On 01 Feb 2014, at 21:47, Radu-Adrian Feurdean <fr...@radu-adrian.feurdean.net> wrote:
> On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote: >> Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie >> sur leurs routeurs comment dire :) > > Tu parles de mecs de Juniper je suppose. Parce qu'activer le client et > avoir en cadeau le serveur.... comment dire ...... > >> Surtout sur Juniper, c’est vraiment super simple d’avoir un template pour >> tout bloquer sur la loopback ! > > OK, je ne suis pas expert Juniper, mais des IP il n'y a pas QUE sur la > loopback. Et a certaines occasions on a bien besoin que les interfaces > recoivent du traffic a traiter en control-plane. Donc le "tout bloquer > sauf _____ a l'exception de _________ quand _________" ......... > > Mais bon, c'est bien connu, tous les problemes de l'humanite peuvent > etre resolus en utilisant la methode "Yaka Fokon".... dans ce cas, > "mettre des filtres a gogo”. Sur un Juniper, tu bloques le traffic à destination du routeur via la loopback et les règles s’appliquent pour l’ensemble du routeur. Si tu veux faire des règles plus spécifique pour un port, tu dois le faire effectivement sur l’interface De toute façon, ton routeur ne doit pas accepter de traffic sauf : - SSH pour l’admin - SNMP pour tes graphs - BGP des peers - ICMP / traceroute … ( en rate-limitant ) Ensuite Il doit pouvoir faire : - DNS / NTP - Netflow - Traceroute / icmp J’oublie surement des trucs, mais c’est effectivement un routeur, pas un serveur, donc, il faut fout fermer :) J’ai un template que j’utilise qui est fait dans ce sens. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
