Re: [FRnOG] [ALERT] Temps pluvieux sur le DNS
Le 12/04/2023 à 10:09, Stephane Bortzmeyer a écrit : meteofrance.com et meteo.fr en panne DNS totale. Seulement deux serveurs de noms, tous les deux au même endroit (réseau Celeste / Renater), injoignables. Rappel : ON NE MET PAS TOUS SES SERVEURS DE NOMS DANS LE MÊME AS ET EN TOUT CAS PAS DANS LA MÊME ARMOIRE ! J'irais même plus loin que l'armoire... pas dans le même DC ! -- Jean-Claude MICHOT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Orange - Filtrage IP - DNS faisant autorité pour ses reverses
On 2020-08-16 11:02, Jean-Claude MICHOT wrote: Bonjour, C'est probablement un effet de bord d'une mesure prise pour d'obscure mauvaises raisons mais des DNS faisant autorité chez Orange (ns1.francetelecom.net et dns.francetelecom.net) me semble filtré au niveau IP depuis le réseau IP de ses clients (ADSL/Fibre) et ouvert depuis le reste d'internet... Je me répond a moi même, il manque juste des routes, comme l'a fait remarquer Stephane Bortzmeyer dans un autre thread de la liste. JC -- Jean-Claude MICHOT Fondation d'entreprise Free 8 rue de la Ville-l'Évêque https://www.fondation-free.fr 75008 PARIS --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Orange - Filtrage IP - DNS faisant autorité pour ses reverses
SuK2ZfdgS2rDYeD9pf3GHPhXlTlCSt/Rkuqss72 c6PGo9jq+QXl3xKZ7KbwfQRSCBUUP8t+bSCbte3EWj7yo+/qecED6Psu Ugm3Iu4mSMWq7h0eBE8OrJjoj+/3AqmCgfqSalXD+jKtVhfnhlyrU4fC rYrbQ1ClKAcY+KJWe4E/pu4sTypxFG1TpLtkRlTY9h20/9Z9E5Yiczjq 4g8EOVGVKlApmLmTQEAbcE5tBdVVoNLpbAN3mLaPJdOuK/pmX+ZnjdVQ iiPDWiXNxdBox/w+uyf+VmKGnp+cwEQdTMP/84ke5q8Ksvu/wDQenCHS fhI/Cw== ;; Received 867 bytes from 2001:500:1::53#53(h.root-servers.net) in 33 ms 193.in-addr.arpa. 86400 IN NS ns3.lacnic.net. 193.in-addr.arpa. 86400 IN NS ns3.afrinic.net. 193.in-addr.arpa. 86400 IN NS ns4.apnic.net. 193.in-addr.arpa. 86400 IN NS pri.authdns.ripe.net. 193.in-addr.arpa. 86400 IN NS tinnie.arin.net. 193.in-addr.arpa. 86400 IN DS 5834 8 2 DC63ED42B4BDCE7325FF54FC712284A1D0CA5478C0F23DC5B69EAB75 8E60A947 193.in-addr.arpa. 86400 IN RRSIG DS 8 3 86400 20200824202029 20200803185732 49608 in-addr.arpa. V3u/aqkdEhuoYvwEt9RqI8ZQAMMAGjtW3ustbPsD6SKuLBY/bRzHtgGt EbR8XXC/KAB3TUg77tVxBw0yccIaat3Cf6lV+bd9RXU+8037GsrxjY/T o/eKQlE8DqBQYJfDR2qQfKyrPz2bU68iGn3h59W6XLFvpji+Nf32sqP1 7KM= ;; Received 410 bytes from 2001:67c:e0::1#53(f.in-addr-servers.arpa) in 41 ms 252.193.in-addr.arpa. 172800 IN NS ns7.oleane.net. 252.193.in-addr.arpa. 172800 IN NS ns6.oleane.net. 252.193.in-addr.arpa. 3600 IN NSEC 253.193.in-addr.arpa. NS RRSIG NSEC 252.193.in-addr.arpa. 3600 IN RRSIG NSEC 8 4 3600 20200824215056 20200810202056 39823 193.in-addr.arpa. aWEiQ6IYdinwTQVc+8tg8ysXW+FnWGnIgffmTqsoJ7QkIxNFOCNTZdoS YQl34Slpf1/Ml/Yw3Y2DmVngok4ZJMBxHYJs8Q4JkdBGb8HezoL0Mkun U4DwputXx/d3H0FPgvXq3tl/6o/TvzKQtJupn5BPPKQy1GcMA/9JZ6LJ m7E= ;; Received 347 bytes from 200.3.13.14#53(ns3.lacnic.net) in 221 ms 98.252.193.in-addr.arpa. 86400 IN NS dns.francetelecom.net. 98.252.193.in-addr.arpa. 86400 IN NS ns1.francetelecom.net. ;; Received 136 bytes from 2a01:c910:8005:1c::7#53(ns7.oleane.net) in 24 ms 98.252.193.in-addr.arpa. 86400 IN SOA dns.francetelecom.net. admdnsft.francetelecom.net. 2019041001 10800 3600 604800 86400 ;; Received 121 bytes from 