Bonjour Jehan, On Thu, 2015-07-23 at 10:17 +0200, jehan procaccia INT wrote: > Questions : > 1) je croyais que les @IP RFC1918 étaient par défaut non routées sur > les équipements réseau !? je me trompe ?
En effet, tu te trompes: Elles sont totalement routables. Elles ne *devraient* pas être annoncées/routées sur Internet, c'est tout. Dans la pratique tu peux recevoir des annonces BGP ou du traffic en provenance d'IP RFC1918, pour peu que ce ne soit pas filtré par toi/tes upstreams. > 2) j'ai en plus sur l'ASR une route statique qui renvoit 192.168.0.0 > vers Null0 (trou noir) > ip route 192.168.0.0 255.255.0.0 Null0 > comment se fait-il qu'en plus de 1) j'ai encore ces paquets ayant pour > src 192.168.1.101 renvoyés vers mon interface de sortie opérateur (ici > g0/0/2) ? Ca par contre, c'est étrange. Es-tu sûr que la route statique est bien installée dans la FIB ? > 3) avez vous une autre méthode (que mon ACL 112 et route statique vers > Null0) pour droper ce trafic ? Une ACL en out sur l'équipement en face de ton Gi0/0/1 (j'imagine ?), le responsable du routage de ton RFC1918 ? Une ACL en in sur ta Gi0/0/2 n'autorisant que le(s) subnets qu'elles connait/est censée recevoir ? > 4) comment une ip src en 192.168.1.101 peut elle arriver a envoyer du > trafic vers mon 6500 alors qu'il n'y a pas de gateway/interface de > routage sur le subnet 192.168.1.0/24 > 6509E#show ip route 192.168.1.0 > % Network not in table Il suffit que tu aies un host compromis, qui forge l'adresse IP source en envoyant des paquets avec 192.168.1.101 comme src. Il n'est pas nécessaire que ce soit routé/configuré chez toi. > seul un vlan dispose d'un subnet en 192.168*.0*.0/24 (!= 192.168*.1 > *) > 6509E#show ip route 192.168.0.0 > Routing entry for 192.168.0.0/24, 2 known subnets > Attached (2 connections) > Variably subnetted with 2 masks > Redistributing via ospf 1 > C 192.168.0.0/24 is directly connected, Vlan901 > L 192.168.0.2/32 is directly connected, Vlan901 > > 5) comment remonter et identifier la source du pb, probablement un > PC/portable mal configuré infecté et qui se crois sur une livebox ou > autre subnet home office !? Essaye de choper l'adresse MAC via ton port mirroring, et remonte le réseau L2 jusqu'à trouver le port de switch auquel cette MAC est rattachée ? -- Clément Cavadore --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
