[technique] Les martiens IPv6
Laurent GUERBY
laurent at guerby.net
Sam 8 Sep 22:27:03 CEST 2012
On Sat, 2012-09-08 at 20:45 +0200, Solarus wrote:
> Le 08/09/2012 19:31, Fabien Dupont a écrit :
> > Bonjour,
> >
> > En voulant tester une connexion à thepiratebay.se depuis mon NAS, j'ai
> > remarqué que 2002::17+ était filtré dans BGP sur gw :
> >
> > martians6 = [ 3ffe::/16+, 2001:db8::/32+, 2001::/33+, 2002::/17+, ::/8+, fe00::/9+, ff00::/8+ ];
> >
> > Or, ce préfixe ne fait pas parti des IPv6 « martiennes » :
> > http://en.wikipedia.org/wiki/Martian_packet
> >
> > Il y a-t-il une raison à ce filtrage ?
> >
> > Cdlt,
> Filtré en entrant ou en sortant ?
> SI j'ai bon 2002::/16 correspond au 6to4. La plupart des opérateurs ont
> remplacé le 6to4 par du 6rd, mais il est encore utilisé, aucune raison
> de le filtrer en entrant.
> Par contre en sortant, mieux vaut le filtrer pour éviter que des
> annonces de 6to4 partent depuis le réseau TTN.
Bonsoir,
La fonction de filtrage actuellement en production est :
<<
function avoid_martians_6()
prefix set martians6;
{
# http://www.space.net/~gert/RIPE/ipv6-filters.html
martians6 = [ 3ffe::/16+, 2001:db8::/32+, 2001::/33+, 2002::/17+, ::/8+, fe00::/9+, ff00::/8+ ];
if net.ip = :: then return false;
if (net.len < 19) || (net.len > 48) then return false;
if net ~ martians6 then return false;
return true;
}
>>
Le filtre vient du lien space.net mentionné.
En BIRD 2002::/17+ filtre les annonces strictement plus specifiques que
2002::/16 mais accepte donc 2002::/16 s'il est annoncé. J'ai
vérifié et aucun de nos upstream ne nous l'annonce actuellement
ni a Paris ni a Toulouse
Comme il n'y a pas de route un paquet ayant pour destination
2002::/16 emis depuis le reseau tetaneutral.net va etre
droppé par nos routeurs.
Si on regarde le ring il y a des annonces provenant de certains
AS donc anycast :
http://lg.ring.nlnog.net/prefix_bgpmap/lg01/ipv6?q=2002::/16
Sincèrement,
Laurent
Plus d'informations sur la liste de diffusion technique