Re: [FRnOG] [MISC] Adresse postale
Le 2021-11-29 14:25, l...@51514.fr a écrit : Bonjour, J'ai un problème de nom de rue incorrecte dans les bases de données utilisés notamment par les FAI, RIP ou ameli.fr entre autres. D'où proviennent les bases de données utilisées par le FAI et autres concernant les adresses ? Comment peut-on demander une correction ? Salut. Peu importe le référentiel utilisé, c'est la mairie qui fait autorité sur les adresses d'une ville : "La dénomination des voies communales est laissée au libre choix du Conseil municipal dont la délibération est exécutoire par elle-même" Je tire cela de l'excellent guide rédigé par l'Agence Nationale de la Cohésion des Territoires. https://adresse.data.gouv.fr/data/docs/guide-bonnes-pratiques-v1.0.pdf Je viens de faire construire et la mairie m'a fourni un certificat d'adresse postale. Tu peux en obtenir un auprès de la mairie pour faire valoir tes droits et obtenir la correction de ton adresse. Cordialement Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Dans la série est-ce bien ou pas le draft sur 127/8...
Le 2021-11-18 09:34, Dominique Rousseau a écrit : Mais pour les utilisateurs en "entreprise", on en est probablement plus loin. Ipv6 et Ipv4 vont certainement cohabiter encore longtemps. Si les entreprises veulent garder un LAN en IPv4 ou en Dual-Stack, qu'elles le fassent, rien ne les empêche. Pour activer la navigation web en IPv6 tout peut se faire au niveau du proxy de sortie. Tout ce qu'on demande aux entreprises c'est d'avoir leurs services Internet accessibles en dual-stack, et là comme d'habitude y'a plus de monde pour troller et se trouver des excuses que pour faire son boulot. On peut critiquer les GAFAM mais Google et Facebook ils sont accessibles en full IPv6, alors que notre dernier champion national en date Nua.ge n'en propose pas. Ca reste une bonne idée ces RFC, continuons de pourrir IPv4, ouvrir des failles de sécurité et générer des bugs de routage, et tout le monde priera pour passer à IPv6 le plus vite possible. Y'a ceux qui trollent et ceux qui négocient leur compétence en IPv6 sur le marché de l'emploi. Je vous encourage à faire partie des seconds. Amicalement, Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Recherche consultant expert Ubiquiti
Bonjour. Vous devriez vérifier vos paramètres de client ou de serveur, vos mails arrivent en spam aussi chez moi. X-Spam: yes X-Spam-Score: 10 / 999 X-Spam-Status: Yes, score=10.000 required=999.000 tests=[ARC_NA=0.000, ASN=0.000, BROKEN_HEADERS=10.000 DKIM_SIGNED=0.000, FROM_HAS_DN=0.000, MID_RHS_MATCH_FROM=0.000 MIME_TRACE=0.000, PREVIOUSLY_DELIVERED=0.000, RCPT_COUNT_ONE=0.000 RCVD_COUNT_ONE=0.000, RCVD_TLS_ALL=0.000, RCVD_VIA_SMTP_AUTH=0.000 TO_DN_EQ_ADDR_ALL=0.000] Cordialement. Le 02/09/2020 à 22:09, OBConseil via frnog a écrit : Bonjour, J'ai essayé de répondre en privé à ce message, malheureusement Microsoft ne souhaite pas que mon serveur de mail (pourtant correctement configuré et présent dans aucune RBL) ne puisse te communiquer ma réponse sur une adresse en @live.fr . La seule solution serait que je créé un compte Microsoft et que je demande, via un formulaire, la mise en white-list de l'IP de mon serveur SMTP, et je refuse de cautionner ce genre de comportement d'éviction de la part des GAFAM. (ce sujet a été évoqué il y a quelques semaines sur cette liste) Je ne peux que t'inviter à me contacter à l'aide d'une adresse mail provenant d'un fournisseur plus respectueux de la netiquette et des autres opérateurs. A défaut, bah tant pis. Dans tous les cas je te souhaite de trouver les réponses à tes questions. A+ Julien Le 02/09/2020 à 17:04, Sébastien 65 a écrit : Bonjour la liste, Je recherche un consultant expert UBIQUITI (AirMax/AirFiber). Est-ce qu'il y a quelqu'un dans la liste ou une personne que vous conseilleriez ? Plus d'info sur le besoin en PV. Merci --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Une tribune pour vous inviter à suivre un site intéressant…
Le 2020-08-22 15:22, Jérôme Nicolle a écrit : Plop, Datacenter Magazine vient de publier une ébauche de retour d'expérience que j'ai commencé à travailler en début d'été. Vous pouvez lire le texte là : https://datacenter-magazine.fr/tribune-la-cyber-bombe-a-retardement-pourrait-etre-pire-que-la-crise-sanitaire/ Je vous invites à parcourir le site, leurs publications passées, il y a plein de choses intéressantes dedans. @+ “Allo, Jérôme, on a un problème, on doit faire télétravailler 980 personnes alors que ça fait 5 ans que le service “Rendre Heureux” leur explique que c’est impossible, est ce que tu as une idée ?” Jérôme, comment oses-tu critiquer les méthodes fabuleuses du management moderne qui apportent du bonheur au travail ? :) Sinon je partage à 200% ton vécu, tout a souffert de l'activation urgente du télétravail, les licences Endpoint VPN, les max-routes, les tuyaux, les points de congestion mal dimensionnés, etc ... A l'heure ou tout le monde vante la scalabilité (sic) du Cloud et des conteneurs, personne n'a pensé à la scalabilité du réseau. Ça aurait moins eu le mérite de débloquer les robinets et pérenniser le télétravail d'un point de vue technique, reste à faire changer les mentalités. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FRNOG [TECH] Fwd: Message important concernant les élections du RIPE
Le 08/05/2020 à 15:41, Christophe PLESSIS a écrit : Bonjour, Avez vous reçu cette information pour augmenter le nombre d’ipv4 ? Quel est votre avis ? A bon entendeur. Christophe J'en pense qu'un protocole pour augmenter le nombre d'adresses IP ça existe déjà et ça s'appelle IPv6. Bref, cette proposition est une vaste blague. Cordialement. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] [POLITIQUE] Coupures câbles dans le sud de Paris
Le 06/05/2020 à 16:45, Florian Judith a écrit : Si vous voulez explorer un peu le sujet via la science-fiction, Alain Damasio a fait un excellent boulot dans Les Furtifs. Il explore ici a quoi pourrait ressembler notre société ultra connectée, ce suivi et cette connexion permanente. En tout cas si on chope ceux qui ont coupé les câbles, ça va être la Horde des Contrevenants. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Attaque SIP et SIPS
Le 11/04/2020 à 15:17, Jacques Lavignotte a écrit : Bombarder l'abuse automatiquement n'est-il pas un abus ? Pas si on respecte la RFC 6650 :) https://tools.ietf.org/html/rfc6650 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] VoIP, tests des numéros d'urgence
Le 27/11/2019 à 00:37, fabien.seg...@widenetconsulting.fr a écrit : J'ai déjà pratique ce genre de test pour des clients, ça dépend un peu sur qui tu tombes :) Lors de mes tests, j'avais besoin de m'assurer que je tombais bien sur la caserne rattachée à la commune de mon client donc j'ai du aller un peu plus loin que le serveur vocal, mais en général l'interlocuteur coopère 2 fois sur 3 si ton discours est bien rodé. Je rejoins tout ce qui s'est dit précédemment, un test au 112 doit être fait de manière systématique à chaque installation de téléphonie virtuelle ou physique. L'appel doit être le plus court possible mais avec un minimum de politesse. "Bonjour, je suis technicien téléphonie à "Nom de la ville" pouvez vous me confirmer sur quel centre d'urgence j'arrive ? Merci bonne journée." Ça m'est déjà arrivé de tomber sur le SDIS de Versailles en installant un IPBX à Bayonne, donc bon ça ne coûte pas grand chose de vérifier. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] IPv4 pool @RIPE NCC: Game over !
