On 2011-09-21, Mathieu Goessens <[email protected]> wrote: >> Mais pas depuis l'Australie (Internode), un des routeurs intermédiaire refuse >> de forwarder les paquets avec un “Destination unreachable: Administratively >> prohibited.” >> $ traceroute6 distant-sun >> [...] >> 6 INTERNODE-S.car4.SanJose1.Level3.net (2001:1900:2100::102) 198.037 ms >> !X 183.850 ms !X * >> Étrange, et je suis curieux de la raison. J'imagine qu'on n'aura pas de >> réponse définitive ici, mais les différentes hypothèses m'intéressent. >> Est-il courant pour les réseaux de peering de bloquer des plages qui ne >> sont pas routées ? D'autres idées ? > Au vu du message, il s'agit sans doute d'un filtrage des ports UDP > utilisés par traceroute. Avez vous essayé avec d'autres options de > traceroute (-I pour forcer l'ICMP, -T pour essayer en TCP , -p ...) ?
Je pense que le problème est plus complexe que ça. En effet, je n'ai tracerouté que dans un second temps, après avoir reçu ledit message d'erreur après un ping. Je viens cependant de tenter avec des services plus classiques (ssh, http), et ai obtenu la même erreur. > Sinon, pour répondre à votre question, il existe en effet des filtrages > classiques appliqué par certains opérateurs en entrée de réseau. > > Certains filtrent par exemples les bogons: > http://www.team-cymru.org/Services/Bogons/ . Le bloc sembe attribué depuis presque 4 ans [0]. Même si non routé par ProXad, il me semble surprenant qu'il soit dans les bogons, et ne semble effectivement pas y être: $ dig +short a.1.6.2.3.0.e.f.f.f.9.a.a.0.a.c.8.1.1.0.1.0.0.0.b.0.e.0.1.0.a.2.v6.fullbogons.cymru.com. TXT $ > Certains autres (dont Renater) utilisent par exemple: > http://www.space.net/~gert/RIPE/ipv6-filters.html . Cela semble être la raison la plus probable. Mais, encore une fois, le bloc en question semble attribué depuis 4 ans. Et ce document mentionne 2a01::/16 comme légal depuis le 2005-12-21. Bon, dans mon cas, ce n'est pas le RIPE qui bloque, donc on ne peut qu'émettre des hypothèses et faire des parallèles, mais il semble surprenant qu'un préfixe global valide depuis 6 ans soit toujours bloqué... De plus, l'erreur est un “Administratively prohibited,” pas un “Route not found.” > Et de nombreux doivent avoir leurs propres listes avec tous les > problèmes que cela implique: > http://www.bortzmeyer.org/pas-de-listes-noires-statiques.html . Bien que le problème soit réel, je doute que ce soit déjà le cas pour IPv6, où je soupçonne que la plupart des préfixes que nous voyons en sont à leur première attribution. Question suivante, comment faire savoir à cet opérateur qu'ils bloquent peut-être une plage de trop ? Un courriel, ou bien y a-t-il des procédures idoines (je soupçonne que la première solution est sa seule qui marche partout) ? Dans tous les cas, merci beaucoup pour ces réponses ! [0] https://apps.db.ripe.net/whois/lookup/ripe/inet6num/2a01:e00::/26.html -- Olivier Mehani <[email protected]> PGP fingerprint: 4435 CF6A 7C8D DD9B E2DE F5F9 F012 A6E2 98C6 6655
pgpDLS6EG3VIL.pgp
Description: Cryptographic signature
_______________________________________________ G6 -- Association Francophone pour la promotion d'IPv6 (http://www.g6.asso.fr) Liste IPv6tech [email protected] Info : http://mail.g6.asso.fr/mailman/listinfo/ipv6tech
