Re: [FRnOG] [TECH] Documentation API fortigate
Bonjour, Elle est documentée, mais il faut un accès chez Fortinet pour télécharger la documentation. Je t'en ai trouvée une (pas la dernière forcement) ici: http://www.tuncaybas.com/FOS_JSON_REST_API_523.pdf Cordialement, Salim Le 01/10/2018 à 15:06, Louis a écrit : Bonjour, je cherche une doc qui décrive l'usage des API sur fortigate. Je vois qu'il y a une API dispo mais elle n'a pas l'air documentée. Je me trompe ? https://github.com/openstack/networking-fortinet/blob/5ca7b1b4c17240c8eb1b60f7cfa9a46b5b943718/networking_fortinet/api_client/templates.py Par exemple : https://fortigate/api/v2/cmdb/router/static/ cordialement, Louis --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim GASMI Directeur Technique -- *SdV Plurimedia * 15, rue de la Nuée Bleue 67000 Strasbourg T. 03 88 75 80 50 F. 03 88 23 56 32 sa...@sdv.fr <mailto:sa...@sdv.fr>NocSdV <https://twitter.com/NocSdV> LinkedIn <https://www.linkedin.com/in/salimgasmi> --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [JOBS] CDI Technicien Linux sur Strasbourg
SdV Plurimedia, hébergeur basé à Strasbourg spécialiste de l’hébergement de sites à fort trafic, recherche un/une technicien Linux pour renforcer ses équipes. Sous la responsabilité du directeur technique, vous participerez à la gestion et à l'évolution de notre système d'information. La personne recherchée devra posséder une bonne connaissance de Linux et de bash Le poste à pourvoir est en horaires de type 3x6 (Matin,Journée,soir) Si vous souhaitez rejoindre une équipe dynamique, gérer plus d'un millier de serveurs, bloquer des DDOS quotidiennement et bénéficier d'un salaire attractif, n’hésitez pas à postuler surjobs-syst...@sdv.fr Nota: Les débutants motivés et autodidactes compétents sont les bienvenus. Salim Gasmi -- Salim GASMI Directeur Technique -- *SdV Plurimedia * 15, rue de la Nuée Bleue 67000 Strasbourg T. 03 88 75 80 50 F. 03 88 23 56 32 sa...@sdv.fr <mailto:sa...@sdv.fr>NocSdV <https://twitter.com/NocSdV> LinkedIn <https://www.linkedin.com/in/salimgasmi> --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [JOBS] CDI Administrateur système sur Strasbourg
SdV Plurimedia, hébergeur basé à Strasbourg spécialiste de l’hébergement de sites à fort trafic, recherche un/une administrateur système pour renforcer ses équipes. Sous la responsabilité du directeur technique, vous participerez à la gestion et à l'évolution de notre système d'information. La personne recherchée devra posséder une connaissance des technologies suivantes: - Linux - L'administration des logiciels open source courants chez un hébergeur : Apache,MySQL,PHP,MongoDB,Docker, - Programmation bash - Programmation PHP ou python ou perl Si vous souhaitez rejoindre une équipe dynamique, gérer plus d'un millier de serveurs, bloquer des DDOS quotidiennement et bénéficier d'un salaire attractif, n’hésitez pas à postuler surjobs-syst...@sdv.fr Nota: Les débutants motivés et autodidactes compétents sont les bienvenus. Salim Gasmi -- Salim GASMI Directeur Technique -- *SdV Plurimedia * 15, rue de la Nuée Bleue 67000 Strasbourg T. 03 88 75 80 50 F. 03 88 23 56 32 sa...@sdv.fr <mailto:sa...@sdv.fr>NocSdV <https://twitter.com/NocSdV> LinkedIn <https://www.linkedin.com/in/salimgasmi> --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] TCP vs. UDP : les chiffres
Bonjour, Selon mon Arbor peakflow, sur le dernier mois en entrée de SdV qui est un hébergeur web: 94.33% de TCP (en pps) 5.01% d'UDP (en pps) 0.06% d'icmp (en pps) Cordialement, Salim Le 08/02/2018 à 14:19, Solarus a écrit : Le 2018-02-08 11:56, Stephane Bortzmeyer a écrit : Est-ce que quelqu'un a des chiffres *récents* sur la part de trafic TCP vs. UDP, à divers endroits du réseau ? Je ne trouve que des vieux chiffres comme <http://www.caida.org/research/traffic-analysis/tcpudpratio/> qui ne tiennent pas compte, par exemple, de WebRTC. Salut à tous. Ce serait super d'avoir ce genre de données. Ce serait également intéressant d'avoir le ratio au sein de TCP entre le trafic des ports 80/443 et le reste. Pour WebRTC il faudrait également regarder au niveau applicatif, le taux de repli sur TCP quand les ports UDP sont bloqués, ce serait également très instructif. Cordialement. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim GASMI Directeur Technique -- *SdV Plurimedia * 15, rue de la Nuée Bleue 67000 Strasbourg T. 03 88 75 80 50 F. 03 88 23 56 32 sa...@sdv.fr <mailto:sa...@sdv.fr>NocSdV <https://twitter.com/NocSdV> LinkedIn <https://www.linkedin.com/in/salimgasmi> --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [JOBS] SdV recherche un administrateur système
SdV Plurimedia, hébergeur basé à Strasbourg recherche pour renforcer ses équipes un administrateur système. Sous la responsabilité du directeur technique, vous participerez à la gestion et à l'évolution de notre système d'information. La personne recherchée devra posséder une connaissance et expérience significative des technologies suivantes: - Linux - L'administration des logiciels open source courants chez un hébergeur : Apache,MySQL,PHP,MongoDB,Docker, - Programmation bash - Programmation PHP ou python ou perl Si vous souhaitez rejoindre une équipe dynamique, gérer plus d'un millier de serveurs et bénéficier d'un salaire attractif, n’hésitez pas à postuler surjobs-syst...@sdv.fr -- Salim GASMI Directeur Technique -- *SdV Plurimedia * 15, rue de la Nuée Bleue 67000 Strasbourg T. 03 88 75 80 50 F. 03 88 23 56 32 sa...@sdv.fr <mailto:sa...@sdv.fr>NocSdV <https://twitter.com/NocSdV> LinkedIn <https://www.linkedin.com/in/salimgasmi> --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [JOBS] SdV recherche un administrateur réseau et télécoms
SdV Plurimedia, hébergeur basé à Strasbourg recherche pour renforcer ses équipes un administrateur réseau et télécoms. Sous la responsabilité du directeur technique, vous participerez à la gestion et à l'évolution de notre réseau IPv4/v6 (AS8839). La personne recherchée devra posséder une connaissance et expérience significative des technologies suivantes: - Architecture des réseaux (LAN,WAN,backbone IP) - Routage IPv4 et IPv6 (OSPF,BGP4) - Sécurité et redondance des réseaux - MPLS - Cisco IOS - Bonne expérience des datacenters - Système Linux Si vous souhaitez rejoindre une équipe dynamique, gérer la securité de plus d'un millier de serveurs et bénéficier d'un salaire attractif, n’hésitez pas à postuler surjobs-syst...@sdv.fr -- Salim GASMI Directeur Technique -- *SdV Plurimedia * 15, rue de la Nuée Bleue 67000 Strasbourg T. 03 88 75 80 50 F. 03 88 23 56 32 sa...@sdv.fr <mailto:sa...@sdv.fr>NocSdV <https://twitter.com/NocSdV> LinkedIn <https://www.linkedin.com/in/salimgasmi> --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall
Bonjour, Perso, je suis un inconditionnel de Fortinet. Ils ont des appliances de 330€ à 1M€ en fonction de tes besoins. C'est simple de prise en main et ca fait a peu près tout ce que tu peux vouloir d'un firewall (UTM,VPN,IPS,Proxy transparent,...) A la maison j'ai un Fortinet 60D et ici à SdV j'ai beaucoup plus gros et je suis content du petit comme des gros depuis plus de 10 ans. La matrice des appliances: https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf Une idée de prix : http://www.firewallshop.fr/ Salim Le 23/08/2017 à 14:53, B Manu a écrit : Bonjour, je suis entrain de rechercher une solution de firewall(hardware ou virtuel) pour proposer a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS la solution serai heberge dans DC quel solution pouvez-vous me conseille ou deconseiller ou votre retour d'experience Merci d'avance. Cordialement, manu --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim GASMI Directeur Technique -- *SdV Plurimedia * 15, rue de la Nuée Bleue 67000 Strasbourg T. 03 88 75 80 50 F. 03 88 23 56 32 sa...@sdv.fr <mailto:sa...@sdv.fr>NocSdV <https://twitter.com/NocSdV> LinkedIn <https://www.linkedin.com/in/salimgasmi> --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [JOBS] Technicien système sur Strasbourg
SdV Plurimedia est un hébergeur spécialisé dans la conception et l’hébergement de sites de presse et à fort trafic. Nous recherchons pour renforcer notre équipe système un technicien système H/F. Votre mission consistera à infogérer et à maintenir en condition opérationnelle nos milliers de serveurs repartis dans nos datacentres. Les compétences suivantes sont indispensables pour le poste : - Diplôme BAC+2 ou plus en informatique - Maitrise de Linux et de bash (grep,sed,awk,sort,uniq ne vous font pas peur). - Maitrise d'un langage de programmation - Permis B obligatoire - Rigueur et capacité d'analyse sous pression Les compétences suivantes seront fortement appréciées : - Administration Apache,Varnish,Nginx,MongoDB,PowerDNS,MySQL,VMWare,Docker - Programmation PHP et SQL - Réseau (switching,routage IP,OSPF,BGP,..) Le poste est basé sur Strasbourg et est en 3x8 (6h-13h / 13h-19h / 19h-00h) Le contrat est un CDD renouvelable pouvant éventuellement déboucher sur un CDI. Le salaire sera défini selon le profil du candidat. Si vous souhaitez rejoindre une entreprise dynamique, gérer des milliers de serveurs, bloquer des attaques DDOS quotidiennement, il vous suffit d'envoyer un CV au format pdf à jobs-syst...@sdv.fr Salim -- Salim GASMI Directeur Technique -- *SdV Plurimedia * 15, rue de la Nuée Bleue 67000 Strasbourg T. 03 88 75 80 50 F. 03 88 23 56 32 sa...@sdv.fr <mailto:sa...@sdv.fr>NocSdV <https://twitter.com/NocSdV> LinkedIn <https://www.linkedin.com/in/salimgasmi> --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Origin chez les Tier1
