Re: [FRnOG] GBLX / ORANGE
Bonjour à tous, Honnêtement ... 7 € HT le Mbps vers OpenTransit pour un 50 Mbps je vois pas où cela est excessif ? La solution adoptée chez nous : utiliser les services d'un Tier 2 et charger la mule au max afin de faire diminuer fortement les coût de ce transitaire ... cela implique que nous sommes dépendants du Tier 2 mais on est plutôt content de sa qualité. Donc après ... il faut savoir ce que l'on veut et comment on veut son réseau, nous on privilégie le fait de pouvoir toujours accéder aux eyeballs Orange et donc on estime que l'on a le droit en travaillant indirectement avec OpenTransit à râler quand cela n'est pas vraiment provisionné côté OpenTransit mais pour le moment : aucune plainte possible. Cordialement. Lilian Le 15/01/2011 19:35, Salim Gasmi a écrit : Bonsoir, Je suis d'accord avec toi Raphael, on a aujourd'hui quelques options possibles . Concrètement, quand on est un fournisseur de contenu français, bien joindre 3215 est une obligation . Comme choix, il y a : 1: Acheter du transit OpenTransit , qu'il faudra considérer comme un peering super cher avec 3215 . 2: Choisir un transitaire Tier 1 qui a la chance d'être dans les bonnes grâces d'Orange et qui ne sature pas avec Open Transit . 3: Choisir un transitaire Tier 2 qui a du paid peering avec 5511 . 4: Être assez gros pour négocier un paid peering pas trop cher avec 5511 . Après chacun fait son choix en fonction de ses moyens et de son éthique vis a vis de la politique d'Orange . A SdV, on a durant un an optés pour l'option 1, finalement on a retenu la 2, mais j'ai longtemps hésité avec l'option 3 de chez un operateur qui a un nom a la matrix et que tu connais bien . Cordialement, Salim Le 15/01/2011 18:43, Raphael Maunier a écrit : Hello, Je ne suis pas d'accord avec toi sur ce point. Il ne faut pas mélanger le transit ( qui est le sujet ici). On ne parle pas d'accès. Il y a plus de possibilité que tu ne crois pour joindre 3215. Aujourd'hui 3215 peere avec l'ensemble des gros réseaux eyeball en France et achète sa connectivité internationale a 5511. Entre 5511 et 3215 il n'y a pas de saturation délibérée. La ou l'on pourrait trouver de la saturation est entre 5511 et ses peers (qu'ils soient gratuits ou payants). il n'y a PAS que les Level3, Gblx, ou Cogent pour joindre 3215 ( 5511_3215). Opentransit n'oblige personne a prendre du transit chez ces derniers. Opentransit ne peut pas non plus ouvrir les tuyaux tout le temps a certains transitaires low-cost pour lesquels la notion de qualité n'est qu'un concept. Donc il est possible de joindre 3215 sans saturation, charge a l'acheteur qui désire de la qualité de faire son choix. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Cisco / Drop de paquets
Bonjour, Je crois avoir trouvé la merde ... en fait on utilise des MSFC2 et on a des fulls views et là est le drame : 265 000 routes max contre la full view qui en fait plus de 300 000. Quand on rajoute les nouvelles routes, elles ne sont pas entrées correctement dans la table complète et je pense que si je redémarrais le routeur complètement, les routes OSPF seraient correctement apprises et certaines routes BGP seraient supprimées, en tout cas je ne vois que cette explication qui pourrait expliquer le fait que le routeur 1 connaisse certaines routes OSPF et ait ajouté ces routes mais ne connaisse pas les autres par contre il les a bien dans la RAM ( sh ip route ospf ) me les donne. On va mettre en place un filtrage BGP pour réduire la table et mettre une default route ... Je n'ai pas le problème sur le routeur 2 car lui n'est pas surchargé au niveau des tables, je n'ai que le problème côté routeur 1. On va essayer cela mais on pense sincèrement que ça va résoudre tous les problèmes. En tout cas ... les 3BXL : on y coupera pas en ce qui nous concerne. Merci à tous pour votre aide. Lilian Le 24/12/10 12:18, Nicolas Fevrier a écrit : Le 23/12/10 22:35, Lilian RIGARD - Devclic a écrit : J'ai pas de L3 forwarding resources ... Le problème est que je voudrais bien l'admettre mais un host