Hmm si je comprends bien ce que tu dis, je pense que tu comprends mal ce que default-originate signifie :)
C’est juste qu’en temps normal, même si tu as la route pour 0.0.0.0/0 dans ta RIB, que tu l’aies apprise en static/BGP/OSPF/bidule truc, elle sera JAMAIS annoncée à un peer. Faut mettre cette ligne de conf pour qu’elle soit annoncée à un peer spécifique. Mais juste elle, pas toutes les routes plus spécifiques. C’est pas une conf wildcard. Donc y a pas de risque énorme, sauf dans certains contextes (genre quand on oublie que la distance admin de eBGP est inférieure à presque tout), raison pour laquelle je pense c’est disabled par défaut. > Le 13 oct. 2023 à 10:15, Thierry Chich <thierry.ch...@ac-clermont.fr> a écrit > : > > Et c'était bien ça, y avait un truc à cocher default-originate sur le > Forcepoint qui m'a permis d'éliminer le "j'annonce le 0.0.0.0/0 pour tous > ceux qui souhaite me parler", dont je ne cache pas qu'il me mettait des > petits boutons. Certes, on peut restreindre avec des outbound-filter, mais > c'est un peu comme les firewalls avec any any allow à la fin, j'aime pas. Ca > me stresse. > > Merci > > Thierry > > -----Message d'origine----- > De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de Thierry > Chich > Envoyé : vendredi 6 octobre 2023 15:48 > À : 'Alexis Lameire' <alexis.lame...@gmail.com>; 'Paul Rolland (ポール・ロラン)' > <rol+fr...@witbe.net> > Cc : frnog@frnog.org > Objet : RE: [FRnOG] [TECH] Annonces BGP filtrées par défaut > > En fait, on fait pas ce qu'on veut avec notre quagga, y a une interface > graphique dessus. J'enquête sur la question, mais c'est vrai que votre neigh > 0.0.0.0 default-originate correspondrait bien à ce qu'on souhaite, dans > l'esprit. > > Merci > > Thierry > > > > -----Message d'origine----- > De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de Alexis > Lameire Envoyé : vendredi 6 octobre 2023 10:58 À : Paul Rolland (ポール・ロラン) > <rol+fr...@witbe.net> Cc : frnog@frnog.org Objet : Re: [FRnOG] [TECH] > Annonces BGP filtrées par défaut > > Hum, > c'est pas très clair, mais je pense que ce qu'il veut c'est router bgp XXX > neigh x.x.x.x default-originate > > vue le besoin, ça me semble la conf la plus simple : > https://community.cisco.com/t5/routing/difference-between-default-originate-and-network-0-0-0-0-in-bgp/td-p/1780201 > > Alexis > > > Le ven. 6 oct. 2023 à 10:06, Paul Rolland (ポール・ロラン) <rol+fr...@witbe.net> a > écrit : > >> Hello, >> >> On Fri, 6 Oct 2023 09:02:31 +0200 >> "Thierry Chich" <thierry.ch...@ac-clermont.fr> wrote: >> >>> J'aurais pensé que les routes annoncées par le serveur BGP quagga au >>> peer >>> 10.242.49.154 aurait compris les deux routes vers 100.64/10 et vers >>> 172.29.46.240/28, l'une parce que c'est le bon peer, l'autre parce >>> que c'est la bonne AS, mais j'ai fait preuve de naiveté. Rien ne >>> marche, dès que fait un match, ça ne marche pas. >> >> Euh, c'est pas les routes par defaut ca... mais bon, passons. >> Tes routes sont bien presentes sur ton BGP quagga ? Parce que les >> avoir en clause network, c'est pas suffisant. >> >> Paul >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