Hello Fabien, C'est une technique assez classique pour se simplifier la vie. Dans l'algo de décision classique BGP, la comparaison du MED se fait après celle de l'IGP/EGP. Or beaucoup veulent utiliser le MED (forcé à la main) pour faire un tie break sur les AS paths de longueurs équivalentes (il y en a beaucoup). Donc en gros souvent on voit dans les confs: - bgp always-compare-med : pour faire que le MED soit utilisé même sur des AS sources différents - Une route-map qui force le MED a une valeur pour chaque peer - set origin igp : pour bypasser le point 5 et pouvoir profiter pleinement de bgp always-compare-med Salim Le 13/04/2017 à 20:28, Fabien VINCENT a écrit : Hello, Est ce que quelqu'un sait pourquoi un Tier1 ferait un "set origin igp" sur les prefixes reçus via une session eBGP ? Pas de nom, mais je constate que certains semblent le faire sans que j'ai d'explication encore sur les raisons. Là je broacaste sur la ML pour comprendre le vrai intêret soit technique, soit politique (je sais que ca break le bgp best path au step 5, mais pourquoi faire ca ?) Mis à part pour attirer du trafic chez lui en priorité par rapport aux autres Tier1 (qui aurait une origin incomplete suite ) un aggregate par exemple) et augmenter le Hot Potato Routing dans l'autre sens, je vois vraiment pas pourquoi un Tier1 ferait cela ... Any ideas ? PS : J'en profite qu'on soit encore Jeudi et non j'ai pas de fourchette de salaire à proposer ^^ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Différences entre optiques 10GBASE-LR et 10GBASE-LRM
De rien Michel. Utiliser du 10GLR en multimode est un vieux débat. En théorie ce n'est pas recommandé, dans la vraie vie ça marche ou pas en fonction du type de fibre MM (OM1,...) Et de la distance. Lis ça: https://www.flexoptix.net/en/blog/2011/09/getting-a-10g-stable-ethernet-link-even-when-using-old-multimode-fiber-om2-om1/ Certains arrivent à 600m sans CRC selon cet article sur des fibres préhistoires en plus. Si tu as 2 xfp en rab ça se tente, assure toi de bien tester dans le temps, l'article parle d'erreurs après quelques heures. Salim Le 29 mars 2017 02:04:37 Michel Pya écrit : Bonsoir Salim, Je t'invite à lire cela, une pluie de chiffres techniques t'y attendent. http://www.smartoptics.com/wp-content/uploads/2015/08/SO-XFP-LR-Rev-4.1.pdf http://www.smartoptics.com/wp-content/uploads/2015/08/SO-XFP-LRM-Rev-4.1.pdf Merci ! J'ai parcouru rapidement et par exemple j'y ai vu que l’émetteur optique du LRM avait une puissance optique max de +0.5dbm alors que le LR c'est +4dbm Justement, si je posais des questions c'est bien parce que j'avais une idée tordue derrière la tête; j'avais remarqué la même chose chez un autre vendeur : 3dB de plus çà ne me dérangerait pas. Chez mon vendeur Chinois habituel, il y a maintenant des optiques 10GBASE-LRM2 qui soi-disant vont à 2 km au lieu de 220 m, quelqu'un a essayé sur de la fibre de Mathusalem ? Question vraiment bête : si je mets une optique 10GBASE-LR avec une jarretière de conditionnement de mode sur une fibre multimode (FDDI), est-ce qu'il y a des chances que je pousse la distance maxi, par rapport à une optique 10GBASE-LRM ? Ou est-ce que çà va être noyé dans ce qui reste du differential mode delay (DMD) pareil ? Michel y'en a pas être trop futé : plus le laser d'émission il patate les dB plus il pousse les photons loin ? :-D Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Différences entre optiques 10GBASE-LR et 10GBASE-LRM
Bonsoir Michel, Je t'invite à lire cela, une pluie de chiffres techniques t'y attendent. http://www.smartoptics.com/wp-content/uploads/2015/08/SO-XFP-LR-Rev-4.1.pdf http://www.smartoptics.com/wp-content/uploads/2015/08/SO-XFP-LRM-Rev-4.1.pdf Tu y trouvera tes réponses je pense. Il semble y avoir pas mal de différences en fait. J'ai parcouru rapidement et par exemple j'y ai vu que l’émetteur optique du LRM avait une puissance optique max de +0.5dbm alors que le LR c'est +4dbm Salim Le 28/03/2017 à 04:55, Michel Py a écrit : Réponse consolidée aux questions qui me sont revenues en privé, par des gens qui ont l'éducation, l'intellect et l'expérience de comprendre mes questions (ce qui n'inclut pas tous les lecteurs ou contributeurs de cette liste) : - Ma fibrenoire est pre-FDDI. C'est du 62.5/125 MM avant que la couleur orange pour ce genre de fibre soit standardisée; au pif j'en ai la moitié en gris et l'autre en orange (la couleur du cable, à ne pas confondre avec les optiques "grises"). - Je pousse du 10GBASE-LX4 en prod à 390m au lieu de 300m; avec des optiques Cisco (v2 pour les optiques X2 car la carte WS-X6708-10G-3C n'aime pas les optiques X2 10G v1). Ceci étant dit j'ai aussi plein de Xenpak LX4 dans des SUP32-10G. Je sais que c'est pas une config supportée, mais çà marche. - Je pousse un peu plus de 500m sur du 1000BASE-LX en pseudo-prod (utilisateurs, pas outils). C'est pas supporté non plus, mais çà marche aussi. Dans les 2 cas j'ai des jarretieres de conditionement de mode. Et finalement, j'ai toujours pas de réponse à ma question, à part les vendeurs de pompes usées qui essaient de me vendre des services à la con en privé. C'est quoi la différence entre une optique 10GBASE-LR et une 10GBASE-LRM, à part les conneries que ceux qui ont eu besoin de regarder Wikipédia peuvent me dire ? Entre autres conneries à ne pas essayer de me raconter : l'optique LRM est alignée pour de la fibre multi-mode. Non. L'optique LRM est alignée pour une jarrertière de conditionement de mode, qui est monomode sur le laser qui transmet. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Géolocaliser des traceroutes, besoin de votre aide
Salut, Merci pour le lien. En fait j'utilise déjà cette base ainsi que d'autres (ddec,iata,..) Salim Le 24/05/2016 à 12:57, Baptiste Jonglez a écrit : Salut, J'imagine que tu connais déjà OpenIPMap, du RIPE ? https://ripe68.ripe.net/presentations/397-2014-05.ripe68.openipmap.emileaben.pdf https://ripe69.ripe.net/wp-content/uploads/presentations/83-2014-11.emileaben.ripe69.openipmap.pdf https://github.com/emileaben/django-openipmap Ca se base sur l'analyse des reverse DNS, des IP (IXP connus), un peu de crowdsourcing, et une vérification de la cohérence du résultat via le RTT. Tous les traceroutes d'Atlas peuvent être visualisés avec, par exemple : https://atlas.ripe.net/measurements/3679340/#!openipmap Baptiste On Mon, May 23, 2016 at 05:43:23PM +0200, Salim Gasmi wrote: Bonjour, Voila, cela fait maintenant plus d'un an que je travaille sur mon temps libre à un projet consistant a tenter de géolocaliser les routeurs d'un traceroute. Je sais, vous souriez et vous vous dites que c'est un projet mort d'avance ;) La méthodologie est simple, écrire un algo d'IA qui analyse les traceroutes comme un humain le ferait. En gros analyser les reverses, les latences plus un peu de bon sens pour essayer de géolocaliser correctement les hops. En s'appuyant en plus sur les bases déjà existantes comme openip du RIPE ou DDEC. Pour cela, cela nécessite des nodes dans des endroits différents pour croiser les informations. Par exemple une ip dont le reverse semblerait être à New York, mais qui depuis Paris ping en 3ms, l'algo peut détecter l'erreur. Après en tentant de la magie vaudou, on peut même essayer d'estimer ou pourrait se trouver le node en croisant avec les grosses villes et les autres nodes et un peu de bon sens. Le projet inclu déjà 4 nodes, 2 en France et 2 aux US (merci Michel!) Pour le moment, cela marche plus ou moins bien, en gros 90% des géolocalisations sont correctes. Cela pourrait sembler suffisant, mais sur un traceroute de 10 hops, cela fait 1 hop mal placé (et généralement pas pour rire). Donc, si je vous écrit tout cela, c'est que je recherche des nodes supplémentaires. Un node, c'est juste un machine ou vous me créez un compte ssh sur lequel le tool va se connecter et lancer la commande mtr. Donc le compte peut être chrooté ou en VM, voir même sous docker. L’intérêt d'avoir son node, c'est déjà pour aider et pouvoir s'amuser (vous êtes des geeks) à voir visuellement ses traceroutes depuis chez soi. Le must serait un node en asie ou amerique du sud (je sais, je suis exigent), mais je suis preneur de toute autre localisation. Exemple: un traceroute entre un node aux US et www.gov.kg au kyrgyzstan https://geotr.gasmi.net/index.php?node=1=www.gov.kg Si vous voulez jouer avec le tool, c'est ici: https://geotr.gasmi.net N’espérez pas avoir une précision au niveau des villes de France, c'est trop petit comme pays, je n'en suis pas encore la, trop peu de nodes. Bien sur, quand le code sera fonctionnel (ce n'est pas encore le cas, trop d'erreurs à mon gout), il passera en Open Source. Merci d'avance aux geeks qui voudraient participer, c'est encore du beta, mais malgré cela, je ne connais pour le moment, aucun autre outil moins faux que celui la ;) Salim Ps: Inutile de me remonter les traceroutes erronés que vous ne manquerez pas de trouver, j'en ai déjà pour toute une vie en base. Par contre, si vous bossez chez un opérateur et/ou que vous êtes sur qu'un routeur est mal placé et que vous êtes certain de sa vraie localisation, je suis preneur de l'info. Ca me permettra de comprendre pourquoi l'algo a lamentablement foiré. -- *Salim GASMI* Directeur Technique <sa...@sdv.fr> <mailto:sa...@sdv.fr> -- *SdV Plurimedia* 15 rue de la Nuée Bleue 67000 Strasbourg T. 03 88 75 80 50 / F. 03 88 23 56 32 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Géolocaliser des traceroutes, besoin de votre aide
Ha genial ca ! NYC et HK m’intéresseraient bien :) Merci ! Salim Le 23/05/2016 à 17:50, Laurent Seror a écrit : Tu veux un compte Outscale ? (Paris, New York, Hong Kong). Je peux te filer une micro VM dans chaque ville principale sans problème. L. Le 23 mai 2016 à 17:43, Salim Gasmi <sa...@sdv.fr <mailto:sa...@sdv.fr>> a écrit : Si vous voulez jouer avec le tool, c'est ici: https://geotr.gasmi.net -- Best Regards - Cordialement Outscale, le Cloud Francais <https://www.outscale.com> Laurent Seror, President Tel : 0826.206.307 (poste 101) Fax : +33.1.83.62.92.89 Facebook <https://www.facebook.com/outscale> Twitter <https://www.twitter.com/outscale> Google+ <https://plus.google.com/b/100656673964345909019/> IMPORTANT: The information contained in this message may be privileged and confidential and protected from disclosure. If the reader of this message is not the intended recipient, or an employee or agent responsible for delivering this message to the intended recipient, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error, please notify us immediately by replying to the message and deleting it from your computer. -- *Salim GASMI* Directeur Technique <sa...@sdv.fr> <mailto:sa...@sdv.fr> -- *SdV Plurimedia* 15 rue de la Nuée Bleue 67000 Strasbourg T. 03 88 75 80 50 / F. 03 88 23 56 32 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Géolocaliser des traceroutes, besoin de votre aide
