Clement Cavadore wrote:
Ce fonctionnement là ne me choque pas. Si on a un subnet alloué pour le backbone, il faut bien qu'il soit public (ie: non RFC1918), mais si la communication avec l'extérieur du réseau n'est pas nécessaire (ce qui est généralement le cas avec les IPs d'interco interne au réseau, ou les loopbacks), alors pourquoi l'annoncer ?
Disons que tu peux avoir communication si un routeur est amenné à proposer une fragmentation à l'éméteur du paquet qu'il détruit. Communication unidirectionnelle, certes, mais communication tout de même.
Sur 5410 j'avais totalement filtré en entrant les classes servant à la numération des loopbacks et des /30 d'interco sur tout l'edge du réseau. C'est encore la moins pire des protections.
Pour les probes venant de l'intérieur (les abonnés), une policy-map sur le control-plane est suffisante.
Bref, on en revient à l'origine de la discussion, filtrer ICMP vers l'ensemble de ses blocs est inepte sachant que n'importe quel mioche peut trouver le switch UDP ou TCP de son botnet.
--------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