193.252.96.4#53(dns.francetelecom.net) in 25 ms Bingo, la résolution fonctionne. # host dns.francetelecom.net. dns.francetelecom.net has address 193.252.96.4 (depuis le réseau via la Livebox): # ping -c 5 193.252.96.4 PING 193.252.96.4 (193.252.96.4): 56 data bytes --- 193.252.96.4 ping statistics --- 5 packets transmitted, 0 packets received, 100.0% packet loss Si je change le routage à destination de 193.252.96.4 vers free ou que je me log (ssh) sur une machine chez Free dans un datacenter: % ping -c 5 193.252.96.4 PING 193.252.96.4 (193.252.96.4): 56 data bytes 64 bytes from 193.252.96.4: icmp_seq=0 ttl=245 time=1.417 ms 64 bytes from 193.252.96.4: icmp_seq=1 ttl=245 time=1.275 ms 64 bytes from 193.252.96.4: icmp_seq=2 ttl=245 time=1.447 ms 64 bytes from 193.252.96.4: icmp_seq=3 ttl=245 time=1.315 ms 64 bytes from 193.252.96.4: icmp_seq=4 ttl=245 time=1.297 ms --- 193.252.96.4 ping statistics --- 5 packets transmitted, 5 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 1.275/1.350/1.447/0.069 ms Conclusion, il y a du filtrage IP sur le réseau derrière les Livebox qui interdit de joindre dns.francetelecom.net et ns1.francetelecom.net (donc impossible de résoudre les reverses d'Orange si on ne passe pas par ses resolveurs et que l'on est sur son propre réseau). Aucun problème de résolution si je route la résolution DNS via une Freebox. C'est quand même paradoxale c'est ouvert si l'on n'est pas client Orange, mais fermé si l'on est client Orange... Si quelqu'un d'Orange peut confirmer que ce filtrage est volontaire ? pourquoi ? ou corriger... -- Jean-Claude MICHOT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Incident éléctrique TH2
Le serveur de liste de FRNOG était bien dans une baie a Th2 qui avais une double induction électrique... du moins c'était vendu a prix d'or comme cela... mais bon la baie n'avais plus rien sur aucune des alimentations lors de la coupure. JC On 04/11/2012 12:39, Bruno CAVROS / SKIWEBCENTER wrote: Bah pour une fois qu'ils répondent à quelque chose... Les commerciaux vont peut être redescendre sur terre suite à cette coupure... (et c'est loin d'être la premiere..) .. Ou alors ils n'en auront rien à foutre, la seule chose qui intéresse un commercial la bas c'est de rac le client :) Pour 14 k euros HT le KVA supplémentaire par an.. vous pouvez exiger le câble d'alim en OR Massif :) Avis à la population... renforcer votre sécurité pour plusieurs fois moins chère ailleurs.. :) -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Clement Cavadore Envoyé : mercredi 11 avril 2012 12:16 À : Alain Thivillon Cc : frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Incident éléctrique TH2 On Wed, 11 Apr 2012 12:12:42 +0200, Alain Thivillona...@rominet.net wrote: On 04/11/2012 12:07 PM, Oceanet - Cédric BASSAGET wrote: Bonjour à tous, Quelqu'un sait un peu plus précisément ce qu'il se passe à TH2 ? Il semble que ce soit un problème électrique selon les infos que j'ai. Tous nos liens xDSL porte nationale ainsi que notre transit AXIONE sont HS depuis 10:20. Il semble aussi que free soit impacté : http://www.universfreebox.com/article16979.html Comme cette liste qui vient de repartir après de longs fsck, désolés ... Pour le moment l'explication un client a fait tout disjoncter ! (tout = les 3/4 du 1er étage). Huhu. Si c'est l'explication, c'est foireux. Un client qui fait péter toute l'infra, ca sous entend que l'infra est mal concue :) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Jean-Claude MICHOT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Intérê t des IDN - anti-argument phishing