sur un vlan précis derrière routeur 1 ne pingue pas l'interface du routeur 2 qui est connectée avec routeur 3 ... et l'autre host sur un autre vlan derrière routeur 1 a une perte de paquet de 1 packet sur 2 Salut Lilian, Dans ce cas, tu as plusieurs approches pour troubleshooter : - si tu peux positionner un term mon puis debug ip icmp sur Router2, tu verras si les packets sont reçus quand tu pings depuis tes hosts de chaque vlan. undeb all a taper rapidement si tu es submergé de message. Avec cela, tu verras deja dans quel sens tes pings se perdent : host vers router2 ou router2 vers host. Si rien dans les debug, les pings ne sont pas recus. Si tu vois des entrées dans ton debug, tu sais que c'est le chemin retour qui pêche et il faut regarder dans ce sens. En fonction de cette information, tu vas en pas a pas remonter ta chaine : en regardant sur R1 et R2, la RIB (sh ip route...) et la table CEF (sh ip cef ...) pour les prefixes qui t'interesse Tu regarderas aussi les Next-Hop de ces routes et s'ils sont joignables, s'ils sont multiples (cas ECMP, etc...) Pour ces NH, tu regarderas aussi si les adjacences (au sens CEF) sont ok. C'est a dire, les entrées ARP (sh arp) pour de l'ethernet et l'etat des interfaces pour les POS/Serials. Je suppose que tu as verifier ACL, QOS, etc sur les interfaces et tu t'es assuré que rien ne pouvant etre filtré pour tes pings. Un exercice qui pourrait aussi etre intéressant est de forcer un ping non pas de tes hosts mais depuis le routeur R1 avec un ping étendu en indiquant la source l'interface vlan associé à tes hosts. Cdt, N. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Cisco / Drop de paquets
Bonjour à tous, Etant donné que je n'ai plus d'idée et que je pense avoir exploré toutes les pistes possibles, j'expose mon problème, peut-être que vous l'avez déjà rencontré ... Je dispose de 3 routeurs qui sont connectés de cette façon : routeur1 - routeur 2 - routeur 3 ( jusque là rien de bien délirant et de bien compliqué ) OSPF est actif entre routeur 1 et routeur 2 avec la redistribution des statiques et des connected. Routeur 3 dispose d'une gateway par défaut qui est routeur 2 routeur 1 a plusieurs vlans Quand je prends un host qui est connecté derrière mon routeur 1 sur un vlan et que je veux pinguer l'IP de l'interface du routeur 2 qui est connectée avec le routeur 3, j'ai une perte de paquets de 1 sur 2 ( 50 %) Pire encore ... quand je prends un autre host connecté à un autre vlan sur routeur 1 ( pas la même classe d'adresses IP ), les hosts ne pinguent nullement l'IP de l'interface du routeur 2 qui est connectée avec le routeur. Je précise que toutes les routes sont bien renseignées : A savoir que routeur 1 récupère bien une route de la part de routeur 2 avec le netmask en /29 d'interconnexion avec routeur 3 et définit bien routeur 2 comme Next Hop et routeur 2 connait bien les Vlans de routeur 1, ils sont également reçus via l'OSPF. Un autre test que j'ai fait : pinguer depuis routeur 3, un Vlan de routeur 1 : le résultat est que je peux pinguer la passerelle mais pas les hosts ?! ou bien même phénomène : un paquet sur 2 passe Voici ma version d'IOS: ROM: System Bootstrap, Version 12.1(11r)E1, RELEASE SOFTWARE (fc1) BOOTLDR: s222_rp Software (s222_rp-IPSERVICESK9_WAN-M), Version 12.2(18)SXF17, RELEASE SOFTWARE (fc1) Pensez-vous que l'IOS peut être buggué ? En vous remerciant par avance pour vos lumières et votre aide. Cordialement. Lilian --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Cisco / Drop de paquets
