Notez que le kernel linux a également un rate limit par default sur icmp.
Si je me souviens, c'est dans le cas d'un iptables REJECT, en udp, où un packet
icmp (Destination Unreachableà doit être envoyé pour dire que le port est fermé.
(l'équivalent du RST en tcp).
c'est pour eviter de flooder en cas de spoof d'ip source.
icmp_ratelimit (integer; default: 1000; since Linux 2.4.10)
Limit the maximum rates for sending ICMP packets whose type
matches icmp_ratemask
(see below) to specific targets. 0 to disable any limiting,
otherwise the minimum
space between responses in milliseconds.
icmp_ratemask (integer; default: see below; since Linux 2.4.10)
Mask made of ICMP types for which rates are being limited.
Significant bits: IHGFEDCBA9876543210
Default mask: 0000001100000011000 (0x1818)
Bit definitions (see the Linux kernel source file
include/linux/icmp.h):
0 Echo Reply
3 Destination Unreachable *
4 Source Quench *
5 Redirect
8 Echo Request
B Time Exceeded *
C Parameter Problem *
D Timestamp Request
E Timestamp Reply
F Info Request
G Info Reply
H Address Mask Request
I Address Mask Reply
The bits marked with an asterisk are rate limited by default
(see the default mask above).
----- Mail original -----
De: "Michael Bazy" <mb...@exclusive-networks.com>
À: "Michel Py" <mic...@arneill-py.sacramento.ca.us>
Cc: "VALOIS, Pascal" <pascal.val...@free.fr>, "frnog" <frnog@frnog.org>,
"Guillaume Tournat" <guilla...@ironie.org>
Envoyé: Mercredi 29 Août 2018 10:56:20
Objet: RE: [FRnOG] [MISC] Fortigate et traceroute : la honte
Côté support, je reconnais qu'ils ont à peu près le même problème que beaucoup
d'autres (gros) éditeurs : le niveau 1 qui comprend souvent les trucs à côté
(je les soupçonne d'être payés au nombre de tickets clôturés sans être
escaladés).
Mon best practice pour ça est de choisir un bon presta pour t'accompagner.
Ou sinon prendre un TAM, mais c'est (beaucoup) plus cher.
Michael
-----Message d'origine-----
De : Michel Py <mic...@arneill-py.sacramento.ca.us>
Envoyé : mercredi 29 août 2018 00:16
À : Guillaume Tournat <guilla...@ironie.org>
Cc : Michael Bazy <mb...@exclusive-networks.com>; VALOIS, Pascal
<pascal.val...@free.fr>; frnog@frnog.org
Objet : RE: [FRnOG] [MISC] Fortigate et traceroute : la honte
> Guillaume Tournat a écrit :
> On parle de paquets avec TTL expiré, qui devraient donc être rejetés.
> Qu’il y ait du throttle la dessus, ça ne me choque pas.
Cà devrait être ma décision, pas la leur. C'est pas choquant, mais 1 packet par
seconde faut qu'ils arrêtent de fumer la moquette.
En plus, leur support technique qui comprend rien essaie de m'expliquer que
c'est çà qui bloque mon traceroute en sortant, alors qu'il n'y a aucun rapport.
Ce lien était à propos des traces de l'extérieur, ce qui reste honteux.
Marche sans problème avec Sophos, Untangle, ASA, OPNSense et pfSense !!! Mais
pas avec Fortigate, parce qu'ils se croient plus intelligents que le reste du
monde.
Michel.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
