Re: [FRnOG] [TECH] Documentation API fortigate

[Salim Gasmi]

Bonjour,

Elle est documentée, mais il faut un accès chez Fortinet pour télécharger la 
documentation.
Je t'en ai trouvée une (pas la dernière forcement) ici: 
http://www.tuncaybas.com/FOS_JSON_REST_API_523.pdf

Cordialement,

Salim

Le 01/10/2018 à 15:06, Louis a écrit :

Bonjour,

je cherche une doc qui décrive l'usage des API sur fortigate.

Je vois qu'il y a une API dispo mais elle n'a pas l'air documentée. Je me
trompe ?

https://github.com/openstack/networking-fortinet/blob/5ca7b1b4c17240c8eb1b60f7cfa9a46b5b943718/networking_fortinet/api_client/templates.py

Par exemple :

https://fortigate/api/v2/cmdb/router/static/

cordialement,

Louis

---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Salim GASMI
Directeur Technique
--

*SdV Plurimedia *
15, rue de la Nuée Bleue
67000 Strasbourg
T. 03 88 75 80 50
F. 03 88 23 56 32

sa...@sdv.fr <mailto:sa...@sdv.fr>NocSdV <https://twitter.com/NocSdV>   
LinkedIn <https://www.linkedin.com/in/salimgasmi>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] CDI Technicien Linux sur Strasbourg

[Salim Gasmi]

SdV Plurimedia, hébergeur basé à Strasbourg spécialiste de l’hébergement de 
sites à fort trafic, recherche un/une technicien Linux pour renforcer ses 
équipes.

Sous la responsabilité du directeur technique, vous participerez à la gestion 
et à l'évolution de notre système d'information.

La personne recherchée devra posséder une bonne connaissance de Linux et de bash

Le poste à pourvoir est en horaires de type 3x6 (Matin,Journée,soir)

Si vous souhaitez rejoindre une équipe dynamique, gérer plus d'un millier de 
serveurs, bloquer des DDOS quotidiennement et bénéficier d'un salaire 
attractif, n’hésitez pas à postuler surjobs-syst...@sdv.fr

Nota: Les débutants motivés et autodidactes compétents sont les bienvenus.

Salim Gasmi

--
Salim GASMI
Directeur Technique
--

*SdV Plurimedia *
15, rue de la Nuée Bleue
67000 Strasbourg
T. 03 88 75 80 50
F. 03 88 23 56 32

sa...@sdv.fr <mailto:sa...@sdv.fr>NocSdV <https://twitter.com/NocSdV>   
LinkedIn <https://www.linkedin.com/in/salimgasmi>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] CDI Administrateur système sur Strasbourg

[Salim Gasmi]

SdV Plurimedia, hébergeur basé à Strasbourg spécialiste de l’hébergement de 
sites à fort trafic, recherche un/une administrateur système pour renforcer ses 
équipes.

Sous la responsabilité du directeur technique, vous participerez à la gestion 
et à l'évolution de notre système d'information.

La personne recherchée devra posséder une connaissance des technologies 
suivantes:
- Linux
- L'administration des logiciels open source courants chez un hébergeur : 
Apache,MySQL,PHP,MongoDB,Docker,
- Programmation bash
- Programmation PHP ou python ou perl

Si vous souhaitez rejoindre une équipe dynamique, gérer plus d'un millier de 
serveurs, bloquer des DDOS quotidiennement et bénéficier d'un salaire 
attractif, n’hésitez pas à postuler surjobs-syst...@sdv.fr

Nota: Les débutants motivés et autodidactes compétents sont les bienvenus.

Salim Gasmi

--
Salim GASMI
Directeur Technique
--

*SdV Plurimedia *
15, rue de la Nuée Bleue
67000 Strasbourg
T. 03 88 75 80 50
F. 03 88 23 56 32

sa...@sdv.fr <mailto:sa...@sdv.fr>NocSdV <https://twitter.com/NocSdV>   
LinkedIn <https://www.linkedin.com/in/salimgasmi>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] TCP vs. UDP : les chiffres

[Salim Gasmi]

Bonjour,

Selon mon Arbor peakflow, sur le dernier mois en entrée de SdV qui est un 
hébergeur web:
94.33% de TCP (en pps)
5.01% d'UDP (en pps)
0.06% d'icmp (en pps)

Cordialement,

Salim

Le 08/02/2018 à 14:19, Solarus a écrit :

Le 2018-02-08 11:56, Stephane Bortzmeyer a écrit :

Est-ce que quelqu'un a des chiffres *récents* sur la part de trafic
TCP vs. UDP, à divers endroits du réseau ? Je ne trouve que des vieux
chiffres comme
<http://www.caida.org/research/traffic-analysis/tcpudpratio/> qui ne
tiennent pas compte, par exemple, de WebRTC.

Salut à tous.

Ce serait super d'avoir ce genre de données. Ce serait également intéressant 
d'avoir le ratio au sein de TCP entre le trafic des ports 80/443 et le reste.
Pour WebRTC il faudrait également regarder au niveau applicatif, le taux de 
repli sur TCP quand les ports UDP sont bloqués, ce serait également très 
instructif.

Cordialement.
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Salim GASMI
Directeur Technique
--

*SdV Plurimedia *
15, rue de la Nuée Bleue
67000 Strasbourg
T. 03 88 75 80 50
F. 03 88 23 56 32

sa...@sdv.fr <mailto:sa...@sdv.fr>NocSdV <https://twitter.com/NocSdV>   
LinkedIn <https://www.linkedin.com/in/salimgasmi>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] SdV recherche un administrateur système

[Salim Gasmi]

SdV Plurimedia, hébergeur basé à Strasbourg recherche pour renforcer ses 
équipes un administrateur système.

Sous la responsabilité du directeur technique, vous participerez à la gestion 
et à l'évolution de notre système d'information.

La personne recherchée devra posséder une connaissance et expérience 
significative des technologies suivantes:
- Linux
- L'administration des logiciels open source courants chez un hébergeur : 
Apache,MySQL,PHP,MongoDB,Docker,
- Programmation bash
- Programmation PHP ou python ou perl

Si vous souhaitez rejoindre une équipe dynamique, gérer plus d'un millier de 
serveurs et bénéficier d'un salaire attractif, n’hésitez pas à postuler 
surjobs-syst...@sdv.fr

--
Salim GASMI
Directeur Technique
--

*SdV Plurimedia *
15, rue de la Nuée Bleue
67000 Strasbourg
T. 03 88 75 80 50
F. 03 88 23 56 32

sa...@sdv.fr <mailto:sa...@sdv.fr>NocSdV <https://twitter.com/NocSdV>   
LinkedIn <https://www.linkedin.com/in/salimgasmi>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] SdV recherche un administrateur réseau et télécoms

[Salim Gasmi]

SdV Plurimedia, hébergeur basé à Strasbourg recherche pour renforcer ses 
équipes un administrateur réseau et télécoms.

Sous la responsabilité du directeur technique, vous participerez à la gestion 
et à l'évolution de notre réseau IPv4/v6 (AS8839).

La personne recherchée devra posséder une connaissance et expérience 
significative des technologies suivantes:
- Architecture des réseaux (LAN,WAN,backbone IP)
- Routage IPv4 et IPv6 (OSPF,BGP4)
- Sécurité et redondance des réseaux
- MPLS
- Cisco IOS
- Bonne expérience des datacenters
- Système Linux

Si vous souhaitez rejoindre une équipe dynamique, gérer la securité de plus 
d'un millier de serveurs et bénéficier d'un salaire attractif, n’hésitez pas à 
postuler surjobs-syst...@sdv.fr

--
Salim GASMI
Directeur Technique
--

*SdV Plurimedia *
15, rue de la Nuée Bleue
67000 Strasbourg
T. 03 88 75 80 50
F. 03 88 23 56 32

sa...@sdv.fr <mailto:sa...@sdv.fr>NocSdV <https://twitter.com/NocSdV>   
LinkedIn <https://www.linkedin.com/in/salimgasmi>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall

[Salim Gasmi]

Bonjour,

Perso, je suis un inconditionnel de Fortinet.
Ils ont des appliances de 330€ à 1M€ en fonction de tes besoins.
C'est simple de prise en main et ca fait a peu près tout ce que tu peux vouloir 
d'un firewall (UTM,VPN,IPS,Proxy transparent,...)
A la maison j'ai un Fortinet 60D et ici à SdV j'ai beaucoup plus gros et je 
suis content du petit comme des gros depuis plus de 10 ans.

La matrice des appliances: 
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf
Une idée de prix : http://www.firewallshop.fr/

Salim


Le 23/08/2017 à 14:53, B Manu a écrit :

Bonjour,

je suis entrain de rechercher une solution de firewall(hardware ou virtuel)
pour proposer
a mes clients sur un lien SDSL ou fibre ou sur un VPN MPLS
la solution serai  heberge dans DC

quel solution pouvez-vous me conseille ou deconseiller
ou votre retour d'experience

Merci d'avance.

Cordialement,

manu

---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Salim GASMI
Directeur Technique
--

*SdV Plurimedia *
15, rue de la Nuée Bleue
67000 Strasbourg
T. 03 88 75 80 50
F. 03 88 23 56 32

sa...@sdv.fr <mailto:sa...@sdv.fr>NocSdV <https://twitter.com/NocSdV>   
LinkedIn <https://www.linkedin.com/in/salimgasmi>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Technicien système sur Strasbourg

[Salim Gasmi]

SdV Plurimedia est un hébergeur spécialisé dans la conception et l’hébergement 
de sites de presse et à fort trafic.
Nous recherchons pour renforcer notre équipe système un technicien système H/F.

Votre mission consistera à infogérer et à maintenir en condition opérationnelle 
nos milliers de serveurs repartis dans nos datacentres.

Les compétences suivantes sont indispensables pour le poste :
- Diplôme BAC+2 ou plus en informatique
- Maitrise de Linux et de bash (grep,sed,awk,sort,uniq ne vous font pas peur).
- Maitrise d'un langage de programmation
- Permis B obligatoire
- Rigueur et capacité d'analyse sous pression

Les compétences suivantes seront fortement appréciées :
- Administration Apache,Varnish,Nginx,MongoDB,PowerDNS,MySQL,VMWare,Docker
- Programmation PHP et SQL
- Réseau (switching,routage IP,OSPF,BGP,..)


Le poste est basé sur Strasbourg et est en 3x8 (6h-13h / 13h-19h / 19h-00h)
Le contrat est un CDD renouvelable pouvant éventuellement déboucher sur un CDI.
Le salaire sera défini selon le profil du candidat.

Si vous souhaitez rejoindre une entreprise dynamique, gérer des milliers de 
serveurs, bloquer des attaques DDOS quotidiennement,
il vous suffit d'envoyer un CV au format pdf à jobs-syst...@sdv.fr

Salim
--
Salim GASMI
Directeur Technique
--

*SdV Plurimedia *
15, rue de la Nuée Bleue
67000 Strasbourg
T. 03 88 75 80 50
F. 03 88 23 56 32

sa...@sdv.fr <mailto:sa...@sdv.fr>NocSdV <https://twitter.com/NocSdV>   
LinkedIn <https://www.linkedin.com/in/salimgasmi>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Origin chez les Tier1

[Salim Gasmi]

Hello Fabien,

C'est une technique assez classique pour se simplifier la vie.

Dans l'algo de décision classique BGP, la comparaison du MED se fait après 
celle de l'IGP/EGP.
Or beaucoup veulent utiliser le MED (forcé à la main) pour faire un tie break 
sur les AS paths de longueurs équivalentes (il y en a beaucoup).

Donc en gros souvent on voit dans les confs:
- bgp always-compare-med : pour faire que le MED soit utilisé même sur des AS 
sources différents
- Une route-map qui force le MED a une valeur pour chaque peer
- set origin igp : pour bypasser le point 5 et pouvoir profiter pleinement de 
bgp always-compare-med

Salim

Le 13/04/2017 à 20:28, Fabien VINCENT a écrit :


Hello,

Est ce que quelqu'un sait pourquoi un Tier1 ferait un "set origin igp" sur les 
prefixes reçus via une session eBGP ?

Pas de nom, mais je constate que certains semblent le faire sans que j'ai 
d'explication encore sur les raisons. Là je broacaste sur la ML pour comprendre 
le vrai intêret soit technique, soit politique (je sais que ca break le bgp 
best path au step 5, mais pourquoi faire ca ?)

Mis à part pour attirer du trafic chez lui en priorité par rapport aux autres 
Tier1 (qui aurait une origin incomplete suite ) un aggregate par exemple) et 
augmenter le Hot Potato Routing dans l'autre sens, je vois vraiment pas 
pourquoi un Tier1 ferait cela ...

