Le 30/07/2015 08:41, David Ponzone a écrit :
Encore une fois, je ne sais pas si c’est ta phrase qui est mal tournée, mais ce
n’est pas parce que tu n’as pas de route vers un subnet que tu ne vas pas
recevoir de paquets venant de ce subnet.
Les routes définissent par où tu vas envoyer tes paquets vers cette IP (et donc
tes réponses).
OK, je me met à la place du "pirate",
comment depuis mon client linux par exemple, sur mon réseau public
157.159.1.0/24 qui a une gateway en 157.159.1.1 sur une interface vlan
correspondant a ce reseau sur le 6500, je peux configurer sur ce vlan +
subnet ip public (donc a une gateway qui repond en 157.159.1.1 ) une
adresse 192.168.1.101 !?, le systeme va me jeter !? le subnet IP ne
correspond pas a ma gateway , bref comment le "pirate" arrive a joindre
ma gateway publique du 6500 avec un subnet IP qui ne match pas ce que
dessert le vlan .
Pour empêcher des paquets qui ont 192.168.1.101 comme source, il faut mettre un:
ip access-list standard anti-mechants
deny 10.0.0.0 0.255.255.255
deny 192.168.0.0 0.0.255.255
deny 172.16.0.0 0.15.255.255
permit any
Oui, je sais bien que c'est la bonne solution
Mon objectif immédiat n'est pas de droper ce trafic, mais de
l'identifier, je veux trouver la source, si je le drop je n'aurais plus
de traces .
(http://www.cisco.com/c/en/us/support/docs/ip/access-lists/43920-iacl.html)
et tu appliques ceci sur TOUTES tes interfaces INGRESS, donc toutes les
interfaces sur lesquelles sont connectés des équipements que tu ne maitrises
pas:
-internet
-clients
-machines d’étudiants fous sous Windows ou geeks sous Linux
D’ailleurs, sur les interfaces INGRESS internes (clients/utilisateurs) tu peux
même être encore plus restrictif en autorisant seulement tes propres IP.
Sur les INGRESS externes, tu peux en plus interdire tes propres IP.
Encore plus drastique , mais effectivement plus sure , je vais y réfléchir .
Désolé si je répète un truc déjà fait, mais j’ai eu un doute en te lisant.
pas de problèmes, moi même j'y perd mon latin .
Merci .
Le 29 juil. 2015 à 23:43, jehan procaccia IMT <jehan.procac...@tem-tsp.eu> a
écrit :
comment des paquets (forgés probablement) avec une src en 192.168.1.101 peuvent
t-il aboutir sur mon coeur de reseau alors que je n'ai pas de gateway ni de
route pour ce reseau 192.168.1.0/24 !?
cela m’intéresse .
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
