Fortigate : Route and Spoofing – Reverse path check

Reverse path check FortiGate

I. Présentation

Dans cet article je vais vous présenter le fonctionnement du mécanisme anti spoofing (aussi appelé reverse path check ou reverse path forward) présent sur FortiGate qui permet de vérifier si un paquet est reçu sur la bonne interface en fonction en autre des routes présente au niveau de la table de routage.

II. Explication

Ci dessous un exemple pour bien comprendre le mécanisme de protection anti-spoofing (reverse path forward) :

Ce mécanisme de protection empêche qu’un paquet avec une IP source en 192.168.100.0/24 puisse arriver par l’interface LAN, chose logique en soit.

La seule interface autorisée à recevoir des flux de ce réseau est l’interface DMZ (cf routage).

Si un paquet portant l’IP source 192.168.100.50 arrive sur l’interface LAN vous aurez le message d’erreur suivant :

Il s’agit d’une protection anti spoofing, efficace et qui est activé par défaut sur les Fortigate de manière globale mais aussi au niveau des VDOM.

III. Désactivation de la protection anti-spoofing (reverse path check)

Dans certains cas il peut être nécessaire de désactiver cette fonctionnalité pour cela il suffit de taper la commande suivante en cli :

Cette action a pour effet d’activer le routage asymétrique et ainsi désactiver le RPF.

/!\ À noter que la désactivation de cette option n’est pas recommandée par Fortinet, de mon côté je conseil aussi de désactiver cette option qu’en cas de force majeure /!\

IV. Liens externes

Plus d’information sur le reverse path check :

http://kb.fortinet.com/kb/documentLink.do?externalID=FD30543

http://docs-legacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%205.0%20Help/VLANs.103.43.html

Flori@n

Moi c'est Florian, j'ai 32 ans. J'ai découvert l'informatique à 17 ans et eu ma première connexion Internet à 23 ans. On ne va donc pas dire que j'ai été très précoce dans ce domaine... Quoiqu'il en soit, depuis je passe en moyenne 8 heures par jour sur un PC et ce qui est assez bizarre c'est que j'aime ça et j'en redemande le soir et le week-end. Je suis donc quelqu'un de bizarre, mais je n'ai aucun problème avec ça !!!

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

%d blogueurs aiment cette page :