Any ideas ?

PS : J'en profite qu'on soit encore Jeudi et non j'ai pas de fourchette de 
salaire à proposer ^^


---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Différences entre optiques 10GBASE-LR et 10GBASE-LRM

[Salim Gasmi]

De rien Michel.

Utiliser du 10GLR en multimode est un vieux débat.
En théorie ce n'est pas recommandé, dans la vraie vie ça marche ou pas en 
fonction du type de fibre MM (OM1,...) Et de la distance.


Lis ça:
https://www.flexoptix.net/en/blog/2011/09/getting-a-10g-stable-ethernet-link-even-when-using-old-multimode-fiber-om2-om1/

Certains arrivent à 600m sans CRC selon cet article sur des fibres 
préhistoires en plus.


Si tu as 2 xfp en rab ça se tente, assure toi de bien tester dans le temps, 
l'article parle d'erreurs après quelques heures.


Salim


Le 29 mars 2017 02:04:37 Michel Py  a 
écrit :



Bonsoir Salim,



Je t'invite à lire cela, une pluie de chiffres techniques t'y attendent.
http://www.smartoptics.com/wp-content/uploads/2015/08/SO-XFP-LR-Rev-4.1.pdf
http://www.smartoptics.com/wp-content/uploads/2015/08/SO-XFP-LRM-Rev-4.1.pdf


Merci !


J'ai parcouru rapidement et par exemple j'y ai vu que l’émetteur optique du
LRM avait une puissance optique max de +0.5dbm alors que le LR c'est +4dbm


Justement, si je posais des questions c'est bien parce que j'avais une idée 
tordue derrière la tête; j'avais remarqué la même chose chez un autre 
vendeur : 3dB de plus çà ne me dérangerait pas.


Chez mon vendeur Chinois habituel, il y a maintenant des optiques 
10GBASE-LRM2 qui soi-disant vont à 2 km au lieu de 220 m, quelqu'un a 
essayé sur de la fibre de Mathusalem ?


Question vraiment bête : si je mets une optique 10GBASE-LR avec une 
jarretière de conditionnement de mode sur une fibre multimode (FDDI), 
est-ce qu'il y a des chances que je pousse la distance maxi, par rapport à 
une optique 10GBASE-LRM ? Ou est-ce que çà va être noyé dans ce qui reste 
du differential mode delay (DMD) pareil ?


Michel y'en a pas être trop futé : plus le laser d'émission il patate les 
dB plus il pousse les photons loin ? :-D


Michel.






---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Différences entre optiques 10GBASE-LR et 10GBASE-LRM

[Salim Gasmi]

Bonsoir Michel,

Je t'invite à lire cela, une pluie de chiffres techniques t'y attendent.
http://www.smartoptics.com/wp-content/uploads/2015/08/SO-XFP-LR-Rev-4.1.pdf
http://www.smartoptics.com/wp-content/uploads/2015/08/SO-XFP-LRM-Rev-4.1.pdf

Tu y trouvera tes réponses je pense.
Il semble y avoir pas mal de différences en fait.
J'ai parcouru rapidement et par exemple j'y ai vu que l’émetteur optique du LRM 
avait une puissance optique max de +0.5dbm alors que le LR c'est +4dbm

Salim

Le 28/03/2017 à 04:55, Michel Py a écrit :

Réponse consolidée aux questions qui me sont revenues en privé, par des gens 
qui ont l'éducation, l'intellect et l'expérience de comprendre mes questions 
(ce qui n'inclut pas tous les lecteurs ou contributeurs de cette liste) :

- Ma fibrenoire est pre-FDDI. C'est du 62.5/125 MM avant que la couleur orange pour ce 
genre de fibre soit standardisée; au pif j'en ai la moitié en gris et l'autre en orange 
(la couleur du cable, à ne pas confondre avec les optiques "grises").

- Je pousse du 10GBASE-LX4 en prod à 390m au lieu de 300m; avec des optiques 
Cisco (v2 pour les optiques X2 car la carte WS-X6708-10G-3C n'aime pas les 
optiques X2 10G v1). Ceci étant dit j'ai aussi plein de Xenpak LX4 dans des 
SUP32-10G. Je sais que c'est pas une config supportée, mais çà marche.

- Je pousse un peu plus de 500m sur du 1000BASE-LX en pseudo-prod 
(utilisateurs, pas outils). C'est pas supporté non plus, mais çà marche aussi.

Dans les 2 cas j'ai des jarretieres de conditionement de mode.

Et finalement, j'ai toujours pas de réponse à ma question, à part les vendeurs 
de pompes usées qui essaient de me vendre des services à la con en privé.

C'est quoi la différence entre une optique 10GBASE-LR et une 10GBASE-LRM, à 
part les conneries que ceux qui ont eu besoin de regarder Wikipédia peuvent me 
dire ? Entre autres conneries à ne pas essayer de me raconter :  l'optique LRM 
est alignée pour de la fibre multi-mode. Non. L'optique LRM est alignée pour 
une jarrertière de conditionement de mode, qui est monomode sur le laser qui 
transmet.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Géolocaliser des traceroutes, besoin de votre aide

[Salim Gasmi]

Salut,

Merci pour le lien.
En fait j'utilise déjà cette base ainsi que d'autres (ddec,iata,..)

Salim

Le 24/05/2016 à 12:57, Baptiste Jonglez a écrit :

Salut,

J'imagine que tu connais déjà OpenIPMap, du RIPE ?

   
https://ripe68.ripe.net/presentations/397-2014-05.ripe68.openipmap.emileaben.pdf
   
https://ripe69.ripe.net/wp-content/uploads/presentations/83-2014-11.emileaben.ripe69.openipmap.pdf
   https://github.com/emileaben/django-openipmap

Ca se base sur l'analyse des reverse DNS, des IP (IXP connus), un peu de
crowdsourcing, et une vérification de la cohérence du résultat via le RTT.

Tous les traceroutes d'Atlas peuvent être visualisés avec, par exemple :

   https://atlas.ripe.net/measurements/3679340/#!openipmap

Baptiste

On Mon, May 23, 2016 at 05:43:23PM +0200, Salim Gasmi wrote:

Bonjour,

Voila, cela fait maintenant plus d'un an que je travaille sur mon temps libre à 
un projet consistant a tenter de géolocaliser les routeurs d'un traceroute.
Je sais, vous souriez et vous vous dites que c'est un projet mort d'avance ;)

La méthodologie est simple, écrire un algo d'IA qui analyse les traceroutes 
comme un humain le ferait.
En gros analyser les reverses, les latences plus un peu de bon sens pour 
essayer de géolocaliser correctement les hops.
En s'appuyant en plus sur les bases déjà existantes comme openip du RIPE ou 
DDEC.

Pour cela, cela nécessite des nodes dans des endroits différents pour croiser 
les informations.
Par exemple une ip dont le reverse semblerait être à New York, mais qui depuis 
Paris ping en 3ms, l'algo peut détecter l'erreur.
Après en tentant de la magie vaudou, on peut même essayer d'estimer ou pourrait 
se trouver le node en croisant avec les grosses villes et les autres nodes et 
un peu de bon sens.

Le projet inclu déjà 4 nodes, 2 en France et 2 aux US (merci Michel!)

Pour le moment, cela marche plus ou moins bien, en gros 90% des 
géolocalisations sont correctes.
Cela pourrait sembler suffisant, mais sur un traceroute de 10 hops, cela fait 1 
hop mal placé (et généralement pas pour rire).

Donc, si je vous écrit tout cela, c'est que je recherche des nodes 
supplémentaires.
Un node, c'est juste un machine ou vous me créez un compte ssh sur lequel le 
tool va se connecter et lancer la commande mtr.
Donc le compte peut être chrooté ou en VM, voir même sous docker.
L’intérêt d'avoir son node, c'est déjà pour aider et pouvoir s'amuser (vous 
êtes des geeks) à voir visuellement ses traceroutes depuis chez soi.
Le must serait un node en asie ou amerique du sud (je sais, je suis exigent), 
mais je suis preneur de toute autre localisation.

Exemple: un traceroute entre un node aux US et www.gov.kg au kyrgyzstan
https://geotr.gasmi.net/index.php?node=1=www.gov.kg

Si vous voulez jouer avec le tool, c'est ici: https://geotr.gasmi.net
N’espérez pas avoir une précision au niveau des villes de France, c'est trop 
petit comme pays, je n'en suis pas encore la, trop peu de nodes.

Bien sur, quand le code sera fonctionnel (ce n'est pas encore le cas, trop 
d'erreurs à mon gout), il passera en Open Source.

Merci d'avance aux geeks qui voudraient participer, c'est encore du beta, mais 
malgré cela, je ne connais pour le moment, aucun autre outil moins faux que 
celui la ;)

Salim

Ps:
Inutile de me remonter les traceroutes erronés que vous ne manquerez pas de 
trouver, j'en ai déjà pour toute une vie en base.
Par contre, si vous bossez chez un opérateur et/ou que vous êtes sur qu'un 
routeur est mal placé et que vous êtes certain de sa vraie localisation, je 
suis preneur de l'info.
Ca me permettra de comprendre pourquoi l'algo a lamentablement foiré.



--

*Salim GASMI*
Directeur Technique
<sa...@sdv.fr> <mailto:sa...@sdv.fr>
--
*SdV Plurimedia*
15 rue de la Nuée Bleue 67000 Strasbourg
T. 03 88 75 80 50 / F. 03 88 23 56 32




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Géolocaliser des traceroutes, besoin de votre aide

[Salim Gasmi]

Ha genial ca !
NYC et HK m’intéresseraient bien :)

Merci !

Salim

Le 23/05/2016 à 17:50, Laurent Seror a écrit :

Tu veux un compte Outscale ? (Paris, New York, Hong Kong). Je peux te filer une 
micro VM dans chaque ville principale sans problème.

L.
Le 23 mai 2016 à 17:43, Salim Gasmi <sa...@sdv.fr <mailto:sa...@sdv.fr>> a 
écrit :

Si vous voulez jouer avec le tool, c'est ici: https://geotr.gasmi.net





--
Best Regards - Cordialement

Outscale, le Cloud Francais <https://www.outscale.com>
Laurent Seror, President
Tel : 0826.206.307 (poste 101)
Fax : +33.1.83.62.92.89
Facebook <https://www.facebook.com/outscale>
Twitter <https://www.twitter.com/outscale>
Google+ <https://plus.google.com/b/100656673964345909019/>
IMPORTANT: The information contained in this message may be privileged and 
confidential and protected from disclosure. If the reader of this message is 
not the intended recipient, or an employee or agent responsible for delivering 
this message to the intended recipient, you are hereby notified that any 
dissemination, distribution or copying of this communication is strictly 
prohibited. If you have received this communication in error, please notify us 
immediately by replying to the message and deleting it from your computer.




--

*Salim GASMI*
Directeur Technique
<sa...@sdv.fr> <mailto:sa...@sdv.fr>
--
*SdV Plurimedia*
15 rue de la Nuée Bleue 67000 Strasbourg
T. 03 88 75 80 50 / F. 03 88 23 56 32




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Géolocaliser des traceroutes, besoin de votre aide

[Salim Gasmi]

Je vais lire ca avec attention.
Par contre, faudra que je sache ou sont les nodes pour que mon algo fonctionne.

Salim

Le 23/05/2016 à 17:52, Stephane Bortzmeyer a écrit :

On Mon, May 23, 2016 at 05:50:28PM +0200,
  Salim Gasmi <sa...@sdv.fr> wrote
  a message of 872 lines which said:


Ca serait génial, mais peut on se connecter sur une sonde Atlas et lancer un 
mtr ?

Sinon, je ne le suggérerai pas :-)

http://www.bortzmeyer.org/traceroute-atlas.html

https://labs.ripe.net/Members/stephane_bortzmeyer/using-ripe-atlas-to-debug-network-connectivity-problems



--

*Salim GASMI*
Directeur Technique
<sa...@sdv.fr> <mailto:sa...@sdv.fr>
--
*SdV Plurimedia*
15 rue de la Nuée Bleue 67000 Strasbourg
T. 03 88 75 80 50 / F. 03 88 23 56 32




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Géolocaliser des traceroutes, besoin de votre aide

[Salim Gasmi]

Ca serait génial, mais peut on se connecter sur une sonde Atlas et lancer un 
mtr ?

Salim

Le 23/05/2016 à 17:48, Stephane Bortzmeyer a écrit :

On Mon, May 23, 2016 at 05:43:23PM +0200,
  Salim Gasmi <sa...@sdv.fr> wrote
  a message of 97 lines which said:


Donc, si je vous écrit tout cela, c'est que je recherche des nodes 
supplémentaires.
Un node, c'est juste un machine ou vous me créez un compte ssh sur
lequel le tool va se connecter et lancer la commande mtr.

