Michel, > > A propos du CBBC Michel, tu utilises de l'urpf strick ou juste blackhole au > > retour ? > > uRPF. > interface GigabitEthernet0/1 > ip verify unicast source reachable-via rx allow-default
Moi je voudrais bien le faire sur Vyos, mais y un méchant bug (en 1.1.7 du moins) qui fait qu’une route BGP, qui a comme next-hop une IP qui est routée statiquement vers blackhole, n’est pas prise en compte par uRPF. J’ai ouvert un ticket il y a 2 ans, ça a jamais passionné les foules. > C'est un peu futile aussi, car çà n'empêche pas le trafic indésirable > d'arriver; la différence étant qu'avec uRPF le paquet est perdu dès > réception, alors que si on se contente du blackhole il est routé vers null0. > Cà date de l'époque ou j'ai lu BCP38, probablement; je suis même pas sur que > çà marche, parce que à part çà : > > #sh cef interface g0/1 > IP unicast RPF check is enabled > Input features: Stateful Inspection, Virtual Fragment Reassembly, Access List, > Virtual Fragment Reassembly After IPS Decryption, uRPF > > Je vois pas comment controler que le mécanisme fonctionne. "show ip verify > statistics" çà n'existe pas sur mon routeur, si quelqu'un a un remplacement > je prends. C’est quoi l’ordre: uRPF en premier ou les ACL ? Si uRPF est exécuté en premier, il te suffit de mettre une ACL pour voir si elle est matchée ou pas. Mais je pense que tu vas me répondre qu’uRPF arrive après les ACL :) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
