pf

Nous faisons tourner un pf sur chaque routeur pour éviter que les VLANs soit routés entre eux et pour le bcp38. Quand nous avions encore des tunnels, il était également utiliser pour abaisser le MSS à cause des problèmes de PMTUd connus sur Internet.

Le logging sert aux stats IPv4/IPv6 sur le munin.

ext_if="re0"  # interface connected to internet
int_if="re1"  # internal interface (89.234.186.1)
cogent_if="re0.20"
priv_if="re2" # VLAN 40 interface
ospf_if="re2.41"

martians = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, \
              10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, \
              0.0.0.0/8, 240.0.0.0/4 }"
ospf_range = "172.16.0.0/24"
lan_range= "172.17.0.0/24"
loopback_addr4 = "89.234.186.6/32"
loopback_addr6 = "2a00:5884::6/128"

set loginterface $cogent_if

# BCP38
block in quick on $int_if from urpf-failed to ! $loopback_addr4 label uRPF
block in quick on $int_if from urpf-failed to ! $loopback_addr6 label uRPF

# Filtrage entre les VLANs
block drop in quick on $int_if from any to $martians
block drop out quick on $int_if from $martians to any