A mon avis, c'est juste un déchet historique dont Cisco entre autres n'a pas jugé bon de changer la valeur par défaut (contrairement à ce qui été fait pour ip source-route et ip classless). Wikipedia mentionne même que c'est un vecteur d'attaque mais j'ai pas approfondi.
https://fr.m.wikipedia.org/wiki/Internet_Control_Message_Protocol David Ponzone > Le 19 nov. 2015 à 02:43, Pierre Colombier <[email protected]> a écrit : > > Bonjour David, > > Ce sont bien des machines linux (le routeur aussi) > > Je connaissais bien la méthode pour désactiver les icmp_redirect, et > usuellement ça fait même partie de mon script d'install. > (parce que ça m'était déjà arrivé il y a plusieurs années) > Simplement ça n'avait pas été fait sur ces serveurs là. > > Je confirme que changer d'IP m'aurait évité des déboires mais le routeur > cumulait d'autres fonctions que je n'avais pas envie de reproduire sur la > passerelle temporaire. > > > Ma question est plus de l'ordre du théorique : > 1) Pourquoi ça existe ? > 2) En pratique, dans quelle situation est-réellement utile ? > La seule situation à laquelle je peux penser est d'éviter un aller-retour > inutile sur un même segment. > Mais ça signifie qu'il y a soit une erreur dans les règles de routage et que > c'est un cache-misère soit que c'est fait exprès et qu'alors il faudrait > justement éviter d'apporter des corrections automatiques à une situation qui > est voulue par l'admin. > 3°) Pourquoi est-ce activé par défaut ? Cette fonctionnalité n'est-elle pas > intrinsèquement une faille de sécurité ? > 4°) Dans la mesure où il s'agit d'un contournement des règles de routage > "normales", pourquoi la durée du cache est-elle si longue ? (plus de quelques > secondes) > > > > >> On 18/11/2015 22:23, David Ponzone wrote: >> Pour ne pas prendre en compte les redirect sur Linux: >> http://linuxpoison.blogspot.fr/2010/01/how-to-disable-icmp-redirects-in-linux.html >> >> <http://linuxpoison.blogspot.fr/2010/01/how-to-disable-icmp-redirects-in-linux.html> >> >> Pour comprendre l’algo d’expiration du cache des routes de Linux (bon >> courage): >> http://vincent.bernat.im/fr/blog/2011-ipv4-route-cache-linux.html >> <http://vincent.bernat.im/fr/blog/2011-ipv4-route-cache-linux.html> >> :) >> >> Ca aurait été plus simple pour toi de déplacer l’IP d’un routeur vers >> l’autre. >> Le cache ARP est lui rafraichi de manière prévisible par Linux. >> Ptet même par Windows. >> >>> Le 18 nov. 2015 à 20:19, Pierre Colombier <[email protected]> a écrit : >>> >>> Bonjour la liste, >>> >>> suite à un lien mort, j'ai demandé à mon routeur de tout rediriger vers une >>> passerelle temporaire située dans le même segment. >>> ça m'évitait de changer la route par défaut sur tout mes serveurs. >>> >>> Retour à la normal, pas de bol, tous mes serveurs continuent de passer par >>> la passerelle temporaire. >>> Je viens de passer une heure en debug et à virer les route icmp_redirect.... >>> >>> Alors je ne suis peut-être pas totalement objectif rapport au temps que je >>> viens de perdre mais en fait, icmp_redirect, ça sert à quoi ? (à part >>> foutre la merde) ? >>> j'ai l'impression qu'au mieux c'est un pansement sur une jambe de bois. Et >>> qu'au pire c'est... enfin pire quoi.... >>> >>> Quelqu'un a des info/doc sur pourquoi ce truc existe et surtout pourquoi il >>> n'est pas désactivé par défaut ? >>> >>> >>> >>> >>> >>> >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
