On 11/11/2019 19:23, Michel Py wrote: > Est-ce que l'addresse _source_ est dans la FIB ? > Non : ==> drop. On ne sait pas d’où çà vient -> c'est spoofé.
Tu vas te retrouver à rejeter des IPs légitimes. Il y a quelques backbones qui utilisent des IPs publiques non annoncées et qui envoient légitimement des ICMP. Regarder si c’est en null0 suffit largement (même si faire de l’uRPF sur les liens vers l’extérieur est une source d’ennuis à mon avis). -- Alarig --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/