Pourquoi ne pas utiliser les sondes Atlas ?


Le must serait un node en asie ou amerique du sud (je sais, je suis
exigent), mais je suis preneur de toute autre localisation.



--

*Salim GASMI*
Directeur Technique
<sa...@sdv.fr> <mailto:sa...@sdv.fr>
--
*SdV Plurimedia*
15 rue de la Nuée Bleue 67000 Strasbourg
T. 03 88 75 80 50 / F. 03 88 23 56 32




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Géolocaliser des traceroutes, besoin de votre aide

[Salim Gasmi]

Bonjour,

Voila, cela fait maintenant plus d'un an que je travaille sur mon temps libre à 
un projet consistant a tenter de géolocaliser les routeurs d'un traceroute.
Je sais, vous souriez et vous vous dites que c'est un projet mort d'avance ;)

La méthodologie est simple, écrire un algo d'IA qui analyse les traceroutes 
comme un humain le ferait.
En gros analyser les reverses, les latences plus un peu de bon sens pour 
essayer de géolocaliser correctement les hops.
En s'appuyant en plus sur les bases déjà existantes comme openip du RIPE ou 
DDEC.

Pour cela, cela nécessite des nodes dans des endroits différents pour croiser 
les informations.
Par exemple une ip dont le reverse semblerait être à New York, mais qui depuis 
Paris ping en 3ms, l'algo peut détecter l'erreur.
Après en tentant de la magie vaudou, on peut même essayer d'estimer ou pourrait 
se trouver le node en croisant avec les grosses villes et les autres nodes et 
un peu de bon sens.

Le projet inclu déjà 4 nodes, 2 en France et 2 aux US (merci Michel!)

Pour le moment, cela marche plus ou moins bien, en gros 90% des 
géolocalisations sont correctes.
Cela pourrait sembler suffisant, mais sur un traceroute de 10 hops, cela fait 1 
hop mal placé (et généralement pas pour rire).

Donc, si je vous écrit tout cela, c'est que je recherche des nodes 
supplémentaires.
Un node, c'est juste un machine ou vous me créez un compte ssh sur lequel le 
tool va se connecter et lancer la commande mtr.
Donc le compte peut être chrooté ou en VM, voir même sous docker.
L’intérêt d'avoir son node, c'est déjà pour aider et pouvoir s'amuser (vous 
êtes des geeks) à voir visuellement ses traceroutes depuis chez soi.
Le must serait un node en asie ou amerique du sud (je sais, je suis exigent), 
mais je suis preneur de toute autre localisation.

Exemple: un traceroute entre un node aux US et www.gov.kg au kyrgyzstan
https://geotr.gasmi.net/index.php?node=1=www.gov.kg

Si vous voulez jouer avec le tool, c'est ici: https://geotr.gasmi.net
N’espérez pas avoir une précision au niveau des villes de France, c'est trop 
petit comme pays, je n'en suis pas encore la, trop peu de nodes.

Bien sur, quand le code sera fonctionnel (ce n'est pas encore le cas, trop 
d'erreurs à mon gout), il passera en Open Source.

Merci d'avance aux geeks qui voudraient participer, c'est encore du beta, mais 
malgré cela, je ne connais pour le moment, aucun autre outil moins faux que 
celui la ;)

Salim

Ps:
Inutile de me remonter les traceroutes erronés que vous ne manquerez pas de 
trouver, j'en ai déjà pour toute une vie en base.
Par contre, si vous bossez chez un opérateur et/ou que vous êtes sur qu'un 
routeur est mal placé et que vous êtes certain de sa vraie localisation, je 
suis preneur de l'info.
Ca me permettra de comprendre pourquoi l'algo a lamentablement foiré.
--

*Salim GASMI*
Directeur Technique
<sa...@sdv.fr> <mailto:sa...@sdv.fr>
--
*SdV Plurimedia*
15 rue de la Nuée Bleue 67000 Strasbourg
T. 03 88 75 80 50 / F. 03 88 23 56 32




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Visualisation des mesures de RIPE Atlas Anchor

[Salim Gasmi]

Bonjour,

Stéphane nous avait en 2012 parlé du projet RIPE Anchor, cela m'avais donné envie d'y 
participer en hébergeant un anchor.
Entre temps on a développé des visualisations simples basées sur les mesures 
remontées par les sondes du projet Atlas.

Si cela vous intéresse ou peut vous donner envie de participer au projet en hébergeant un 
anchor, l'article décrivant ce qu'on a mis en place se trouve ici:
https://labs.ripe.net/Members/salim_gasmi/visualising-ripe-atlas-anchor-measurements

Cordialement,

Salim
--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Retours d’expérience sur FabricPath Cisco

[Salim Gasmi]

Bonjour à tous,

Je cherche à avoir des retours d’expériences sur la version propriétaire Cisco 
de TRILL qu'est FabricPath.
Sur le papier, ca a l'air bien, en lab avec du nexus 5500 ça semble marcher, 
mais avant d'aller plus loin je suis preneur de vos retours pour m’éviter de 
mauvaises surprises lors de la mise en prod (style la version XXX de NexusOS 
est bugée, ou )

Je compte déployer une archi super simple avec une dizaine de leafs et deux 
spines sur des nexus 5548.

Merci d'avance.

Salim


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Géolocalisation tricks

[Salim Gasmi]

Bonjour à tous,

Cela fait longtemps que l'ai l'envie à titre perso de mapper dynamiquement un 
traceroute sur un globe terrestre.
Évidemment, c'est une mission impossible dans l’état actuel des choses car :
- La RFC1876 est encore expérimentale (et tout le monde s'en cogne de se faire 
chier à remplir des coordonnées gps de chaque équipement).
- Les bases geoip qui sont approximatives surtout pour les ips d'interco entre 
routeurs.

Je m'y suis quand même essayé, le résultat est visible ici: 
http://www.gasmi.net/geotr pour les curieux.

C'est donc pour le moment souvent faux pour les raisons citées précédemment.
Si je m'adresse à vous, c'est justement pour essayer de trouver des tricks et 
conseils pour essayer d’améliorer le rendu.
Actuellement voici l'algo que j'applique pour chaque hop:
- Je regarde si il y a des records DNS RR LOC rfc1876 (je sais je suis 
optimiste)
- J'essaye de mapper le nom de la ville en fonction du reverse (les city codes 
dans le reverse sont courants chez les operateurs)
- J'utilise une base geoip et essaye de détecter les erreurs flagrantes (style 
le nexthop est a 6000km et la latence n'a varié que de 1ms)

Évidemment,  cela ne suffit pas et il y a encore des erreurs grossières.

Je suis donc preneur d'algo/conseils plus ou moins malins pour essayer d’avoir 
le moins d'erreurs possibles en attendant 2199 que tout le monde remplisse ses 
champs LOC.

Merci d'avance pour vos idées.

Salim


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Retour d'expérience sur optiques 10GbE

[Salim Gasmi]

Bonjour,

Ici tous nos SFP+ 10G (colorés ou pas) sont des Solid Optics pour des raisons 
évidentes de prix.
On doit en avoir 50-60 codés Cisco en service actuellement et aucun souci n'est 
à reporter.

Salim

Le 04/06/2014 21:22, Florian Coulmier a écrit :

Bonjour,

Quelqu'un a-t-il déjà tenté avec succès l'utilisation de SFP+ 10G SR solid
optics (
http://www.solid-optics.com/category/optical-modules/sfp-plus/sfp-10g-sr---so)
ou autre marque sur des serveurs HP Proliant équipés de cartes 10GbE ?

En comparant les prix des optiques constructeurs face à des optiques
d'autres marques, je suis vraiment tenté par cette alternative (au
détriment les recommandations officielles du constructeur). Il y a quand
même un rapport de 1 à 6 voir 1 à 8 sur le prix final entre les 2 !
Cependant, n'ayant jamais fait le test pour valider que ça fonctionne pour
de vrai, je cherche à avoir un retour d'expérience là dessus avant de
passer commande.

Par ailleurs, si vous l'avez déjà testé, avez-vous utilisé un micro-code HP
ou un micro-code Cisco (sachant que la carte 10GbE est basée sur un
contrôleur Intel) ? L'utilisation d'un micro-code de la marque n'est-elle
pas surtout utile pour les switchs ? Etrangement, suivant le micro-code, il
y a aussi un écart de prix entre les 2 optiques (plus faible, mais quand
même significatif).

Merci pour vos retours

Florian

---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Soyez sympas, hébergez un Ancre RIPE Atlas

[Salim Gasmi]

Ce projet est une bonne initiative, je viens de postuler.

Salim

Le 12/11/2013 10:46, Stephane Bortzmeyer a écrit :

Vous avez un réseau qui marche bien, stable et de bonne capacité ?
Vous voulez aider l'humanité en fournissant des amers
http://www.bortzmeyer.org/amer-mire.html efficaces pour les mesures
réseau ?

Alors, hébergez une Ancre RIPE Atlas. Ce sont des machines 1U qui vont
servir à la fois de super-sondes Atlas et surtout d'amers pour les mesures.

https://labs.ripe.net/Members/suzanne_taylor_muzzin/announcing-the-ripe-atlas-anchors-service

L'AFNIC en héberge déjà une, fr-cdg-as2486.anchors.atlas.ripe.net,
maintenant c'est votre tour.



---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] : cisco, juniper, what else ?

[Salim Gasmi]

Bonjour,

Perso, je resterai sur les standards de fait (aka Cisco,Juniper), pour l'aspect 
couts le greymarket Hollondais sait faire des miracles.

Salim

Le 21/10/2013 14:50, JC PAROLA a écrit :

Bonjour à tous,

Parmi la domination de Cisco et Juniper dans le monde du datacenter pour les 
routeurs de bordure et suite à rachat de foundry par Brocade, j'aurais aimé 
votre retour d'expérience sur des routeurs pour du BGP full view avec un 
transit de 100 Mb/s et 250kpps ?

J'ai lu que 3com (HP) faisait également des routeurs.

En terme de dimensionnement il faudrait un CISCO 38**.

Le but étant de réduire le coût pour du PRA entre 2 sites distants.

Merci

JCP


---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur

[Salim Gasmi]

Bonjour,

ici on utilise la solution Arbor avec leur TMS et c'est pas mal du tout.
Pour plus de détails, en off list.

Cordialement,

Salim

Le 14/10/2013 13:53, pierre a écrit :

Bonjour Messiers,

Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour
3 reelement utile.

Nous avons actuellement un peakflow pour la visibilité (qui fonctionne
parfaitement) et nous voudrions nettoyer le trafic sans blackhole.

Le type d'attaque à nettoyer serait :
 TCP SYN Flood
 TCP SYN-ACK Reflection Flood (DRDoS)
 TCP Spoofed SYN Flood
 TCP ACK Flood
 TCP IP Fragmented Attack
 ICMP Echo Request Flood
 UDP Flood Attack
 DNS Amplification Attacks
 

Je cherche une solution opérateur, avez vous testé et comparé les produits
de corero, radware, 6cure, arbor ... ?


Merci d'avance pour vos retours

Pierre

---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur

[Salim Gasmi]

Bonsoir Jeremy,

J'ai fait tourner mon réseau avec des solutions open source pendant des années, 
et on peut des fois s'en sortir sans un boitier hors de prix, je l'ai fait, tu 
l'as fait et d'autres aussi.
je suis content que tu ai réussi a t'en sortir dans ton cas spécifique sans 
lâcher un zillion d'euros, cela prouve qu'en étant intelligent et compétent on 
peut faire des choses, et c'est toute la beauté du métier d’ingénieur.

Ce qui me gène beaucoup dans ton discours, c'est que tu fais de ton cas 
particulier un cas général.
Je pourrais te citer pleins de cas ou ta solution (que j'ai bien écoutée lors 
du dernier Frnog) ne sera pas efficace la ou un boitier 
Arbor/Corero/Radware/XXX le sera.
Dire ou sous entendre qu'on peut s'en sortir dans tous les cas avec une 
solution maison (la tienne ou une autre) est totalement faux.

Dans la vraie vie, on a pas le droit de couper 3 jours le temps d’écrire un truc, dans la 
vraie vie si l'attaquant est motivé il attaque de pleins de façons différentes, et le 
cout d'une attaque réussie peut vite couter plus cher que le prix d'une appliance amortie 
sur 3 ans (120K/36mois cela ne fait que €/mois).

