> Fabien H a écrit : > Par contre juste une question qui me chagrine, en environnement multi-homé, > multi-transitaire avec ton préfixe /22 annoncé sur tous les transitaires, > sans local pref sur le sortant vers tel ou tel transitaire, il n'y a pas un > risque que le paquet arrive "de bonne foi" par le mauvais transitaire ?
C'est plus qu'un risque, c'est pratiquement garanti. BGP est par nature asymétrique, donc le paquet entrant n'arrive pas forcément par la même interface qu'il est sorti. Il faut donc utiliser uRPF en mode "loose", ou le test est fait en regardant si le préfixe est dans la RIB, alors qu'en mode strict le test est fait en regardant si le préfixe est dans la FIB. Et, lire plus bas. > Alarig Le Lay a écrit : > Je ne vois pas l’utilité de l’uRPF si c’est pas en mode strict perso :p Dans bien des cas, c'est vrai que le mode loose c'est un peu comme pisser dans un violon, en effet. Je reconnais volontiers que uRPF/BCP38, en particulier pour un AS de transit et/ou un AS présent dans un IX, c'est d'une utilité douteuse et çà a des effets de bords. Ta position est parfaitement valable, mais lire plus bas aussi. > David Ponzone a écrit : > Michel, quand tu seras réveillé: t’avais pas des stats sur ce que à ta > modeste échelle tu arrivais à filtrer avec uRPF ? Sur un /24 dont seulement 4 adresses on accès à l'Internet complet, c'est entre 10 PPS et 1000 PPS que je jette dès l'entrée. J'ai pas de bons moyens de mesurer quoi. Mon environnement : vraie DFZ (pas de route par défaut), uRPF en mode loose, routage null0 venant de CBBC + Cymru fullbogons (qui inclut RFC1918). Il faut bien comprendre que je n'utilise pas uRPF dans l'esprit ou il a été conçu. L'origine de uRPF c'était de ne pas propager la merdasse spoofée, et ce n'est pas un succès. Ce que j'utilise dans uRPF (et en particulier avec l'implémentation Cisco de null0) c'est en combinaison avec plusieurs RTBH BGP basés sur l'adresse source. L'intérêt dans ce cas, c'est de jeter le paquet dont on ne veut pas directement sur l'interface qui le reçoit, avant même de l'inspecter (au lieu de le router vers null0 ou de le donner au pare-feu). Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