Je vais lire ca avec attention. Par contre, faudra que je sache ou sont les nodes pour que mon algo fonctionne. Salim Le 23/05/2016 à 17:52, Stephane Bortzmeyer a écrit : On Mon, May 23, 2016 at 05:50:28PM +0200, Salim Gasmi <sa...@sdv.fr> wrote a message of 872 lines which said: Ca serait génial, mais peut on se connecter sur une sonde Atlas et lancer un mtr ? Sinon, je ne le suggérerai pas :-) http://www.bortzmeyer.org/traceroute-atlas.html https://labs.ripe.net/Members/stephane_bortzmeyer/using-ripe-atlas-to-debug-network-connectivity-problems -- *Salim GASMI* Directeur Technique <sa...@sdv.fr> <mailto:sa...@sdv.fr> -- *SdV Plurimedia* 15 rue de la Nuée Bleue 67000 Strasbourg T. 03 88 75 80 50 / F. 03 88 23 56 32 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Géolocaliser des traceroutes, besoin de votre aide
Ca serait génial, mais peut on se connecter sur une sonde Atlas et lancer un mtr ? Salim Le 23/05/2016 à 17:48, Stephane Bortzmeyer a écrit : On Mon, May 23, 2016 at 05:43:23PM +0200, Salim Gasmi <sa...@sdv.fr> wrote a message of 97 lines which said: Donc, si je vous écrit tout cela, c'est que je recherche des nodes supplémentaires. Un node, c'est juste un machine ou vous me créez un compte ssh sur lequel le tool va se connecter et lancer la commande mtr. Pourquoi ne pas utiliser les sondes Atlas ? Le must serait un node en asie ou amerique du sud (je sais, je suis exigent), mais je suis preneur de toute autre localisation. -- *Salim GASMI* Directeur Technique <sa...@sdv.fr> <mailto:sa...@sdv.fr> -- *SdV Plurimedia* 15 rue de la Nuée Bleue 67000 Strasbourg T. 03 88 75 80 50 / F. 03 88 23 56 32 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Géolocaliser des traceroutes, besoin de votre aide
Bonjour, Voila, cela fait maintenant plus d'un an que je travaille sur mon temps libre à un projet consistant a tenter de géolocaliser les routeurs d'un traceroute. Je sais, vous souriez et vous vous dites que c'est un projet mort d'avance ;) La méthodologie est simple, écrire un algo d'IA qui analyse les traceroutes comme un humain le ferait. En gros analyser les reverses, les latences plus un peu de bon sens pour essayer de géolocaliser correctement les hops. En s'appuyant en plus sur les bases déjà existantes comme openip du RIPE ou DDEC. Pour cela, cela nécessite des nodes dans des endroits différents pour croiser les informations. Par exemple une ip dont le reverse semblerait être à New York, mais qui depuis Paris ping en 3ms, l'algo peut détecter l'erreur. Après en tentant de la magie vaudou, on peut même essayer d'estimer ou pourrait se trouver le node en croisant avec les grosses villes et les autres nodes et un peu de bon sens. Le projet inclu déjà 4 nodes, 2 en France et 2 aux US (merci Michel!) Pour le moment, cela marche plus ou moins bien, en gros 90% des géolocalisations sont correctes. Cela pourrait sembler suffisant, mais sur un traceroute de 10 hops, cela fait 1 hop mal placé (et généralement pas pour rire). Donc, si je vous écrit tout cela, c'est que je recherche des nodes supplémentaires. Un node, c'est juste un machine ou vous me créez un compte ssh sur lequel le tool va se connecter et lancer la commande mtr. Donc le compte peut être chrooté ou en VM, voir même sous docker. L’intérêt d'avoir son node, c'est déjà pour aider et pouvoir s'amuser (vous êtes des geeks) à voir visuellement ses traceroutes depuis chez soi. Le must serait un node en asie ou amerique du sud (je sais, je suis exigent), mais je suis preneur de toute autre localisation. Exemple: un traceroute entre un node aux US et www.gov.kg au kyrgyzstan https://geotr.gasmi.net/index.php?node=1=www.gov.kg Si vous voulez jouer avec le tool, c'est ici: https://geotr.gasmi.net N’espérez pas avoir une précision au niveau des villes de France, c'est trop petit comme pays, je n'en suis pas encore la, trop peu de nodes. Bien sur, quand le code sera fonctionnel (ce n'est pas encore le cas, trop d'erreurs à mon gout), il passera en Open Source. Merci d'avance aux geeks qui voudraient participer, c'est encore du beta, mais malgré cela, je ne connais pour le moment, aucun autre outil moins faux que celui la ;) Salim Ps: Inutile de me remonter les traceroutes erronés que vous ne manquerez pas de trouver, j'en ai déjà pour toute une vie en base. Par contre, si vous bossez chez un opérateur et/ou que vous êtes sur qu'un routeur est mal placé et que vous êtes certain de sa vraie localisation, je suis preneur de l'info. Ca me permettra de comprendre pourquoi l'algo a lamentablement foiré. -- *Salim GASMI* Directeur Technique <sa...@sdv.fr> <mailto:sa...@sdv.fr> -- *SdV Plurimedia* 15 rue de la Nuée Bleue 67000 Strasbourg T. 03 88 75 80 50 / F. 03 88 23 56 32 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Visualisation des mesures de RIPE Atlas Anchor
Bonjour, Stéphane nous avait en 2012 parlé du projet RIPE Anchor, cela m'avais donné envie d'y participer en hébergeant un anchor. Entre temps on a développé des visualisations simples basées sur les mesures remontées par les sondes du projet Atlas. Si cela vous intéresse ou peut vous donner envie de participer au projet en hébergeant un anchor, l'article décrivant ce qu'on a mis en place se trouve ici: https://labs.ripe.net/Members/salim_gasmi/visualising-ripe-atlas-anchor-measurements Cordialement, Salim -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Retours d’expérience sur FabricPath Cisco
Bonjour à tous, Je cherche à avoir des retours d’expériences sur la version propriétaire Cisco de TRILL qu'est FabricPath. Sur le papier, ca a l'air bien, en lab avec du nexus 5500 ça semble marcher, mais avant d'aller plus loin je suis preneur de vos retours pour m’éviter de mauvaises surprises lors de la mise en prod (style la version XXX de NexusOS est bugée, ou ) Je compte déployer une archi super simple avec une dizaine de leafs et deux spines sur des nexus 5548. Merci d'avance. Salim --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Géolocalisation tricks
Bonjour à tous, Cela fait longtemps que l'ai l'envie à titre perso de mapper dynamiquement un traceroute sur un globe terrestre. Évidemment, c'est une mission impossible dans l’état actuel des choses car : - La RFC1876 est encore expérimentale (et tout le monde s'en cogne de se faire chier à remplir des coordonnées gps de chaque équipement). - Les bases geoip qui sont approximatives surtout pour les ips d'interco entre routeurs. Je m'y suis quand même essayé, le résultat est visible ici: http://www.gasmi.net/geotr pour les curieux. C'est donc pour le moment souvent faux pour les raisons citées précédemment. Si je m'adresse à vous, c'est justement pour essayer de trouver des tricks et conseils pour essayer d’améliorer le rendu. Actuellement voici l'algo que j'applique pour chaque hop: - Je regarde si il y a des records DNS RR LOC rfc1876 (je sais je suis optimiste) - J'essaye de mapper le nom de la ville en fonction du reverse (les city codes dans le reverse sont courants chez les operateurs) - J'utilise une base geoip et essaye de détecter les erreurs flagrantes (style le nexthop est a 6000km et la latence n'a varié que de 1ms) Évidemment, cela ne suffit pas et il y a encore des erreurs grossières. Je suis donc preneur d'algo/conseils plus ou moins malins pour essayer d’avoir le moins d'erreurs possibles en attendant 2199 que tout le monde remplisse ses champs LOC. Merci d'avance pour vos idées. Salim --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Retour d'expérience sur optiques 10GbE
Bonjour, Ici tous nos SFP+ 10G (colorés ou pas) sont des Solid Optics pour des raisons évidentes de prix. On doit en avoir 50-60 codés Cisco en service actuellement et aucun souci n'est à reporter. Salim Le 04/06/2014 21:22, Florian Coulmier a écrit : Bonjour, Quelqu'un a-t-il déjà tenté avec succès l'utilisation de SFP+ 10G SR solid optics ( http://www.solid-optics.com/category/optical-modules/sfp-plus/sfp-10g-sr---so) ou autre marque sur des serveurs HP Proliant équipés de cartes 10GbE ? En comparant les prix des optiques constructeurs face à des optiques d'autres marques, je suis vraiment tenté par cette alternative (au détriment les recommandations officielles du constructeur). Il y a quand même un rapport de 1 à 6 voir 1 à 8 sur le prix final entre les 2 ! Cependant, n'ayant jamais fait le test pour valider que ça fonctionne pour de vrai, je cherche à avoir un retour d'expérience là dessus avant de passer commande. Par ailleurs, si vous l'avez déjà testé, avez-vous utilisé un micro-code HP ou un micro-code Cisco (sachant que la carte 10GbE est basée sur un contrôleur Intel) ? L'utilisation d'un micro-code de la marque n'est-elle pas surtout utile pour les switchs ? Etrangement, suivant le micro-code, il y a aussi un écart de prix entre les 2 optiques (plus faible, mais quand même significatif). Merci pour vos retours Florian --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Soyez sympas, hébergez un Ancre RIPE Atlas
Ce projet est une bonne initiative, je viens de postuler. Salim Le 12/11/2013 10:46, Stephane Bortzmeyer a écrit : Vous avez un réseau qui marche bien, stable et de bonne capacité ? Vous voulez aider l'humanité en fournissant des amers http://www.bortzmeyer.org/amer-mire.html efficaces pour les mesures réseau ? Alors, hébergez une Ancre RIPE Atlas. Ce sont des machines 1U qui vont servir à la fois de super-sondes Atlas et surtout d'amers pour les mesures. https://labs.ripe.net/Members/suzanne_taylor_muzzin/announcing-the-ripe-atlas-anchors-service L'AFNIC en héberge déjà une, fr-cdg-as2486.anchors.atlas.ripe.net, maintenant c'est votre tour. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] : cisco, juniper, what else ?
