Sur Internet, en IPv4, un certain nombre de subnets sont réservés pour différents usages. Bien entendu on pense tout de suite à la RFC1918 avec les bien connus 192.168.0.0/16, 10.0.0.0/8 et 172.16.0.0/12. Mais il en y en a d’autres ! Subnets de documentation, Carrier-Grade NAT, etc…Dans les faits, si vous recevez un flux depuis Internet vers votre réseau local, avec ces IP là, ce n’est pas normal. Par ailleurs, aucun flux à destination de ces IP ne devraient sortir sur Internet.
Donc voici quelques subnets que vous pouvez bloquer sur votre firewall sur l’interface WAN :
| Subnet | RFC | Nom | Commentaire |
| 10.0.0.0/8 | RFC1918 | PrivNet-LAN-ClassA | |
| 172.16.0.0/12 | RFC1918 | PrivNet-LAN-ClassB | |
| 192.168.0.0/16 | RFC1918 | PrivNet-LAN-ClassC | |
| 100.64.0.0/10 | RFC6598 | PrivNet-Carrier-grade-NAT | Ce subnet est réservé aux opérateurs proposant un accès à Internet à leurs clients sans leur attribuer d’IP publiques. C’est le cas par exemple des opérateurs mobiles. |
| 192.0.0.0/24 | RFC5736 | PrivNet-Reserved-For-IETF | |
| 198.18.0.0/15 | RFC2544 | PrivNet-Inter-Network-Comm | |
| 169.254.0.0/16 | RFC3927 | Host-APIPA | Ces IP sont attribuées aléatoirement par le système d’exploitation quand aucun DHCP n’est détecté sur le réseau local. |
| 192.0.2.0/24 | RFC5737 | Doc-TEST-NET | |
| 198.51.100.0/24 | RFC5737 | Doc-TEST-NET-2 | |
| 203.0.113.0/24 | RFC5737 | Doc-TEST-NET-3 | |
| 127.0.0.0/8 | RFC990 | Host-Loopback | Bien évidemment, aucune IP de loopback n’est censé provenir d’Internet ! |
| 0.0.0.0/8 | RFC1700 | Soft-Broadcast | |
| 240.0.0.0/4 | RFC6890 | Reserved-Future-Use | Ces IP ne sont pas encore routées sur Internet |
| 255.255.255.255/32 | RFC6890 | Reserved-Limited Broadcast | Cette IP ne peut pas être routée sur Internet |
Et si vous avez un Fortigate, voici les objets au format CLI
config firewall address edit "RFC1700-Soft-Broadcast" set subnet 0.0.0.0 255.0.0.0 next edit "RFC1918-PrivNet-LAN-ClassA" set subnet 10.0.0.0 255.0.0.0 next edit "RFC6598-PrivNet-Carrier-grade-NAT" set subnet 100.64.0.0 255.192.0.0 next edit "RFC990-Host-Loopback" set subnet 127.0.0.0 255.0.0.0 next edit "RFC3927-Host-APIPA" set subnet 169.254.0.0 255.255.0.0 next edit "RFC1918-PrivNet-LAN-ClassB" set subnet 172.16.0.0 255.240.0.0 next edit "RFC5736-PrivNet-Reserved-For-IETF" set subnet 192.0.0.0 255.255.255.0 next edit "RFC5737-Doc-TEST-NET" set subnet 192.0.2.0 255.255.255.0 next edit "RFC1918-PrivNet-LAN-ClassC" set subnet 192.168.0.0 255.255.0.0 next edit "RFC2544-PrivNet-Inter-Network-Comm" set subnet 198.18.0.0 255.254.0.0 next edit "RFC5737-Doc-TEST-NET-2" set subnet 198.51.100.0 255.255.255.0 next edit "RFC5737-Doc-TEST-NET-3" set subnet 203.0.113.0 255.255.255.0 next edit "RFC6890-Reserved-Future-Use" set subnet 240.0.0.0 240.0.0.0 next edit "RFC6890-Reserved-Limited Broadcast" set subnet 255.255.255.255 255.255.255.255 next config firewall addrgrp edit "Non-Routed-Internet-Subnets" set member "RFC1700-Soft-Broadcast" "RFC1918-PrivNet-LAN-ClassA" "RFC6598-PrivNet-Carrier-grade-NAT" "RFC990-Host-Loopback" "RFC3927-Host-APIPA" "RFC1918-PrivNet-LAN-ClassB" "RFC5736-PrivNet-Reserved-For-IETF" "RFC5737-Doc-TEST-NET" "RFC1918-PrivNet-LAN-ClassC" "RFC2544-PrivNet-Inter-Network-Comm" "RFC5737-Doc-TEST-NET-2" "RFC5737-Doc-TEST-NET-3" "RFC6890-Reserved-Future-Use" "RFC6890-Reserved-Limited Broadcast" next end
Bonjour vous ne vous êtes pas relu avant de poster :
172.16.0.0/12 RFC1918 PrivNet-LAN-ClassC eh non c’est : 192.168.0.0/12
cordialement , olivier
Bonjour,
Merci du signalement, il y avait une erreur de copié coller dans le tableau. Le code FortiOS est toutefois bon.
Cdlt,
G-Rom