Le 25/11/2019 à 23:44, Michel Py a écrit : Daniel Huhardeaux a écrit : Pour ma culture personnelle, pourquoi le monde s'acharne t'il sur l'IPv4 ? Ce n'est pas de l'acharnement, c'est des économies. IPv6 çà ne sert à rien, pourquoi déployer ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ La question qui va se poser c'est : Puisque Google et Facebook fonctionnent en IPv6, pourquoi se soucier du reste du Web ? J'ai ma box, mon smartphone 4G, mes mails, Youtube et Netflix en IPv6. Si IPv4 s'écroule, pas sûr que je m'en aperçoive rapidement. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Incident Free depuis 1h du matin
Le 27/11/2019 à 09:58, Hugues Voiturier a écrit : C’est une raison pour aller chez Free et pas chez un opérateur qui propose une offre Pro ? Je ne vends pas que des FTTO 10G, je vends aussi des ADSL/SDSL a des prix pas bien plus élevés que chez Free... Et je ne suis pas d’accord avec toi, ces boîtes ont quasiment toutes besoin de leur connexion, que ce soit pour les TPE, pour les mails, pour leur stock... Et ces gens là tournent derrière des offres pas adaptées, et ne savent même pas quoi faire en cas de souci. Je rejoins ce que dit Hugues et j'irais même plus loin. Peu importe que l'offre soit "brandée" comme pro, ce qui importe c'est ce que vous signez dans le contrat. Si vous prenez un contrat pour particuliers, vous n'avez aucune garantie et aucun droit de l'ouvrir. Point. Si vous prenez un contrat pro sans GTR, c'est à peu près le même topo. Vous pourrez vous plaindre auprès du commercial lors du renouvellement, mais au quotidien vous n'avez aucune garantie. Et ne me parlez pas de GTI (Garantie du Temps d'Intervention) parce que c'est juste une blague. Si votre chiffre d'affaire dépend d'une manière ou d'une autre de votre connectivité (logiciel de caisse, TPE, téléphone) vous DEVEZ faire le nécessaire pour obtenir les garanties techniques et contractuelles qui vous permettent de sécuriser votre activité et/ou votre chiffre d'affaire. La solution multi-opérateur peut-être séduisante mais elle présente deux inconvénients. Le premier c'est que les opérateurs se reposent parfois (souvent) sur les infrastructures des autres. Ainsi il n'est pas rare de voir une liaison SDSL SFR tomber en même temps que celle d'Orange car sur le même DSLAM. J'ai vu aussi la FTTH d'Orange tomber en panne sur un secteur où SFR est opérateur d'infrastructure. L'autre inconvénient, comme je l'ai déjà évoqué, c'est la garantie contractuelle. Si vous prenez un accès chez deux FAI, vous n'avez aucune garantie contractuelle ni aucun dédommagement. Alors qu'avec un double accès chez le même opérateur et une GTR adaptée vous aurez très peu de cas de pannes et de temps de coupure à gérer sur l'année. Et si au final la GTR n'est pas respectée, vous pourrez toujours réclamer l’indemnisation liée au contrat. Ceux qui ne la demandent pas sont sûrs de ne pas l'avoir. Je ne dis pas que la moindre TPE doit passer à la caisse pour une fibre RS3 et un Incident Manager dédié, mais vérifier que les garanties techniques et financières du contrat sont adaptées au service attendu, c'est la base. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] changement hardware et choix Quagga/FRRouting
Le 18/11/2019 à 00:07, Guillaume Barrot a écrit : Sérieusement, des gens *aiment* la CLI de IOS ou IOS-XE ? Sérieusement, y a encore des gens pour faire de la CLI en 2019 ??? API, JSON, tout ça, non ? Ou meme juste du Ansible + Git, au moins Qui a dit que c'était incompatible ? J'ai un gestionnaire de confs qui fait du JunOS XML, ce qui ne m'empêche pas de faire de la CLI en cas d'urgence. On peut au moins reconnaitre à Juniper qu'ils ont réussi à allier le meilleur des deux méthodes. Et pour IOS, tout le monde connait la syntaxe Cisco et c'est pas trop compliqué à automatiser, donc je m'en contente bien. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Meraki... première et dernière...
Le 17/11/2019 à 20:23, Jérôme Quintard a écrit : Je suis le seul à avoir ce genre de soucis ? Salut. Non tu n'est pas le seul. Je dois régulièrement installer des Meraki chez des clients et j'ai un souci régulier. Le switch doit contacter le controlleur pour se configurer, hors si le port d'uplink du Meraki est taggé dans un VLAN, l'autoconf ne se fait pas. Je suis obligé de passer le routeur en VLAN natif ou en VLAN 1 pour configurer les switchs et ensuite pouvoir repasser l'uplink en VLAN taggé. J'ai également eu à faire appel une fois au TAC Cisco car le routeur et le Meraki ne se voyaient pas. Ils m'ont dit d'ouvrir un ticket chez le constructeur du routeur, mais c'était un ISR4451 donc ils se débrouillés au sein de Cisco pour me trouver une solution. En résumé, ça marche jamais du premier coup, le système de licence est pourri et y'a pas de CLI. Quand j'ai à choisir, je les élimine direct des choix possibles. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Supprimer IPV4 RFC1918 dans un LAN ?
