Hmm donc ils ont 2 IPs, une privée dans un /24 ou autre pour monter le iBGP et un alias à /32 qui va être annoncé ? J’ai des gens qui font des trucs très classiques, genre on a que du Linux et Apache, je veux bien. Mais je vois 2 problèmes: -tu maitrises pas l’OS et donc tu peux pas mettre Quagga/Bird/autre -tu as une application dessus qui va s’embrouiller les pinceaux pour décider sur quelle IP elle va binder Je pronostique beaucoup d’emmerdes ou d’exceptions (dans mon métier) donc pas possible.
Mais j’approuve sur la papier, c bien entendu le bonheur total. > Le 30 juin 2022 à 21:16, Vincent Bernat <ber...@luffy.cx> a écrit : > > > > On 6/30/22 21:01, David Ponzone wrote: >> Si tu veux dire: construire une table de /32 à blackholer que j’envoie en >> iBGP à mes routeurs BGP avec blackhole comme NH, pour bloquer les paquets en >> ingress grâce à uRPF, j’aurais bien aimé, mais mes routeurs BGP ont un bug >> au niveau uRPF et ça marche pas comme prévu. >> Faut que je vois si un upgrade récent corrige ça. > > Non, je veux dire que tu ne fais plus de L2, mais que tu laisses tes serveurs > annoncer leur IP en BGP en /32. Un serveur qui n'existe pas n'a pas de route > et son trafic est blackholé. Tu peux filtrer les annonces pour n'accepter que > le "/24" du LAN et tu as une sécurité équivalente à du L2. > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