Cordialement,

Salim

Le 14/10/2013 21:13, Jérémy Martin a écrit :

Comme je l'explique en privé, c'est clairement trop cherpour notre bourse. 
Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne 
et fait son taf, avec des barbu qui répondent au téléphone derrière.

Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit 
ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que 
ma solution fonctionne pour les besoins que j'en ai.
Et ça m'évite de facturer une solution qui me parait normal d'inclure de base 
dans mes tarifs.

A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de 
nos jours, il est clairement irréaliste de demander à 95 % des AS français de 
mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça.

Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un 
truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé 
pas mal de barbus.

Cordialement,
Jérémy Martin

Le 14/10/2013 21:08, Guillaume Barrot a écrit :

Faudra m'expliquer avec des mots simples en quoi une solution de type UTM
peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ...

Arbor est hors de prix?
Soit, mais en même temps c'est justement une solution opérateur qui se
place en amont.
Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ...
oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas.
120k, divisé par le nombre de mecs que tu proteges = une offre
commerciale...

Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de
poireaux.

Si tu as des contentieux avec Arbor, attention à ne pas dénigrer
publiquement en plus...



Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit :


Bonsoir,

Arbor est hors de prix.
Pour tout ce qui est attaques applicatives, on a testé les solutions
Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a
pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer
dans plusieurs boitiers.
Ce sont au final de simples firewall L7 mais en général, c'est efficace
pour un budget maitrisé.

Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au
dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre
du rate-limit sur Layer 3, et un peu de tuning au niveau BGP.
Cette solution revient à moins de 1500 € par équipement, contre minimum
120 k€ pour du ArborTMS / Peak Flow (prix publics).

Me contacter en PV pour plus d'infos.

Cordialement,
Jérémy Martin
Directeur Technique FirstHeberg.com

Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30)
Standard : 09 72 125 539 (tarif local)
Ligne directe : 03 66 72 03 42
Mail : j.martin AT freeheberg.com
Web : http://www.firstheberg.com

Le 14/10/2013 13:53, pierre a écrit :


Bonjour Messiers,

Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante
pour
3 reelement utile.

Nous avons actuellement un peakflow pour la visibilité (qui fonctionne
parfaitement) et nous voudrions nettoyer le trafic sans blackhole.

Le type d'attaque à nettoyer serait :
  TCP SYN Flood
  TCP SYN-ACK Reflection Flood (DRDoS)
  TCP Spoofed SYN Flood
  TCP ACK Flood
  TCP IP Fragmented Attack
  ICMP Echo Request Flood
  UDP Flood Attack
  DNS Amplification Attacks
  

Je cherche une solution opérateur, avez vous testé et comparé les produits
de corero, radware, 6cure, arbor ... ?


Merci d'avance pour vos retours

Pierre

---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/








---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Salim Gasmi

Re: [FRnOG] [TECH] Router-ID sur BGP

[Salim Gasmi]

Bonsoir,

En fait l'id est juste un entier sur 32 bits qui doit être unique entre les 
membres du mesh bgp.
On le représente sous la forme d'une ip par simple convention.
Généralement, les gens mettent une des ips du routeur (une de ses loopback) car 
cela facilite le debug mais c'est en aucun cas une obligation.
Tu peut donc mettre n'importe quoi puisque en fait ce n'est pas une ip mais 
juste un nombre, il faut juste qu'il soit unique dans le mesh bgp.

Salim


Le 12/10/2013 18:50, Antoine Durant a écrit :

Bonjour,
  
Une ptite question concernant la valeur à donner à router-id dans la configuration BGP (Quagga).
  
Si je comprends le truc, il n'est pas nécessaire de mettre un router-id car le router est capable lui même de prendre automatiquement une adresse ipv4 sur ces interfaces et de se l'assigner en tant que router-id.
  
Est-il possible de configurer une IP non routable (par exemple 192.168.1.1/24) au router-id, ou, faut-il imperativement que l'adresse soit routable ??
  
Bonne soirée !

---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Router-ID sur BGP

[Salim Gasmi]

Bonsoir Antoine,

Il doit etre unique dans le mesh, c'est a dire entre tous les participants 
i/ebgp donc il ne doit pas entrer en collision avec un id d'une des sessions 
ebgp de tes transitaires/clients.
C'est pour cela qu'on prend souvent une de ses propres ip, cela assure que le 
voisin a l'autre bout du lien n'ai pas choisi le même.
Si tu veux mettre 1 il faudra le saisir au format dotted decimal a savoir 
0.0.0.1
Je te conseille quand même de choisir une de tes ips, cela évitera que l'admin 
du routeur d'en face ai eu la même idée que toi et ai aussi mis 0.0.0.1

Salim

Le 12/10/2013 19:20, Antoine Durant a écrit :

Bonsoir Salim,
Ok, donc je peux numéroter mon router n°1 avec bgp router-id 1 et pour le routeur 2 
bgp router-id 2, etc ??
Quand tu parles du mesh bgp, cela veux dire que dans mon AS il faut 
impérativement que le router-id soit unique ? Cela n'a aucune incidence si par 
exemple mon peer a le même router-id que moi, puisque le router-id est interne 
à l'AS ou il tourne ??
   



  De : Salim Gasmi sa...@sdv.fr
À : Antoine Durant antoine.duran...@yahoo.fr
Cc : frnog-t...@frnog.org frnog-t...@frnog.org
Envoyé le : Samedi 12 octobre 2013 19h08
Objet : Re: [FRnOG] [TECH] Router-ID sur BGP
   


Bonsoir,

En fait l'id est juste un entier sur 32 bits qui doit être unique entre les 
membres du mesh bgp.
On le représente sous la forme d'une ip par simple convention.
Généralement, les gens mettent une des ips du routeur (une de ses loopback) car 
cela facilite le debug mais c'est en aucun cas une obligation.
Tu peut donc mettre n'importe quoi puisque en fait ce n'est pas une ip mais 
juste un nombre, il faut juste qu'il soit unique dans le mesh bgp.

Salim


Le 12/10/2013 18:50, Antoine Durant a écrit :

Bonjour,
   
Une ptite question concernant la valeur à donner à router-id dans la configuration BGP (Quagga).
   
Si je comprends le truc, il n'est pas nécessaire de mettre un router-id car le router est capable lui même de prendre automatiquement une adresse ipv4 sur ces interfaces et de se l'assigner en tant que router-id.
   
Est-il possible de configurer une IP non routable (par exemple 192.168.1.1/24) au router-id, ou, faut-il imperativement que l'adresse soit routable ??
   
Bonne soirée !

---
Liste de diffusion du FRnOG
http://www.frnog.org/





--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Peering directe OVH

[Salim Gasmi]

Bonjour,

Vous cherchez un peering public (via un point d’échange) ou un peering privé ?
Si c'est un peering public, OVH est présent sur les routes serveurs du 
France-IX (donc a priori politique de peering ouverte).
cf: https://www.franceix.net/fr/members-resellers/members/

Depuis mon AS (qui est aussi sur les RS de France-IX) cela donne : 
http://bgpmap.sdv.fr/index.php?dst=www.ovh.fr

Si c'est un peering privé que vous cherchez, il va falloir les contacter.

Salim

Le 04/10/2013 15:34, Yoann THOMAS a écrit :

Bonjour à tous,

Je cherche à monter un peering avec OVH, et je ne sais pas trop à qui 
m'adresser, si quelqu'un connait la méthode je suis preneur.

PS : Je ne connais pas du tout la politique de peering d'OVH.

Cordialement,




--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Peering directe OVH

[Salim Gasmi]

Bonjour,

Effectivement, bien qu'ils sont listés comme étant sur le RS de FranceIX ici 
https://www.franceix.net/fr/members-resellers/members/
Je ne les voie que par les RS de l'AMSIX.
Il faut que j’arrête de faire confiance à des pages web le vendredi moi ;)

Salim




Bonjour,

Je confirme, j'ai dû monter une session directe sur FranceIX, je ne les
voyais pas sur les RS.
Ils ne sont d'ailleurs pas listés sur tools.franceix.net.

++
François


Le 4 octobre 2013 17:13, Frederic Dhieux frede...@syn.fr a écrit :


Bonjour,

Sur les RS de l'AMS-IX OK, mais à ma connaissance et à celle de mes
routeurs pas sur les RS de FranceIX (ou alors y'a du filtrage).

Frédéric

Le 10/4/13 5:00 PM, Salim Gasmi a écrit :

Bonjour,

Vous cherchez un peering public (via un point d’échange) ou un peering
privé ?
Si c'est un peering public, OVH est présent sur les routes serveurs du
France-IX (donc a priori politique de peering ouverte).
cf: https://www.franceix.net/fr/members-resellers/members/

Depuis mon AS (qui est aussi sur les RS de France-IX) cela donne :
http://bgpmap.sdv.fr/index.php?dst=www.ovh.fr

Si c'est un peering privé que vous cherchez, il va falloir les contacter.

Salim

Le 04/10/2013 15:34, Yoann THOMAS a écrit :

Bonjour à tous,

Je cherche à monter un peering avec OVH, et je ne sais pas trop à qui
m'adresser, si quelqu'un connait la méthode je suis preneur.

PS : Je ne connais pas du tout la politique de peering d'OVH.

Cordialement,





---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Transit OpenTransit

[Salim Gasmi]

Bonsoir,

Si un commercial qui gère la vente de transit chez OBS/OpenTransit/AS5511 lis 
ce mail ou si vous avez un contact efficace à partager, merci de me contacter 
off liste.

En vous remerciant par avance.

Cordialement,

Salim


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] SdV recherche un admin réseau junior à Strasbourg (CDI)

[Salim Gasmi]

SdV Plurimedia, hébergeur basé à Strasbourg recherche pour renforcer ses 
équipes un administrateur réseau et télécoms junior.
Sous la responsabilité du directeur technique, vous participerez à la gestion 
et à l'évolution de notre réseau IPv4/v6 (AS8839).

La personne recherchée devra posséder une connaissance significative des points 
suivants:
- Architecture des réseaux (LAN,WAN,backbone IP)
- Routage IPv4 et IPv6 (OSPF,BGP4)
- MPLS
- Sécurité et redondance des réseaux
- Cisco IOS
- Linux

Idéalement jeune diplômé Bac+5 universitaire ou école d'ingénieur, nous 
étudierons aussi tout CV pouvant justifier d'un Bac+2 et d'une expérience 
significative dans les télécoms.

Si vous vous reconnaissez dans ce descriptif, que vous êtes rigoureux et avez 
envie de travailler dans une entreprise à taille humaine n'hésitez pas à nous 
envoyer votre CV à sa...@sdv.fr

Salim Gasmi
--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] contact postmaster OVH

[Salim Gasmi]

Puisque la mode du jour est de citer des RFC

Le  RFC 1912 section 2.1 dit:
[...]
Make sure your PTR and A records match.  For every IP address, there
should be a matching PTR record in the in-addr.arpa domain.
{...]

Question subsidiaire, RFC c'est masculin ou feminin ?

Salim



Le 04/04/2013 19:48, Sebastien PLOT a écrit :

Merci aux membres de la liste qui ont répondu.

La piste de radu et de benjamin était la bonne.
aaa IN A a.b.c.d != a.b.c.d IN PTR aaa




Le 04/04/2013 19:00, Radu-Adrian Feurdean a écrit :

On Thu, Apr 4, 2013, at 11:57, Sylvain Rochet wrote:


Ce qui est tout aussi faux, il n'y a aucune restriction sur la chaîne
suivant le HELO/EHLO.

Une fois sorti du monde des bisounours qui respectent les RFC a la regle
et de la facon la plus relaxe possible, une fois revenu dans le monde
reel, pas mal d'hebergeurs de mailbox imposent des restrictions sur la
partie HELO/EHLO, le plus souvent argument = reverse of connecting IP,
qui lui resoud sur ce meme IP:

une connexion venant de X.Y.Z.T doit fournir un HELO/EHLO
toto.example.com, ou toto.example.com IN PTR X.Y.Z.T et Z.Y.X.T IN A
toto.example.com. Si ce n'est pas le cas, tu est libre de ne pas envoyer
des mails aux hebergeurs en question.

Regards,


---
Liste de diffusion du FRnOG
http://www.frnog.org/








--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] SdV Recherche un administrateur réseau et telecom

[Salim Gasmi]

SdV Plurimedia, hébergeur basé à Strasbourg recherche pour renforcer ses 
équipes un administrateur réseau et Telecom confirmé.

Le poste à pourvoir est un CDI basé à Strasbourg, le salaire est négociable 
selon le niveau d'expérience.
La personne recherchée participera à la gestion et à l'évolution de notre 
réseau IPv4/v6 (AS8839) sous la direction du directeur technique.