Le 26/10/2019 à 20:45, Denis Fondras a écrit : Regarde les présentations du déploiement chez T-Mobile. Apparemment ils ont l'air satisfait. Ca existe aussi chez Orange. Si vous avez une carte SIM Orange, passez le point d'accès Orange World en IPv6 et vous aurez une IPv6 publique et un accès IPv4 avec un NAT64 uniquement. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] LI-Fi - Recherche Problématique à étudier
Le 29/07/2019 à 13:28, Francois Demeyer a écrit : > Le 29 juil. 2019 à 13:23, Stephane Bortzmeyer a écrit : >> >> Le Li-Fi, c'est forcément de la lumière visible ? Ça ne peut pas être >> du proche infrarouge ou du proche ultraviolet ? > Le Li-Fi m’a toujours paru être une vague évolution de l’IrDA, toujours avec > le même pb de voie de retour… > Donc en spot directif devant une toile au musée, why not ? Le Lifi est la marque commerciale, la norme s'appelle à l'origine VLC (Visible Light Communication) et utilise la lumière visible entre le 380 et le 700 nm, on est en limite de chaque coté avec l'infrarouge et l'UV, mais l'idée c'est vraiment de n'utiliser que la lumière visible. Je sais pas exactement ce qui a poussé ce choix, surement une question de risque, les IR générant de la chaleur et les UV étant absorbés par la peau. Y'a cet article qui détaille pas mal les 2 premières couches du protocole si vous êtes curieux. http://visiblelightcomm.com/an-ieee-standard-for-visible-light-communications/ Amicalement, Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] RE: Switch PoE+
Le 18/07/2019 à 18:45, Sébastien Lesimple a écrit : > Ouias, 3750X ou 3650 c'est la meme machine inside donc pas de stress. > Donc, l'un ou l'autre ca fera le boulot sans aucuns soucis. > (Les jeunes, écoutez les vieux schnocks, ils se sont pris tous les plans > merdiques avant vous... > ...y'a de la sagesse chez les papis du réseau :) Si Cisco pouvait éviter de nous refaire la blague du firmware 03.03.03 qui m'a planté un stack de 3650 lors de l'ajout d'une unité plus récente dans la pile, ça me rassurerait pour continuer à bosser avec cette gamme. Amicalement, Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] LI-Fi - Recherche Problématique à étudier
Le 28/07/2019 à 14:17, Richard Klein a écrit : > Bonjour > > > Le rapport signal bruit sur cette techno serait un vecteur à étudier ? > Donc question de débutant qui n’a pas cherché sur Qwant (Qwant est encore > plus ton ami)sur cette techno... > Par exemple comment cela se comporte a l’exterieur en plein soleil ? > Et en lumière artificielle? > Les néons,les lampes led et leurs alimentations à découpages perturbent > comment le LiFi > Ou dans une salle de projection la roue chromatique d’un projecteur va > t’elle générer des interférences ? Plus simplement, on pourrait se demander comment regarder du porno du streaming sous la couette pendant que sa compagne dort. Amicalement, Solarus. signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Packetshaper
Le 19/04/2019 à 22:39, Radu-Adrian Feurdean a écrit : > > Etant le vendredi, je tente : > 1. Enlever le "boitier QoS" et mettre a la place - RIEN DU TOUT > 2. Augmenter la taille du tuyau. > > En effet c'est un reponse pas seulement de vendredi. J'en ai marre de lire ce troll de manière régulière comme si c'était une vérité admise. Dans un réseau d'entreprise, la QOS est plus importante que jamais, surtout à l'heure où le HTTP se comporte comme un enfant gaté et où des horreurs comme QUIC ont vu le jour. Brider le trafic UDP sur les ports 80 et 8080, brider le QUIC, prioriser la voix et la visio, certes ça ne désengorge pas un lien saturé, mais ça permet d'obtenir des SLA corrects sur tes applications métiers critiques. Sur un réseau d'entreprise ce qui doit marcher avant le reste c'est SAP, le Cloud Microsoft, les téléconférences et la téléphonie IP. Si tu ne mets pas en place de QOS, le magasinier qui mate Youtube entre deux camions de livraisons, il va te bouffer toute la bande passante. Et plus il y en a et plus il en bouffera. Alors oui, la QOS ça n'est pas une magie obscure qui désengorge les liens sous-dimensionnés, mais ça permet de garantir le trafic essentiel par rapport au trafic poubelle. Cordialement. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Packetshaper
Le 19/04/2019 à 16:44, Roderick PAUL a écrit : > A l’époque il y avait riverbed mais avec l’avenement du SD WAN, peut etre y > a-t-il d’autres acteurs efficaces 😊. Pour ma part je suis en train de tester les fonctions SD-WAN sur Cisco ISR/ASR (j’ai déjà ce matos ça fait des frais en moins). Je m'intéresse surtout aux SLA, si c'est la QOS qui t'intéresse je crois qu'il faut plutôt regarder les fonctions applicatives de Vipetela, mais honnêtement je commence à peine à toucher à ça. Cordialement Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] RPKI and BGP: our path to securing Internet Routing
Le 2018-09-20 09:57, Julien Escario a écrit : Ca sent de plus en plus le sapin pour les petits AS. Je suis pas trop d’accord avec toi là dessus. Quand on voit le travail fait par certains petits AS qui font l’effort de prendre un ASN en 32 bits, qui font l’effort de se dimensionner pour recevoir une vraie full table, qui font l’effort de peerer avec un maximum de monde en IPv4 et en IPv6, y’a de quoi applaudir. Par contre le petit ou le gros AS qui fait encore de la traduction avec l’AS23456, qui fait du filtrage à /24 ou /23 parce que son frontal fonctionne encore au charbon, qui n’est disponible qu’au travers d’un seul transitaire et qui ne fait que de l’IPv4 et du X25 (je blague), ça m’étonne pas que celui là il fasse la tronche quand arrive RPKI. La sécurité et la résilience d’Internet est un sujet où nous avons accumulé 10 ans de retard, il est temps de laisser les retardataires derrière et d’avancer avec les bonnes volontés. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] SIP vers T2 ?
Le 2018-08-27 à 22:11, David Ponzone a écrit : > Ah si t’as un plan pour brancher un PRI sur un MP112, je suis preneur :) Avec une quinzaine de boitiers. :) Solarus signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] SIP vers T2 ?
Le 2018-08-27 à 11:54, David Ponzone a écrit : > Patton sinon rien! > D’autres vont te dire Audiocodes. Ca dépend dans quelle marmite tu es tombé > quand tu étais petit. El famoso MP112 de chez Audiocode, sinon les One Access comme conseillés par ailleurs. Solarus signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS
Le 2018-06-26 11:55, Stephane Bortzmeyer a écrit : Au fur et à mesure que le nouvel Android se déploie. Il y a quelque chose à faire dans Bind et Unbound niveau conf ? Et à partir de quelle version c'est pris en charge ? Je ne trouve rien dans les documentations. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] IPv4, c'était bien tant que ça a duré
Le 2018-04-17 11:05, Stephane Bortzmeyer a écrit : On Tue, Apr 17, 2018 at 11:02:27AM +0200, Radu-Adrian Feurdean wrote a message of 40 lines which said: Mais de moins bonne qualité : petits bouts pas agrégeables, adresses récupérées et qui sont dans toutes les listes noires, etc. Que les IP dispos soient blacklistées c'est logique et ça peut être une bonne chose vu que les spammeurs professionnels sont des spécialistes du turnover, ils vont devoir se calmer. A moins que l'IANA décide d'ouvrir les affectations sur le 240.0.0.0/4 :) https://lafibre.info/ipv6/240-0-0-04/ Bon, retournons râler en IPv4 sur Twitter. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?
