Re: [FRnOG] [TECH] Problème FortiGate

[Nicolas VUILLERMET]

On avait dit que le vendredi… Should I block ICMP? shouldiblockicmp.com Je dirai que l’icmp se filtre et se rate-limit. Ça fait parti des sujets sensibles avec le NAT, palliatif d’une pénurie d’IPv4, qui est devenu un moyen de sécurité car « l’extérieur peut pas joindre l’intérieur sans règle ». Évidemment combo avec l’ipv6… j’ai un gros client pour les JO, on a fait tout propre dualstack bah… pour des raisons de « sécurité » faut virer l’ipv6, en plus de faire un double nat. Ça va, le client est sympa du coup on lui propose quand même un setup aux oignons! Mais j’ai mal à ma ftto quoi… C’est pénible, mais bon en général les experts réseaux touchent pas aux pare-feux et inversement, so… My vendredi cents, Nicolas  Le 15 mai 2024 à 15:11, Xavier Beaudouin via frnog <frnog@frnog.org> a écrit : Hello, A vrai dire, on avait une vieille conf qui mettait une MTU à 1492, on a enlevé ce paramètre. On est pas expert réseau FortiNet/M365/Active Directory, on se débrouille sur pas mal de sujets/problématiques mais on fait appel aux supports quand on en a besoin ... Mais quelle excellente idée de changer la MTU de l’interface sans changer la MSS, c’est un super moyen de s’assurer d’avoir des problèmes :-) Dans le même genre j'ai eu des soucis avec des gens qui sont restés dans les années 2000, qui filtraient TOUT l'icmp... donc pMTUd : dtc... etc... Un moment il vas falloir que ça rentre : l'ICMP se rate limite, mais ne se filtre pas.... Xavier --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/