SUPPRIMER Reverse Path Forwarding
Le contrôle RPF (Reverse Path Forwarding) est un mécanisme qui protège FortiGate et votre réseau contre les attaques par usurpation d’adresse IP (IP spoofing), en vérifiant l’existence d’un chemin de retour vers la source dans la table de routage.
Le principe est le suivant : si FortiGate reçoit un paquet sur une interface et qu’il ne dispose d’aucune route vers l’adresse source de ce paquet via cette interface d’entrée, alors l’adresse source a peut-être été falsifiée, ou le paquet a été routé de manière incorrecte. Dans les deux cas, ce paquet inattendu est abandonné afin qu’il n’entre pas dans le réseau.
FortiGate n’effectue le contrôle RPF que sur le premier paquet d’une nouvelle session. Une fois ce premier paquet accepté, aucun contrôle RPF supplémentaire n’est réalisé sur cette session.
Les deux modes de contrôle RPF
- Feasible path (anciennement loose) : mode par défaut. FortiGate vérifie simplement que la table de routage contient une route correspondant à l’adresse source du paquet, quelle que soit l’interface.
- Strict : FortiGate vérifie que la table de routage contient une route vers l’adresse source du paquet via l’interface d’entrée précise sur laquelle le paquet a été reçu.