On Wed, Apr 14, 2010 at 01:31:34PM +0200, Stephane Bortzmeyer said: On Wed, Apr 14, 2010 at 12:47:47PM +0200, Matthieu BOUTHORS matth...@labs.fr wrote a message of 26 lines which said: Si Mme Michu vérifiait que son site d'e-commerce est bien en HTTPS, il n'y aurait pas autant de phishing. Il y en aurait autant. Il ne fait pas sous-estimer les capacitées d'adaptation de réactivité et d'ingénieusité des personnes a l'origine des arnaques. Dans la grosse majorité des cas c'est pas Jean Kevin... PS: Un certificat SSL basique c'est très abordable de nos jours. Les deux phrases sont contradictoires. S'il est facile et peu coûteux d'obtenir un certificat, alors cela ne vaut plus grand'chose comme protection, car il suffit au phisheur d'obtenir un certificat de n'importe laquelle des dizaines (centaines ?) de CA que contient un navigateur normal. Je vais etre plus pragmatique, un nom de domaine et un certificat (parfois vendu aussi par le meme registrar) ne coute RIEN a l'auteur de phishing. Le registrar aura un impayé de CB volé et ce plusieurs mois apres l'acte de phishing. Le nom de domaine sera innutilisable depuis bien longtemps. Pour contrer cette attaque, il faudrait que M. Michu (pourquoi toujours Madame ? Parce que lui s'y connaitrait mieux en informatique ?) non seulement vérifie que le site est en HTTPs mais aussi que le nom correspond exactement (i.e. mabanque.example et pas mabamque.example). Si je revendais des certificats a bas cout avec peu de controle, je répondrais: heureusement que M. Michu ne fait pas la différence entre HTTP et HTTPS sinon mon taux d'impayé exploserais sur la vente des certificats. En ce qui concerne les IDN en dehors des histoire du type sinogrammes (pictogramme, ideogramme et ideophonogramme), si l'industrie des noms de domaine pousse a l'usage et la mise en place c'est pour moi avant tout une histoire économique afin d'augmenter la taille du gateau. JC -- Jean-Claude MICHOT | Free - BookMyName --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] probleme de routage avec free
On Tue, Nov 10, 2009 at 01:17:30AM +0100, Romain said: Le mardi 10 novembre 2009 à 00:55 +0100, Rani Assaf a écrit : - Jérôme Nicolle jer...@ceriz.fr wrote: comme mes robes, genre antiquité. Tu sais, à l'époque ou des adeptes de philosophie nocturne inventaient la démocratie et ce genre de Ce que vous défendez, ce ne sont pas des principes démocratiques mais anarchiques. La démocratie, c'est justement tout le contraire de la jungle. M'enfin, sujet stérile et donc clos pour moi. Au risque d'ajouter un peu de bordel sur FRNOG : D'après ce que je comprends : je n'ai plus accès chez moi à internet mais à une sous partie du réseau Ce type de reflexion démontre quand meme une grande méconnaissance de ce qu'est Internet. Avant de vouloir parler de neutralité du net cela serais bien de comprendre ce que c'est. JC --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] OT: free.fr = KC ?