Le 2018-04-06 à 10:52, Jérôme Nicolle a écrit : > Bonjour, > > En tant qu'opérateurs, on a une obligation de capacité à identifier nos > utilisateurs et une obligation de conserver les logs pendant une > certaine durée. > > On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela > impose ou implique vis à vis du RGPD ? > Salut Jérôme. La RGPD s'applique aux acteurs privés dans les collectes à finalité privée, pas aux obligations légales relatives à l'exercice de l'autorité publique. Dans le détail c'est un peu plus complexe, il y a toute un combat autour de l'arrêt Télé 2 et de l'article 6 du RGPD. En l'état rien ne remet en cause la collecte des éléments demandés par loi, dans le délai imposé par la loi (et strictement ces éléments là). Un recours porté par la Quadrature du Net essaye d'obtenir l'alignement de la loi française sur le droit européen (conservation d'1 an au lieu de 2) mais ça n'est pas encore fait. Cordialement Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] TCP vs. UDP : les chiffres
Le 2018-02-08 11:56, Stephane Bortzmeyer a écrit : Est-ce que quelqu'un a des chiffres *récents* sur la part de trafic TCP vs. UDP, à divers endroits du réseau ? Je ne trouve que des vieux chiffres comme <http://www.caida.org/research/traffic-analysis/tcpudpratio/> qui ne tiennent pas compte, par exemple, de WebRTC. Salut à tous. Ce serait super d'avoir ce genre de données. Ce serait également intéressant d'avoir le ratio au sein de TCP entre le trafic des ports 80/443 et le reste. Pour WebRTC il faudrait également regarder au niveau applicatif, le taux de repli sur TCP quand les ports UDP sont bloqués, ce serait également très instructif. Cordialement. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] relai smtp orange
Le 2017-11-24 14:37, Nicolas Parpandet a écrit : Hello la liste, nous avons un client qui ne peut plus envoyer de mail depuis orange, https://communaute.orange.fr/t5/mon-mail-Orange/Impossible-d-envoyer-des-mails/td-p/1435782 cher amis et anciens collègues orange !, les relais smtp ADSL requièrent tantôt une authentification, tantôt non, il faudrait vous décider une fois pour toute ;) on aime beaucoup changer régulièrement la conf de nos clients pour que cela "juste" marche !, que devons nous faire au final ?, c'est la galère depuis ce matin. (ça bagotte) Salut. La meilleure solution est de faire du SMTP authentifié, comme ça peu importe ton IP d'origine ton client sera reconnu par les serveurs Orange. Il faut aussi s'assurer que tu est bien en SSL/TLS et pas en clair ou en SMARTLS. Cordialement. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Recherche MC7304
Bonjour à tous. Je cherche à savoir si il y a des fournisseurs de cartes MC7304 en Europe, à prix correct. Il n'y en a plus chez RS Component (155€) et j'en trouve sur Alibaba à moitié prix, mais je doute que ma comptable soit d'accord. Si vous avez des infos, merci d'avance. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Buzz autour du SD-WAN
Le 2017-08-14 09:48, Jérémy RIZZOLI a écrit : Néanmoins, j'ai quand même du mal à voir à qui s'adresse en terme de cible, ce type de technos. Salut Jérémy. Le principal intérêt que je vois au SD-WAN c’est de pouvoir envoyer chez les clients des boitiers moins «intelligents» et donc moins chers, l’intelligence étant gérée en cœur de réseau. L’avantage c’est que le boitier n’a plus qu’à gérer le lien physique (ADSL, SDSL, FO), la couche IP étant gérée au niveau du backbone, ce qui limite le risque d’erreur de conf sur les routeurs distants. Les configurations sont récupérées depuis le cœur de réseau, ce qui facilite les déploiements. L’autre avantage c’est qu’on centralise l’intelligence réseau et la puissance nécessaire sur les contrôleurs SDN et les PE, ce qui facilite les upgrades puisqu’il y a moins de matériel à changer chez les clients. Sinon oui, le principe c’est équivalent à celui de puppet ou ansible, il s’agit de tout «masteriser» à distance à partir d’un contrôleur. De toute façon c’est le modèle poussé par Juniper et Cisco qui se font la guerre sur ce secteur donc on risque d’y passer bon gré,mal gré. Cordialement. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
Le 19/11/2016 à 12:17, Pierre Colombier a écrit : > > > ce qui induit la question suivante : > > Comment font les services comme 8.8.8.8 pour ne pas relayer ce type > d'attaques ? > > De façon générale, est-il possible d'être un free resolver sans pour > autant constituer une nuisance pour le net ? > Salut. La solution est de mettre du rate-limiting soit au niveau réseau sur UDP, soit au niveau applicatif avec RRL. https://kb.isc.org/article/AA-01000/0/A-Quick-Introduction-to-Response-Rate-Limiting.html Le rate-limiting UDP est utile partout, notamment sur le port 123 pour NTP. -- Solarus Clé PGP: 0x02C29734 signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Retours d'expériences sur l'expédition d'équipements aux Etats-unis
Le 28/10/2016 à 08:22, Vincent Mercier a écrit : > Avez des retours d'expériences sur l'expédition d'équipements aux états > unis ? Notamment sur le passage de douane ? > Salut, Je ne sais pas pour les serveurs mais pour les routeurs et les firewall tu risques d’être embêté par la législation française. En effet les fonctions cryptographiques (IPSec, etc…) sont considérés comme à double usage (civil et militaire) et nécessitent une autorisation préalable avant tout export hors de la métropole. https://www.ssi.gouv.fr/entreprise/reglementation/controle-reglementaire-sur-la-cryptographie/ Le plus simple est effectivement d’acheter directement aux USA ou de laisser ton fournisseur gérer directement la livraison. Cordialement. -- Solarus Clé PGP: 0x02C29734 signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Orange et les adresses emails fournies
Le 2016-10-05 14:15, Jonathan Leroy a écrit : Le 5 octobre 2016 à 13:02, Solarus a écrit : Si l’alias est disponible il faut le recréer en orange.fr. Sachant que les mails vers wanadoo.fr sont renvoyés vers orange.fr ça devrait marcher. Non, pas pour les nouvelles adresses. Seules les BAL wanadoo.fr ayant été migrées vers orange.fr ont un alias. C’est peut-être le discours d’Orange mais dans les faits ça marche, je viens de créer une nouvelle boite Orange et envoyant le mail à u...@wanadoo.fr ça marche. C’est certainement pas pérenne mais pour l’instant ça marche encore. Pour le reste, en appelant le commercial PME à la rescousse ça peut peut-être marcher, les commerciaux OBS arrivent parfois à démêler ce genre de cas, mais sur le marché Pro je sais pas. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Orange et les adresses emails fournies
Le 2016-10-05 10:47, Guillaume a écrit : Sachant qu'un compte email n'est qu'une entrée dans une base de données (sans parler du stockage), quelqu'un a-t-il déjà réussi à se sauver de ce genre de situation avec eux ? Si l’alias est disponible il faut le recréer en orange.fr. Sachant que les mails vers wanadoo.fr sont renvoyés vers orange.fr ça devrait marcher. ;; ANSWER SECTION: wanadoo.fr. 248 IN MX 10 smtp-in.orange.fr. Normalement avec un compte Orange on peut recréer 10 alias, il faut tester depuis cette interface, et voir éventuellement le message d’erreur. De plus j’ai déjà vu d’anciennes boites être réattribuées dans des cas d’homonymie (pour des M. Durand ou des M. Martin) donc normalement ça n’est pas bloquant. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Grosse mise à jour Win10 ce matin ?