Bonjour, Perso, je resterai sur les standards de fait (aka Cisco,Juniper), pour l'aspect couts le greymarket Hollondais sait faire des miracles. Salim Le 21/10/2013 14:50, JC PAROLA a écrit : Bonjour à tous, Parmi la domination de Cisco et Juniper dans le monde du datacenter pour les routeurs de bordure et suite à rachat de foundry par Brocade, j'aurais aimé votre retour d'expérience sur des routeurs pour du BGP full view avec un transit de 100 Mb/s et 250kpps ? J'ai lu que 3com (HP) faisait également des routeurs. En terme de dimensionnement il faudrait un CISCO 38**. Le but étant de réduire le coût pour du PRA entre 2 sites distants. Merci JCP --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Bonjour, ici on utilise la solution Arbor avec leur TMS et c'est pas mal du tout. Pour plus de détails, en off list. Cordialement, Salim Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Bonsoir Jeremy, J'ai fait tourner mon réseau avec des solutions open source pendant des années, et on peut des fois s'en sortir sans un boitier hors de prix, je l'ai fait, tu l'as fait et d'autres aussi. je suis content que tu ai réussi a t'en sortir dans ton cas spécifique sans lâcher un zillion d'euros, cela prouve qu'en étant intelligent et compétent on peut faire des choses, et c'est toute la beauté du métier d’ingénieur. Ce qui me gène beaucoup dans ton discours, c'est que tu fais de ton cas particulier un cas général. Je pourrais te citer pleins de cas ou ta solution (que j'ai bien écoutée lors du dernier Frnog) ne sera pas efficace la ou un boitier Arbor/Corero/Radware/XXX le sera. Dire ou sous entendre qu'on peut s'en sortir dans tous les cas avec une solution maison (la tienne ou une autre) est totalement faux. Dans la vraie vie, on a pas le droit de couper 3 jours le temps d’écrire un truc, dans la vraie vie si l'attaquant est motivé il attaque de pleins de façons différentes, et le cout d'une attaque réussie peut vite couter plus cher que le prix d'une appliance amortie sur 3 ans (120K/36mois cela ne fait que €/mois). Cordialement, Salim Le 14/10/2013 21:13, Jérémy Martin a écrit : Comme je l'explique en privé, c'est clairement trop cherpour notre bourse. Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne et fait son taf, avec des barbu qui répondent au téléphone derrière. Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que ma solution fonctionne pour les besoins que j'en ai. Et ça m'évite de facturer une solution qui me parait normal d'inclure de base dans mes tarifs. A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de nos jours, il est clairement irréaliste de demander à 95 % des AS français de mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça. Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé pas mal de barbus. Cordialement, Jérémy Martin Le 14/10/2013 21:08, Guillaume Barrot a écrit : Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi
Re: [FRnOG] [TECH] Router-ID sur BGP
Bonsoir, En fait l'id est juste un entier sur 32 bits qui doit être unique entre les membres du mesh bgp. On le représente sous la forme d'une ip par simple convention. Généralement, les gens mettent une des ips du routeur (une de ses loopback) car cela facilite le debug mais c'est en aucun cas une obligation. Tu peut donc mettre n'importe quoi puisque en fait ce n'est pas une ip mais juste un nombre, il faut juste qu'il soit unique dans le mesh bgp. Salim Le 12/10/2013 18:50, Antoine Durant a écrit : Bonjour, Une ptite question concernant la valeur à donner à router-id dans la configuration BGP (Quagga). Si je comprends le truc, il n'est pas nécessaire de mettre un router-id car le router est capable lui même de prendre automatiquement une adresse ipv4 sur ces interfaces et de se l'assigner en tant que router-id. Est-il possible de configurer une IP non routable (par exemple 192.168.1.1/24) au router-id, ou, faut-il imperativement que l'adresse soit routable ?? Bonne soirée ! --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Router-ID sur BGP
Bonsoir Antoine, Il doit etre unique dans le mesh, c'est a dire entre tous les participants i/ebgp donc il ne doit pas entrer en collision avec un id d'une des sessions ebgp de tes transitaires/clients. C'est pour cela qu'on prend souvent une de ses propres ip, cela assure que le voisin a l'autre bout du lien n'ai pas choisi le même. Si tu veux mettre 1 il faudra le saisir au format dotted decimal a savoir 0.0.0.1 Je te conseille quand même de choisir une de tes ips, cela évitera que l'admin du routeur d'en face ai eu la même idée que toi et ai aussi mis 0.0.0.1 Salim Le 12/10/2013 19:20, Antoine Durant a écrit : Bonsoir Salim, Ok, donc je peux numéroter mon router n°1 avec bgp router-id 1 et pour le routeur 2 bgp router-id 2, etc ?? Quand tu parles du mesh bgp, cela veux dire que dans mon AS il faut impérativement que le router-id soit unique ? Cela n'a aucune incidence si par exemple mon peer a le même router-id que moi, puisque le router-id est interne à l'AS ou il tourne ?? De : Salim Gasmi sa...@sdv.fr À : Antoine Durant antoine.duran...@yahoo.fr Cc : frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Samedi 12 octobre 2013 19h08 Objet : Re: [FRnOG] [TECH] Router-ID sur BGP Bonsoir, En fait l'id est juste un entier sur 32 bits qui doit être unique entre les membres du mesh bgp. On le représente sous la forme d'une ip par simple convention. Généralement, les gens mettent une des ips du routeur (une de ses loopback) car cela facilite le debug mais c'est en aucun cas une obligation. Tu peut donc mettre n'importe quoi puisque en fait ce n'est pas une ip mais juste un nombre, il faut juste qu'il soit unique dans le mesh bgp. Salim Le 12/10/2013 18:50, Antoine Durant a écrit : Bonjour, Une ptite question concernant la valeur à donner à router-id dans la configuration BGP (Quagga). Si je comprends le truc, il n'est pas nécessaire de mettre un router-id car le router est capable lui même de prendre automatiquement une adresse ipv4 sur ces interfaces et de se l'assigner en tant que router-id. Est-il possible de configurer une IP non routable (par exemple 192.168.1.1/24) au router-id, ou, faut-il imperativement que l'adresse soit routable ?? Bonne soirée ! --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Peering directe OVH
Bonjour, Vous cherchez un peering public (via un point d’échange) ou un peering privé ? Si c'est un peering public, OVH est présent sur les routes serveurs du France-IX (donc a priori politique de peering ouverte). cf: https://www.franceix.net/fr/members-resellers/members/ Depuis mon AS (qui est aussi sur les RS de France-IX) cela donne : http://bgpmap.sdv.fr/index.php?dst=www.ovh.fr Si c'est un peering privé que vous cherchez, il va falloir les contacter. Salim Le 04/10/2013 15:34, Yoann THOMAS a écrit : Bonjour à tous, Je cherche à monter un peering avec OVH, et je ne sais pas trop à qui m'adresser, si quelqu'un connait la méthode je suis preneur. PS : Je ne connais pas du tout la politique de peering d'OVH. Cordialement, -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Peering directe OVH
Bonjour, Effectivement, bien qu'ils sont listés comme étant sur le RS de FranceIX ici https://www.franceix.net/fr/members-resellers/members/ Je ne les voie que par les RS de l'AMSIX. Il faut que j’arrête de faire confiance à des pages web le vendredi moi ;) Salim Bonjour, Je confirme, j'ai dû monter une session directe sur FranceIX, je ne les voyais pas sur les RS. Ils ne sont d'ailleurs pas listés sur tools.franceix.net. ++ François Le 4 octobre 2013 17:13, Frederic Dhieux frede...@syn.fr a écrit : Bonjour, Sur les RS de l'AMS-IX OK, mais à ma connaissance et à celle de mes routeurs pas sur les RS de FranceIX (ou alors y'a du filtrage). Frédéric Le 10/4/13 5:00 PM, Salim Gasmi a écrit : Bonjour, Vous cherchez un peering public (via un point d’échange) ou un peering privé ? Si c'est un peering public, OVH est présent sur les routes serveurs du France-IX (donc a priori politique de peering ouverte). cf: https://www.franceix.net/fr/members-resellers/members/ Depuis mon AS (qui est aussi sur les RS de France-IX) cela donne : http://bgpmap.sdv.fr/index.php?dst=www.ovh.fr Si c'est un peering privé que vous cherchez, il va falloir les contacter. Salim Le 04/10/2013 15:34, Yoann THOMAS a écrit : Bonjour à tous, Je cherche à monter un peering avec OVH, et je ne sais pas trop à qui m'adresser, si quelqu'un connait la méthode je suis preneur. PS : Je ne connais pas du tout la politique de peering d'OVH. Cordialement, --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Transit OpenTransit
Bonsoir, Si un commercial qui gère la vente de transit chez OBS/OpenTransit/AS5511 lis ce mail ou si vous avez un contact efficace à partager, merci de me contacter off liste. En vous remerciant par avance. Cordialement, Salim --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [JOBS] SdV recherche un admin réseau junior à Strasbourg (CDI)
SdV Plurimedia, hébergeur basé à Strasbourg recherche pour renforcer ses équipes un administrateur réseau et télécoms junior. Sous la responsabilité du directeur technique, vous participerez à la gestion et à l'évolution de notre réseau IPv4/v6 (AS8839). La personne recherchée devra posséder une connaissance significative des points suivants: - Architecture des réseaux (LAN,WAN,backbone IP) - Routage IPv4 et IPv6 (OSPF,BGP4) - MPLS - Sécurité et redondance des réseaux - Cisco IOS - Linux Idéalement jeune diplômé Bac+5 universitaire ou école d'ingénieur, nous étudierons aussi tout CV pouvant justifier d'un Bac+2 et d'une expérience significative dans les télécoms. Si vous vous reconnaissez dans ce descriptif, que vous êtes rigoureux et avez envie de travailler dans une entreprise à taille humaine n'hésitez pas à nous envoyer votre CV à sa...@sdv.fr Salim Gasmi -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] contact postmaster OVH
Puisque la mode du jour est de citer des RFC Le RFC 1912 section 2.1 dit: [...] Make sure your PTR and A records match. For every IP address, there should be a matching PTR record in the in-addr.arpa domain. {...] Question subsidiaire, RFC c'est masculin ou feminin ? Salim Le 04/04/2013 19:48, Sebastien PLOT a écrit : Merci aux membres de la liste qui ont répondu. La piste de radu et de benjamin était la bonne. aaa IN A a.b.c.d != a.b.c.d IN PTR aaa Le 04/04/2013 19:00, Radu-Adrian Feurdean a écrit : On Thu, Apr 4, 2013, at 11:57, Sylvain Rochet wrote: Ce qui est tout aussi faux, il n'y a aucune restriction sur la chaîne suivant le HELO/EHLO. Une fois sorti du monde des bisounours qui respectent les RFC a la regle et de la facon la plus relaxe possible, une fois revenu dans le monde reel, pas mal d'hebergeurs de mailbox imposent des restrictions sur la partie HELO/EHLO, le plus souvent argument = reverse of connecting IP, qui lui resoud sur ce meme IP: une connexion venant de X.Y.Z.T doit fournir un HELO/EHLO toto.example.com, ou toto.example.com IN PTR X.Y.Z.T et Z.Y.X.T IN A toto.example.com. Si ce n'est pas le cas, tu est libre de ne pas envoyer des mails aux hebergeurs en question. Regards, --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [JOBS] SdV Recherche un administrateur réseau et telecom
SdV Plurimedia, hébergeur basé à Strasbourg recherche pour renforcer ses équipes un administrateur réseau et Telecom confirmé. Le poste à pourvoir est un CDI basé à Strasbourg, le salaire est négociable selon le niveau d'expérience. La personne recherchée participera à la gestion et à l'évolution de notre réseau IPv4/v6 (AS8839) sous la direction du directeur technique. La personne recherchée devra posséder une parfaite connaissance et une expérience significative dans les domaines suivants: - Architecture des réseaux (LAN,WAN,backbone IP) - Routage IPv4 et IPv6 (OSPF,BGP4+) - MPLS, MPLS-VPN - Sécurité et redondance des réseaux - Déploiement de réseau en datacenter. - Cisco IOS Les compétences suivantes seront grandement appréciées: - Maitrise de JUNOS - Maitrise de Linux - Connaissance des solutions des constructeurs Arbor networks, Fortinet - Connaissance des problématiques techniques liées à l'hébergement de sites à forte audience. Si vous vous reconnaissez dans ce descriptif, que vous êtes rigoureux et avez envie de travailler dans une entreprise à taille humaine n'hésitez pas à nous envoyer votre CV à sa...@sdv.fr Salim Gasmi --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ICMP / IPv4 / IPv6 / Orange / ...