On Mon, Sep 28, 2009 at 03:21:45PM +0200, Dominique Rousseau said: Le Mon, Sep 28, 2009 at 03:01:07PM +0200, k...@oav.net [k...@oav.net] a écrit: Hello, Il me semble que la zone free.fr est cassée, zonecheck.fr me confirme la chose ainsi que divers boites posée partout : $ host www.free.fr ;; connection timed out; no servers could be reached Est-ce que ... d'autres confirment ? Les corp Free pourront pas recevoir ton mail, alors :-) Assertion failed! Depuis le serveur de la liste tout les MX du groupe Iliad sont résolu sans probleme (dans le cache des DNS resolver). JC --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] greylisting
On Fri, Oct 24, 2008 at 04:34:37PM +0200, Sebastien WILLEMIJNS said: histoire d'en rire (jaune) c'est du tout frais... X-Greylist: delayed 1020633 seconds by postgrey-1.15 at mccoy.galacsys.net; Fri, 24 Oct 2008 06:35:21 CEST A part en deduire qu'un serveur de mail (inconnu) a mis plus de 11 jours a renvoyer un message au serveur cite dans le message on va pas en deduire grand chose. J'aurais tendence a dire que le type qui utilise un serveur smtp qui met 10 jours a faire un renvoi il devrais pas s'etonne de pas avoir de reponse... Au passage le serveur qui gere la liste FRNOG a aussi des greylist depuis 2006 et a ce jour personne ne m'a remonte le moindre probleme. JC -- Jean-Claude MICHOT Fondation d'entreprise Free Tel: +33 1 73 50 31 26 8 rue de la Ville-l'Évêque Fax: +33 1 39 47 48 65 75008 PARIS --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] greylisting
On Fri, Oct 24, 2008 at 05:00:29PM +0200, Michel said: --On vendredi 24 octobre 2008 16:58 +0200 Jerome Martin [EMAIL PROTECTED] wrote: Ca dépend du traffic, nous ne sommes pas tous égaux. 3 par jour pour combien de mails au total ? Avec quel type de domaines ? Dans quel secteur d'activité ? etc., etc., ... A ton avis, un des admin les plus connus de Free, reçoit combien de mails par jour sur son adresse ? Aller sur hostmaster@ (un domaine de l'ISP en question) c'est entre 1500 et 2000 messages/jours. Lorsque l'on est sur beaucoup d'alias... c'est donc beaucoup plus de mail. En gros procmail chauffe ;-) et son copain .procmailrc est gros. -- Jean-Claude MICHOT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Que faut il pou r être un registrar?
