Les seules adresses qui ne passent pas un routeur sont 0.0.0.0/8, 127.0.0.0/8 et 240.0.0.0/4 car il y a des test hardcoded qui détruisent ces paquets.
Pas seulement!
La
RFC 5735 fournit un bon récapitulatif des différentes plages d'adresses IPv4 qui ont une signification spéciale :
169.254.0.0/16 - This is the "link local" block. As described in
[RFC3927], it is allocated for communication between hosts on a
single link. Hosts obtain these addresses by auto-configuration,
such as when a DHCP server cannot be found.
(...)
The one exception to this is the "limited broadcast" destination
address 255.255.255.255. As described in [RFC0919] and [RFC0922],
packets with this destination address are not forwarded at the IP
layer.
La réalité est bien souvent très différente de la vision académique du monde ...
Des routes qui leak, des ASPATH délirants, des attributs bgp qui n'ont aucun sens, tout ça est l'Internet d'aujourd'hui et de demain.
Cette même RFC
RFC 5735 rappelle aussi que (c'est moi qui souligne) :
7. Security Considerations
The particular assigned values of special use IPv4 addresses
cataloged in this document do not directly raise security issues.
However, the Internet does not inherently protect against abuse of
these addresses. If you expect (for instance) that all packets from
a private address space such as the 10.0.0.0/8 block or the link
local block 169.254.0.0/16 originate within your subnet, all routers
at the border of your network should filter such packets that
originate from outside your network. Attacks have been mounted that
depend on the unexpected use of some of these addresses.
Pour être tranquille : filtrez en bordure.
Attention : on voit parfois des adresses source privées sur les traceroute! Si vous filtrez (p.ex. avec rp-filter) vous pouvez perdre des portions de traceroute.
Et ce n'est pas prêt de s'arranger (hello LISP et CGN )
Des détails sur les dangers de LISP?
IPv6