Donc en traceroute Router 3 - host de router 1 : traceroute to host-router 1 (XX.XX.XX.XX), 30 hops max, 40 byte packets 1 router 2 2.685 ms 2.619 ms 2.611 ms 2 router 1 11.612 ms 10.830 ms 11.973 ms 3 * * * Router 2 - host de router 1 Tracing the route to host de router 1 (XX.XX.XX.XX) 1 router 1 (46.31.40.1) 12 msec 8 msec 8 msec 2 host de router 1 (XX.XX.XX.XX) 8 msec 8 msec 12 msec Là ... déjà ... y a un léger problème ... Router 3 - gateway host de router 1 ( ip configurée sur le vlan router 1 ) traceroute to router1 (XX.XX.XX.XX), 30 hops max, 40 byte packets 1 router 2 3.409 ms 2.626 ms 2.782 ms 2 router 1 (46.31.40.1) 13.873 ms * 13.194 ms Avec TCPDUMP : je ne vois rien ... on dirait que les paquets partent à la benne. Traceroute de host ( Vlan ) de router1 vers router 2 ( IP configurée sur routeur 2 et servant d'interconnexion router 2 / routeur 3 ) traceroute to router 2 (XX.XX.XX.XX), 30 hops max, 40 byte packets 1 * * * 2 * * * 3 * * * 4 * * * 5 * * * 6 * Si besoin de plus de détails, ne pas hésiter à me demander. Merci pour tout. Le 23/12/10 12:03, Stephane Bortzmeyer a écrit : On Thu, Dec 23, 2010 at 09:57:42AM +0100, Lilian RIGARD - Devcliclil...@devclic.fr wrote a message of 51 lines which said: Pire encore ... quand je prends un autre host connecté à un autre vlan sur routeur 1 ( pas la même classe d'adresses IP ), les hosts ne pinguent nullement l'IP de l'interface du routeur 2 qui est connectée avec le routeur. Un autre test que j'ai fait : pinguer depuis routeur 3, un Vlan de routeur 1 : le résultat est que je peux pinguer la passerelle mais pas les hosts ?! Je dirai qu'un traceroute serait bien pratique. Quand je prends un host qui est connecté derrière mon routeur 1 sur un vlan et que je veux pinguer l'IP de l'interface du routeur 2 qui est connectée avec le routeur 3, j'ai une perte de paquets de 1 sur 2 ( 50 %) C'est plus mystérieux. Je ne vois plus que tcpdump, pour trouver jusqu'où vont les paquets. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Cisco / Drop de paquets
Les hosts ont pour gateway le routeur 1 qui lui a les routes vers R3 via l'OSPF ( pour mémoire /29 d'interconnexion entre le router 2 et router 3 annoncée par l'OSPF ) Lilian. Le 23/12/10 13:10, Faycal a écrit : Est-ce que les hosts ont les routes vers R3 ? Je pense qu il te faut une défault route dans tes hosts (connectes sur R1) qui pointe vers les interfaces vlan de ton catalyst 6000. C est la seule façon pour que tes hosts répondent aux Ping de R3 Envoyé de mon iPhone Le 23 déc. 2010 à 08:57, Lilian RIGARD - Devcliclil...@devclic.fr a écrit : Bonjour à tous, Etant donné que je n'ai plus d'idée et que je pense avoir exploré toutes les pistes possibles, j'expose mon problème, peut-être que vous l'avez déjà rencontré ... Je dispose de 3 routeurs qui sont connectés de cette façon : routeur1- routeur 2- routeur 3 ( jusque là rien de bien délirant et de bien compliqué ) OSPF est actif entre routeur 1 et routeur 2 avec la redistribution des statiques et des connected. Routeur 3 dispose d'une gateway par défaut qui est routeur 2 routeur 1 a plusieurs vlans Quand je prends un host qui est connecté derrière mon routeur 1 sur un vlan et que je veux pinguer l'IP de l'interface du routeur 2 qui est connectée avec le routeur 3, j'ai une perte de paquets de 1 sur 2 ( 50 %) Pire encore ... quand je prends un autre host connecté à un autre vlan sur routeur 1 ( pas la même classe d'adresses IP ), les hosts ne pinguent nullement l'IP de l'interface du routeur 2 qui est connectée avec le routeur. Je précise que toutes les routes sont bien renseignées : A savoir que routeur 1 récupère bien une route de la part de routeur 2 avec le netmask en /29 d'interconnexion avec routeur 3 et définit bien routeur 2 comme Next Hop et routeur 2 connait bien les Vlans de routeur 1, ils sont également reçus via l'OSPF. Un autre test que j'ai fait : pinguer depuis routeur 3, un Vlan de routeur 1 : le résultat est que je peux pinguer la passerelle mais pas les hosts ?! ou bien même phénomène : un paquet sur 2 passe Voici ma version d'IOS: ROM: System Bootstrap, Version 12.1(11r)E1, RELEASE SOFTWARE (fc1) BOOTLDR: s222_rp Software (s222_rp-IPSERVICESK9_WAN-M), Version 12.2(18)SXF17, RELEASE SOFTWARE (fc1) Pensez-vous que l'IOS peut être buggué ? En vous remerciant par avance pour vos lumières et votre aide. Cordialement. Lilian --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Cisco / Drop de paquets