La personne recherchée devra posséder une parfaite connaissance et une 
expérience significative dans les domaines suivants:
- Architecture des réseaux (LAN,WAN,backbone IP)
- Routage IPv4 et IPv6 (OSPF,BGP4+)
- MPLS, MPLS-VPN
- Sécurité et redondance des réseaux
- Déploiement de réseau en datacenter.
- Cisco IOS

Les compétences suivantes seront grandement appréciées:
- Maitrise de JUNOS
- Maitrise de Linux
- Connaissance des solutions des constructeurs Arbor networks, Fortinet
- Connaissance des problématiques techniques liées à l'hébergement de sites à 
forte audience.


Si vous vous reconnaissez dans ce descriptif, que vous êtes rigoureux et avez 
envie de travailler dans une entreprise à taille humaine
n'hésitez pas à nous envoyer votre CV à sa...@sdv.fr

Salim Gasmi


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ICMP / IPv4 / IPv6 / Orange / ...

[Salim Gasmi]

Bonsoir,

J'ai contacté Intel a propos de ce bug car nous avons pas mal de serveurs 
utilisant ce chip.
Leur réponse est claire, cela n'affecte pas tous les chips 82574L mais 
seulement certains avec un mauvais firmware issu d'un certain fabricant de 
carte mères.
Donc c'est moins grave que cela en a l'air, pour être impacté il faut utiliser 
les cartes mères dudit fabricant (Taiwan's Lex Computech)

Source pointée par mon contact chez Intel:
http://www.wired.com/wiredenterprise/2013/02/packet-of-death

Salim


Le 09/02/2013 15:03, Jérôme Nicolle a écrit :
 Le 09/02/2013 14:12, Jérémie Marguerie a écrit :
 Je profite de l'actualité pour ressortir un sujet sur l'ICMP.
 Filtrer l'ICMP, une sécurité[1] ?

 [1] Intel Network Card (82574L) Packet of Death
  
 http://isc.sans.edu/diary/Intel+Network+Card+%2882574L%29+Packet+of+Death/15109

 Dans la mesure ou n'importe quel paquet de n'importe quel protocole
 portant une valeur donnée à un ofset donné va déclencher le bug, l'ICMP
 n'a encore une fois rien à voir avec le problème.

 Il se trouve que ping étant disponible partout, c'est le plus simple
 pour générer un tel paquet. Mais après tout, on devrait pouvoir le
 générer avec à peu près n'importe quel serveur applicatif (dont le
 protocole permet de placer des données à cet ofset).

 Bon, maintenant que la faille est bien connue, on peut parier que les
 fping et hping3 vont tourner à fond chez quelques anonymes. /me va
 remplacer son routeur perso, justement équipé de ces chips Intel.



-- 
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Frnog et profs/chercheurs/écoles [Was: Le routage, enjeu de cyberstratégie]

[Salim Gasmi]

Bonjour à tous,

je vais ajouter ma part de bruit dans ce brouhaha.
Je ne comprends pas du tout le sens de ce débat.

Deux choses sont surprenantes (en tous cas me surprennent):
1:
Le GBICGate est assez surréaliste, c’était un simple filtre anti bot et 
n'importe qui (chercheur ou pas) pouvait trouver la réponse et il est délirant 
d'y voir une forme de filtrage autre que de s'assurer que l'interface chaise 
clavier est dotée d'un cœur (et d'un cerveau).
J'ai fait le test avec mon fils de 10 ans qui n'est ni chercheur, ni informaticien, il a tappé tout 
seul GBIC image et SFP image dans google et a trouvé la bonne réponse en 
moins d'une minute.
Venir ici se plaindre de la pratique relève de la mauvaise foi.

2:
Le discours de certains ici sur la méconnaissance supposée du monde réseau 
concret et du monde de l'entreprise des universitaires.
Oui, c'est vrai, un chercheur ne reconnait pas naturellement un GBIC d'un SFP, 
par ce que ce n'est pas son metier.
Son métier c'est de chercher (et éventuellement trouver) des choses qui seront 
ensuite implémentés dans le monde réel.
Grace a Bresenhem nos ordis savent tracer des lignes.
Grace a Dijkstra ont fait du routage
Grace aux theories des graphes ont fait de l'optimisation de routes
Grace aux matheux cryptographes on sécurise nos données.
La liste est très longue.

Tout ce qu'on fait en opérationnel a d'abord été pensé par un chercheur dans 
son lab, et je suis content qu'il ne connaisse pas un GBIC d'un SFP ca c'est 
pour les graisseux comme moi qui se bornent a le brancher dans le trou sans 
comprendre exactement comment il marche.
Alors oui, un peu de respect pour les chercheurs et universitaires n'est pas de 
refus, la recherche fondamentale est la base de notre métier.

Salim


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Transit Hurricane ou Neo ?

[Salim Gasmi]

Bonjour,

Le choix d'un transitaire additionnel devrait a mon humble avis se faire sur 
une étude des routes dudit transitaire a croiser avec les routes qu'on 
utilise/souhaite améliorer.
Idéalement, il faudrait déjà connaitre le profil de ton trafic, quels sont les 
top 50 AS en origine et en destination.
Une fois ces informations connues (Netflow peut répondre gratuitement a cette 
question) il faut croiser cela avec les routes apportées par le transitaire 
additionnel.

Si je fais 90% de mon trafic vers la France je ne vais pas opter pour les même 
transitaires que si je fait 90% vers l'Asie.

Perso, j'applique l'algo suivant :
- je trouve les 50 AS en in et out en les triant du plus gros au plus petit.
- Je supprime de la liste ceux avec qui je peer sans saturer
- Pour chaque AS qui reste je regarde si le nouveau transitaire m'apporte une 
route meilleure, si oui j'ajoute des points de la valeur du trafic estimé 
vers/depuis cet AS

je fais ca pour chaque AS et ca me donne une idée précise que je pondère avec 
l'aspect .

Des fois, avec cet Algo on a des surprises :)

Salim


Le 30/11/2012 08:19, Loic Sarrali a écrit :
 Bonjour,

 J'ai la même demande qu'Olivier mais ne voulant pas polluer son poste ;=)

 Je regarde pour souscrire du transit et j’hésite entre:
  Hurricane
  Neo Telecom

 J'ai les prix de Hurricane, pas ceux de Neo mais cela ne devrait pas
 tarder.
 bon mon besoin n'est pas élevé, faible commit mais port Gigabits.

 L’objectif est de compléter les trois transitaires que j'ai (Cogent, Level3
 et Sfr)
 Ce que je cherche a savoir, c'est pour ceux qui ont déjà du transit de l'un
 de mes
 transitaire, si Hurricane/Neo Telecom arrivent a capter du flux. Cela sous
 entends si
 ils ont ders routes plus courte/direct que d'autres.

 Merci d'avance

 Salutations
 Loic

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


-- 
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Sup720-3BXL et préfixes v4

[Salim Gasmi]

Bonsoir,

Le nombre de préfixes v4 annoncés en BGP augmentant régulièrement, j'ai
du reconfigurer le partitionnement de la TCAM de mes cisco 7600 équipés
de sup720-3BXL.

Toutefois, en regardant le graph de l’évolution du nombre de préfixes
ici: http://bgp.potaroo.net/as6447/ on voit bien l’accélération.

Mon sentiment est qu'avec la rarification des ipv4 on va avoir de plus
en plus de désagrégation et que cela va encore accélérer dans les
prochains temps.
Sans jouer à madame Irma, pensez vous que les 800K préfixes soient
possible ou vous avez des arguments qui militent pour une stagnation ?

Car si on devait atteindre les 800K, il faudrait pour les possesseurs de
720-3bxl comme moi penser à passer a autre chose et la je me demande
bien quoi choisir en restant chez cisco .
Comme j'aime bien anticiper les problèmes, si vous avez des suggestions
ou conseils je suis preneur.

Cordialement,

-- 
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6

[Salim Gasmi]

 fonctionalité 0/10.

 Ah merde, l'argument qui tue en avant-vente !!
 Meci oles :)

 Bloquer un slowloris, c'est une ligne de conf dans HAProxy

 a+


 --
 The information contained in this message, and any attachments, are or may be 
 privileged and/or confidential and protected from disclosure and may also be 
 covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521.  
 If the recipient of this message is not the intended recipient or authorized 
 to receive this information for the addressee, you are hereby notified that 
 any dissemination, distribution or copying of this communication is strictly 
 prohibited.  If you have received this communication in error please delete 
 it from your computer immediately


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


-- 
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Consommation électrique Cisco.

[Salim Gasmi]

Bonjour,

Voila ce que ca donne avec une sup720-3bxl + 2xX6704-10G + X6724-SFP qui
fait du 736Kpps au moment du dump:

-
/border-gateway#sh power
system power redundancy mode = redundant
system power total = 1869.42 Watts (44.51 Amps @ 42V)
system power used =  1257.48 Watts (29.94 Amps @ 42V)
system power available =  611.94 Watts (14.57 Amps @ 42V)
Power-Capacity PS-Fan Output Oper
PS   Type   Watts   A @42V Status Status State
 -- --- -- -- -- -
1PWR-1900-AC/6  1869.42 44.51  OK OK on
2PWR-1900-AC/6  1869.42 44.51  OK OK on
Pwr-Allocated  Oper
Fan  Type   Watts   A @42V State
 -- --- -- -
1FAN-MOD-6HS 180.18  4.29  OK
Pwr-Requested  Pwr-Allocated  Admin Oper
Slot Card-Type  Watts   A @42V Watts   A @42V State State
 -- --- -- --- -- - -
1WS-X6724-SFP125.16  2.98   125.16  2.98  onon
4WS-X6704-10GE   295.26  7.03   295.26  7.03  onon
5WS-SUP720-3BXL  328.44  7.82   328.44  7.82  onon
6WS-X6704-10GE   328.44  7.82   328.44  7.82  onon
/-

Salim

Le 18/07/2012 16:37, Alexandre Legrix a écrit :
 Bonjour.

 Nous cherchons à savoir, si il existe un tableau comparatif des consommations 
 électrique de différents matériel Cisco afin de bâtir un modèle économique 
 long terme.
 Je ne trouve pas ce type d'information.
 Je cherche à savoir par exemple combien consomme pour de vrai un : 
 6503-E + sup32 + 6724
 ou un 3750G-12s

 A pleine charge avec tous les ports qui poussent du trafic, ou pas … etc ...

 Si quelqu'un sait ou je peux chopper l'info, je lui serai reconnaissant.

 Alexandre Legrix.


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


-- 
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Consommation électrique Cisco.

[Salim Gasmi]

Si ca peut aider Alexandre, sur le routeur du dump il y avait:

7 interfaces Gig up sur la carte 1
1 interface 10G up sur la carte 4
4 interfaces 10G up sur la carte 6

Salim

Le 18/07/2012 19:17, Surya ARBY a écrit :
 C'est pas tant le nombre de pps qui compte que le nombre de ports up
 dans le châssis et la consommation associée en terme de Watts par port.

 Surya

  Le 18/07/2012 19:10, Salim Gasmi a écrit :
 Bonjour,

 Voila ce que ca donne avec une sup720-3bxl + 2xX6704-10G + X6724-SFP qui
 fait du 736Kpps au moment du dump:

 -
 /border-gateway#sh power
 system power redundancy mode = redundant
 system power total = 1869.42 Watts (44.51 Amps @ 42V)
 system power used =  1257.48 Watts (29.94 Amps @ 42V)
 system power available =  611.94 Watts (14.57 Amps @ 42V)
  Power-Capacity PS-Fan Output Oper
 PS   Type   Watts   A @42V Status Status State
  -- --- -- -- -- -
 1PWR-1900-AC/6  1869.42 44.51  OK OK on
 2PWR-1900-AC/6  1869.42 44.51  OK OK on
  Pwr-Allocated  Oper
 Fan  Type   Watts   A @42V State
  -- --- -- -
 1FAN-MOD-6HS 180.18  4.29  OK
  Pwr-Requested  Pwr-Allocated  Admin Oper
 Slot Card-Type  Watts   A @42V Watts   A @42V State State
  -- --- -- --- -- - -
 1WS-X6724-SFP125.16  2.98   125.16  2.98  onon
 4WS-X6704-10GE   295.26  7.03   295.26  7.03  onon
 5WS-SUP720-3BXL  328.44  7.82   328.44  7.82  onon
 6WS-X6704-10GE   328.44  7.82   328.44  7.82  onon
 /-

 Salim

 Le 18/07/2012 16:37, Alexandre Legrix a écrit :
 Bonjour.

