> Antoine DURAND a écrit : > Michel, concernant la prefix-list PL-NODEFAULT j'utilise celle-ci, est-ce que > je peux avoir ton avis ?
C'est un bon début, j'ai pas vérifié tout mais çà a l'air ok. Je suppose que tu as fait tes devoirs. > Je sais que tu utilises également cymru mais dans un premier temps j'aimerais > avoir une prefix-list en interne qui filtre pas mal de merdasse... Cà ne fait que la moitié du boulot; si tu veux la meilleure protection, il faut également configurer une route vers null0 pour les préfixes en question. Même si tu ne reçois pas la route, çà ne t'empêche pas de recevoir le trafic spoofé. Il vaut mieux avoir le bogon dans la FIB qui pointe vers null0 que de ne pas l'avoir. C'est là ou les feeds blacklist basés sur l'adresse source comme Team Cymru ou CBBC sont avantageux : tu a tout en même temps : la route (faut configurer un poids prioritaire), le trou noir, et blocage tu trafic spoofé si tu configures uRPF. > Cool ton ip as-path access-list 99, je vais enrichir la mienne ! Je l'ai pompé sans aucune honte à quelqu'un d'autre et je me rappelle même pas à qui :-( Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
