On Thu, 2015-07-30 at 09:52 +0200, jehan procaccia INT wrote: > Le 30/07/2015 08:41, David Ponzone a écrit : > > Encore une fois, je ne sais pas si c’est ta phrase qui est mal tournée, > > mais ce n’est pas parce que tu n’as pas de route vers un subnet que tu ne > > vas pas recevoir de paquets venant de ce subnet. > > Les routes définissent par où tu vas envoyer tes paquets vers cette IP (et > > donc tes réponses). > OK, je me met à la place du "pirate", > comment depuis mon client linux par exemple, sur mon réseau public > 157.159.1.0/24 qui a une gateway en 157.159.1.1 sur une interface vlan > correspondant a ce reseau sur le 6500, je peux configurer sur ce vlan + > subnet ip public (donc a une gateway qui repond en 157.159.1.1 ) une > adresse 192.168.1.101 !?, le systeme va me jeter !? le subnet IP ne > correspond pas a ma gateway , bref comment le "pirate" arrive a joindre > ma gateway publique du 6500 avec un subnet IP qui ne match pas ce que > dessert le vlan .
Il suffit de forger le paquet ! Le pirate forge un paquet IP avec comme IP source 192.168.1.101, l'envoie en L2 jusqu'a la MAC de ton routeur qui porte 157.159.1.1, lequel va accepter la trame (car adressée à sa MAC), puis regarder l'IP destinataire pour faire la décision de routage. C'est pour cela qu'on te conseille de mettre un filtre ingress sur 157.159.1.0/24 sur l'interface qui n'est censée recevoir que du traffic en provenance de ce subnet. Si tu veux, je peux te lancer un paquet ayant comme IP source l'adresse IP de www.int-evry.fr hein, s'il n'y a pas de filtres côté source (justement celui qu'on te conseille de poser), ni côté destination, le paquet arrivera à sa destination. -- Clément Cavadore --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
