Ouais c’est juste, j’avais omis ce cas, mais je sais pas pourquoi ça me choque (tout problématique technique mise de côté) qu’on puisse émettre un paquet valide depuis une adresse non-joignable en retour.
Michel, quand tu seras réveillé: t’avais pas des stats sur ce que à ta modeste échelle tu arrivais à filtrer avec uRPF ? > Le 20 déc. 2019 à 11:26, Vincent Bernat <[email protected]> a écrit : > > Je pense que c'est plutôt le contraire. Par exemple les IX n'annoncent > pas leurs subnets pour éviter les attaques (exemple, France-IX, AMS-IX). > Et ils demandent de ne pas les réannoncer non plus. > -- > Don't stop at one bug. > - The Elements of Programming Style (Kernighan & Plauger) > > ――――――― Original Message ――――――― > From: David Ponzone <[email protected]> > Sent: 20 décembre 2019 10:37 +01 > Subject: Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un > routeur CISCO depuis une VM Linux > To: Alarig Le Lay > Cc: [email protected] > >> A la base c’est pas considéré comme « bad practice » d’avoir des >> équipements qui renvoient des ICMP depuis des IP non annoncées ? >> >>> Le 20 déc. 2019 à 10:35, Alarig Le Lay <[email protected]> a écrit : >>> >>> Pour les traceroutes/mtr et le PMTUd. >>> >>> On 20/12/2019 10:34, David Ponzone wrote: >>>> OK ça se défend. >>>> Ca te gêne pour les traceroute ou pour autre chose ? >>>> >>>>> Le 20 déc. 2019 à 10:29, Alarig Le Lay <[email protected]> a écrit : >>>>> >>>>> Je n’ai jamais eu de soucis de spoof d’IP pas annoncées. Par contre, ne >>>>> plus recevoir les ICMP des backbones pas annoncés, j’ai déjà eu. Donc >>>>> l’intérêt est négatif pour moi. >>>>> >>>>> On 20/12/2019 10:27, David Ponzone wrote: >>>>>> Ben si t’as pas de route pour l’IP source du paquet, tu le drop au plus >>>>>> tôt non ? >>>>>> >>>>>> >>>>>>> Le 20 déc. 2019 à 10:23, Alarig Le Lay <[email protected]> a écrit : >>>>>>> >>>>>>> Je ne vois pas l’utilité de l’uRPF si c’est pas en mode strict perso :p >>>>>>> >>>>>>> On 20/12/2019 10:22, David Ponzone wrote: >>>>>>>> Pas en mode strict en tout cas. >>>>>>>> >>>>>>>>> Le 20 déc. 2019 à 10:16, Alarig Le Lay <[email protected]> a écrit >>>>>>>>> : >>>>>>>>> >>>>>>>>> uRPF faut le faire sur ton réseau à toi, pas sur les intercos vers >>>>>>>>> l’extérieur, sinon effectivement ça casse tout. >>>>>>>>> >>>>>>>>> On 20/12/2019 09:57, Fabien H wrote: >>>>>>>>>> Bonjour Michel (quand il fera jour outre-atlantique :-) ) >>>>>>>>>> >>>>>>>>>> J'ai regardé un peu uRPF, effectivement, c'est très intéressant >>>>>>>>>> effectivement ! >>>>>>>>>> >>>>>>>>>> Par contre juste une question qui me chagrine, en environnement >>>>>>>>>> multi-homé, >>>>>>>>>> multi-transitaire avec ton préfixe /22 annoncé sur tous les >>>>>>>>>> transitaires, >>>>>>>>>> sans local pref sur le sortant vers tel ou tel transitaire, il n'y a >>>>>>>>>> pas un >>>>>>>>>> risque que le paquet arrive "de bonne foi" par le mauvais >>>>>>>>>> transitaire ? >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> Le jeu. 19 déc. 2019 à 21:27, Michel Py >>>>>>>>>> <[email protected]> >>>>>>>>>> a écrit : >>>>>>>>>> >>>>>>>>>>>> Fabien H a écrit : >>>>>>>>>>>> announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666 >>>>>>>>>>> >>>>>>>>>>> Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P >>>>>>>>>>> A éviter aussi : 65332 (team Cymru) >>>>>>>>>>> >>>>>>>>>>> Ne pas oublier : >>>>>>>>>>> >>>>>>>>>>> interface null 0 >>>>>>>>>>> no ip unreachables >>>>>>>>>>> >>>>>>>>>>>> Pas de problème de peformance si le routeur envoie d'abord vers >>>>>>>>>>>> 192.0.2.1 >>>>>>>>>>>> puis cherche la route 192.0.2.1 vers Null 0 ? >>>>>>>>>>> >>>>>>>>>>> Non, c'est la bonne manière. >>>>>>>>>>> >>>>>>>>>>> Tu as quoi pour sh ip route 0.0.0.0 ? tu utilises la route par >>>>>>>>>>> défaut ? >>>>>>>>>>> >>>>>>>>>>> Prochaine étape : uRPF sur l'interface externe. >>>>>>>>>>> >>>>>>>>>>> Michel. >>>>>>>>>>> >>>>>>>>>>> >>>>>>>>>>> >>>>>>>>>> >>>>>>>>>> --------------------------- >>>>>>>>>> Liste de diffusion du FRnOG >>>>>>>>>> http://www.frnog.org/ >>>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> --------------------------- >>>>>>>>> Liste de diffusion du FRnOG >>>>>>>>> http://www.frnog.org/ >>>>>>>> >>>>>>> >>>>>> >>>>> >>>> >>> >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