Si c'était le cas : en local je ne pourrai rien pinguer ... Je penche plutôt pour la TCAM complète ... Lilian Le 23/12/2010 18:42, Stéphane Le Men a écrit : Lilian RIGARD - Devclic wrote: Oui : sh vlan renvoie bien les vlans. le traceroute semble pourtant indiquer que l'interface L2/L3 de votre vlan est down ou unreachable. un sh ip int devrait le confirmer --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Cisco / Drop de paquets
Rien de bien délirant sur les interfaces : no CRC et autres cochonneries. Je sens que ça va être la 3BXL sous peu ... Le 23/12/2010 22:05, Admin a écrit : Tu peux aussi regarder du cote des compteurs d'interfaces (drop a cause De la taille des paquets, crc ...) un câble ou une fibre mal foutue ou branchée;) HiH Le 23 déc. 2010 à 20:01, Lilian RIGARD - Devcliclil...@devclic.fr a écrit : Si c'était le cas : en local je ne pourrai rien pinguer ... Je penche plutôt pour la TCAM complète ... Lilian Le 23/12/2010 18:42, Stéphane Le Men a écrit : Lilian RIGARD - Devclic wrote: Oui : sh vlan renvoie bien les vlans. le traceroute semble pourtant indiquer que l'interface L2/L3 de votre vlan est down ou unreachable. un sh ip int devrait le confirmer --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Cisco / Drop de paquets
Hello, Merci pour ton retour d'expérience. J'utilise des /29, je vais essayer de passer sur des /30 :) après tout il aime ptet que les /30 ... Car j'ai le soucis même en statique :) pas qu'avec l'OSPF Le TAC Cisco = pas le droit en mode broker :) Merci. A+ Le 23/12/2010 22:53, Raphael Maunier a écrit : Hello, J'ai eu un truc presque similaire chez un client il n'y a pas si longtemps que ça. il s'agissait d'un bug sur les /31 qu'on utilisait pour les interco. On est passe a /30 et c'est tombé en marche :) C'était également des 3-BXL en SRB et SRC. Une autre fois, même cas de figure, il s'agissait d'un soucis OSPF et Spanning-tree ( en même temps, sinon c'est moins drôle). On a trouve a coup de sh ip route, sh ip bgp xxx sh neig ospf Généralement le premier réflexe est le sh ip route. Bon courage, la dernière fois, on y a passe au moins 4h/6h de suite. Le TAC cisco est relativement compétent, je te suggère d'ouvrir un ticket @+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Cisco / Drop de paquets
Le truc est que j'arrive depuis le Vlan qui pingue pas à pinguer d'autres interfaces de router 2 mais pas celle en /29 ... qui interconnecte le router 2 et router 3 donc j'ai du mal à voir le prob avec le spanning-tree. Merci pour le tuyau. Le 23/12/2010 23:16, Raphael Maunier a écrit : Il y a un programme chez Cisco qui permet de remettre sous maintenance du matos acheté en broke. Il faut payer un peu de retard de maintenance, et après avoir les visites d'un droid commercial :) Regarde bien du cote spanning-tree si par hasard tu n'aurais pas un truc étrange avec un switch alien qui voudrait passer root sur un vlan. les show arp et show mac-address-table sont utile pour tracer le chemin niveau 2 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Panap et France-ix
J'ai l'impression que tout le monde est au même rang :) câblage Samedi également pour nous pour la partie Equinix. On Thu, 09 Sep 2010 14:09:09 +0200, Phibee Network Operation Center n...@phibee.net wrote: Le 09/09/2010 13:23, Mathieu Arnold a écrit : +--On 9 septembre 2010 04:44:45 +0200 Phibee Network Operation Center n...@phibee.net wrote: | bien que la procédure de raccordement a Equinix-Exchange semble plus | longue qu'au France-IX, il y a de belle perspective je pense aussi. Plus longue, non, c'est au delà de ça, nous attendons qu'ils nous raccordent depuis la deuxième quinzaine de juillet... C'est vrai que le raccordement a France-IX c'est fait extrêmement rapidement pour nous et le contact a été nickel. Pour Equinix, nous les contrats sont partis le 20 Juillet et si tout va bien, notre câble sera connecté Samedi Bon sachant que c'est gratuit et qu'en plus,il y a eu le mois d'Aout, je suis pas choqué. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- RIGARD Lilian - Devclic SARL Gérant - CEO CTO Téléphone (Standard) / Phone : +33 3 57 75 61 46 Portable / Cell Phone : +33 6 29 59 21 34 E-mail : lil...@devclic.fr Web : http://www.devclic.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Contact au PaNAP
