Encore une fois, je ne sais pas si c’est ta phrase qui est mal tournée, mais ce n’est pas parce que tu n’as pas de route vers un subnet que tu ne vas pas recevoir de paquets venant de ce subnet. Les routes définissent par où tu vas envoyer tes paquets vers cette IP (et donc tes réponses).
Pour empêcher des paquets qui ont 192.168.1.101 comme source, il faut mettre un: ip access-list standard anti-mechants deny 10.0.0.0 0.255.255.255 deny 192.168.0.0 0.0.255.255 deny 172.16.0.0 0.15.255.255 permit any (http://www.cisco.com/c/en/us/support/docs/ip/access-lists/43920-iacl.html) et tu appliques ceci sur TOUTES tes interfaces INGRESS, donc toutes les interfaces sur lesquelles sont connectés des équipements que tu ne maitrises pas: -internet -clients -machines d’étudiants fous sous Windows ou geeks sous Linux D’ailleurs, sur les interfaces INGRESS internes (clients/utilisateurs) tu peux même être encore plus restrictif en autorisant seulement tes propres IP. Sur les INGRESS externes, tu peux en plus interdire tes propres IP. Désolé si je répète un truc déjà fait, mais j’ai eu un doute en te lisant. Le 29 juil. 2015 à 23:43, jehan procaccia IMT <jehan.procac...@tem-tsp.eu> a écrit : > comment des paquets (forgés probablement) avec une src en 192.168.1.101 > peuvent t-il aboutir sur mon coeur de reseau alors que je n'ai pas de gateway > ni de route pour ce reseau 192.168.1.0/24 !? > cela m’intéresse . --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
