Heu, pour le coup, la limitation que Michel remonte sur Forti n'est pas là pour bloquer l'encapsulation d'autres protocoles dans ICMP, elle empêche "juste" à une machine de faire plus de 1 traceroute par seconde.
Sinon, ça donne quelque chose comme ça (exemple sur un tracert -d 8.8.8.8) Tant qu'on dépasse pas la limite, tout paraît normal: 1 1 ms 1 ms 2 ms 192.168.1.99 2 23 ms 22 ms 24 ms 33.7.18.6 3 24 ms 23 ms 22 ms 33.7.18.2 [...] 8 24 ms 25 ms 24 ms 64.233.175.199 9 23 ms 23 ms 23 ms 8.8.8.8 Et lorsqu'on dépasse la limite : 1 22 ms 22 ms 22 ms 33.7.18.6 2 37 ms * 23 ms 33.7.18.6 3 24 ms 23 ms 22 ms 33.7.18.2 [...] 8 24 ms 25 ms 24 ms 64.233.175.199 9 23 ms 23 ms 23 ms 8.8.8.8 Je rejoins Michel sur le fait que ça soit moche comme traceroute. Cependant, je veux bien comprendre que ça puisse empêcher des attaques. Mais bon, ça aurait pu être configurable. Michael -----Message d'origine----- De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de VALOIS, Pascal Envoyé : mardi 28 août 2018 09:01 À : frnog@frnog.org Objet : Re: [FRnOG] [MISC] Fortigate et traceroute : la honte J'ai oublié "le poc" : http://www.mit.edu/afs.new/sipb/user/golem/tmp/ptunnel-0.61.orig/web/ Le 28/08/2018 à 08:59, VALOIS, Pascal a écrit : > Dans l'absolu oui, le bloc du ping m'enerve aussi, mais le ping est un > passe muraille que beaucoup négligent, entre les octets inutilisés qui > permettent de faire un relai icmp tcp, ou le fait de pouvoir se faire > ddos par du ping (plus facilement que par du tcp, vu qu'un paquet ping > c'est tout pitit a forger, et que la plupart des ddos sont de type > syn). > > Apres je suis pas encore un kador de la sécurité, et bien sur on peut > mitigier ces problemes avec des firewall applicatifs et des politiques > de controle de ddos. > > Je dis ca je dis rien hein :P > > PS : un bon admin, ça devrait bloquer tout ce pourquoi les gens n'ont > pas fait une demande justifiée en triple exemplaire ! > > Le 28/08/2018 à 07:50, Xavier Beaudouin a écrit : >> Hello Michel, >> >> >>> Quand on traverse un Fortigate, on ne peut pas faire de traceroute >>> fiable, car il y a un rate-limit de 1 packet par seconde avec TTL >>> expiré. >>> C'est documenté. Et en plus ils pensent qu'ils ont raison. >>> http://kb.fortinet.com/kb/documentLink.do?externalId=FD40372 >>> >>> Bravo Mr. Fortinet, à force de jouer au con avec moi vous avez gagné : >>> J'ai mis un rate-limit de 1 dollar par an sur votre contrat pour le >>> budget 2019. >> Pas mal... Je le mets aussi dans la liste des trucs a la con. Comme >> les "admin" de firewall qui bloquent l'ICMP ou qui empêche de faire >> des traceroute sur leur firewall. Très pratique pour débugger >> rapidement un pb potentiel ou pMTUd.... Mais bon... >> Être admin de firewall >> ne veux pas forcément dire être bon admin réseau ou système.. >> >> /Xavier >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