On Fri, Apr 18, 2008 at 07:40:26PM +0100, Frederic NGUYEN said: Il y a cette solution la sinon: http://www.ascio.com/ Il y a plein de revendeur plus economique qui gere les gTLD ou et certain ccTLD par exemple http://api.doc.free.org/ mais c'etait pas l'objet de la question. J' aimerais savoir ce qu'il faut de façon administratives pour êtres un registrar et qu'est ce qu'il faut comme applications et équipements ? Pour les gTLD (.com .net .org .biz .info .name .asia etc.), il faut au niveau administratif du temps pour remplir et gerer plein de paperasse dans la langue de shakespeare, et pas juste un peu une fois... tout les ans voir plusieurs fois par annees. Il faut un peu d'argent et surtout des assurances qui couvre des montants important. Au niveau technique, il n'y a pas besoin de beaucoup d'equipement. Quelques serveurs sur 2 POP et 2 reseau fiable, en gros 1/2 baie par POP et tu peu gerer sans probleme 500 000 noms de domaine avec des applications qui tienne la route. Reste le cas des applications... a) Il y a besoin d'un web pour 'vendre' et c'est à la portée de tous, que ce soit du web 0.9 ou du web 3.0 avec des trucs qui fonctionne pas convenablement une fois sur deux fonction du navigateur et des plugins. b) Pour le dialogue avec les registre il existe des kits plus ou moins complet ainsi que des societes qui propose des solutions technique clef en main. L'on peu aussi ecrire ses propres applications, ca prend juste du temps et il faut des gens avec un minimuum de compétence. Certain registrar y compris accredite par l'ICANN sous-traite 100% de la technique et son juste présent avec du marketing pour vendre et le support client. Pour les ccTLD c'est plus simple/rapide au niveau des papiers, mais souvent diversifié pour par dire farfelu au niveau des choix technique de dialogue avec les registres. Il y a aussi beaucoup de ccTLD qui ont des criteres spécifique pour l'attribution de nom de domaine. Toutefois dans la question d'origine il manque plusieurs éléments qui me semble important... vendre une solution technique c'est bien mais il faut en assurer le support... et d'experience je dirais que c'est l'un des postes qui demande le plus de ressource humaine. JC -- Un inconnu du nom de Mailer-Daemon reçoit mes mails. Comment cela est possible ? Comment l'eviter. Répondre très rapidement, car mon mois d'essai se termine ce soir, et je suis très inquiete de ce piratage ? -+- Exorcisme dans le GNU - Satan l'habite, son bit l'attend -+- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Ping: il n'y a plus personne ?
On Mon, Feb 25, 2008 at 07:46:08PM +0100, Paul Rolland said: Bonsoir, On Mon, 25 Feb 2008 18:40:36 +0100 Manuel Guesdon [EMAIL PROTECTED] wrote: On Mon, 25 Feb 2008 17:55:20 +0100 Steven Le Roux [EMAIL PROTECTED] wrote: SLR | Quelle est la solution... ? que rien ne soit distribué et qu'un GIE s'occupe des routes de la planetes ? je doute... Le RIPE gère déjà ca sur les IPs qu'ils attribuent: avec leur bases on peut savoir pour une route donnée qui est autorisé a l'annoncer. Au niveau des autres organismes, je ne sais pas s'ils ont le même type de rigueur et d'organisation... Le RIPE gere des informations administratives... Ensuite, il faut en faire des configurations... Et c'est la que le bat blesse ! Ensuite (lire Nanog), ce que fait RIPE sur le maintien d'une relation entre les inetnum et les routes, ca ne se fait pas chez les autres RIRs. Donc, en dehors de l'Europe, l'utilisation des equivalents RIPE pour faire du filtrage est plutot un jeu dangereux... A une époque lointaine (en temps Internet), Caribou Telecom aka Tata Telecom avais une veille Sun dont c'etait l'unique job. Je sais pas ce qu'il en est aujourd'hui, mais les techniques sont toujours les meme, c'est donc plus une question de volonté/cout/facilité et temps de déploiement qu'un gros probleme technique. Après reste plus qu'à mouliner les infos pour faire des filtres. Au niveau des gros opérateurs c'est sur