On Wed, Aug 29, 2012, at 09:36 PM, Aurélien wrote:
> Pour un stub-AS, et pour le trafic border forwardé entrant, on peut je > pense dans la plupart des cas raisonnablement filtrer les paquets > annonçant une source correspondant à un des préfixes de son propre AS > et arrivant par un transit externe ou un peering. On devrait également En principe je suis d'accord, mais ils faut bien savoir ce qu'on a sur son AS. Un eyeball/corporate access peut tres bien etre un "stub AS", il y a quand-meme pas mal des raisons legitimes pour ne pas filterer tous les acces. > filtrer le RFC1918, les bogons V4, et leurs équivalents V6 je pense. RFC1918 - il y en a qui utilisent sur leur core. C'est pas critique, mais des "***" dans les traceroute ca peut compliquer cetaines taches. Bogons v4 - OK, hereusement qu'il y en a presque plus. > En sortie, on devrait nettoyer le trafic.. mais est-ce à faire sur les > borders externe ? Je ne crois pas, il vaudrait sans doute mieux > bloquer directement ce type de trafic à l'adduction vers le core à mon avis. Oui et non. en principe, si le traffic est nettoye des qu'il touche le reseau, ca peut se faire. Apres, a tous les autres niveaux il peut y avoir des raisons legitimes pour passer du traffic qui semble "illegitime". > Le plus important je pense est de nettoyer le trafic afin de ne pas > laisser filtrer de paquets avec des sources spoofées et qui pourraient > passer des firewalls de ce fait. Un firewall bien pense est positionne a un endroit qui permet pas de laisser passer des paquets spofes: au plus pres de la source qu'il doit nettoyer ou de la destination qu'il doit proteger. .. et a mon avis ce n'est pas du resort de l'ISP de le gerer, sauf demande *explicite* du client. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