Le 2016-10-04 10:58, David Ponzone a écrit : Quand je parlais de deal, je plaisantais bien sûr :) Je crois qu’à court-terme, la seule solution-crade (en dehors des solutions propres que tu as déjà proposées) est de passer le port ethernet en metered connection, mais c’est chiant à faire sur plusieurs PC. Y’a plus simple non ? Si ton firewall ou ton routeur le permet, tu peux essayer en amont de shapper la bande passante sur toutes les IP des serveurs de mise à jour. Si le serveur de mise à jour adapte son débit, il devrait s’adapter à ce goulet d’étranglement. J’ai un rate-limiting en place pour protéger le DNS et le NTP, je vais tester sur ces serveurs de mise à jour. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Rapport ARCEP surproblèmeIPv6
Le 02/10/2016 à 14:33, Jérôme Nicolle a écrit : > > $ host orange.fr > orange.fr has address 193.252.148.140 > orange.fr has address 193.252.133.34 > orange.fr mail is handled by 10 smtp-in.orange.fr. > $ host smtp-in.orange.fr > smtp-in.orange.fr has address 193.252.22.65 > smtp-in.orange.fr has address 80.12.242.9 > Je n’utilise pas mon adresse orange.fr sur cette ML il me semble. ;; ANSWER SECTION: ultrawaves.fr. 10800 IN MX 10 mail.ultrawaves.fr. mail.ultrawaves.fr. 10800 IN A 163.172.135.196 mail.ultrawaves.fr. 10800 IN 2001:bc8:4400:2100::f:11 Bisous. -- Solarus Clé PGP: 0x02C29734 signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6
Le 01/10/2016 à 23:51, Radu-Adrian Feurdean a écrit : > >> Voir même une incitation ou une prime pour ceux qui poussent leurs >> clients PA à utiliser IPv6. > Comment ? > Par exemple Gandi, qui propose IPv6 par défaut sur ses VM IaaS et fait payer les IPv4 en option. Le LIR qui file un /23 et un /32 IPv6 il peut aussi inciter son client à déployer IPv6, ça lui évitera (un peu) de chialer pour réclamer des nouvelles IPv4. -- Solarus Clé PGP: 0x02C29734 signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6
Le 01/10/2016 à 23:51, Radu-Adrian Feurdean a écrit : > On Sat, Oct 1, 2016, at 09:56, Solarus wrote: >> Euh, laissons l’AFNIC en dehors de ça et voyons plutôt au niveau des RIR. :) >> >> La seule solution est de taper là ou ça fait mal : sur les attributions >> d’IPv4. Les RIR et notamment le RIPE développent des politiques >> d’affectation IPv4 si l’AS prend également des préfixes IPv6. > > Comment ? Surtout quand tu as la partie operationelle d'une cote, l'IT > interne (celui qui gere le PC du comptable et du RH, mais surtout le > serveur exchange) d'une autre cote, et le marketing (qui a pouvoir de > vie et de mort sur le site web) d'une encore autre cote. Mention > speciale quand l'IT interne et le marketing n'utilisent pas les services > de la partie operationelle et ont chacun ses propres prestataires > (serveur mail et web sur des AS autres que celui de la societe > elle-meme). > On est tout au courant des problèmes réels ou imaginaires qui bloquent le déploiement d’IPv6, mais en quoi ce sont des excuses valables ? C’est justement le boulot des gens comme nous, ingénieurs et technicien réseaux de faire fonctionner ce qui doit fonctionner, et d’essayer de foutre du plomb dans la cervelle des décideurs. Ça fait depuis 1996 qu’on en parle, depuis 2006 qu’on en déploie sérieusement, ça fait beaucoup de temps pour les pleurnicheries et les reculades. Moi clairement je m’en fous, c’est pas moi qui galère à trouver des IPv4 pour mes clients, je vais plutôt prendre un paquet de pop corn et regarder une série sur Netflix en IPv6 pendant que des petites boites d’hosting mettront la clé sous la porte au profit des gros qui auront acheté des IPv4 au marché noir. C’est là où le régulateur à foiré, et c’est très bien qu’il essaye de rattraper son retard. -- Solarus Clé PGP: 0x02C29734 signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Rapport ARCEP sur problème IPv6
Le 01/10/2016 à 09:49, Alexandre Archambault a écrit : > Déjà, conditionner tout nouvel achat / renouvellement d'un .fr à une > entrée IPv6 serait un bon début. Euh, laissons l’AFNIC en dehors de ça et voyons plutôt au niveau des RIR. :) La seule solution est de taper là ou ça fait mal : sur les attributions d’IPv4. Les RIR et notamment le RIPE développent des politiques d’affectation IPv4 si l’AS prend également des préfixes IPv6. Il faut renforcer ces politiques en exigeant que ces préfixes soient effectivement annoncés et déployés a minima sur les services principaux de l’entité qui gère l’AS. Voir même une incitation ou une prime pour ceux qui poussent leurs clients PA à utiliser IPv6. C’est un peu extrême et ça risque de fâcher pas mal de monde, mais la plaisanterie a assez duré. -- Solarus Clé PGP: 0x02C29734 signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Rapport ARCEP surproblèmeIPv6
Le 30/09/2016 à 18:06, Pascal Rullier a écrit : > Le 30/09/2016 à 16:55, Xavier Beaudouin a écrit : >> Après ouais... mais bon meme les DNS sont pas IPv6 compliant, on vas >> pas dire que faire un DNS IPv6 compliant ça soit d'une difficulté >> insurmontable... >> > > ! > > C'est vrai que c'est super dur depuis le temps... > > 1) entrées DNS > 2) implémentation sur les machines en dual stack, cependant > il doit rester des appliances qui n'ont pas le support v6. bouh... C’est marrant, à chaque fois que je demande pourquoi IPv6 n,est pas disponible on me répond qu’il y a des incompatibilités avec les produits en service, mais quand je vérifie les docs constructeurs bizarrement c’est disponible. J’en ai conclu deux choses : -Soit les personnes en internes qui gèrent ces produits sont des nuls, et c’est grave. -Soit les intégrateurs en charge de ces produits sont des nuls ou des escrocs et c’est encore plus grave. Business as usual. -- Solarus Clé PGP: 0x02C29734 signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Le préfixe 2001:5::/32, les identificateurs de LISP
Le 23/09/2016 à 09:08, Stephane Bortzmeyer a écrit : > Si vous voyez passer des adresses 2001:5::/32 sur votre réseau, ce ne > sont pas des adresses, ce sont les nouveaux identificateurs LISP : > Question de néophyte en LISP mais pourquoi avoir pris des adresses dans l’espace unicast routable 2000::/3 plutôt que dans les F000::/3 ? Ces préfixes sont générés aléatoirement ou sont ils affectés par une autorité ? Merci pour les éventuelles réponses. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [vendredi] « qu'un policier en faction surveille efficacement le 137 boulevard Voltaire ? »
Le 2016-09-16 16:32, Stephane Bortzmeyer a écrit : « On peut d’ailleurs se poser la question de la vulnérabilité de ce bâtiment [Telehouse 2], dans la mesure où même si un panneau interdit le stationnement juste devant l’immeuble, il semble que rien n’empêche vraiment un camion de se garer à 5 mètre [sic] de sa façade, comme le montre cette photo disponible sur Google Maps [...] » Si Vigipirate était vraiment appliqué dans les datacenters, ce serait le gros bordel, j’imagine mal un vigile ouvrir et fouiller 5 cartons de matos Juniper pour voir si un châssis n’a pas été remplacé par un engin artisanal. La sécurité c’est une suite de compromis à trouver, propre à chaque situation. Vigipirate ce n’est pas un compromis, c’est du grand spectacle. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet
Le 2016-09-16 10:10, Kavé Salamatian a écrit : Je ne pense pas que le RPKI soit une solution à tout les problèmes … Bonjour Kavé. RPKI n’est pas une solution à tous les problèmes, mais une solution aux usurpations de préfixe, nous le savons tous. Ces DDOS sont inquiétants, mais je ne vois pas quelle finalité pourrait représenter une menace. Pour moi la méthode de réflexion doit-être la suivante : 1°) Ces DDOS sont ils en mesure de saturer les Tier1 visés ? 2°) Ces DDOS peuvent ils amener des attaquants à exploiter des failles logicielles ou structurelles ? 3°) Ces failles ont elles un correctif logiciel ou structurel déployable (anti-botnet, failles Kaminski, DNSSEC, RPKI,…) ? La réponse à la question 1 me semble évidente, c’est la question 2 qui nous intéresse. Si et seulement si la réponse à la question 3 est non, il y aura de quoi paniquer. En attendant, si il est vrai que quelqu’un ajuste sa technique pour saturer Internet, il est tout aussi vrai qu’une armée d’ingénieurs ajustent leurs technique pour continuer à faire fonctionner Internet. C’est comme ça depuis le début du Net, et nous sommes toujours là à a discuter sur cette ML. :) Vous avez raison d’étudier ce phénomène, mais en l’état je ne vois pas de menace tangible. Un peu comme avec les astéroïdes en fait, on garde un œil dessus au cas où, mais on continue à dormir sur nos deux oreilles. Cordialement Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet
Le 2016-09-15 08:00, megagolgoth a écrit : Bonjour, C'est pas encore trolldi mais : https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html Qu'en pensez-vous? Avec tout le respect que je porte à Bruce Schneier, cette histoire me fait rire. Tous les 3 mois on voit ressortir un vague whitepaper nous expliquant que Internet va mourir à cause de [insérer ici une des 7 plaies d’Egypte]. Là, ce n’est même pas public, il faut acheter son livre pour savoir de quoi il retourne. Et quand bien même cette menace serait réelle, il n’existe aucun problème que l’absence de solution ne finisse par résoudre. On craint des DDOS massif ? Les techniques anti-DDOS et le blackholling sont quand même bien avancées, à la grande joie des vendeurs de solutions. On craint un détournement des DNS ? Continuons à déployer DNSSEC. On craint un détournement de routes dans un AS BGP hostile ? Intensifions le déploiement de RPKI. À l’heure actuelle, la seule menace réelle pour Internet est la fin d’Epoch le 12 janvier 2038 qui menace les systèmes UNIX. Pour tout le reste, des solutions existent, et si nous refusons de les appliquer nous sommes coupables de laisser perdurer un Internet non-sécurisé et vulnérable. Et si cet Internet vulnérable se casse un jour la figure, on ne pourra s’en prendre qu’à nous. Alea jacta est. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Traitement des Abuse Reporting Format
Le 2016-08-26 18:09, Jonathan Leroy a écrit : La question est de savoir si il est utile pour moi de formaliser les ARF ou de continuer à les gérer sous forme libre comme c'est le cas actuellement. Ça dépend du nombre de plaintes que tu reçois ? Salut. Merci pour ta réponse. Non je ne gère pas d’abuse mais j’en envoie beaucoup comme je gère des serveurs, d’où mon questionnement sur l’intérêt de les automatiser et de les formaliser. Je vais essayer et voir ce que ça donne. Cordialement Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Traitement des Abuse Reporting Format
Salut à tous. Si certains d'entre vous gèrent des boites abuses, ou envoient régulièrement des demandes sur des boites abuse, je serais intéressé de vos réponses sur les points suivants : -Utilisez vous le format d'ARF défini par les RFC 5965 et 6650 ? En recevez-vous formatés de cette manière ? -Gérez vous les envois et réception d'abuse manuellement ou de manière automatisée ? Le cas échéant, cette automatisation prend-elle en compte le formatage des ARF ? La question est de savoir si il est utile pour moi de formaliser les ARF ou de continuer à les gérer sous forme libre comme c'est le cas actuellement. Si vous ne voulez pas répondre sur la liste, vous pouvez me répondre directement. Merci d'avance pour vos réponses. -- Solarus Clé PGP: 0x02C29734 signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Le trolldi du vendredi par Michel
Le 05/06/2016 à 10:18, Guillaume Tournat a écrit : > Le déchiffrement SSL permet d'analyser ce qui passe en chiffré. > > Le but n'est pas forcément de bloquer les sites "loisirs" qui nuiraient à la > productivité (ca peut) > > Mais surtout de bloquer les malwares, les protocoles "suspects" (peer to > peer, tor), les botnets. > > Voire de faire du shaping sur ce qui tue la bande passante (streaming), pour > permettre aux applications métiers d'être "responsive". > Si tu arrives à détectes une attaque en analysant le contenu d’une session SSL tu m’appelles, parce que j’ai souvent entendu l’argument mais je ne l’ai jamais vu à l’œuvre. A fortiori du contenu vers un site authentique comme Google (des légendes racontent que HTTPS sert aussi à authentifier les sites, mais les vendeurs de MiTM m’ont assuré que c’était du folklore). De manière générale je n’ai jamais vu une attaque qui ait été déjouée par du MiTM et qui n’aurait pas pu l’être par une blacklist, un Firewall ou un IDS. Le seul argument valable pour le MiTM c’est que ça permet d’espionner les employés pour éviter les fuites de données (whistleblower). Et encore, je pense que le gars qui voudra faire fuiter des données ne passera pas par le proxy de la boite. Bref, sacrifier l’authentification des sites, et mettre ainsi mes utilisateurs et ma boite sont un prix trop lourd à payer pour l’échanger contre du MiTM. Surveillez les sessions sur un bon vieux proxy CONNECT et vous serez tranquille. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [DemiTroll] Est-ce que 192.169.0.0/16 peut être considéré comme malsain ?
Le 26/04/2016 à 16:43, Jérôme Nicolle a écrit : > > "Chef, on a plus de place dans 192.168.0.0/16 (dit 'classe C' parce > qu'ils ne connaissent pas la notation CIDR)" "Bah prends le bloc suivant" > > Vu dans plein d'entreprises. Enfin parfois avec des variantes, je me bat > contre un 11.0.0.0/8 chez un client là. > > Business as usual. Ça s’est déjà vu quand OVH a récupéré des blocs dans le 5.0.0.0/8, préfixe utilisé par Hamachi pour ses VPN. Du coup, tous les utilisateurs d’Hamachi n’avaient plus accès à cette partie du réseau OVH, et ça concernait pas mal de gros serveurs utilisés par des clients. Et le pire c’est qu’ils continuent à utiliser en IPv4 des préfixes publics qui ne leur appartiennent pas comme le 25.0.0.0/8 (UK Ministry of Defence). Heureusement qu’en IPv6 ils utilisent le 2620:9B::/48 qui leur appartient. (manquerait plus que ça :) ) Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?
Le 2016-04-13 12:01, Edouard Chamillard a écrit : > le sujet c'etait les proxy transparents. CONNECT était hors course au > premier mail. Une discussion ça dérive tu sais ? On parlait sécurité des réseaux business en général. Et puis la transparence c'est très subjectif. Parler de transparence en voulant insérer des signatures X.509 forgées, c'est un contre-sens, c'est plutôt l'opacité totale pour l'utilisateur. Bref, CONNECT ça fonctionne. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?
Le 2016-04-13 10:56, Edouard Chamillard a écrit : > donc la plupart des boites serieuses ont un proxy en MITM, capable de > lire un en tete SNI ou un champ Server: (et pas un FQDN, a part si ton > proxy fait aussi la résolution dns (ce que certains font)). > effectivement ça méritait de parler de deux types d'équipement. Pourquoi faire si compliqué ? La RFC 2817 (qui date de 2000) prévoit que seul le CONNECT doit passer en HTTP/1.1. Là le proxy peut accepter ou refuser la connexion en fonction du domaine demandé dans le CONNECT. En cas d'acceptation le client peut demander un upgrade (passage en HTTPS) et établir un tunnel TLS directement avec le serveur distant, tunnel qui n'est pas intercepté et qui permet de conserver authentification X.509 légitime. https://tools.ietf.org/rfc/rfc2817 5. Upgrade across Proxies As a hop-by-hop header, Upgrade is negotiated between each pair of HTTP counterparties. If a User Agent sends a request with an Upgrade header to a proxy, it is requesting a change to the protocol between itself and the proxy, not an end-to-end change. Since TLS, in particular, requires end-to-end connectivity to provide authentication and prevent man-in-the-middle attacks, this memo specifies the CONNECT method to establish a tunnel across proxies. Once a tunnel is established, any of the operations in Section 3 can be used to establish a TLS connection. 5.2 Requesting a Tunnel with CONNECT A CONNECT method requests that a proxy establish a tunnel connection on its behalf. The Request-URI portion of the Request-Line is always an 'authority' as defined by URI Generic Syntax [2], which is to say the host name and port number destination of the requested connection separated by a colon: CONNECT server.example.com:80 HTTP/1.1 Host: server.example.com:80 Other HTTP mechanisms can be used normally with the CONNECT method -- except end-to-end protocol Upgrade requests, of course, since the tunnel must be established first. For example, proxy authentication might be used to establish the authority to create a tunnel: CONNECT server.example.com:80 HTTP/1.1 Host: server.example.com:80 Proxy-Authorization: basic aGVsbG86d29ybGQ= Like any other pipelined HTTP/1.1 request, data to be tunneled may be sent immediately after the blank line. The usual caveats also apply: data may be discarded if the eventual response is negative, and the connection may be reset with no response if more than one TCP segment is outstanding. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?
