<div><br>


</div>


<div>So if anyone replies just to Randy - pls cc me too (or, Randy, if you could sum up and send to list or me - thanks!)</div>


<div><br>


</div>


<div>Amir<br clear="all">


<div>


<div dir="ltr" class="x_gmail_signature">


<div dir="ltr">


<div dir="ltr">-- <br>


<div>Amir Herzberg<br>


</div>


<div><br>


</div>


<div>Comcast professor of Security Innovations, Computer Science and Engineering, University of Connecticut</div>


<div>Homepage: <a href="https://sites.google.com/site/amirherzberg/home" target="_blank">https://sites.google.com/site/amirherzberg/home</a></div>


<div>`Applied Introduction to Cryptography' textbook and lectures:<a href="https://sites.google.com/site/amirherzberg/applied-crypto-textbook" target="_blank"> https://sites.google.com/site/amirherzberg/applied-crypto-textbook</a></div>


<div><br>


</div>


<br>


</div>


</div>


</div>


</div>


<br>


</div>


</div>


<br>


<div class="x_gmail_quote">


<div dir="ltr" class="x_gmail_attr">On Tue, Sep 28, 2021 at 8:50 PM Randy Bush <<a href="mailto:randy@psg.com">randy@psg.com</a>> wrote:<br>


</div>


<blockquote class="x_gmail_quote" style="margin:0px 0px 0px 0.8ex; border-left:1px solid rgb(204,204,204); padding-left:1ex">


do folk use uPRF strict mode?  i always worried about the multi-homed<br>


customer sending packets out the other way which loop back to me;  see<br>


RFC 8704 §2.2<br>


<br>


do vendors implement the complexity of 8704; and, if so, do operators<br>


use it?<br>


<br>


clue bat please<br>


<br>


randy<br>


</blockquote>


</div>


</div>


</body>


</html>