Bonsoir, J'ai contacté Intel a propos de ce bug car nous avons pas mal de serveurs utilisant ce chip. Leur réponse est claire, cela n'affecte pas tous les chips 82574L mais seulement certains avec un mauvais firmware issu d'un certain fabricant de carte mères. Donc c'est moins grave que cela en a l'air, pour être impacté il faut utiliser les cartes mères dudit fabricant (Taiwan's Lex Computech) Source pointée par mon contact chez Intel: http://www.wired.com/wiredenterprise/2013/02/packet-of-death Salim Le 09/02/2013 15:03, Jérôme Nicolle a écrit : Le 09/02/2013 14:12, Jérémie Marguerie a écrit : Je profite de l'actualité pour ressortir un sujet sur l'ICMP. Filtrer l'ICMP, une sécurité[1] ? [1] Intel Network Card (82574L) Packet of Death http://isc.sans.edu/diary/Intel+Network+Card+%2882574L%29+Packet+of+Death/15109 Dans la mesure ou n'importe quel paquet de n'importe quel protocole portant une valeur donnée à un ofset donné va déclencher le bug, l'ICMP n'a encore une fois rien à voir avec le problème. Il se trouve que ping étant disponible partout, c'est le plus simple pour générer un tel paquet. Mais après tout, on devrait pouvoir le générer avec à peu près n'importe quel serveur applicatif (dont le protocole permet de placer des données à cet ofset). Bon, maintenant que la faille est bien connue, on peut parier que les fping et hping3 vont tourner à fond chez quelques anonymes. /me va remplacer son routeur perso, justement équipé de ces chips Intel. -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Frnog et profs/chercheurs/écoles [Was: Le routage, enjeu de cyberstratégie]
Bonjour à tous, je vais ajouter ma part de bruit dans ce brouhaha. Je ne comprends pas du tout le sens de ce débat. Deux choses sont surprenantes (en tous cas me surprennent): 1: Le GBICGate est assez surréaliste, c’était un simple filtre anti bot et n'importe qui (chercheur ou pas) pouvait trouver la réponse et il est délirant d'y voir une forme de filtrage autre que de s'assurer que l'interface chaise clavier est dotée d'un cœur (et d'un cerveau). J'ai fait le test avec mon fils de 10 ans qui n'est ni chercheur, ni informaticien, il a tappé tout seul GBIC image et SFP image dans google et a trouvé la bonne réponse en moins d'une minute. Venir ici se plaindre de la pratique relève de la mauvaise foi. 2: Le discours de certains ici sur la méconnaissance supposée du monde réseau concret et du monde de l'entreprise des universitaires. Oui, c'est vrai, un chercheur ne reconnait pas naturellement un GBIC d'un SFP, par ce que ce n'est pas son metier. Son métier c'est de chercher (et éventuellement trouver) des choses qui seront ensuite implémentés dans le monde réel. Grace a Bresenhem nos ordis savent tracer des lignes. Grace a Dijkstra ont fait du routage Grace aux theories des graphes ont fait de l'optimisation de routes Grace aux matheux cryptographes on sécurise nos données. La liste est très longue. Tout ce qu'on fait en opérationnel a d'abord été pensé par un chercheur dans son lab, et je suis content qu'il ne connaisse pas un GBIC d'un SFP ca c'est pour les graisseux comme moi qui se bornent a le brancher dans le trou sans comprendre exactement comment il marche. Alors oui, un peu de respect pour les chercheurs et universitaires n'est pas de refus, la recherche fondamentale est la base de notre métier. Salim --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Transit Hurricane ou Neo ?
Bonjour, Le choix d'un transitaire additionnel devrait a mon humble avis se faire sur une étude des routes dudit transitaire a croiser avec les routes qu'on utilise/souhaite améliorer. Idéalement, il faudrait déjà connaitre le profil de ton trafic, quels sont les top 50 AS en origine et en destination. Une fois ces informations connues (Netflow peut répondre gratuitement a cette question) il faut croiser cela avec les routes apportées par le transitaire additionnel. Si je fais 90% de mon trafic vers la France je ne vais pas opter pour les même transitaires que si je fait 90% vers l'Asie. Perso, j'applique l'algo suivant : - je trouve les 50 AS en in et out en les triant du plus gros au plus petit. - Je supprime de la liste ceux avec qui je peer sans saturer - Pour chaque AS qui reste je regarde si le nouveau transitaire m'apporte une route meilleure, si oui j'ajoute des points de la valeur du trafic estimé vers/depuis cet AS je fais ca pour chaque AS et ca me donne une idée précise que je pondère avec l'aspect . Des fois, avec cet Algo on a des surprises :) Salim Le 30/11/2012 08:19, Loic Sarrali a écrit : Bonjour, J'ai la même demande qu'Olivier mais ne voulant pas polluer son poste ;=) Je regarde pour souscrire du transit et j’hésite entre: Hurricane Neo Telecom J'ai les prix de Hurricane, pas ceux de Neo mais cela ne devrait pas tarder. bon mon besoin n'est pas élevé, faible commit mais port Gigabits. L’objectif est de compléter les trois transitaires que j'ai (Cogent, Level3 et Sfr) Ce que je cherche a savoir, c'est pour ceux qui ont déjà du transit de l'un de mes transitaire, si Hurricane/Neo Telecom arrivent a capter du flux. Cela sous entends si ils ont ders routes plus courte/direct que d'autres. Merci d'avance Salutations Loic --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Sup720-3BXL et préfixes v4
Bonsoir, Le nombre de préfixes v4 annoncés en BGP augmentant régulièrement, j'ai du reconfigurer le partitionnement de la TCAM de mes cisco 7600 équipés de sup720-3BXL. Toutefois, en regardant le graph de l’évolution du nombre de préfixes ici: http://bgp.potaroo.net/as6447/ on voit bien l’accélération. Mon sentiment est qu'avec la rarification des ipv4 on va avoir de plus en plus de désagrégation et que cela va encore accélérer dans les prochains temps. Sans jouer à madame Irma, pensez vous que les 800K préfixes soient possible ou vous avez des arguments qui militent pour une stagnation ? Car si on devait atteindre les 800K, il faudrait pour les possesseurs de 720-3bxl comme moi penser à passer a autre chose et la je me demande bien quoi choisir en restant chez cisco . Comme j'aime bien anticiper les problèmes, si vous avez des suggestions ou conseils je suis preneur. Cordialement, -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
fonctionalité 0/10. Ah merde, l'argument qui tue en avant-vente !! Meci oles :) Bloquer un slowloris, c'est une ligne de conf dans HAProxy a+ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Consommation électrique Cisco.
Bonjour, Voila ce que ca donne avec une sup720-3bxl + 2xX6704-10G + X6724-SFP qui fait du 736Kpps au moment du dump: - /border-gateway#sh power system power redundancy mode = redundant system power total = 1869.42 Watts (44.51 Amps @ 42V) system power used = 1257.48 Watts (29.94 Amps @ 42V) system power available = 611.94 Watts (14.57 Amps @ 42V) Power-Capacity PS-Fan Output Oper PS Type Watts A @42V Status Status State -- --- -- -- -- - 1PWR-1900-AC/6 1869.42 44.51 OK OK on 2PWR-1900-AC/6 1869.42 44.51 OK OK on Pwr-Allocated Oper Fan Type Watts A @42V State -- --- -- - 1FAN-MOD-6HS 180.18 4.29 OK Pwr-Requested Pwr-Allocated Admin Oper Slot Card-Type Watts A @42V Watts A @42V State State -- --- -- --- -- - - 1WS-X6724-SFP125.16 2.98 125.16 2.98 onon 4WS-X6704-10GE 295.26 7.03 295.26 7.03 onon 5WS-SUP720-3BXL 328.44 7.82 328.44 7.82 onon 6WS-X6704-10GE 328.44 7.82 328.44 7.82 onon /- Salim Le 18/07/2012 16:37, Alexandre Legrix a écrit : Bonjour. Nous cherchons à savoir, si il existe un tableau comparatif des consommations électrique de différents matériel Cisco afin de bâtir un modèle économique long terme. Je ne trouve pas ce type d'information. Je cherche à savoir par exemple combien consomme pour de vrai un : 6503-E + sup32 + 6724 ou un 3750G-12s A pleine charge avec tous les ports qui poussent du trafic, ou pas … etc ... Si quelqu'un sait ou je peux chopper l'info, je lui serai reconnaissant. Alexandre Legrix. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Consommation électrique Cisco.
