Sent from my iPad > On 5 Oct 2013, at 14:54, Jérôme Nicolle <[email protected]> wrote: > > Une autre pratique que j'ai déjà tenté sans problème opérationnel, mais pour > laquelle je suis preneur de feedback : quand les interfaces d'intercos sont > capables de le traiter en 100% hardware, j'applique une ACL qui filtre, pour > tout paquet à destination des préfixes utilisés dans l'adressage du backbone, > et provenant de l'extérieur de mon réseau, les paquets IP et IPv6 TCP à > destination des ports 22, 23 et 179.
Oui, tu n'es pas le seul. Tu peux aussi faire tomber tous packets avec une IP source de ton backbone - surtout quand ton peer ne respecte pas BCP 38. J ai meme essaye encore plus fou. http://thomas.mangin.com/posts/bgp-firewall.html En theorie genial, en pratique en 2004 sur les M7i c etait pas encore la : packets loss quand on passait plus de 50 Mb de traffic. Je vais devoir reessayer avec les MX ... Thomas --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