Bonjour, Quel POP ? Telehouse 2 ? il y a Equinix, France-IX qui proposent de bons services, tu peux peut-être t'orienter sur ces solutions ? On me rapporte que quand le Panap a un port down ... c'est la croix et la bannière pour avoir un réponse :) Bon Courage ! On Mon, 6 Sep 2010 17:36:53 +0200, David BÉRARD da...@nfrance.com wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour à tous, Je cherche à joindre le PaNAP sur peer...@panap.fr, mais aucune réponse depuis plusieurs semaine. Avez vous un autre email de contact ? Merci à vous. - -- David BERARD - --- NFrance Conseil, Toulouse, France david(at)nfrance.com GPG|PGP KeyId 0x7FC68EB8 GPG|PGP Key http://tinyurl.com/gpgdavid - --- * No electrons were harmed in * *the transmission of this email * -BEGIN PGP SIGNATURE- iEYEARECAAYFAkyFCpUACgkQYIAREn/GjriVfgCguFTV50c7Re7tdUfkGAFnVnMp MUMAn2hZgp3ez3q6IxUz5ygLU8DwAOpN =Pm2z -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/ -- RIGARD Lilian - Devclic SARL Gérant - CEO CTO Téléphone (Standard) / Phone : +33 3 57 75 61 46 Portable / Cell Phone : +33 6 29 59 21 34 E-mail : lil...@devclic.fr Web : http://www.devclic.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Un truc intéressant aussi ... utiliser une Whitelist globale : DNSWL, elle autorise par exemple les serveurs Orange ... A la place de Postgrey, on met en place Milter-Greylist qui synchronise tout seul ses bdd internes. Le 29 juil. 2010 à 16:45, Jérôme Nicolle a écrit : Le 29/07/10 16:42, Dominique Rousseau a écrit : J'ai ~ 150 entrées whitelistées dans ma config de postgrey, ça élimine 99% des problèmes avec les serveurs légitimes qui font des trucs bizarres (genre 2e tentative effectuée depuis une ip différente, from d'envelope à usage unique, ...) Tu fais tourner ? -- Jérôme Nicolle -- Lilian --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Conseil Centre Appel HelpDesk
+1 : intéressé par le même type de prestation :) Le 28 juil. 2010 à 15:04, Olivier CALVANO a écrit : Bonjour, J'ai besoin d'un petit conseil, principalement de petit opérateur ;=) Je veux externaliser l'accueil telephonique du Support Technique .. un truc assez simple style: - une personne qui décroche 24h/24 Francais/Anglais - Qui utilise notre intranet web pour ouvrir un ticket - Transfert l'appel immédiatement après a un technicien si dispo (pas de diagnostic etc ..) Quelqu'un a deja fait cela ? avec si possible de l'interco Asterisk. Si oui des noms de call center hihi merci d'avance Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ -- RIGARD Lilian - Devclic SARL Gérant - CEO CTO Téléphone (Standard) / Phone : +33 3 57 75 61 46 Portable / Cell Phone : +33 6 29 59 21 34 E-mail : lil...@devclic.fr Web : http://www.devclic.fr
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Sauf qu'utiliser uniquement Dspam ou Spamassassin pour filter le SPAM c'est se tirer une balle dans le pied ... Il faut des filtres en amont car Dspam et Spamassassin sont très très gourmands et en effet ils demandent d'augmenter le nombre de serveurs de façon conséquente. On a, en place, un système basé sur des statistiques de pollution, si une IP pose problème à un moment donné, elle est remontée avec un warning et si celle-ci se manifeste de plus en plus tjs en erreur elle est bannie pendant un temps donné sur toute l'infra de mails, les whitelist sont aussi là pour laisser passer tout ce qui est bon et éviter de traiter ce qui n'est pas nécessaire de traiter ... Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à mon sens Dspam et Spamassassin ne doivent analyser que les mails des utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer. C'est encore une fois une question d'architecture et de réflexion sur le système en place. Lilian. Le 23 juil. 2010 à 10:49, Clément Game a écrit : Marc Plunian wrote: Le 22/07/2010 22:19, Jeremie Le Hen a écrit : Salut, On Thu, Jul 22, 2010 at 04:10:29PM +0200, Lilian RIGARD - Devclic wrote: Reste que pour ce genre de tache l'open source a tout ce qu'il faut. Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche bien :) +1 avec cette solution : le tarpitting permet d'économiser pas mal d'argent / de ressources etc ... On le couple avec des filtres additionnels ( RBL ) et un antispam ( SpamAssassin / amavis / dspam ) et on a une très bonne solution. Les produits open-source sont effectivement de bonne qualité, mais le problème est que la plupart du temps ils sont configurés avec leur règles par défaut. Personne n'ignore la professionnalisation du spam et il suffit aux rédacteurs d'en installer sur pour tester si leur pourriel passera aux travers des mailles du filet. Je vous invite à lire ce billet de Chris Siebenmann [1]. Ca fait plusieurs années que je lis son blog et avant il parlait régulièrement de la façon dont il combattait le spam au sein de l'université dans laquelle il travaille. Et puis il a fini par arrêter. Je suis très motivés par l'open-source à tous les niveaux, mais je trouve que la lutte anti-spam est un domaine où le modèle commercial possède un avantage indéniable car il faut être capable d'investir beaucoup de temps sur le sujet mais également avoir accès à un retour d'expérience très large. Les constructeurs d'appliance et les services de messagerie comme Gmail ou Hotmail en sont de bons exemples. [1] http://utcc.utoronto.ca/~cks/space/blog/spam/OutOfTheSpamGame Tu le dis toi même les spammeurs se sont professionnalisés, donc en face il faut également des pros. Si tu ne maîtrises pas à fond les serveurs de messageries, les protocoles, les techniques de lutte antispam, ... et que tu penses arrêter les spam en tarouillant son spamassasin dans ton coin, c'est sur que comme Chris Siebermann tu vas vite te fatiguer, d'autant plus que Spamassasin n'est pas l'arme absolue. Cela ne remet pas en cause les produits antispam Open Source et les concepts de la lutte antispam, simplement il faut des gens compétents pour le mettre en œuvre. Les concepts de listes grises, d'utilisation de RBL, de réputation SPF, DKIM, sont accessibles à tous mais il faut y investir du temps. Je suis tout à fait d'accord avec ce qui vient d'etre dit, et je rajouterais qu'il n'existe à l'heure actuelle aucune solution anti spam Opensource qui marche correctement avec des volumetries de l'ordre de 10M mails/jour ...Si d'aventure vous voulez quand meme essayer, vous vous retrouvez alors tt de suite avec de gros bottlenecks et augmenter drastiquement le nombre de serveurs deviendra vite necessaire. Orange, par le biais d'Atos en a fait les frais...à trafic égal il leur fallait 6 fois plus de serveurs Postfix/SA qu'une archi full ironport par exemple. C'est un fait, les solutions de type SA ou dspam fonctionnent mais leur latence moyenne elevée (voir tres elevée ) par rapport à la concurence pro ( cloudmark , vaderetro, whatever...) les empeche de s'imposer en environement Opérateur. C. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Brute force SNMP
Non pas eu de bruteforce de ce genre ... de toute façon tout est autorisé en fonction des IPs sources. Lilian. Le 23 juil. 2010 à 14:01, Kevin COUSIN a écrit : Je confirme, c'est SNMP :D Mon prénom est déjà un handicap dans ce métier :D Cordialement, Kevin COUSIN Administrateur Linux Mail : kevin.cou...@global-sp.net Tel. : +33 (0)1 44 70 48 22 Fax : +33 (0)1 44 70 48 49 www.globalsp.com Global SP, The SaaS Company -Message d'origine- De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Olivier Bonvalet Envoyé : vendredi 23 juillet 2010 12:30 À : frnog@FRnOG.org Objet : Re: [FRnOG] Brute force SNMP Le 23/07/2010 12:28, MM a écrit : Le 23 juil. 2010 à 12:11, Mathieu Goessens a écrit : Heu, c'est quoi une attaque par brute force SNMP ? essayez de deviner des comptes ? essayer de s'auth en SASL ? SNMP != SMTP ;) Bon, d'une manière générale - des attaques aveugles viennent de partout (botnet ou machines rootées) - demander si quelqu'un a déjà eu une attaque d'une adresse particulière c'est ... spécial :D Encore un Kevin ;) (pas taper) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
