Pour Juniper : set policy-options prefix-list ipv4-ntp-sources apply-path "system ntp server <*>”
extrait de conf à appliquer sur la loopback : set firewall family inet filter protect-routing-engine term ntp from source-prefix-list ipv4-ntp-sources set firewall family inet filter protect-routing-engine term ntp from protocol udp set firewall family inet filter protect-routing-engine term ntp from port ntp set firewall family inet filter protect-routing-engine term ntp then accept set firewall family inet filter protect-routing-engine term you-shall-not-pass then log set firewall family inet filter protect-routing-engine term you-shall-not-pass then discard On 01 Feb 2014, at 18:18, Raphael Maunier <raph...@maunier.net> wrote: > Nan, > > Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie sur > leurs routeurs comment dire :) > > Surtout sur Juniper, c’est vraiment super simple d’avoir un template pour > tout bloquer sur la loopback ! > > Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse et tu > l’utilise direct. > > En gros, on fait du tuning de routeur :) > > On 01 Feb 2014, at 16:55, Clement Cavadore <clem...@cavadore.net> wrote: > >> SRSLY ? >> >> Non, mais franchement, les mecs qui développent le software sur les >> équipements réseau (quel que soient les constructeurs), est-ce qu'ils >> imaginent/réalisent que leur code est vraiment utilisé dans autre chose >> que des lab ? >> >> >> >> On Sat, 2014-02-01 at 16:30 +0100, Olivier Benghozi wrote: >>> Sans compter les Juniper dont le client ntp fait aussi spontanément serveur >>> alors que tu lui avais pas demandé, et qui tournent des xntpd antédiluviens >>> parfaitement adaptés à relayer du DDoS. >>> >>> http://www.gossamer-threads.com/lists/nsp/juniper/49151 >>> >>> Quelle blague. >>> >>> >>> Le 1 févr. 2014 à 15:16, Frederic Dhieux <frede...@syn.fr> a écrit : >>> >>>> Il y a 2-3 semaines un serveur chez un client dont le ntp était ouvert par >>>> erreur a été utilisé pour de l'amplification, c'était effectivement assez >>>> visible en volume sortant chez nous et plutôt agressif. >>>> >>>> Sans Netflow on ne l'aurait surement pas vu avant un moment... >>>> >>>> Ecritel y'a une semaine, Colt ces derniers jours, il y a peut-être des >>>> gens qui trouvent le marché de l'anti-DDoS en France pas assez florissant >>>> en ce moment :p >>>> >>>> Frédéric >>>> >>>> Le 01/02/2014 14:55, David Ramahefason a écrit : >>>>> COLT en souffre sur Paris depuis qq jours. >>>>> -- >>>>> David Ramahefason >>>>> >>>>> >>>>> Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit: >>>>> >>>>> Hello tous >>>>> >>>>> certaines infrastructures doivent prendre très chère avec les >>>>> amplifications NTP en cours ! >>>>> >>>>> a+ >>>>> Thierry >>>>> --------------------------- >>>>> Liste de diffusion du FRnOG >>>>> http://www.frnog.org/ >>>>> >>>>> --------------------------- >>>>> Liste de diffusion du FRnOG >>>>> http://www.frnog.org/ >>>> >>>> >>>> --------------------------- >>>> Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