Le 2016-04-12 17:07, Edouard Chamillard a écrit : > sérieux compromettent carrément la session complète sur tout internet au > lieu de la compromettre en interne sur un seul équipement, et pire, > rendent impossible la connexion aux sites qui utilisent HSTS ? ce genre > de gens sérieux ? on est déja trolldi ? Va falloir m'expliquer comment compromettre une «session complète sur tout internet» avec simplement un proxy d'entreprise, parce que ça à l'air intéressant comme faille. Oui, la plupart des boites sérieuses ont un proxy avec un filtrage sur les FQDN. -Demande de connexion HTTPS au site d'une banque : OK -Demande de connexion HTTPS à Facebook : KO Si tu a le droit d'accéder au site, tu y accède, si le site n'a pas d'intérêt professionnel ou présente un danger (webmail, fishing etc) ben tu reçois un joli code HTTP 403 t'interdisant d'y accéder. C'est aussi simple que ça et ça permet de protéger le réseau d'entreprise sans mettre en œuvre de solutions qui ELLES seraient dangereuses pour la confiance que peuvent avoir les utilisateurs envers le modèle X.509/TLS au niveau global. Au delà de l'aspect technique, je considère à titre personnel et éthique que toute volonté d'interception (contrairement au blocage) n'a pour but que d'espionner les salariés et les utilisateurs de manière disproportionnée. Et j'attends encore la preuve du contraire. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?
Le 2016-04-12 11:52, Edouard Chamillard a écrit : > "on doit jamais MITM une session ssl (web ou non)" c'est un beau > principe mais ça va être dur a vendre aux entreprises. Le HTTPS il ne faut pas l'intercepter mais on peut le bloquer à l'aide d'un proxy ou d'un firewall, c'est ce que font déjà les gens sérieux. Mais comme tout le monde est déjà équipé des ces deux équipements c'est moins intéressant pour le chiffre d'affaire des vendeurs de solutions de sécurité. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Relais SMTP
Le 2016-03-11 10:42, Lacroix, Baptiste a écrit : > Je veux faire du propre, je fais du gris et je nettoie le gris foncé et > putain c'est laborieux, entre les demandes au produit pour faire évoluer et > les clients à qui il faut faire comprendre qu'on les à laissé prendre de > mauvaises habitudes... > > Baptiste > http://www.frnog.org/ [1] C'est pas idiot de rappeller que le client au travers du contenu est en grande partie responsable de la réputation de tes serveurs. On aura beau mettre du SPF, du DKIM et surveiller les RBL, si ton client prospecte des emails récupérés n'importe comment ou qu'il n'offre pas d'opt-out le plus basique, c'est même pas la peine d'aller plus loin. Sans parler des newsletters composées uniquement d'images distantes, avec Spamassassin c'est un classement en spam quasi direct. Yes, score=5,019 HTML_IMAGE_ONLY_24=1.282 HTML_MESSAGE=0.001 HTML_MIME_NO_HTML_TAG=0.635 MIME_HEADER_CTYPE_ONLY=1.996 MIME_HTML_ONLY=1.105 Solarus Links: -- [1] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] detection VPN SSL
Le 2016-03-08 09:44, Jocelyn Lagarenne a écrit : > Bonjour à tous, > > je me retrouve face à un dilemme. On me demande de proposer une solution > pour détecter/bloquer les VPN SSL non autorisés mais autant que je sache le > traffic au travers d'un proxy est identique à un traffic https. il est donc > impossible de le detecter non ? ou est ce que je fais fausse route ? > Il est techniquement envisageable de casser le https sur les proxys mais ce > n'est pas une recommandation que j'aime. > la seul solution que je vois est de détecter les connexions SSL "longue" et > de vérifier ce qu'elles sont (eliminer les faux positives comme par exemple > gtalk), mais je ne suis meme pas sure que des logs proxy puissent me donner > cette information. > > Auriez vous des idées/suggestions ? avez vous déjà eu ce genre de cas dans > vos entreprises ? > > d'avance merci de vos retours > > Cordialement, Les VPN ont un port par défaut qui diffère du port HTTPS, mais effectivement ils utilisent souvent le TCP/443 pour traverser les proxys ou pour éviter les QOS non-neutres.Effectivement, il est inconcevable de casser du HTTPS ou de faire du man in the middle, pour autant il y a des solutions. La première c'est la gestion de parc en interdisant les logiciels de VPN, mais cela implique d'avoir la main sur tout le parc et sur tous les équipements qui se connectent. La seconde c'est de travailles avec un système de blacklist. Elle consiste à relever les IP jointes en SSL sur le port 443 et à faire 2 vérifications simples. D'abord un simple reverse de l'IP donne généralement de bonnes infos sur l'usage de cette IP. Ensuite avec un telnet sur le port 443 de l'IP en question, on peut voir si c'est un serveur HTTP au bout ou autre chose. La difficulté reste de faire ça à grande échelle ou d'automatiser ça mais ça me semble la bonne solution. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Logiciel d'analyse de chargement de page web
Le 07/03/2016 19:40, Michel Py a écrit : > Plein de bande passante, et c'est seulement certaines pages qui sont lentes. > Je cherche un logiciel qui permettrait d'identifier quels sont les éléments > de la page en question qui ralentissent le chargement, combien de requêtes > sont envoyées, etc. Gratuit ou abordable de préférence Ctrl+Maj+K sous Firefox, ça marche pas mal. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Discussion en cours au RIPE - besoin de mobilisation
Le 21/02/2016 11:52, David Ponzone a écrit : > Oui c’est en effet compliqué. > N’y a-t-il pas un point de contact au gouvernement pour leur soumettre ce > problème ? > > Concernant SFR et son IPv6, as-tu réussi à passer un équipement en IPv6 > manuelle pour pouvoir l’atteindre de l’extérieur directement en SSH par > exemple ? > J’ai l’impression qu’il y a encore des automatismes/protections cachés. > > Salut David. J'ai finalement trouvé comment utiliser une IPv6 fixe derrière ma box pour mon serveur, j'ai fais un rapide tuto sur mon blog. https://ultrawaves.fr/blog/index.php?post/2016/03/02/IPv6-fixe-sur-SFR-pour-un-serveur Si ça peut aider quelques curieux sur la liste. Cordialement. Solarus signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] "vous n'avez qu'Ã activer ipv6"
Le 27/02/2016 21:59, christophe.casale...@digital-network.net a écrit : > > IPv6 était de la bouze il y a quinze ans, c'est encore de la bouze > aujourd'hui, et ce sera toujours de la bouze demain... Les plus criminels > ne sont pas ceux qui ont pondu (vomi ?) ce truc imbitable (rajouter des > octets pour préserver les IPv4 actuels c'était trop cher..), mais ceux qui > ont validé ça... > IPv4 ou IPv6, de toute façon on a fait le mauvais choix en passant en TCP/IP, l'avenir du WAN c'est X.25. http://www.01net.com/actualites/le-protocole-x-25-sest-impose-comme-le-standard-du-wan-103674.html Solarus signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience
Le 25/02/2016 12:39, David Ponzone a écrit : > Personnellement, je ne me mêle pas du business des autres, et je n’ai pas > d’avis définitif sur la techno. L'avis définitif sur la techno c'est que DNSSEC va signer les réponses depuis la clé racine jusqu'au bout de l'arborescence. Ainsi toute signature modifiée sera considérée comme invalide et le résolveur ne te renverra rien. Le but premier de DNSSEC est donc d'éviter que des requêtes DNS soient modifiées, incluant notamment ce genre de pratiques. Même pour un NXDOMAIN il faut que cette inexistence soit signée (ce qui est prévu par la RFC 7129 - https://tools.ietf.org/html/rfc7129). Ainsi donc, tout le business model des DNS menteurs se casse la figure et c'est une bonne nouvelle pour la sécurité globale des Internets. PS: Je finis toujours par tomber sur un article de M. Bortzmeyer qui explique les RFC mieux que moi. http://www.bortzmeyer.org/7129.html Solarus signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [JOBS] recherche Ingénieur réseau / sécurité
