
<div dir="ltr"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">They talk about bogon prefixes "for hosts", provide configuration<br>examples for Cisco ASA firewalls,<br></blockquote><div><br></div><div>Which are perfectly valid use cases for some networks / situations.  </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Mar 7, 2023 at 6:35 PM Lukas Tribus <<a href="mailto:lukas@ltri.eu">lukas@ltri.eu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Wed, 8 Mar 2023 at 00:05, William Herrin <<a href="mailto:bill@herrin.us" target="_blank">bill@herrin.us</a>> wrote:<br>

> Hi Lukas,<br>

><br>

> If you're using the team cymru bogon list at your customer border,<br>

> you're doing it wrong.<br>

<br>

I'm not.<br>

<br>

I'm trying to educate people that bogon lists do not belong on hosts,<br>

firewalls or intermediate routers, despite Team-cymru's aggressive<br>

marketing of the opposite, quote:<br>

<br>

> THE BOGON REFERENCE<br>

><br>

> *A bogon prefix should never appear in the Internet routing table*.<br>

> Team Cymru’s Bogon Reference provides several resources for<br>

> the filtering of bogon prefixes from your routers *and hosts*.<br>

<br>

<br>

> A bogon prefix is a route that should never appear in the Internet<br>

> routing table. A packet routed over the public Internet (not including<br>

> over VPNs or other tunnels) *should never have an address in a<br>

> bogon range.* These are commonly found as the source addresses<br>

> of DDoS attacks.<br>

<br>

They either have to make it clear what their bogon list can actually<br>

be used for or they need to drop RFC6598 from the list.<br>

<br>

They talk about bogon prefixes "for hosts", provide configuration<br>

examples for Cisco ASA firewalls, at the same time they include<br>

RFC6598 in the list and it's marketing material suggests it can be<br>

used for everything.<br>

<br>

<br>

You can't have it both ways. Either you provide a list of prefixes to<br>

be dropped on autonomous system borders *and make that clear* or you<br>

provide a list of prefixes that can be dropped in all systems.<br>

<br>

<br>

<br>

Lukas<br>

</blockquote></div>