que ca risque de faire un gros packet de filtres Et il est fort possible que la taille de la configuration au final ne rentre pas dans les routeurs qui sont supposes les mettre en oeuvre ;) En tout cas les upstream de beaucoup d'acteurs BGP lambda filtrent déjà les annonces de leurs clients... Ceux qui ne le font pas doivent avoir Et pourtant, hier soir, YouTube disparaissait... et je doute que PCCW soit un acteur lambda... Non mais comme c'est pas la premiere fois que des clients PCCW foute le boxon loin de chez eux un jour ou l'autre ca va mal finir. souvent des problemes, genre l'apprenti BGPien qui laisse passer des routes qui ne lui 'appartiennent' pas (enfin j'imagine)... Helas, si les gens apprenaient un peu du passe ! La, ca a fait du bruit parce que YouTube, mais ce n'est ni la premiere (ca, c'est de l'histoire), ni la derniere (ca, c'est du realisme) fois que ca se produit ! Oui, l'Internet est capable de resister a beaucoup de pannes materielles, mais la, c'est de l'utilisation d'Internet pour bloquer Internet... et ca marche ! Oui, jusqu'a un certain point. JC -- Je critique pas le côté farce mais pour le fair play y aurait quand même à dire Audiard --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
On Tue, Oct 02, 2007 at 12:22:19AM +0200, Sylvain Rochet said: Bonjour, On Tue, Oct 02, 2007 at 12:05:55AM +0200, Romain Tournier wrote: je connais mal le noyau linux, mais il me semble, que globalement sous unix... les operations liés au reseau/firewall... ca ne sort pas du noyau et que celui-ci a tendance a ne tourner que sur un seul processeur... donc mieux vaut avoir 1 seul cpu mono-core tres puissant plutot que pleins de core... C'est faux, les interruptions sont balances sur les CPUs si le matos le supporte, et meme qu'on peut choisir sur quels CPUs on balance les interruptions ! cf /proc/irc/$n/smp_affinity . Par defaut, seul le CPU 0 recoit les interruptions. D'un autre cote meme si ni FreeBSD ni Linux n'a de support natif de TOE, il existe des produits avec les drivers que ce soit pour du GE ou du 10 GE. http://www.chelsio.com/products/pdf/HotInterconnect_2005.pdf JC -- la sagesse, c'est d'avoir des rêves suffisament grands pour ne pas les perdre de vue lorsqu'on les poursuit Oscar Wilde --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] FW: [FRnOG] Con tent Delivery Network (CDN) à la francaise
On Thu, Nov 30, 2006 at 09:53:39AM +0100, Dominique Rousseau said: Le Thu, Nov 30, 2006 at 09:37:54AM +0100, Frédéric Gander [EMAIL PROTECTED] a écrit: Par contre cette option permet je pense d'éduqué et de sensibiliser les gens au fait que la bande passante n'est pas gratuite mais qu'elle a un coût. Ouais, 'fin, les FAI qui font la course au débit (voir la surenchère où on est passé du débit IP au débit ATM pour augmenter artificiellement les chiffres, par exemple) ont aussi une bonne part de responsabilité dans l'image que la bande passante ne « coute pas cher ». [...] tu raisonnes comme un fournisseur de contenu. Une bonne partie des coûts se retrouve sur le réseau de collecte de l'opérateur de boucle locale, et pas dans le fait de recevoir le trafic dans du transit ou dans du peering. Quand ton trafic pour un abonné de marseille fait redbus - redbus pour le fournisseur de contenu, il fait redbus - th2 - lyon - marseille - nra - dslam - abonné, traverse 2 réseau Metro + 1 réseau DWDM national, et 5 à 6 routeurs etc ... A part Free, qui a visiblement orientée sa politique de peering dans ce sens, les ISPs et les hébergeurs ont (presque) tous une vision très parisianno-centrée... C'est bien connu, paris c'est le centre du monde, et des que l'on dépasse le périphérique il faut des vaccins à jour. Ta remarque concerne principalement les petits hébergeurs, et les ISPs on pour la pluspart un réseau national. -- C'est surement vrai, je l'ai lu dans le journal. -+- ED in: Guide du Cabaliste Usenet - La cabale s'informe -+- --- Liste de diffusion du FRnOG http://www.frnog.org/