Je re-sors un vieux thread, je rattrape mon retard de lecture! Salut David,
Tu as peut-être résolu le problème ou passé à autre chose, mais la problématique m'intéresse. (à Xavier: Pour la QoS, la gestion de priorité peut être faite Si tu l'as résolue, c'est avec ta règle de QoS? Si c'est un 50E, tu dois être au moins en 5.4. Tu as mis du contrôle applicatif sur tes flux (ou des traffic shaping policies?)? Autre chose : si c'est du FWF : tes interfaces LAN locales sont en software switch ou hardware switch? En effet, dans le premier cas, tu perds l'accélération hardware. Donc moins de perfs (si ça peut te servir de REX : avec FGT+FAP t'as BEAUCOUP plus de patate!!!). N'hésite pas si je peux aider. Michael -----Message d'origine----- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Xavier ROCA Envoyé : vendredi 28 juillet 2017 11:44 À : frnog@frnog.org Objet : RE: [FRnOG] [TECH] La colle du jour: MS et le DoS Salut David, Si ton UTM prend cher c'est surement car il doit analyser plus en profondeur BITS via une pattern spécifique. Si c'est comme sur d'autres marque d'UTM, il y a plus vraiment de gestion de la QoS sur CPU full... Ils ont oublié ce cas et on va te dire de prendre le modèle adapté ... Tu as tout simplement fait un bypass pour voir l'état de ton CPU ? Après autre idée peut être con mais Microsoft ou son CDN tient-il compte de tes demande de rejet de paquet pour réduire sa voilure ? Il se peut aussi qu'il fasse de l'express forwarding pour passer plus vite et du coup perturber la VoIP. Je dirais que c'est le même pb que les MAJ Windows qui nous on pourrit la vie. Xavier -----Message d'origine----- De : David Ponzone [mailto:david.ponz...@gmail.com] Envoyé : jeudi 27 juillet 2017 23:16 À : Jean Théry <jean.thery.fr...@olympus-zone.net> Cc : frnog@frnog.org Objet : Re: [FRnOG] [TECH] La colle du jour: MS et le DoS C’est ce que j’avais fait, mais j’avais juste « loweriser » HTTP/HTTPS. Si on part du principe que BITS fait autre chose que du HTTP/HTTPS, ou qu’en tout cas, il n’est pas reconnu comme tel, j’ai élargi le lowerisation (oulalala) à tout le trafic. On va voir :) > Le 27 juil. 2017 à 16:43, Jean Théry <jean.thery.fr...@olympus-zone.net> a > écrit : > > Suffirait pas de prioriser la VoIP plutôt et de loweriser tous le reste ? > > ainsi les trucs inconnus seraient automatiquement pris dans la queue low. > > > Le 27.07.2017 à 16:15, David Ponzone a écrit : >> Ah lala saloperie de BITS, je l'avais encore oublié celui-là... >> Ceci dit, BITS c'est du HTTP/HTTPS, et j'ai une règle qui passe tout >> ce qui est web en low-priority, et tout ce qui est VOIP en high-priority. >> Et ça n'explique pas pourquoi du HTTP/HTTPS à la mode BITS explose le >> Fortinet. >> Ou alors il fait aussi du P2P en UDP, mais je n'ai trouvé aucune >> trace de ça sur le net. >> >> C'est un FWF-50E-2R, donc pas un gros truc, mais bon quand même. >> >> >> >> Le 27 juillet 2017 à 15:09, Joël DEREFINKO <joel.derefi...@118218.fr> >> a écrit : >> >>> Oui, attention au Media Creation Tool qui récupère une palanquée de >>> fichier en P2P/BITS stockés temporairement dans un dossier à la >>> racine du C:\, puis une fois le DL terminé il génère une iso (ou prépare >>> une clé). >>> >>> Joël >>> >>> -----Message d'origine----- >>> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la >>> part de Pierre-Yves Le Dirach Envoyé : jeudi 27 juillet 2017 14:59 À >>> : frnog@frnog.org Objet : Re: [FRnOG] [TECH] La colle du jour: MS et >>> le DoS >>> >>> C'est du BITS, pas du HTTP. >>> Ta QOS ne doit pas l'attraper. >>> >>> HTH, HAND >>> >>> On Thu, 27 Jul 2017 14:50:33 +0200, David Ponzone >>> <david.ponz...@gmail.com> wrote: >>> >>>> Cas de figure rigolo. >>>> >>>> Un client avec un FTTH Orange chez qui j'ai mis un Fortigate. >>>> >>>> Il télécharge un fichier de quelques Go sur le site de Microsoft à >>>> 250Mbps: >>>> aucun impact sur la voix. >>>> Il télécharge l'ISO WIN10 avec le Media Creator Tool de Microsoft à >>>> aussi environ 250Mbps: la voix est sérieusement dégradée, le >>>> Fortinet prend cher. >>>> >>>> Microsoft a inclus une option DoS dans son outil, ou bien quoi ? >>>> >>> >>> -- >>> Using Opera's mail client: http://www.opera.com/mail/ >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >>> >> >> > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