+1 avec cette solution : le tarpitting permet d'économiser pas mal d'argent / de ressources etc ... On le couple avec des filtres additionnels ( RBL ) et un antispam ( SpamAssassin / amavis / dspam ) et on a une très bonne solution. Le 22 juil. 2010 à 15:55, Bedis 9 a écrit : Reste que pour ce genre de tache l'open source a tout ce qu'il faut. Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche bien :) a+
Re: [FRnOG] Serveurs SSD
Les SSD sont beaucoup plus rapides en lecture qu'en écriture ... de plus les écritures cassent la longévité du disque et au fur et à mesure il devient de moins en moins performant ... Tout dépend du projet ... et du budget ... Je préfère largement une bonne carte RAID avec du SAS derrière plutôt que du SSD où je sais pertinemment qu'il faudra que je les change très rapidement et assez souvent ... Le 16 juil. 2010 à 17:47, Gregory Agerba a écrit : Le projet pour lequel je m'intéresse au SSD c'est une application Windows (service) qui utilise des fichiers comme base de données (pas de remarque sur cette pratique barbare SVP). En fait il y a 7-8 fichiers qui servent de base de données (utilisateurs.dat, transactions.dat, etc..) et tout se passe entre la RAM et le stockage. Dans mon cas, je m'intéresse particulièrement aux produits HP Proliant. Selon le document suivant : http://h2.www2.hp.com/bc/docs/support/SupportManual/c01580706/c01580706.pdf (cf. page 6) les performances SSD sont moins bonnes IO/s et MB/s que celles du HDD 15K selon HP, sauf dans le cas de lecture aléatoire (qui je le devine représente la latence due à la partie physique). Il n'y a pas de détail sur les disques durs utilisés par HP dans ce benchmark, mais ça semble étonnant qu’à matériel égal, les disques SSD soient aussi mauvais en performances !? Gregory Yacine Kheddache wrote: Bonjour, Disons qu'il y a SSD et SSD... Pour pouvoir répondre à la question il faut connaître le besoin, le workload et le budget. Il y a de grosse differences entre un X25-E et une carte Fusion-io coté perf, prix et durée de vie. Cordialement, Yacine --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] le FR-IX est ouvert
On serait un peu dans ce cas ... monter un l2l vers le Fr-Ix, c'est aussi pour donner la possibilité aux autres régionnaux-pecquenauds-pleupleus-or-whatever de venir s'interco à distance sur le dual-gix ( si dual-gix il y a un jour ...). - Mail original - De: Spyou r...@spyou.org À: frnog@FRnOG.org Envoyé: Mercredi 19 Mai 2010 10:24:10 Objet: Re: [FRnOG] le FR-IX est ouvert Julien Escario a écrit : C'est ballot mais tous les opés/hébergeurs ne sont pas à Paris. Grande nouvelle : il y a même des habitants à plus de 50 km de Paris, si si ! Y'en a même qui habitent a 100km de Paris mais qui vont bosser à la capitale :) Sérieusement, c'est bien beau tous ces IX mais combien ont prévus de venir sur les datacenter en région (c'est comme ça qu'on dit pour éviter le terme pèquenauds) ? Pour l'instant la seule solution, c'est d'acheter un l2l/xWDM pour remonter jusqu'à TH2. Tiens TH2 ! C'est pas là qu'Internet en France est planté quand il fait noir à un étage ? Et concrètement, le 10g monté par un IX pour descendre en province, il va partir d'où, statistiquement ? Je vois pas bien la différence technique entre l'opérateur lambda qui prends un l2l vers Paris pour se relier a l'IX, l'IX qui descends dans le datacenter de l'opérateur lambda ou le tas d'opérateurs lambdas qui se cotisent pour se payer un l2l commun vers Paris .. Au final, ça passera toujours à Paris. S'il s'agit d'éviter Paris entre acteurs locaux, le Lyonix (par exemple) fait déjà très bien son office. Si des régionnaux-pecquenauds-pleupleus-or-whatever veulent participer au Fr-IX pour l'étendre rapidement en région et mutualiser les couts, je pense, sans grand risque de me tromper, qu'ils seront les bienvenus dans le projet. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] le FR-IX est ouvert