Si ca peut aider Alexandre, sur le routeur du dump il y avait: 7 interfaces Gig up sur la carte 1 1 interface 10G up sur la carte 4 4 interfaces 10G up sur la carte 6 Salim Le 18/07/2012 19:17, Surya ARBY a écrit : C'est pas tant le nombre de pps qui compte que le nombre de ports up dans le châssis et la consommation associée en terme de Watts par port. Surya Le 18/07/2012 19:10, Salim Gasmi a écrit : Bonjour, Voila ce que ca donne avec une sup720-3bxl + 2xX6704-10G + X6724-SFP qui fait du 736Kpps au moment du dump: - /border-gateway#sh power system power redundancy mode = redundant system power total = 1869.42 Watts (44.51 Amps @ 42V) system power used = 1257.48 Watts (29.94 Amps @ 42V) system power available = 611.94 Watts (14.57 Amps @ 42V) Power-Capacity PS-Fan Output Oper PS Type Watts A @42V Status Status State -- --- -- -- -- - 1PWR-1900-AC/6 1869.42 44.51 OK OK on 2PWR-1900-AC/6 1869.42 44.51 OK OK on Pwr-Allocated Oper Fan Type Watts A @42V State -- --- -- - 1FAN-MOD-6HS 180.18 4.29 OK Pwr-Requested Pwr-Allocated Admin Oper Slot Card-Type Watts A @42V Watts A @42V State State -- --- -- --- -- - - 1WS-X6724-SFP125.16 2.98 125.16 2.98 onon 4WS-X6704-10GE 295.26 7.03 295.26 7.03 onon 5WS-SUP720-3BXL 328.44 7.82 328.44 7.82 onon 6WS-X6704-10GE 328.44 7.82 328.44 7.82 onon /- Salim Le 18/07/2012 16:37, Alexandre Legrix a écrit : Bonjour. Nous cherchons à savoir, si il existe un tableau comparatif des consommations électrique de différents matériel Cisco afin de bâtir un modèle économique long terme. Je ne trouve pas ce type d'information. Je cherche à savoir par exemple combien consomme pour de vrai un : 6503-E + sup32 + 6724 ou un 3750G-12s A pleine charge avec tous les ports qui poussent du trafic, ou pas … etc ... Si quelqu'un sait ou je peux chopper l'info, je lui serai reconnaissant. Alexandre Legrix. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cohabition HSRP + VRRP
Salut, Aucun souci pour faire cohabiter les deux. HSRP utilise UDP (port 1935) alors que VRRP utilise le protocole IP 112. Bien sur les deux utilisent du multicast. Salim Le 21/06/2012 11:36, Germain Maurice a écrit : Salut tout le monde, J'ai une baie avec un transit IP sur un lien actif/passif moyennant l'utilisation de 2 switchs + du HSRP, ça fonctionne bien, pas de souci. J'aimerais sur cette infra pouvoir mettre en place du 2 HAproxy avec du VRRP entre les deux. Est-ce que la cohabitation des 2 normes est bien possible en sein d'un même réseau ? Merci à vous ! --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
Bonjour Gurvan, La vraie question me semble plutôt être : Est ce plus à vous ou à OVH de protéger VOS clients ?. Il me semble pour ma part évident que c'est tout d'abord à l’hébergeur qui est payé par ses clients de fournir un hébergement de qualité. Un hébergement de qualité aujourd’hui sous entend un certain nombre de points dont la protection contre les DDOS/flood fait aussi partie. C'est une réalité technique que personne ne peut plus ignorer. Il existe aujourd’hui pas mal de solutions techniques plus ou moins dispendieuses pour essayer de s'en protéger. La plupart ont étés déjà présentées ici (flowspec,communautés BGP, système de mitigation (Arbor,Corero,...), clean pipe payant,..). ici à SdV, le budget dédié à la protection DDOS est conséquent (Arbor TMS+Peakflow), on aurait préféré utiliser cet argent pour autre chose, mais ainsi va la vie, il en va de notre survie. Ne pas se protéger soi même ses clients est un choix qu'il faut assumer, je peux comprendre qu'on fasse l'impasse sur ces protections pour des raisons économiques, par contre je comprend moins quand ensuite on demande aux autres de le faire à sa place. En l'absence de législation forçant les AS à nettoyer leur trafic sortant, il me semble logique que ce soit fait chez les hébergeurs en entrée (qui sont payés par des clients). Donc, je ne vois pas pourquoi OVH devrait nettoyer son trafic sortant pour vous (alors que vous ne le faites pas vous même en entrée). Pour ce qui est du filtrage entre vos deux réseaux, c'est effectivement une mesure technique qui me semble démesurée de la part d'OVH, je vous invite à essayer de discuter avec eux pour trouver un compromis plutôt que de lancer des polémiques publiques qui n'apaiseront pas le débat. Mais encore une fois, si vous aviez eu ce qu'il fallait pour vous protéger (ou travailler avec des upstreams en ayant la capacité) vous ne seriez pas dans cette situation, s'acharner publiquement sur OVH (qui du fait de sa position sur le marché sera souvent une source d'attaques) ne me parait pas la bonne approche technique ni commerciale. Cordialement, Salim --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
Bonjour, Je viens de tomber sur un truc bizarre. A ce que je constate, les resolvers de free ne répondent pas a une query de type A quand la réponse est une ip privée. Démonstration en interrogeant le grand 8.8.8.8: - [salim@dedix ~]# dig switch48.sdv.fr. @8.8.8.8 ; DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 switch48.sdv.fr. @8.8.8.8 ;; global options: printcmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: NOERROR, id: 47131 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;switch48.sdv.fr.INA ;; ANSWER SECTION: switch48.sdv.fr.86169INA172.20.1.48 ;; Query time: 82 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Thu Dec 8 16:12:29 2011 ;; MSG SIZE rcvd: 49 - On voit bien que Google a répondu 172.20.1.48, ce qui est correct. Posons la même question a dns1.proxad.net: - [salim@dedix ~]# dig switch48.sdv.fr. @dns1.proxad.net ; DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 switch48.sdv.fr. @dns1.proxad.net ;; global options: printcmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: NOERROR, id: 41696 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;switch48.sdv.fr.INA ;; Query time: 9 msec ;; SERVER: 212.27.40.240#53(212.27.40.240) ;; WHEN: Thu Dec 8 16:13:53 2011 ;; MSG SIZE rcvd: 33 - La réponse est vide. J'ai testé avec plusieurs IP privées dans plusieurs domaines, cela semble généralisé. Question subsidiaire : Combien de RFC ce comportement viole t'il ? Cordialement, Salim -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Orange / Cogent : la pression monte
a coté de Cogent à du transit 100 fois meilleurs que Cogent. Donc ce n'est pas une histoire de pognon. ET meme FT aujourd'hui a drôlement baissé ses tarifs. Donc meme un petit op peut se payer une 100 Mbps de transit orange. Pour moi, le marché FR ne les intéresses pas, pourtant la stratégie des POP locaux à ce jour serait une bonne solution pour éviter d'engorger les routes au lieu d'héberger tout à Paris et d'engorger les réseaux. De toutes, les GIX et data center départementaux vont se créés a grandes brassé pour mettre les données au plus pres du clients. Cogent ont tout, ils ont du fric, des pop, c'est le moment de parler d'hebergement local, et ils s'endorment et prennent pour des cons les clients qui essayent de faire quelque chose sur leur pop vide Je ne comprends pas la logique qui se cache derrière de tels actes Emmanuel -Message d'origine- De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Mathieu Paonessa Envoyé : lundi 29 août 2011 13:25 À : Julien Escario Cc : Liste FRnoG Objet : Re: [FRnOG] Orange / Cogent : la pression monte Salut! Les sujets trollesques sortent directement le lundi matin : http://pro.clubic.com/entreprises/orange-france-telecom/actualite-443042-tra fic-internet-cogent-porte-plainte-orange.html Si ça se confirme, ça créé un précédent non ? Et la décision de l'autorité risque de jeter un sacré froid sur les discussions en matière de neutralité du net ... RDV dans 6 mois ? J'aurais bien dit rendez vous dans 3 semaines à l'EPF mais aucun des deux ne vient malheureusement :( Mathieu --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] multiplexer CWDM passif a conseiller ?
Bonjour, Je pense bientôt passer un de mes liens 10G de 10km en techno CWDM pour bénéficier de plusieurs couleurs . Quels équipements me conseillez vous, sachant que je cherche un truc simple a 4 ou 8 couleurs, passif, et qui ne tombe pas en panne tous les 3 jours . Si vous avez des retours d'expérience a partager, je suis preneur . Merci . Salim -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia
[FRnOG] Souci de routage 5511
Bonsoir, Je remarque depuis deux heures des soucis de routage au sein de l'AS 5511 . Le souci est similaire a une panne datant de 2010 qui avait été signalée ici, mais je n'ai pas retrouvé le thread dans les archives . Le symptôme est le même que la dernière fois, a savoir qu'en fonction de l'ip source on a soit 0% soit 90%+ de loss vers certaines ips de 3215 si on passe par 5511 . De plus, comme la dernière fois, le souci est asymétrique, seuls les paquets 3215 vers 5511 ont du loss et pas l'inverse . Ceci donne un joli effet ressemblant a tort a un DDOS syn flood sur les serveurs a fort trafic . En effet, si vous avez la chance d'avoir un site web (ou autre) avec une ip qui loss chez OT, 90% des établissements de connexions TCP en provenance de 3215 partent en sucette car votre serveur reçoit bien les SYN mais l'émetteur ne reçoit jamais votre SYN+ACK car perdu dans la nébuleuse OT, de fait votre serveur se retrouve plus ou moins vite saturé de connexions ouvertes en attente. J'espère que quand je me réveillerais demain, le souci sera réglé, en attendant, si vous voyez des comportements bizarres sur vos serveurs, faites un netstat ;) Cordialement, Salim qui va se coucher . -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia
Re: [FRnOG] GBLX / ORANGE
Bonsoir, Je suis d'accord avec toi Raphael, on a aujourd'hui quelques options possibles . Concrètement, quand on est un fournisseur de contenu français, bien joindre 3215 est une obligation . Comme choix, il y a : 1: Acheter du transit OpenTransit , qu'il faudra considérer comme un peering super cher avec 3215 . 2: Choisir un transitaire Tier 1 qui a la chance d'être dans les bonnes grâces d'Orange et qui ne sature pas avec Open Transit . 3: Choisir un transitaire Tier 2 qui a du paid peering avec 5511 . 4: Être assez gros pour négocier un paid peering pas trop cher avec 5511 . Après chacun fait son choix en fonction de ses moyens et de son éthique vis a vis de la politique d'Orange . A SdV, on a durant un an optés pour l'option 1, finalement on a retenu la 2, mais j'ai longtemps hésité avec l'option 3 de chez un operateur qui a un nom a la matrix et que tu connais bien . Cordialement, Salim Le 15/01/2011 18:43, Raphael Maunier a écrit : Hello, Je ne suis pas d'accord avec toi sur ce point. Il ne faut pas mélanger le transit ( qui est le sujet ici). On ne parle pas d'accès. Il y a plus de possibilité que tu ne crois pour joindre 3215. Aujourd'hui 3215 peere avec l'ensemble des gros réseaux eyeball en France et achète sa connectivité internationale a 5511. Entre 5511 et 3215 il n'y a pas de saturation délibérée. La ou l'on pourrait trouver de la saturation est entre 5511 et ses peers (qu'ils soient gratuits ou payants). il n'y a PAS que les Level3, Gblx, ou Cogent pour joindre 3215 ( 5511_3215). Opentransit n'oblige personne a prendre du transit chez ces derniers. Opentransit ne peut pas non plus ouvrir les tuyaux tout le temps a certains transitaires low-cost pour lesquels la notion de qualité n'est qu'un concept. Donc il est possible de joindre 3215 sans saturation, charge a l'acheteur qui désire de la qualité de faire son choix. -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Du taf sur Strasbourg .
