2012/8/29 Radu-Adrian Feurdean <fr...@radu-adrian.feurdean.net>: > > > Du ACL, quoi. > Il semble qu'il faut detailler mon question: qu'est-ce qu'une ACL a a > faire sur un coeur de reseau pour du traffic *FORWARDE* (non destine au > routeur / "receive acl" chez mon concurrent favori). > > Les ACL/firewall/filtres c'etait pas pour > edge/distrib/access/bordure/peu importe *SAUF CORE* ? Et encore...... > D'ailleurs les packet filters sur les "AS borders", d'apres moi ca se > discute..... et d'apres vous ? >
Pour un stub-AS, et pour le trafic border forwardé entrant, on peut je pense dans la plupart des cas raisonnablement filtrer les paquets annonçant une source correspondant à un des préfixes de son propre AS et arrivant par un transit externe ou un peering. On devrait également filtrer le RFC1918, les bogons V4, et leurs équivalents V6 je pense. En sortie, on devrait nettoyer le trafic.. mais est-ce à faire sur les borders externe ? Je ne crois pas, il vaudrait sans doute mieux bloquer directement ce type de trafic à l'adduction vers le core à mon avis. Le plus important je pense est de nettoyer le trafic afin de ne pas laisser filtrer de paquets avec des sources spoofées et qui pourraient passer des firewalls de ce fait. En dehors de ça, effectivement, le travail est pour moi à faire sur des firewalls dédiés, qui de toutes façons gèreront moins de trafic que les routeurs de la même gamme. J'oublie sûrement des choses, je vous laisse compléter :) -- Aurélien Guillaume --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