Hello, +1 pour Xavier : en région c'est pas la joie alors me ramener avec X interlans pour peerer à droite et à gauche ... pas vraiment intéressant. Alors l'idée de dual-gix, +1 Lilian. Le 18/05/2010 18:38, Xavier Beaudouin a écrit : Plop, Le France-IX sera certainement très attractif pour une certaine catégorie d'opérateurs, grand bien leur en fasse. C'est juste pas les priorités du FR-IX. Ca ne changera hélas pas la politique des gros opé, et n'arrangera donc rien à la situation des petits sur ce plan. Petits qui aujourd'hui sont face à des GIX d'opé IP qui juste - pas marchent - pas sont maintenus - pas sont ouverts - pas sont le vrai travail de leur propriétaire qui dont s'en fouttent - pas sont présents (pas forcément tout à la fois, le Sfinx s'en sort pas mal) :) Humm... +1 Donc je pense qu'il y a de la place pour deux GIX très multi-pop et qui présentent les qualités d'indépendance et de neutralité requises. Peut-être l'un un peu plus tourné vers les gros, et l'autre vers les petits, plus ou moins, et tout peut évoluer. Avec des logiques d'interconnexion de GIX en plus, pour être complémentaires, on peut vraiment être optimistes. C'est pourquoi FR-IX a initié une réflection sur le sujet et proposé le concept de Dual-GIX (disons que c'est un draft, mais un draft pour la réfléction publique). J'avoue que ton concept dual-gix (ou x-gix) perso m'intéresses... C'est trop con d'avoir a tirer un interlan pour peerer jusqu'a lyon / rennes etc Le mérite est que c'est une bonne idée... Après reste a voir quel(s) gix(es) vont être intéressés... :p Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re : Problème de peering Open transit
Bonsoir, a passe sans soucis de notre ct. Ping ok sur les 2 sites cits. Le 04/02/2010 22:29, RELAUTTE Rodrigue a crit: Je me suis tromp dans mon sujet c'est pas Opentransit mais plutot "CogentTransit" ! :) Rodrigue RELAUTTE Le 04/02/2010 16:32, RELAUTTE Rodrigue a crit: Bonjour Nos utilisateurs n'atteignent plus certains sites web via notre Transit IP Cogent (AS174). Ex: www.boursorama.com, www.911tabs.com... Le problme n'est pas constat via nos autres transit IP Avez vous rencontr des soucis de Transit IP via Cogent ? merci de vos retours. Cheers, Rodrigue RELAUTTE -- RIGARD Lilian - Devclic SARL Grant - CEO CTO Tlphone (Standard) / Phone : +33 3 57 75 61 46 Portable / Cell Phone : +33 6 29 59 21 34 E-mail : lil...@devclic.fr Web : http://www.devclic.fr
Re: [FRnOG] FT/OpenTransit inaccessible depuis Nerim et Completel (d'autres?)
Il semblerait que certaines plages aient disparu des sessions BGP. Chez Cogent : ça dépend des destinations :) Lilian. On Fri, 15 Jan 2010 13:19:50 +0100, Laurent Barbe laur...@ksperis.com wrote: Pour info, Ca passe mieux par Cogent. Le traceroute FT--Teleglobe bloque ici : teleglobe-4.GW.opentransit.net Le 15/01/2010 12:46, Laurent CARON a écrit : Bonjour, FT/OpenTransit est down depuis Completel (Normal...) et Nerim (plus inquietant déja) depuis une quarantaine de minutes. Et chez vous ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] OT: free.fr = KC ?
Hello, Chez nous aussi : DNS Free cassés Lilian. Le lundi 28 septembre 2009 à 15:01 +0200, k...@oav.net a écrit : Hello, Il me semble que la zone free.fr est cassée, zonecheck.fr me confirme la chose ainsi que divers boites posée partout : $ host www.free.fr ;; connection timed out; no servers could be reached Est-ce que ... d'autres confirment ? (non c'est pas du lancé de troll velu !) Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Recherche fournisseur-fabricant baie
Bonjour, Il y a aussi Rittal France (http://www.rittal.fr/) qui peut proposer des baies ou bien encore BlackBox (http://www.blackbox.fr) qui fournissent en plus des solutions réseaux. Cordialement. RIGARD Lilian. SARL Devclic. Le 18 sept. 09 à 16:18, Thomas Maurice a écrit : Bonjour, Nous recherchons un fournisseur ou fabricant de baies pour y stocker nos serveurs (dell et hp) et je ne sais pas vers qui m'orienter. J'ai une vague idée de ce que nous souhaitons (porte en verre, des ventilateurs, et les accessoires). Avez vous des idées ? Merci Thomas Maurice