Bonjour, Si vous recherchez un emploi (ou connaissez quelqu'un) en ces périodes de fêtes, sachez que SdV recherche un technicien. Plus d'info ici : http://fr.lolix.org/search/offre/offre.php?id=13631 Ps: Oui, je sais, ce n'est pas le but premier de cette liste, mais je me suis dit que cela pourrait égayer le Noël de quelqu'un de trouver du taf . Joyeuses fêtes ! Salim -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia
Re: [FRnOG] sup720 3-BXL
Bonjour, Ici j'utilise du cisco 7600 avec de la sup720-3BXL et cela marche parfaitement avec 5 full routes + un full mesh IBGP a 3 routeurs . Je ne vais pas rentrer dans le troll 6500 != 7600 pour moi ce sont les mêmes châssis et j'ai donc envie de dire que oui cela va marcher . Cordialement, Salim Le 16/07/2010 11:34, Renaud RAKOTOMALALA a écrit : Bonjour, Quelqu'un a t il un bon retour d'expérience sur l'utilisation de c6500 avec des cartes sup720 3-BXL pour faire office de routeur de bordure ? Actuellement j'utilise des 7200 avec NPE-G2 mais je n'ai pas une concentration de port suffisante pour arriver au résultat voulu. Le c6500/sup720-3BXL me semble un bon compromis coût/capacité mais on a déjà eut une mauvaise expérience avec un c6500/sup32 sur la gestion du BGP donc on est tout de suite moins rassuré :( Quelqu'un a t il déjà utilisé ce type de matos pour gérer une (voir deux) session full bgp et quelques peering privées ? Renaud --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaque par injections SQL
Bonjour, Si vous portez plainte des qu'un bot essaye de l'injection SQL, vous n'avez pas fini, c'est tres courant . Le plus sur contre ce type d'attaques reste la formation des programmeurs a la securité informatique . En 2010 je considere comme criminel de mettre un argument recupéré sur la query string dans une requete SQL sans l'avoir verifié, escapé, etc . La formation des programmeurs, eventuellement un equipement style IDS et/ou IPS me semblent un minimum aujourd'hui . Je ne pense pas que porter plainte vous sera d'une quelconque utilité, a part vous faire perdre du temps . Cordialement, Salim At 27/02/2010 14:26, Greg wrote: Bonjour, cette nuit, et ce matin on a subit des attaques par injection SQL depuis une IP au Canada, dans le but de récupérer des informations. Type: WHERE id='.$_GET['val'] qui devient: WHERE id=0/**/or/**/1=1/**/order/**/by/**/1-- Yen a qui vont prendre cher lundi On va porter plainte, et la police va faire son travail... mais j'aimerais prendre les devants et essayer d'obtenir des infos. J'ai déjà fais un scan (nmap -sS -A -T4) qui ne me retourne aucune infos, tout est filtré: je pense donc que c'est vraiment lui derrière, et pas un PC zombie ni un proxy ni un équipement réseau. Est-ce que vous avez des techniques permettant d'en savoir un peu plus sur Kevin ? -- Greg --- Liste de diffusion du FRnOG http://www.frnog.org/ *** Gasmi Salim - SdV Plurimedia http://www.sdv.fr Directeur technique / C.T.O PGP Key available at: http://www.gasmi.net/pgp.txt ***
Re: [FRnOG] AS/Structure dont les but sont manifestement douteux
Bonsoir, 3 questions me viennent à l'esprit: - pensez vous que nullrouter les annonces de cet AS va a l'encontre de la net neutrality Cela depend du null routeur. Si c'est un AS de transit, alors oui cela va clairement a l'encontre de la neutralité, En tant que client je ne souhaite pas que mes upstreams decident de ce que je peux voir ou ne pas voir . En gros, les operateurs et les FAI, clairement ne seraient plus neutres et cela poserait des problemes ethiques majeurs, sur qui decide de filtrer quoi . Par contre si l'AS nul routeur est un AS final, qui ne revend pas du transit, alors il est libre de faire ce qu'il veut sur son reseau, Au meme titre que je peux decider de ne pas afficher les pubs chez moi a la maison sur mon navigateur . En gros, si l'entreprise XX decide de filtrer ces routes pour le bien de ses salariés, cela ne me choque pas plus que cela . On peut ensuite discuter sur le bien fondé du filtrage, mais a mon sens chacun fait ce qu'il veut sur SON reseau si cela n'impacte pas d'autres reseaux . - pensez vous qu'il faille fair quelque chose contre ce type de malfaisant ? - quoi ? Oui, mais pas au niveau du transport, c'est une mauvaise approche, mais plutot au niveau legislatif . Cordialement, Salim --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Numericable : mauvaise techno ou mauvais réseau ?
Bonsoir, Je suis surpris que le vieux troll Cable vs ADSL genere encore autant d'octets smtp . Nous savons tous ici, que la qualité d'une connexion cable depend de pleins de parametres comme la qualité de l'installation du client, du blindage de son installation, du bruit sur la poche ou il est connecté et des parasites ambiants . Au meme titre qu'en ADSL cela va dependre de la distance avec de DSLAM, de la qualité de la ligne du client, ... De plus, il n'y a pas que la techno, il y a aussi l'aspect technico-commercial, a savoir le taux de foisonement, combien d'abonnés par carte chaque operateur va mettre. Quand l'operateur decidera d'ouvrir un nouveau BSR/DSLM par ce qu'il estimera que c'est necessaire, tout cela agit aussi sur le ressenti de l'internaute. Tout le monde pourra y aller de ses petits exemples (cable/adsl marche bien/pas chez moi) cela reste a mon sens anectdotique et de toute facon non representatif . La seule methode viable pour repondre a ce troll serait d'avoir des retours en masse sur le ressenti reel des clients (via des benchs ou un sondage) mais nous n'avons rien de fiable a la date d'aujourd'hui . Comme l'a signalé Xavier Niel, les classements 01net/IP Label ne sont a priori pas representatifs de la realité du terrain, en tout cas j'ai personnelement du mal a croire a un classement qui est fait sur quelques lignes decretées representatives,j'ai vite fait d'imaginer que les dites lignes soient traitées avec le plus grand soin par les operateurs, mais cela n'engage que moi, je suis peut etre un vieux mefiant cynique . Tout cela manque finalement de transparance pour les pauvres clients que nous sommes, chaque operateur criant haut et fort etre le meilleur pour attirer le chaland. Il suffit de poser ce genre de question sur un forum et voir les informations contradictoires pleuvoir (XX c'est pas bien, XX c'est top,...) Quand on me demande conseil sur un operateur internet grand public, je repond systematiquement que je n'en sais rien, cela depend de trop de parametres pour pouvoir savoir a l'avance si cela va marcher correctement, je donne comme exemple qu'a mon ancienne adresse, Free marchait du feu de dieu, et Numericable pas du tout, alors qu'a ma nouvelle adresse, c'est tout l'inverse Salim --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] AS 32 bits et cisco
Bonjour, Comme les AS a 4 octets vont bientot faire leur apparition debut 2009, et que je n'ai que moyennement envie de voir des AS23456 partout dans nos tables de routage, je me demandait si cisco avait deja sorti un IOS qui supporte les AS 32bits . En particulier pour les 7600/6500, je n'ai rien trouvé sur le site cisco .. je suis preneur de toute info . Merci d'avance . Salim - Salim Gasmi Directeur technique - Sdv Plurimedia - http://www.sdv.fr - --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Coût de mise en place d'un AS.
At 07/11/2007 11:44, Artur Pydo wrote: Bonjour à tous, Je lis régulièrement cette ML, mais c'est la première fois que j'écris. Soyez indulgents. :) Le dernier fil de discussion sur l'IPv6 a eu pour effet de déclencher une mini tempête sous mon crane. J'expérimente/utilise l'IPv6 depuis bien longtemps. Au départ en tant que client chez Nerim puis avec BTExact quand j'ai migré chez Free et accessoirement chez OVH sur mon Kimsufi. Comme il semble que la pénurie d'adresses IPv4 qui s'annonce depuis bien longtemps semble s'approcher de plus en plus, je me demandais quel est le coût administratif (approximatif) de la mise en place d'un AS avec une classe C en PI sinon un petit bloc de classes C pour les besoins d'une petite boîte. Il s'agirait de gérer un réseau avec 2 opérateurs en BGP4. J'ai déjà mis en place ce genre de solutions il y a quelques années, mais le contexte était un peu différent et je n'ai pas/plus ce genre d'éléments aujourd'hui. Merci par avance pour vos lumières. --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour, Le cout n'est pas tres elevé. Il faut prevoir en gros: 1: Le cout pour devenir LIR au RIPE (style 1500 / an quand on est SMALL ou EXTRA SMALL) 2: Un routeur (ou 2) sachant faire du BGP, en gros aui a assez de ram pour 2 upstreams full routes cela peut couter 1500 avec un quagga sous Linux, 4000 pour un cisco 7200 chez un broker, ou 30K pour un juniper :) 3: Le cout de formation du personel et envoi d'au moins une personne a un RIPE training, ce qui occasionne quelques couts de deplacements. Apres c'est une histoire de moyens que vous deciderez de mettre dans l'infra reseau, mais si je devais faire un tres low cost cela ne couterait pas grand chose, style: RIPE 1500 + PC sous Quagga 1500 + Envoi d'une personne a Amsterdam 1000 = 4000 Maintenant, cela ne veut pas dire que c'est l'archi que je preconiserait, mais la n'etait pas la question initiale . Cordialement, Salim --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Club-Internet filtre tout/trop !
Bonjour, j'ai quand meme un doute, tellement c'est enorme, sans parler du fait que j'arrive a envoyer du mail a CI alors que je ne suis aucun des FAI cités . cf la trace suivante depuis la machine factorix.sdv.fr --- telnet mx.club-internet.fr 25 Trying 194.158.120.25... Connected to mx.club-internet.fr. Escape character is '^]'. 220 relay-9v.club-internet.fr ESMTP Postfix ehlo sdv.fr 250-relay-9v.club-internet.fr 250-PIPELINING 250-SIZE 28735780 250-ETRN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN mail from: [EMAIL PROTECTED] 250 2.1.0 Ok rcpt to: [EMAIL PROTECTED] 250 2.1.5 Ok data 354 End data with CRLF.CRLF Test, merci d'ignorer ce mail . 250 2.0.0 Ok: queued as 4B20525601 quit 221 2.0.0 Bye Connection closed by foreign host. --- Cordialement, Salim At 11/09/2007 12:54, LOUPIAS Cédric wrote: Bonjour a tous, Nous constatons depuis quelques jours que certains de nos clients ne recoivent plus nos mails dés lors qu'ils sont abonnés à Club-Internet ... Nous avons donc regardé de plus prés ce qu'il en était et avons contacté club-internet. Il s'avére qu'ils ont changé leur politique en matiére de filtrage de Spam pour s'orienter vers une voie quelque peu ...draconnienne ! En effet si leur serveur smtp emetteur du mail à destination d'un abonné de CI n'appartient pas à Orange ( smtp.orange.fr ), free (smtp.free.fr) ou encore Alice, il est tout simplement refusé (d'aprés les infos serveurs que nous obtenons / d'aprés un administrateur de chez CI ) !! Cette mesure est *relativement* génante dans la mesure ou elle n'autorise plus les smtp privés ( sans compter les applicatifs qui tournent sur une machine web et qui utilisent l'envoi de mail : confirmation d'inscription, de commande sur un site marchand par exemple ...) Avez vous remarqué ce genre de probléme ? Par avance merci. Cédric http://www.domaine-achat.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ - Salim Gasmi Directeur technique - Sdv Plurimedia - http://www.sdv.fr - --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] as-set et member-as
At 06/08/2007 16:21, Greg VILLAIN wrote: Bonjour à tous, Voici une question à dix sous: Disons que je dispose d'un AS# et que je souhaite connaitre tous les AS qu'il annonce (leur AS# suffira). Je souhaite utiliser la DB d'un IRR quel qu'il soit. Dans mon esprit, il n'y a pas de référence à l'AS-SET dans un reccord AUT-NUM. Du coup, que ça soit en récursif ou en inverse-lookup, je vois pas du tout comment je pourrais faire ça. Je précise également que je souhaite à tt prix éviter la solution qui vise à lire une table BGP dans un premier temps. Si quelqu'un a une info, je suis preneur ! Merci à tous d'avance, Greg VILLAIN Network Architect / Dailymotion Corp. Bonsoir, Effectivement, il n'y a aucune relation entre un objet as-set et un au-num dans la base du RIPE et de fait il n'y a pas de methode sure pour retrouver l'as-set d'un as . Perso, j'utilise la feinte suivante: je pars du principe qu'il y a de tres fortes chances que l'objet mainteneur (mnt-by) soit le meme pour l'aut-num et l'as-set . C'est bien sur une supposition, mais ca marche tres souvent . Donc il suffit de trouver l'object maintener d'un AS et ensuite retrouver l'objet as-set qui a le meme mainteneur. style : maint=$(whois -r -T aut-num AS8839 | grep ^mnt-by: | cut -d: -f2) asset=$(whois -r -T as-set -i mnt-by $maint | grep ^as-set: - cut -d: -f2) Cordialement, Salim --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Wanadoo / Orange SMTP
