====== pf ======

Nous faisons tourner un pf sur chaque routeur pour éviter que les VLANs soit routés entre eux et pour le [[reseau:l3:bcp38]]. Quand nous avions encore des tunnels, il était également utiliser pour abaisser le MSS à cause des problèmes de PMTUd connus sur Internet.

Le logging sert aux stats IPv4/IPv6 sur le munin.

<file>
ext_if="re0"  # interface connected to internet
int_if="re1"  # internal interface (89.234.186.1)
cogent_if="re0.20"
priv_if="re2" # VLAN 40 interface
ospf_if="re2.41"

martians = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, \
              10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, \
              0.0.0.0/8, 240.0.0.0/4 }"
ospf_range = "172.16.0.0/24"
lan_range= "172.17.0.0/24"
loopback_addr4 = "89.234.186.6/32"
loopback_addr6 = "2a00:5884::6/128"

set loginterface $cogent_if

# BCP38
block in quick on $int_if from urpf-failed to ! $loopback_addr4 label uRPF
block in quick on $int_if from urpf-failed to ! $loopback_addr6 label uRPF

# Filtrage entre les VLANs
block drop in quick on $int_if from any to $martians
block drop out quick on $int_if from $martians to any
</file>