Hello, Le 30 oct. 2013 à 11:41, Frederic Dhieux <frede...@syn.fr> a écrit :
> Le 10/30/13 11:24 AM, Raphael Mazelier a écrit : >> Le 30/10/2013 11:02, Radu-Adrian Feurdean a écrit : >>> Avis de barbu rase : >>> Pas de BGP + statefull. >>> >>> >> Avis de mal rasé : >> - bgp si tu veux, mais pas de statefull sur un routeur. >> >> > > +1 > > J'ajouterais aussi même si ce n'est pas forcément le cas ici : Eviter de > mélanger les rôles entre routeurs eBGP et "firewalling". On l'as dit souvent : on protège le backplane mais on s'amuse pas a faire de statefull sur un routeur BGP... Mais il y en as qui persistent et signent... et qu'un simple synflood partent en timeout en BGP... :p Voila on a dit : - routeur BGP en stateless avec protection du backplane - firewall DERRIERE le routeur BGP en statefull... - avant les firewalls : les revolvers DNS et hidden master (ca évite des nombreuses emmerdes avec les packets > 512 en tcp sur les dns)... Mais bon... on aime bien se faire fouetter des fois :p Xavier --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/