At 28/06/2007 09:11, Dominique Rousseau wrote: Le Wed, Jun 27, 2007 at 07:43:30PM +0200, Salim Gasmi [EMAIL PROTECTED] a écrit: Bonsoir, Je pense que c'est aussi aux FAI de lutter pour un un internet plus propre, Et l'étape d'après, c'est quoi, le retour de la censure ? Non, mais les FAI ont a mon sens, le devoir de participer activement a essayer de maintenir Internet dans un etat propre. Il ne faut pas confondre limitation et censure, la liberté n'a jamais été l'autorisation de pouvoir faire tout et n'importe quoi. Pour moi envoyer 100,000 spams / heure n'est pas compatible avec l'esprit d'un internet libre et bloquer le spammeur ne releve pas de la censure mais du devoir . Un exemple non lié au SPAM, j'estime par exemple qu'il devrait etre obligatoire quand on est FAI de filtrer les IPs sources de ses clients pour s'assurer qu'ils ne spoofent pas avant de les emmetre sur le net, de meme, un FAI devrait etre dans l'obligation de limiter le nombre de mails emis par un particulier (avec une limite tres haute) afin de lutter contre les spammeurs, ces deux exemples simples sont tres souvent deja mis en place chez certains FAI et je trouve cette demarche intelligente et responsable (meme si souvent ces mesures sont en place pour des raisons plus mercantiles). Gerant une grosse plateforme SMTP pour un gros compte, j'ai le plaisir de m'endormir le soir en me disant que limiter le nb de mails emis par un abonné / jour permet de bloquer plusieurs centaines de millions de spam par mois sans jamais gener un utilisateur non spammeur, c'est du simple bon sens et crier betement a la censure est non seulement irresponsable mais detruit ce qu'on essaye tous de preserver, a savoir un internet ou quand j'ouvre mon mail le matin, je n'ai pas 10,000 offres commerciales . Cordialement, Salim --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Wanadoo / Orange SMTP
Bonsoir, Je pense que c'est aussi aux FAI de lutter pour un un internet plus propre, ainsi je pense que toute action luttant contre le spam est une bonne mesure, le spam etant devenu intolerable . Filtrer sauvagement le port est un peu rude, perso j'aurais preferé un truc a la Free ou chaque abonné ai eu le choix . Mais le debat merite d'etre ouvert, vaut il mieux leser 1% de la population (ceux qui ont un serveur MX chez eux) pour diminuer le spam recu par les 99% autres (dans l'hypothese purement theorique ou tous les FAI feraient ce filtrage). Je n'ai pas d'avis encore tranché sur la question, mais ce dont je suis sur, c'est que si on continue a ne rien faire d'efficace contre le spam ca n'ira que de pire en pire . Cordialement, Salim At 27/06/2007 19:21, Léo Goehrs wrote: Est-ce qu'un fournisseur d'accès a le droit de filtrer les ports de son client dans les CGV ? Sinon, on pourrait aller plus loin et carrément interdire certains site, et bientôt mettre un proxy global comme au viet-nam. Imaginez que Wanadoo interdise l'accès aux pages persos de free. Ce n'est que le premier pas mais un filtrage global me semble une bien bien mauvaise idée qui va a l'encontre du principe de l'Internet. Si encore il y avait un contrôle individuel, on pourrait considérer cela comme un progrès pour protéger l'utilisateur. La, on force les utilisateurs et c'est, il me semble une atteinte a la liberté et donc une régression. Bref, je suis contre et j'espère que ceux qui souhaiterons aller dans ce sens le feront en réfléchissant un peu plus. Cordialement Léo Goehrs -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Vincent Gillet - Opentransit Sent: mercredi 27 juin 2007 18:40 To: frnog@frnog.org Subject: Re: [FRnOG] Wanadoo / Orange SMTP [EMAIL PROTECTED] disait : Le 27 juin 07 à 16:50, Will van Gulik a écrit : Et vu la clientele ciblé (le end-user et son pc zombie), ils ne proposent pas de solution pour detourner le problème. Etant donné que personne de Orange Mail ne répond, je vais tacher de donner les infos que j'ai (en espérant ne pas me faire taper sur les doigs, mais je considere qu'il n'y a rien de secret là dedans ...). Cela évite aux gens compétents en SMTP de cherche l'erreur ou devancer le probleme. Chez FT par contre, je ne suis pas certain qu'il y ait ce genre de gestion de conf individualisée pour chaque Livebox. Ca ne m'étonnerait pas tant que ça que le filtrage se fasse plus loin sur les équipements réseaux. Ce qui est évidemment beaucoup moins élégant, et ingérable si chacun commence à demander une exception. :)--- Le filtrage dans la livebox a été écarté car tout le monde n'est pas en livebox. Ce filtrage est en cours de mise en place sur les BAS. Il est déployé par région. Cela commence cette semaine et se terminera en aout. Un pilote a été nemé quelques mois sur un BAS. Il est concluant. Les gens du SAV ont été informé il me semble. Pas possible de mettre en place des exceptions car le filtrage est global au BAS, non lié à la session de l'utilisateur. 1/ Ne rien me reprocher sur le mechanisme ni la méthode de mise en place. Je n'en suis pas responsable 2/ Je n'ai pas plus d'info que cela. 3/ A titre perso, je trouve que cette mise en place est une bonne chose pour la lutte anti-spam. Vincent. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ - Salim Gasmi Directeur technique - Sdv Plurimedia - http://www.sdv.fr - --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] BGB avec Quagga
Bonsoir, J'ai pris une petite heure pour dumper et analyser ma table BGP, et voici quelques stats pour ceux qui aiment ca, Nb entrees dans ma table : 238456 Repartition CIDR: /30 : 1 (0.000 %) /29 : 0 (0.000 %) /28 : 5 (0.002 %) /27 : 7 (0.003 %) /26 : 4 (0.002 %) /25 : 4 (0.002 %) /24 : 126768 (53.162 %) /23 : 21323 (8.942 %) /22 : 19634 (8.234 %) /21 : 15015 (6.297 %) /20 : 16823 (7.055 %) /19 : 15018 (6.298 %) /18 : 7147 (2.997 %) /17 : 4344 (1.822 %) /16 : 10411 (4.366 %) /15 : 950 (0.398 %) /14 : 506 (0.212 %) /13 : 264 (0.111 %) /12 : 141 (0.059 %) /11 : 41 (0.017 %) /10 : 16 (0.007 %) /9 : 11 (0.005 %) /8 : 23 (0.010 %) On voit que nous en sommes a 53% de /24, c'est tres loin d'etre negligeable . Sur ces 53% de /24, je me suis amusé a compter le nombre de plus specifiques et cela nous donne 32% d'entres elles (soit 16% du total) . Mon avis est un peu celui de Benjamin, decreter arbitrairement que la limite devrait etre /24 n'est pas bonne, certains AS n'ont pas besoin de plus et ont besoin d'un AS pour le multi homing un petit hebergeur en est un bon exemple . D'un autre coté, il y a clairement de l'abus, beaucoup utilisent la desagregation comme technique de routage sans tenir compte que cela coute a tout le monde Pourquoi pas une blaklist des AS les plus desagregateurs ? si les gros operateurs les filtraient, ils trouveraient vite une solution, vous ne pensez pas ? Cordialement, Salim --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Encore de la théorie....
At 17/08/2006 14:25, olivier lonnière wrote: En effet, j'ai appris que les hebergeurs avaient souvent plusieurs liens arrivant sur leur infrastructure, je me suis donc poser la question de savoir comment ils faisaient pour répartir equitablement ou selon des contraintes techniques ou financières leurs liens. J'ai vu qu'il y avait un système de communautés ou/et de préférences ... est ce que je suis dans le juste ? Je vous remercis par avance de vos lumières. Et dans le cas ou je serais HS, je m'en excuse également. Bonjour Olivier, Repartir le traffic entrant et sortant sont deux problemes distincts qu'il faut addresser de maniere differente . Pour le traffic sortant, quand tu as n upstream providers, tu as en general n AS-PATHs vers une annonce precise, et une d'entres elle est elue best route en fonction de criteres comme la longeur de l'AS-PATH,le poids,la localpref,med,. Libre a toi de t'amuser a modifier tes preferences locales (les localprefs) pour privilegier de sortir par l'upstream de ton choix. A noter, que le multi exit disciminator (med) peut etre pratique comme tie break en cas d'egalisté des AS-PATHs, en bref , il faut modifier ses localprefs a la main. C'est long, c'est fastidieux, et comme la topologie du net change de temps en temps (nouveau peering de tes upstreams par exemple), la configuration faite a la main est generalement assez vite obsolete et il faut recommencer . Pour le traffic entrant, c'est encore plus penible, en effet, les autres AS ont eux aussi le droit de jouer avec leur localprefs tout comme toi, et en conclusion c'est eux qui ont le dernier mot, tout ce que tu peux faire, c'est les inciter a passer par un lien plutot qu'un autre en allongeant artificielement ton AS-PATH annoncé avec du preprending . Une autre methode est effectivement les communautés, ou tu peux par exemple demander a un de tes upstream AS, de ne pas annoncer tel prefixe, ou de le prepender 2 fois . Cela reste assez empirique et fastidieux comme methode car comme dit precedement les localprefs des emmeteurs sont prioritaires et cela depend encore des changement de topologie du net. Je concluerais en disant, qu'avoir une grande finesse d'equilibrage avec BGP est assez dur, cela reste possible avec de la configuration manuelle mainte fois recommencée, c'est pourquoi beaucoup de gens qui ne maitrisent pas leur courbes de traffic preferent de loin un modele de facturation du transit en burst plutot qu'en flat . Cordialement, Salim - Salim Gasmi Directeur technique - Sdv Plurimedia - http://www.sdv.fr - --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] BGP et MD5
At 4/22/2004 10:30 AM, you wrote: Bonjour la liste, Je voudrais vous soumettre mon interrogation sur un embalement qui semble se declarer chez les operateurs IP, a savoir la securisation des sessions BGP via authentification MD5. Est-ce une mesure de protection face a un reele trou de securité majeur, ou est ce le resultat d'un embalement paranoïaque de la part des ISP. Toujours est il que l'on ne compte plus les demandes de securisation MD5 des sessions inter-operateurs sur les noeuds d echanges tel que le SFINX, Parix, FreeIX. Quand on interroge les initiateurs de ces demandes, on n'obtient pas de reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille potentielle de leur systeme ? Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan des vulnerabilités de BGP. Donc paranoia ou danger réel, c est a vous de me dire JPh Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php --- Apres avoir bien lu le rapport Frantz diffusé sur Nanog, la conclusion est que BGP est assez secure en terme d'injection de routes en provenance d'un intrus car celui ci devrait faire du spoofing donc faire di TCP sequence prediction ce qui est estimé dans le rapport a 4 ans de flood intensif . Par contre le gros point, est le risque d'injection de routes malicieuses par une session deja existante a qui ont fait confiance. C'est pourquoi le gros conseil est de systematiquement filtrer les annonces que l'on recoit (cf RaToolSet et RtConfig). L'ajout d'une authentification MD5 nous assure qu'on parle au bon peer et cela bloque les attaques de type ARP spoofing qui sont facilement realisables sur un gix quelconque. Pour resumer, il faut filtrer ses annonces en cas ou un peer se fait compromettre son routeur et mettre du MD5 pour bloquer les attaques de type ARP spoofing, par contre rien a craindre du cote du spoofing TCP. Salim - Salim Gasmi Directeur technique - Sdv Plurimedia - http://www.sdv.fr - Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---