 Nous cherchons à savoir, si il existe un tableau comparatif des
 consommations électrique de différents matériel Cisco afin de bâtir
 un modèle économique long terme.
 Je ne trouve pas ce type d'information.
 Je cherche à savoir par exemple combien consomme pour de vrai un :
 6503-E + sup32 + 6724
 ou un 3750G-12s

 A pleine charge avec tous les ports qui poussent du trafic, ou pas …
 etc ...

 Si quelqu'un sait ou je peux chopper l'info, je lui serai
 reconnaissant.

 Alexandre Legrix.


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/



 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


-- 
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cohabition HSRP + VRRP

[Salim Gasmi]

Salut,

Aucun souci pour faire cohabiter les deux.

HSRP utilise UDP (port 1935) alors que VRRP utilise le protocole IP 112.
Bien sur les deux utilisent du multicast.

Salim

Le 21/06/2012 11:36, Germain Maurice a écrit :
 Salut tout le monde,

 J'ai une baie avec un transit IP sur un lien actif/passif moyennant 
 l'utilisation de 2 switchs + du HSRP, ça fonctionne bien, pas de souci.
 J'aimerais sur cette infra pouvoir mettre en place du 2 HAproxy avec du VRRP 
 entre les deux.
 Est-ce que la cohabitation des 2 normes est bien possible en sein d'un même 
 réseau ?

 Merci à vous !

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


-- 
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Salim Gasmi]

Bonjour Gurvan,

La vraie question me semble plutôt être : Est ce plus à vous ou à OVH 
de protéger VOS clients ?.


Il me semble pour ma part évident que c'est tout d'abord à l’hébergeur 
qui est payé par ses clients de fournir un hébergement de qualité.
Un hébergement de qualité aujourd’hui sous entend un certain nombre de 
points dont la protection contre les DDOS/flood fait aussi partie.

C'est une réalité technique que personne ne peut plus ignorer.

Il existe aujourd’hui pas mal de solutions techniques plus ou moins 
dispendieuses pour essayer de s'en protéger.
La plupart ont étés déjà présentées ici (flowspec,communautés BGP, 
système de mitigation (Arbor,Corero,...), clean pipe payant,..).
ici à SdV, le budget dédié à la protection DDOS est conséquent (Arbor 
TMS+Peakflow), on aurait préféré utiliser cet argent pour autre chose, 
mais ainsi va la vie, il en va de notre survie.


Ne pas se protéger soi même ses clients est un choix qu'il faut assumer, 
je peux comprendre qu'on fasse l'impasse sur ces protections pour des 
raisons économiques, par contre je comprend moins quand ensuite on 
demande aux autres de le faire à sa place.


En l'absence de législation forçant les AS à nettoyer leur trafic 
sortant, il me semble logique que ce soit fait chez les hébergeurs en 
entrée (qui sont payés par des clients).
Donc, je ne vois pas pourquoi OVH devrait nettoyer son trafic sortant 
pour vous (alors que vous ne le faites pas vous même en entrée).


Pour ce qui est du filtrage entre vos deux réseaux, c'est effectivement 
une mesure technique qui me semble démesurée de la part d'OVH, je vous 
invite à essayer de discuter avec eux pour trouver un compromis plutôt 
que de lancer des polémiques publiques qui n'apaiseront pas le débat.


Mais encore une fois, si vous aviez eu ce qu'il fallait pour vous 
protéger (ou travailler avec des upstreams en ayant la capacité) vous ne 
seriez pas dans cette situation, s'acharner publiquement sur OVH (qui du 
fait de sa position sur le marché sera souvent une source d'attaques) ne 
me parait pas la bonne approche technique ni commerciale.


Cordialement,

Salim


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?

[Salim Gasmi]

Bonjour,

Je viens de tomber sur un truc bizarre.
A ce que je constate, les resolvers de free ne répondent pas a une query 
de type A quand la réponse est une ip privée.


Démonstration en interrogeant le grand 8.8.8.8:

-
[salim@dedix ~]# dig switch48.sdv.fr. @8.8.8.8
;  DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5  switch48.sdv.fr. @8.8.8.8
;; global options:  printcmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: NOERROR, id: 47131
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;switch48.sdv.fr.INA

;; ANSWER SECTION:
switch48.sdv.fr.86169INA172.20.1.48

;; Query time: 82 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Dec  8 16:12:29 2011
;; MSG SIZE  rcvd: 49
-

On voit bien que Google a répondu 172.20.1.48, ce qui est correct.
Posons la même question a dns1.proxad.net:

-
[salim@dedix ~]# dig switch48.sdv.fr. @dns1.proxad.net

;  DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5  switch48.sdv.fr. 
@dns1.proxad.net

;; global options:  printcmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: NOERROR, id: 41696
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;switch48.sdv.fr.INA

;; Query time: 9 msec
;; SERVER: 212.27.40.240#53(212.27.40.240)
;; WHEN: Thu Dec  8 16:13:53 2011
;; MSG SIZE  rcvd: 33
-

La réponse est vide.
J'ai testé avec plusieurs IP privées dans plusieurs domaines, cela 
semble généralisé.


Question subsidiaire : Combien de RFC ce comportement viole t'il ?

Cordialement,

Salim

--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Orange / Cogent : la pression monte

[Salim Gasmi]

 a coté de Cogent à du transit 100 fois meilleurs que
Cogent. Donc ce n'est pas une histoire de pognon.

ET meme FT aujourd'hui a drôlement baissé ses tarifs. Donc meme un petit op
peut se payer une 100 Mbps de transit orange.

Pour moi, le marché FR ne les intéresses pas, pourtant la stratégie des POP
locaux à ce jour serait une bonne solution pour éviter d'engorger les routes
au lieu d'héberger tout à Paris et d'engorger les réseaux.

De toutes, les GIX et data center départementaux vont se créés a grandes
brassé pour mettre les données au plus pres du clients.

Cogent ont tout, ils ont du fric, des pop, c'est le moment de parler
d'hebergement local,  et ils s'endorment et prennent pour des cons les
clients qui essayent de faire quelque chose sur leur pop vide

Je ne comprends pas la logique qui se cache derrière de tels actes 


Emmanuel


-Message d'origine-
De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de
Mathieu Paonessa
Envoyé : lundi 29 août 2011 13:25
À : Julien Escario
Cc : Liste FRnoG
Objet : Re: [FRnOG] Orange / Cogent : la pression monte

Salut!


Les sujets trollesques sortent directement le lundi matin :


http://pro.clubic.com/entreprises/orange-france-telecom/actualite-443042-tra
fic-internet-cogent-porte-plainte-orange.html

Si ça se confirme, ça créé un précédent non ? Et la décision de l'autorité
risque de jeter un sacré froid sur les discussions en matière de

neutralité du

net ...

RDV dans 6 mois ?

J'aurais bien dit rendez vous dans 3 semaines à l'EPF mais aucun des
deux ne vient malheureusement :(

Mathieu
---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] multiplexer CWDM passif a conseiller ?

[Salim Gasmi]

Bonjour,

Je pense bientôt passer un de mes liens 10G de 10km en techno CWDM pour 
bénéficier de plusieurs couleurs .
Quels équipements me conseillez vous, sachant que je cherche un truc 
simple a 4 ou 8 couleurs, passif, et qui ne tombe pas en panne tous les 
3 jours .

Si vous avez des retours d'expérience a partager, je suis preneur .

Merci .

Salim

--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia

[FRnOG] Souci de routage 5511

[Salim Gasmi]

Bonsoir,

Je remarque depuis deux heures des soucis de routage au sein de l'AS 5511 .
Le souci est similaire a une panne datant de 2010 qui avait été signalée 
ici, mais je n'ai pas retrouvé le thread dans les archives .
Le symptôme est le même que la dernière fois, a savoir qu'en fonction de 
l'ip source on a soit 0% soit 90%+ de loss vers certaines ips de 3215 si 
on passe par 5511 .


De plus, comme la dernière fois, le souci est asymétrique, seuls les 
paquets 3215 vers 5511 ont du loss et pas l'inverse .


Ceci donne un joli effet ressemblant a tort a un DDOS syn flood sur les 
serveurs a fort trafic .


En effet, si vous avez la chance d'avoir un site web (ou autre) avec une 
ip qui loss chez OT, 90% des établissements de connexions TCP en 
provenance de 3215 partent en sucette car votre serveur reçoit bien les 
SYN mais l'émetteur ne reçoit jamais votre SYN+ACK car perdu dans la 
nébuleuse OT, de fait votre serveur se retrouve plus ou moins vite 
saturé de connexions ouvertes en attente.


J'espère que quand je me réveillerais demain, le souci sera réglé, en 
attendant, si vous voyez des comportements bizarres sur vos serveurs, 
faites un netstat ;)


Cordialement,

Salim qui va se coucher .

--

Salim Gasmi -- Directeur Technique -- SdV Plurimedia

Re: [FRnOG] GBLX / ORANGE

[Salim Gasmi]

Bonsoir,

Je suis d'accord avec toi Raphael, on a aujourd'hui quelques options 
possibles .


Concrètement, quand on est un fournisseur de contenu français, bien 
joindre 3215 est une obligation .


Comme choix, il y a :

1: Acheter du transit OpenTransit , qu'il faudra considérer comme un 
peering super cher avec 3215 .
2: Choisir un transitaire Tier 1 qui a la chance d'être dans les bonnes 
grâces d'Orange et qui ne sature pas avec Open Transit .

3: Choisir un transitaire Tier 2 qui a du paid peering avec 5511 .
4: Être assez gros pour négocier un paid peering pas trop cher avec 5511 .

Après chacun fait son choix en fonction de ses moyens et de son éthique 
vis a vis de la politique d'Orange .
A SdV, on a durant un an optés pour l'option 1, finalement on a retenu 
la 2, mais j'ai longtemps hésité avec l'option 3 de chez un operateur 
qui a un nom a la matrix et que tu connais bien .


Cordialement,

Salim

Le 15/01/2011 18:43, Raphael Maunier a écrit :

Hello,

Je ne suis pas d'accord avec toi sur ce point.  Il ne faut pas mélanger le 
transit ( qui est le sujet ici).
On ne parle pas d'accès. Il y a plus de possibilité que tu ne crois pour 
joindre 3215.

Aujourd'hui 3215 peere avec l'ensemble des gros  réseaux eyeball en France et 
achète sa connectivité internationale a 5511.
Entre 5511 et 3215 il n'y a pas de saturation délibérée. La ou l'on pourrait 
trouver de la saturation est entre 5511 et ses peers (qu'ils soient gratuits ou 
payants).

il n'y a PAS que les Level3, Gblx, ou Cogent pour joindre 3215 ( 5511_3215). 
Opentransit n'oblige personne a prendre du transit chez ces derniers.

Opentransit ne peut pas non plus ouvrir les tuyaux tout le temps a certains transitaires 
low-cost pour lesquels la notion de qualité n'est qu'un concept.

Donc il est possible de joindre 3215 sans saturation, charge a l'acheteur qui 
désire de la qualité de faire son choix.




--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Du taf sur Strasbourg .

[Salim Gasmi]

Bonjour,

Si vous recherchez un emploi (ou connaissez quelqu'un) en ces périodes 
de fêtes, sachez que SdV recherche un technicien.

Plus d'info ici : http://fr.lolix.org/search/offre/offre.php?id=13631

Ps: Oui, je sais, ce n'est pas le but premier de cette liste, mais je me 
suis dit que cela pourrait égayer le Noël de quelqu'un de trouver du taf .


Joyeuses fêtes !

Salim

--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia

Re: [FRnOG] sup720 3-BXL

[Salim Gasmi]

Bonjour,

Ici j'utilise du cisco 7600 avec de la sup720-3BXL et cela marche 
parfaitement avec 5 full routes + un full mesh IBGP a 3 routeurs .


Je ne vais pas rentrer dans le troll 6500 != 7600 pour moi ce sont les 
mêmes châssis et j'ai donc envie de dire que oui cela va marcher .


Cordialement,

Salim


Le 16/07/2010 11:34, Renaud RAKOTOMALALA a écrit :

 Bonjour,

Quelqu'un a t il un bon retour d'expérience sur l'utilisation de c6500 
avec des cartes sup720 3-BXL pour faire office de routeur de bordure ? 
Actuellement j'utilise des 7200 avec NPE-G2 mais je n'ai pas une 
concentration de port suffisante pour arriver au résultat voulu.


Le c6500/sup720-3BXL me semble un bon compromis coût/capacité mais on 
a déjà eut une mauvaise expérience avec un c6500/sup32 sur la gestion 
du BGP donc on est tout de suite moins rassuré :(


Quelqu'un a t il déjà utilisé ce type de matos pour gérer une (voir 
deux) session full bgp et quelques peering privées ?



