On 6/30/22 21:01, David Ponzone wrote:
Si tu veux dire: construire une table de /32 à blackholer que j’envoie en iBGP à mes routeurs BGP avec blackhole comme NH, pour bloquer les paquets en ingress grâce à uRPF, j’aurais bien aimé, mais mes routeurs BGP ont un bug au niveau uRPF et ça marche pas comme prévu. Faut que je vois si un upgrade récent corrige ça.
Non, je veux dire que tu ne fais plus de L2, mais que tu laisses tes serveurs annoncer leur IP en BGP en /32. Un serveur qui n'existe pas n'a pas de route et son trafic est blackholé. Tu peux filtrer les annonces pour n'accepter que le "/24" du LAN et tu as une sécurité équivalente à du L2.
--------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
