2012/8/29 Radu-Adrian Feurdean <fr...@radu-adrian.feurdean.net>: > > > On Wed, Aug 29, 2012, at 09:36 PM, Aurélien wrote: > >> Pour un stub-AS, et pour le trafic border forwardé entrant, on peut je >> pense dans la plupart des cas raisonnablement filtrer les paquets >> annonçant une source correspondant à un des préfixes de son propre AS >> et arrivant par un transit externe ou un peering. On devrait également > > En principe je suis d'accord, mais ils faut bien savoir ce qu'on a sur > son AS. Un eyeball/corporate access peut tres bien etre un "stub AS", il > y a quand-meme pas mal des raisons legitimes pour ne pas filterer tous > les acces.
Hum, je ne sais pas si je comprends bien; tu voudrais dire qu'il y a des cas légitimes pour que du trafic entrant, avec source au sein d'un préfixe que tu annonces soit routé vers toi ? Ca pourrait être quoi par exemple ? > >> filtrer le RFC1918, les bogons V4, et leurs équivalents V6 je pense. > > RFC1918 - il y en a qui utilisent sur leur core. C'est pas critique, > mais des "***" dans les traceroute ca peut compliquer cetaines taches. > Bogons v4 - OK, hereusement qu'il y en a presque plus. > Je n'avais pas pensé à ce point sur les RFC1918, effectivement. >> En sortie, on devrait nettoyer le trafic.. mais est-ce à faire sur les >> borders externe ? Je ne crois pas, il vaudrait sans doute mieux >> bloquer directement ce type de trafic à l'adduction vers le core à mon avis. > > Oui et non. en principe, si le traffic est nettoye des qu'il touche le > reseau, ca peut se faire. Apres, a tous les autres niveaux il peut y > avoir des raisons legitimes pour passer du traffic qui semble > "illegitime". > Oui, c'est plus à ça que je pensais, empêcher directement les plates-formes hébergées de sortir du trafic avec des sources invraisemblables. C'est normalement le boulot du firewall de la plate-forme en question, mais parfois on ne le contrôle pas forcément (client sur AS privé, avec son propre FW…). Cordialement, -- Aurélien Guillaume --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
