Je pense que c'est plutôt le contraire. Par exemple les IX n'annoncent
pas leurs subnets pour éviter les attaques (exemple, France-IX, AMS-IX).
Et ils demandent de ne pas les réannoncer non plus.
--
Don't stop at one bug.
- The Elements of Programming Style (Kernighan & Plauger)
――――――― Original Message ―――――――
From: David Ponzone <[email protected]>
Sent: 20 décembre 2019 10:37 +01
Subject: Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur
CISCO depuis une VM Linux
To: Alarig Le Lay
Cc: [email protected]
> A la base c’est pas considéré comme « bad practice » d’avoir des
> équipements qui renvoient des ICMP depuis des IP non annoncées ?
>
>> Le 20 déc. 2019 à 10:35, Alarig Le Lay <[email protected]> a écrit :
>>
>> Pour les traceroutes/mtr et le PMTUd.
>>
>> On 20/12/2019 10:34, David Ponzone wrote:
>>> OK ça se défend.
>>> Ca te gêne pour les traceroute ou pour autre chose ?
>>>
>>>> Le 20 déc. 2019 à 10:29, Alarig Le Lay <[email protected]> a écrit :
>>>>
>>>> Je n’ai jamais eu de soucis de spoof d’IP pas annoncées. Par contre, ne
>>>> plus recevoir les ICMP des backbones pas annoncés, j’ai déjà eu. Donc
>>>> l’intérêt est négatif pour moi.
>>>>
>>>> On 20/12/2019 10:27, David Ponzone wrote:
>>>>> Ben si t’as pas de route pour l’IP source du paquet, tu le drop au plus
>>>>> tôt non ?
>>>>>
>>>>>
>>>>>> Le 20 déc. 2019 à 10:23, Alarig Le Lay <[email protected]> a écrit :
>>>>>>
>>>>>> Je ne vois pas l’utilité de l’uRPF si c’est pas en mode strict perso :p
>>>>>>
>>>>>> On 20/12/2019 10:22, David Ponzone wrote:
>>>>>>> Pas en mode strict en tout cas.
>>>>>>>
>>>>>>>> Le 20 déc. 2019 à 10:16, Alarig Le Lay <[email protected]> a écrit :
>>>>>>>>
>>>>>>>> uRPF faut le faire sur ton réseau à toi, pas sur les intercos vers
>>>>>>>> l’extérieur, sinon effectivement ça casse tout.
>>>>>>>>
>>>>>>>> On 20/12/2019 09:57, Fabien H wrote:
>>>>>>>>> Bonjour Michel (quand il fera jour outre-atlantique :-) )
>>>>>>>>>
>>>>>>>>> J'ai regardé un peu uRPF, effectivement, c'est très intéressant
>>>>>>>>> effectivement !
>>>>>>>>>
>>>>>>>>> Par contre juste une question qui me chagrine, en environnement
>>>>>>>>> multi-homé,
>>>>>>>>> multi-transitaire avec ton préfixe /22 annoncé sur tous les
>>>>>>>>> transitaires,
>>>>>>>>> sans local pref sur le sortant vers tel ou tel transitaire, il n'y a
>>>>>>>>> pas un
>>>>>>>>> risque que le paquet arrive "de bonne foi" par le mauvais transitaire
>>>>>>>>> ?
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Le jeu. 19 déc. 2019 à 21:27, Michel Py
>>>>>>>>> <[email protected]>
>>>>>>>>> a écrit :
>>>>>>>>>
>>>>>>>>>>> Fabien H a écrit :
>>>>>>>>>>> announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666
>>>>>>>>>>
>>>>>>>>>> Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
>>>>>>>>>> A éviter aussi : 65332 (team Cymru)
>>>>>>>>>>
>>>>>>>>>> Ne pas oublier :
>>>>>>>>>>
>>>>>>>>>> interface null 0
>>>>>>>>>> no ip unreachables
>>>>>>>>>>
>>>>>>>>>>> Pas de problème de peformance si le routeur envoie d'abord vers
>>>>>>>>>>> 192.0.2.1
>>>>>>>>>>> puis cherche la route 192.0.2.1 vers Null 0 ?
>>>>>>>>>>
>>>>>>>>>> Non, c'est la bonne manière.
>>>>>>>>>>
>>>>>>>>>> Tu as quoi pour sh ip route 0.0.0.0 ? tu utilises la route par
>>>>>>>>>> défaut ?
>>>>>>>>>>
>>>>>>>>>> Prochaine étape : uRPF sur l'interface externe.
>>>>>>>>>>
>>>>>>>>>> Michel.
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>
>>>>>>>>> ---------------------------
>>>>>>>>> Liste de diffusion du FRnOG
>>>>>>>>> http://www.frnog.org/
>>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> ---------------------------
>>>>>>>> Liste de diffusion du FRnOG
>>>>>>>> http://www.frnog.org/
>>>>>>>
>>>>>>
>>>>>
>>>>
>>>
>>
>
>
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