Renaud
---
Liste de diffusion du FRnOG
http://www.frnog.org/




--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Attaque par injections SQL

[Salim Gasmi]

Bonjour,

Si vous portez plainte des qu'un bot essaye de 
l'injection SQL, vous n'avez pas fini, c'est tres courant .


Le plus sur contre ce type d'attaques reste la 
formation des programmeurs a la securité informatique .
En 2010 je considere comme criminel de mettre un 
argument recupéré sur la query string dans une 
requete SQL sans l'avoir verifié, escapé, etc .


La formation des programmeurs, eventuellement un 
equipement style IDS et/ou IPS me semblent un minimum aujourd'hui .


Je ne pense pas que porter plainte vous sera 
d'une quelconque utilité, a part vous faire perdre du temps .


Cordialement,

Salim


At 27/02/2010 14:26, Greg wrote:

Bonjour,

cette nuit, et ce matin on a subit des attaques 
par injection SQL depuis une IP au Canada, dans 
le but de récupérer des informations. Type:

WHERE id='.$_GET['val']
qui devient:
WHERE id=0/**/or/**/1=1/**/order/**/by/**/1--
Yen a qui vont prendre cher lundi 

On va porter plainte, et la police va faire son 
travail... mais j'aimerais prendre les devants et essayer d'obtenir des infos.
J'ai déjà fais un scan (nmap -sS -A -T4) qui ne 
me retourne aucune infos, tout est filtré: je 
pense donc que c'est vraiment lui derrière, et 
pas un PC zombie ni un proxy ni un équipement réseau.


Est-ce que vous avez des techniques permettant 
d'en savoir un peu plus sur Kevin ?


--
Greg

---
Liste de diffusion du FRnOG
http://www.frnog.org/


***
Gasmi Salim - SdV Plurimedia http://www.sdv.fr
Directeur technique / C.T.O
PGP Key available at: http://www.gasmi.net/pgp.txt
*** 

Re: [FRnOG] AS/Structure dont les but sont manifestement douteux

[Salim Gasmi]

Bonsoir,



3 questions me viennent à l'esprit:
- pensez vous que nullrouter les annonces de cet AS va a l'encontre de la net
neutrality


Cela depend du null routeur.

Si c'est un AS de transit, alors oui cela va 
clairement a l'encontre de la neutralité,
En tant que client je ne souhaite pas que mes 
upstreams decident de ce que je peux voir ou ne pas voir .
En gros, les operateurs et les FAI, clairement ne 
seraient plus neutres et cela poserait des 
problemes ethiques majeurs, sur qui decide de filtrer quoi .


Par contre si l'AS nul routeur est un AS final, 
qui ne revend pas du transit, alors il est libre 
de faire ce qu'il veut sur son reseau,
Au meme titre que je peux decider de ne pas 
afficher les pubs chez moi a la maison sur mon navigateur .
En gros, si l'entreprise XX decide de filtrer ces 
routes pour le bien de ses salariés, cela ne me choque pas plus que cela .
On peut ensuite discuter sur le bien fondé du 
filtrage, mais a mon sens chacun fait ce qu'il 
veut sur SON reseau si cela n'impacte pas d'autres reseaux .




- pensez vous qu'il faille fair quelque chose contre ce type de malfaisant ?
- quoi ?


Oui, mais pas au niveau du transport, c'est une 
mauvaise approche, mais plutot au niveau legislatif .


Cordialement,

Salim

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Numericable : mauvaise techno ou mauvais réseau ?

[Salim Gasmi]

Bonsoir,

Je suis surpris que le vieux troll Cable vs ADSL 
genere encore autant d'octets smtp .


Nous savons tous ici, que la qualité d'une 
connexion cable depend de pleins de parametres 
comme la qualité de l'installation du client, du 
blindage de son installation, du bruit sur la 
poche ou il est connecté et des parasites ambiants .
Au meme titre qu'en ADSL cela va dependre de la 
distance avec de DSLAM, de la qualité de la ligne du client, ...


De plus, il n'y a pas que la techno, il y a aussi 
l'aspect technico-commercial, a savoir le taux de 
foisonement, combien d'abonnés par carte chaque operateur va mettre.
Quand l'operateur decidera d'ouvrir un nouveau 
BSR/DSLM par ce qu'il estimera que c'est 
necessaire, tout cela agit aussi sur le ressenti de l'internaute.


Tout le monde pourra y aller de ses petits 
exemples (cable/adsl marche bien/pas chez moi) 
cela reste a mon sens anectdotique et de toute facon non representatif .


La seule methode viable pour repondre a ce troll 
serait d'avoir des retours en masse sur le 
ressenti reel des clients (via des benchs ou un 
sondage) mais nous n'avons rien de fiable a la date d'aujourd'hui .


Comme l'a signalé Xavier Niel, les classements 
01net/IP Label ne sont a priori pas 
representatifs de la realité du terrain, en tout 
cas j'ai personnelement du mal a croire a un 
classement qui est fait sur quelques lignes 
decretées representatives,j'ai vite fait 
d'imaginer que les dites lignes soient traitées 
avec le plus grand soin par les operateurs, mais 
cela n'engage que moi, je suis peut etre un vieux mefiant cynique .


Tout cela manque finalement de transparance pour 
les pauvres clients que nous sommes, chaque 
operateur criant haut et fort etre le meilleur pour attirer le chaland.
Il suffit de poser ce genre de question sur un 
forum et voir les informations contradictoires 
pleuvoir (XX c'est pas bien, XX c'est top,...)


Quand on me demande conseil sur un operateur 
internet grand public, je repond systematiquement 
que je n'en sais rien, cela depend de trop de 
parametres pour pouvoir savoir a l'avance si cela 
va marcher correctement, je donne comme exemple 
qu'a mon ancienne adresse, Free marchait du feu 
de dieu, et Numericable pas du tout, alors qu'a 
ma nouvelle adresse, c'est tout l'inverse 


Salim

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] AS 32 bits et cisco

[Salim Gasmi]

Bonjour,

Comme les AS a 4 octets vont bientot faire leur 
apparition debut 2009, et que je n'ai que moyennement envie de voir des AS23456
partout dans nos tables de routage, je me 
demandait si cisco avait deja sorti un IOS qui supporte les AS 32bits .


En particulier pour les 7600/6500, je n'ai rien trouvé sur le site cisco ..

je suis preneur de toute info .

Merci d'avance .

Salim


-
Salim Gasmi
Directeur technique - Sdv Plurimedia - http://www.sdv.fr
-


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Coût de mise en place d'un AS.

[Salim Gasmi]

At 07/11/2007 11:44, Artur Pydo wrote:

Bonjour à tous,

Je lis régulièrement cette ML, mais c'est la première fois que j'écris.
Soyez indulgents. :)
Le dernier fil de discussion sur l'IPv6 a eu pour effet de déclencher
une mini tempête sous mon crane. J'expérimente/utilise l'IPv6 depuis
bien longtemps. Au départ en tant que client chez Nerim puis avec
BTExact quand j'ai migré chez Free et accessoirement chez OVH sur mon
Kimsufi.
Comme il semble que la pénurie d'adresses IPv4 qui s'annonce depuis bien
longtemps semble s'approcher de plus en plus, je me demandais quel est
le coût administratif (approximatif) de la mise en place d'un AS avec
une classe C en PI sinon un petit bloc de classes C pour les besoins
d'une petite boîte. Il s'agirait de gérer un réseau avec 2 opérateurs en
BGP4.
J'ai déjà mis en place ce genre de solutions il y a quelques années,
mais le contexte était un peu différent et je n'ai pas/plus ce genre
d'éléments aujourd'hui.

Merci par avance pour vos lumières.
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Bonjour,

Le cout n'est pas tres elevé.

Il faut prevoir en gros:

1: Le cout pour devenir LIR au RIPE (style 1500€ 
/ an quand on est SMALL ou EXTRA SMALL)


2: Un routeur (ou 2) sachant faire du BGP, en 
gros aui a assez de ram pour 2 upstreams full routes
cela peut couter 1500€ avec un quagga sous Linux, 
4000€ pour un cisco 7200 chez un broker, ou 30K€ pour un juniper :)


3: Le cout de formation du personel et envoi d'au 
moins une personne a un RIPE training, ce qui 
occasionne quelques couts de deplacements.


Apres c'est une histoire de moyens que vous 
deciderez de mettre dans l'infra reseau, mais si 
je devais faire un tres low cost cela ne couterait

pas grand chose, style:

RIPE  1500€ + PC sous Quagga 1500€ +  Envoi d'une 
personne a Amsterdam  1000€ = 4000 €


Maintenant, cela ne veut pas dire que c'est 
l'archi que je preconiserait, mais la n'etait pas la question initiale .


Cordialement,

Salim 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Club-Internet filtre tout/trop !

[Salim Gasmi]

Bonjour,

j'ai quand meme un doute, tellement c'est enorme, 
sans parler du fait que j'arrive a envoyer du mail

a CI alors que je ne suis aucun des FAI cités .

cf la trace suivante depuis la machine factorix.sdv.fr
---
telnet mx.club-internet.fr 25
Trying 194.158.120.25...
Connected to mx.club-internet.fr.
Escape character is '^]'.
220 relay-9v.club-internet.fr ESMTP Postfix
ehlo sdv.fr
250-relay-9v.club-internet.fr
250-PIPELINING
250-SIZE 28735780
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
mail from: [EMAIL PROTECTED]
250 2.1.0 Ok
rcpt to: [EMAIL PROTECTED]
250 2.1.5 Ok
data
354 End data with CRLF.CRLF
Test, merci d'ignorer ce mail
.
250 2.0.0 Ok: queued as 4B20525601
quit
221 2.0.0 Bye
Connection closed by foreign host.
---

Cordialement,

Salim

At 11/09/2007 12:54, LOUPIAS Cédric wrote:

Bonjour a tous,

Nous constatons depuis quelques jours que certains de nos clients ne
recoivent plus nos mails dés lors qu'ils sont abonnés Ã
Club-Internet ...
Nous avons donc regardé de plus prés ce qu'il en était et avons contacté
club-internet. Il s'avére qu'ils ont changé leur politique en matiére de
filtrage de Spam pour s'orienter vers une voie quelque
peu ...draconnienne !
En effet si leur serveur smtp emetteur du mail à destination d'un abonné
de CI n'appartient pas à Orange ( smtp.orange.fr ), free (smtp.free.fr)
ou encore Alice, il est tout simplement refusé (d'aprés les infos
serveurs que nous obtenons / d'aprés un administrateur de chez CI ) !!
Cette mesure est *relativement* génante dans la mesure ou elle
n'autorise plus les smtp privés ( sans compter les applicatifs qui
tournent sur une machine web et qui utilisent l'envoi de mail :
confirmation d'inscription, de commande sur un site marchand par
exemple ...)

Avez vous remarqué ce genre de probléme ?

Par avance merci.

Cédric
http://www.domaine-achat.fr

---
Liste de diffusion du FRnOG
http://www.frnog.org/



-
Salim Gasmi
Directeur technique - Sdv Plurimedia - http://www.sdv.fr
-


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] as-set et member-as

[Salim Gasmi]

At 06/08/2007 16:21, Greg VILLAIN wrote:

Bonjour à tous,

Voici une question à dix sous:
Disons que je dispose d'un AS# et que je souhaite connaitre tous les
AS qu'il annonce (leur AS# suffira).
Je souhaite utiliser la DB d'un IRR quel qu'il soit.
Dans mon esprit, il n'y a pas de référence à l'AS-SET dans un reccord
AUT-NUM.
Du coup, que ça soit en récursif ou en inverse-lookup, je vois pas du
tout comment je pourrais faire ça.
Je précise également que je souhaite à tt prix éviter la solution qui
vise à lire une table BGP dans un premier temps.

Si quelqu'un a une info, je suis preneur !
Merci à tous d'avance,

Greg VILLAIN
Network Architect / Dailymotion Corp.




Bonsoir,

Effectivement, il n'y a aucune relation entre un 
objet as-set et un au-num dans la base du RIPE

et de fait il n'y a pas de methode sure pour retrouver l'as-set d'un as .

Perso, j'utilise la feinte suivante: je pars du 
principe qu'il y a de tres fortes chances que

l'objet mainteneur (mnt-by) soit le meme pour l'aut-num et l'as-set .

C'est bien sur une supposition, mais ca marche tres souvent .
Donc il suffit de trouver l'object maintener d'un 
AS et ensuite retrouver l'objet as-set qui a le meme mainteneur.


style :
maint=$(whois -r -T aut-num AS8839 | grep ^mnt-by:  | cut -d: -f2)
asset=$(whois -r -T as-set -i mnt-by $maint | grep ^as-set:  - cut -d: -f2)

Cordialement,

Salim 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Wanadoo / Orange SMTP

[Salim Gasmi]

At 28/06/2007 09:11, Dominique Rousseau wrote:

Le Wed, Jun 27, 2007 at 07:43:30PM +0200, Salim Gasmi [EMAIL PROTECTED] a écrit:
 Bonsoir,

 Je pense que c'est aussi aux FAI de lutter pour un un internet plus
 propre,

Et l'étape d'après, c'est quoi, le retour de la censure ?


Non, mais les FAI ont a mon sens, le devoir de 
participer activement a essayer de maintenir Internet dans un etat propre.


Il ne faut pas confondre limitation et censure, 
la liberté n'a jamais été l'autorisation de 
pouvoir faire tout et n'importe quoi.
Pour moi envoyer 100,000 spams / heure n'est pas 
compatible avec l'esprit d'un internet libre et 
bloquer le spammeur ne releve pas de la censure mais du devoir .


Un exemple non lié au SPAM, j'estime par exemple 
qu'il devrait etre obligatoire quand on est FAI de filtrer les IPs
sources de ses clients pour s'assurer qu'ils ne 
spoofent pas avant de les emmetre sur le net,
de meme, un FAI devrait etre dans l'obligation de 
limiter le nombre de mails emis par un particulier (avec une limite tres haute)
afin de lutter contre les spammeurs, ces deux 
exemples simples sont tres souvent deja mis en place chez certains FAI et je
trouve cette demarche intelligente et responsable 
(meme si souvent ces mesures sont en place pour des raisons plus mercantiles).


Gerant une grosse plateforme SMTP pour un gros 
compte, j'ai le plaisir de m'endormir le soir en me disant que limiter le nb
de mails emis par un abonné / jour permet de 
bloquer plusieurs centaines de millions de spam par mois sans jamais gener
un utilisateur non spammeur, c'est du simple bon 
sens et crier betement a la censure est non 
seulement irresponsable mais detruit
ce qu'on essaye tous de preserver, a savoir un 
internet ou quand j'ouvre mon mail le matin, je 
n'ai pas 10,000 offres commerciales .


Cordialement,

Salim 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Wanadoo / Orange SMTP

[Salim Gasmi]

Bonsoir,

Je pense que c'est aussi aux FAI de lutter pour un un internet plus propre,
ainsi je pense que toute action luttant contre le 
spam  est une bonne mesure, le spam etant devenu intolerable .


Filtrer sauvagement le port est un peu rude, 
perso j'aurais preferé un truc a la Free ou chaque abonné ai eu le choix .
Mais le debat merite d'etre ouvert, vaut il mieux 
leser 1% de la population (ceux qui ont un 
serveur MX chez eux) pour diminuer le spam
recu par les 99% autres (dans l'hypothese 
purement theorique ou tous les FAI feraient ce filtrage).


Je n'ai pas d'avis encore tranché sur la 
question, mais ce dont je suis sur, c'est que si 
on continue a ne rien faire d'efficace contre le spam

ca n'ira que de pire en pire .

Cordialement,

Salim

At 27/06/2007 19:21, Léo Goehrs wrote:
Est-ce qu'un fournisseur d'accès a le droit de 
filtrer les ports de son client dans les CGV ? 
Sinon, on pourrait aller plus loin et carrément 
interdire certains site, et bientôt mettre un proxy global comme au viet-nam.


Imaginez que Wanadoo interdise l'accès aux pages 
persos de free. Ce n'est que le premier pas mais 
un filtrage global me semble une bien bien 
mauvaise idée qui va a l'encontre du principe de l'Internet.


Si encore il y avait un contrôle individuel, on 
pourrait considérer cela comme un progrès pour 
protéger l'utilisateur. La, on force les 
utilisateurs et c'est, il me semble une atteinte 
a la liberté et donc une régression.


Bref, je suis contre et j'espère que ceux qui 
souhaiterons aller dans ce sens le feront en réfléchissant un peu plus.


Cordialement

Léo Goehrs

-Original Message-
From: [EMAIL PROTECTED] 
[mailto:[EMAIL PROTECTED] On Behalf Of Vincent Gillet - Opentransit

Sent: mercredi 27 juin 2007 18:40
To: frnog@frnog.org
Subject: Re: [FRnOG] Wanadoo / Orange SMTP

[EMAIL PROTECTED] disait :

 Le 27 juin 07 à 16:50, Will van Gulik a écrit :

 Et vu la clientele ciblé (le end-user et son pc zombie), ils ne
 proposent pas de solution pour detourner le problème.

Etant donné que personne de Orange Mail ne répond, je vais tacher
de donner les infos que j'ai (en espérant ne pas me faire taper sur les
doigs, mais je considere qu'il n'y a rien de secret là dedans ...).

Cela évite aux gens compétents en SMTP de cherche l'erreur ou
devancer le probleme.

 Chez FT par contre, je ne suis pas certain qu'il y ait ce genre de
 gestion de conf individualisée pour chaque Livebox. Ca ne
 m'étonnerait pas tant que ça que le filtrage se fasse plus loin sur
 les équipements réseaux.
 Ce qui est évidemment beaucoup moins élégant, et ingérable si chacun
 commence à demander une exception. :)---

Le filtrage dans la livebox a été écarté car tout le monde n'est pas en
livebox.

Ce filtrage est en cours de mise en place sur les BAS. Il est déployé
par région. Cela commence cette semaine et se terminera en aout.
Un pilote a été nemé quelques mois sur un BAS. Il est concluant.

Les gens du SAV ont été informé il me semble.

Pas possible de mettre en place des exceptions car le filtrage est
global au BAS, non lié à la session de l'utilisateur.

1/ Ne rien me reprocher sur le mechanisme ni la méthode de mise en
   place. Je n'en suis pas responsable
2/ Je n'ai pas plus d'info que cela.
3/ A titre perso, je trouve que cette mise en place est une bonne chose
   pour la lutte anti-spam.

Vincent.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/



-
Salim Gasmi
Directeur technique - Sdv Plurimedia - http://www.sdv.fr
-


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] BGB avec Quagga

[Salim Gasmi]

Bonsoir,

J'ai pris une petite heure pour dumper et 
analyser ma table BGP, et voici quelques stats pour ceux qui aiment ca,


Nb entrees dans ma table : 238456

Repartition CIDR:

/30 : 1 (0.000 %)
/29 : 0 (0.000 %)
/28 : 5 (0.002 %)
/27 : 7 (0.003 %)
/26 : 4 (0.002 %)
/25 : 4 (0.002 %)
/24 : 126768 (53.162 %)
/23 : 21323 (8.942 %)
/22 : 19634 (8.234 %)
/21 : 15015 (6.297 %)
/20 : 16823 (7.055 %)
/19 : 15018 (6.298 %)
/18 : 7147 (2.997 %)
/17 : 4344 (1.822 %)
/16 : 10411 (4.366 %)
/15 : 950 (0.398 %)
/14 : 506 (0.212 %)
/13 : 264 (0.111 %)
/12 : 141 (0.059 %)
/11 : 41 (0.017 %)
/10 : 16 (0.007 %)
/9 : 11 (0.005 %)
/8 : 23 (0.010 %)

On voit que nous en sommes a 53% de /24, c'est tres loin d'etre negligeable .

Sur ces 53% de /24, je me suis amusé a compter le nombre de plus specifiques
et cela nous donne 32% d'entres elles (soit 16% du total) .

Mon avis est un peu celui de Benjamin, decreter 
arbitrairement que la limite devrait etre
/24 n'est pas bonne, certains AS n'ont pas besoin 
de plus et ont besoin d'un AS pour le multi homing

un petit hebergeur en est un bon exemple .

D'un autre coté, il y a clairement de l'abus, 
beaucoup utilisent la desagregation comme technique de routage

sans tenir compte que cela coute a tout le monde 

Pourquoi pas une blaklist des AS les plus 
desagregateurs ? si les gros operateurs les filtraient, ils

trouveraient vite une solution, vous ne pensez pas ?

Cordialement,

Salim

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Encore de la théorie....

[Salim Gasmi]

At 17/08/2006 14:25, olivier lonnière wrote:





En effet, j'ai appris que les hebergeurs avaient souvent plusieurs
liens arrivant sur leur infrastructure, je me suis donc poser la
question de savoir comment ils faisaient pour répartir equitablement
ou selon des contraintes techniques ou financières leurs liens.

J'ai vu qu'il y avait un système de communautés ou/et de préférences
... est ce que je suis dans le juste ?

Je vous remercis par avance de vos lumières.
Et dans le cas ou je serais HS, je m'en excuse également.



Bonjour Olivier,

Repartir le traffic entrant et sortant sont deux problemes distincts
qu'il faut addresser de maniere differente .

Pour le traffic sortant, quand tu as n upstream 
providers, tu as en general n AS-PATHs
vers une annonce precise, et une d'entres elle 
est elue best route en fonction de

criteres comme la longeur de l'AS-PATH,le poids,la localpref,med,.
Libre a toi de t'amuser a modifier tes preferences locales (les localprefs)
pour privilegier de sortir par l'upstream de ton choix.
A noter, que le multi exit disciminator (med) 
peut etre pratique comme tie break
en cas d'egalisté des AS-PATHs, en bref , il faut 
modifier ses localprefs a la main.
C'est long, c'est fastidieux, et comme la 
topologie du net change de temps en temps
(nouveau peering de tes upstreams par exemple), 
la configuration faite a la main

est generalement assez vite obsolete et il faut recommencer .

Pour le traffic entrant, c'est encore plus 
penible, en effet, les autres AS ont eux
aussi le droit de jouer avec leur localprefs tout 
comme toi, et en conclusion c'est eux
qui ont le dernier mot, tout ce que tu peux 
faire, c'est les inciter a passer par un lien plutot
qu'un autre en allongeant artificielement ton 
AS-PATH annoncé avec du preprending .
Une autre methode est effectivement les 
communautés, ou tu peux par exemple demander
a un de tes upstream AS, de ne pas annoncer tel 
prefixe, ou de le prepender 2 fois .
Cela reste assez empirique et fastidieux comme 
methode car comme dit precedement
les localprefs des emmeteurs sont prioritaires et 
cela depend encore des changement de topologie du net.


Je concluerais en disant, qu'avoir une grande 
finesse d'equilibrage avec BGP est assez dur, cela reste possible
avec de la configuration manuelle mainte fois 
recommencée, c'est pourquoi beaucoup de gens qui ne maitrisent
pas leur courbes de traffic preferent de loin un 
modele de facturation du transit en burst plutot qu'en flat .


Cordialement,

Salim


-
Salim Gasmi
Directeur technique - Sdv Plurimedia - http://www.sdv.fr
-



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] BGP et MD5

[Salim Gasmi]

At 4/22/2004 10:30 AM, you wrote:
Bonjour la liste,

Je voudrais vous soumettre mon interrogation sur un embalement qui semble se
declarer chez les operateurs IP, a savoir la securisation des sessions BGP
via authentification MD5.
Est-ce une mesure de protection face a un reele trou de securité majeur, ou
est ce le resultat d'un embalement paranoïaque de la part des ISP.
Toujours est il que l'on ne compte plus les demandes de securisation MD5 des
sessions inter-operateurs sur les noeuds d echanges tel que le SFINX, Parix,
FreeIX.
Quand on interroge les initiateurs de ces demandes, on n'obtient pas de
reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille
potentielle de leur systeme ?
Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan des
vulnerabilités de BGP.
Donc paranoia ou danger réel, c est a vous de me dire 
JPh


Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---
Apres avoir bien lu le rapport Frantz diffusé sur Nanog, la conclusion est que
BGP est assez secure en terme d'injection de routes en provenance d'un intrus
car celui ci devrait faire du spoofing donc faire di TCP sequence prediction
ce qui est estimé dans le rapport a 4 ans de flood intensif .
Par contre le gros point, est le risque d'injection de routes malicieuses
par une session deja existante a qui ont fait confiance.
C'est pourquoi le gros conseil est de systematiquement filtrer les annonces
que l'on recoit (cf RaToolSet et RtConfig).
L'ajout d'une authentification MD5 nous assure qu'on parle au bon peer
et cela bloque les attaques de type ARP spoofing qui sont facilement 
realisables
sur un gix quelconque.

Pour resumer, il faut filtrer ses annonces en cas ou un peer se fait 
compromettre son routeur
et mettre du MD5 pour bloquer les attaques de type ARP spoofing, par contre 
rien a craindre
du cote du spoofing TCP.

Salim

-
Salim Gasmi
Directeur technique - Sdv Plurimedia - http://www.sdv.fr
-



Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---