Le 2016-02-23 10:52, FanThomaS a écrit : > Et la rémunération, c'est en option ? > Ah, de nos jours... Elle est à négocier j'imagine. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Discussion en cours au RIPE - besoin de mobilisation
Le 21/02/2016 11:52, David Ponzone a écrit : > Concernant SFR et son IPv6, as-tu réussi à passer un équipement en IPv6 > manuelle pour pouvoir l’atteindre de l’extérieur directement en SSH par > exemple ? > J’ai l’impression qu’il y a encore des automatismes/protections cachés. > J'y travaille. Le DHCPv6 et le SLAAC marchent bien mais en effet je n'ai pas encore trouvé les paramètres pour de l'IPv6 static à l'intérieur du préfixe (qui lui est bien statique, ouf). Il y une option DMZ IPv6 pour définir un préfixe ouvert sans contrôle, à mon avis c'est ça qu'il faut utiliser. Pour l'instant j'ai réussi à ouvrir le port 25 sur le NAT IPv4 et à faire retirer l'IP de toutes les blacklist et des PBL. Reste à activer l'IPv6 sur mon serveur mail. Solarus signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Discussion en cours au RIPE - besoin de mobilisation
Le 19/02/2016 17:46, Yann Pretot a écrit : > Le fait que tu parles de CGNAT me donne une idée, plutôt que de couper > brutalement IPv4, on pourrait le passer en mode dégradé, c'est à dire sur des > liens largement sous-dimensionnés qui satureraient et forceraient les content > providers à passer à IPv6. > > A court terme l'idée serait de boycotter les services non disponibles en IPv6 et surtout de le faire savoir. Récemment j'ai changé d'accès Internet pour passer chez SFR car eux proposaient de l'IPv6. Quand mon ancien FAI m'a appelé pour savoir pourquoi je changeai, je lui ai dit que c'était parce qu'il ne proposait pas d'IPv6. L’opérateur au téléphone a parfaitement compris de quoi je parlais puisqu'il n'a pas cherché à me faire revenir chez eux. Et maintenant que j'ai de l'IPv6 chez moi je peux embêter tous les sites qui n'y sont pas disponibles, notamment en contactant leurs CM sur Twitter. En parlant de Twitter, nous sommes beaucoup à être dessus et à communiquer en IPv4. (sachant que Netflix fonctionne sur AWS en IPv6 ils n'ont plus aucune excuse). Et plus que les embêter on peut s'abstenir d'utiliser leur site et leur faire savoir qu'un concurrent fait mieux. Un boycott pur et simple des services en IPv4 ne laisse ne laisse malheureusement que 2 alternatives : 1°) S'autohéberger et développer soi-même des services 2°) Favoriser temporairement les gros fournisseurs de contenu qui sont accessibles en IPv6 (Google,Facebook, Netflix, etc...) et je ne parle même pas de tous les services public (Impots, CAF,...) qui deviennent complètement injoignables. Il est paradoxal de devoir recentraliser le Net sur quelques gros acteurs pour arriver à terme à le réouvrir à la diversité grâce à IPv6, mais celà me semble inévitable. Solarus signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Discussion en cours au RIPE - besoin de mobilisation
Le 19/02/2016 17:29, Frederic Dhieux a écrit : > > > Je ne comprends toujours pas qu'en 10 ans qu'on prévoit la pénurie, > aucun effort n'ait été fait pour préparer la possibilité d'utiliser > 240.0.0.0/4 un jour. On se retrouve à réfléchir à des trucs compliqués > alors qu'un bloc "RESERVED Future use" d'il y a 27 ans ne sera jamais > exploité. Bonne chance avec tes utilisateurs / client sous Windows. https://ultrawaves.fr/blog/public/win10-240.png (capture d'écran réalisée sous Windows 10) Solarus signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Re: [MISC] changer un soft/matos qui fonctionne
Le 2015-12-21 12:55, Sylvain Vallerot a écrit : > On 21/12/2015 11:51, Solarus wrote: > >> En réseau, tant que ça fonctionne, y'a aucune raison de changer un soft (ou >> même un matos). > > J'ai entendu beaucoup de gens dire ça mais ça me semble être un point de > vue limité à l'exploitation de réseau quand tout va bien, en mode pèpère. Je comprends ton point de vue, ça dépends beaucoup de la taille des parcs à gérer. Pour ma part tant que c'est un constructeur assez répandu (Cisco, Juniper, Alcatel,HP,Netasq, etc...) ça ne pose aucun souci. Y'a que les Bintec que je mets à la poubelle, car ils sont ingérables avec leur CLI de l'enfer. De toute façon, la plupart des clients que je gère sont en leasing, ils prennent leur parc chez celui qui leur fera le meilleur prix (car c'est le DAF qui toujours le dernier mot) et ils s'embarquent pour 3 ou 5 ans avec le même constructeur partout. On a donc l'homogénéité pour un parc donné mais tous les 3 ans, tout le boulot de conf est à refaire (avec le risque de panne lié à une configuration neuve). Je râle pas ça me donne du boulot, mais c'est pas ma façon de faire, quand un matos est configuré et fonctionne, seule une augmentation des besoins devrait justifier un changement de matériel. Cordialement Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] Re: [FRnOG] Re: [ALERT] Porte dérobée dans le VPN Juniper/ScreenOS
Le 2015-12-21 09:50, Imad Soltani a écrit : > https://twitter.com/staatsgeheim/status/678849497351503872 [1] > > baaah L'utilisation d'une ancienne version d'OpenSSL n'est pas forcément un problème. Lors de la faille Heartbleed, pas mal de serveurs BSD ou Debian étaient épargnés car utilisant des versions pas encore touchés par la faille. En réseau, tant que ça fonctionne, y'a aucune raison de changer un soft (ou même un matos). Cordialement Solarus Links: -- [1] https://twitter.com/staatsgeheim/status/678849497351503872 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Hôte pointant vers 127.0.0.1
Le 24/09/2015 10:37, Stephane Bortzmeyer a écrit : > David Ponzone wrote > >> parce qu’il a du mal à tester son site en tapant: >> >> http://127.0.0.1/ > Il y a au moins trois bonnes raisons d'éviter cette méthode : > > 1) TLS (le nom dans le certificat ne va pas coller) > 2) CMS qui redirigent vers le « vrai » nom > 3) Il faut utiliser IP, pas le protocole du siècle dernier : > http://[::1]/ Il y a toutes ces bonnes raisons, plus également la possibilité de travailler avec du SNI et des Virtual Host. Avec la raréfaction des IP fossiles (IPv4), il est de moins en moins rare de tester sa conf derrière un reverse proxy ou un pseudo-CDN dans l'environnement de développement ou de recette. Solarus signature.asc Description: OpenPGP digital signature
[FRnOG] [TECH] Probleme emailing avec free.fr et aliceadsl
Le 2015-09-10 01:26, karim YAHIA a écrit : > bonjour, > > y a quelque j'ai constater que mes mails (mailing en masse) sont bloquer > par free, comme type de problème il détecte que mes mail font l'objet de > spam. > > alors on utilise depuis 2 ans même config même mail a nos abonnées... > > quelqu'un a rencontrer ce type de problème ? > > Merci d'avance. Salut Karim. Ton mail ayant été détecté en SPAM par mon serveur, je vais pouvoir t'aider sur certains points. Le X-Spam-Score est un score qui rassemble plusieurs critères, au dessus de 4, ton mail est taggé SPAM et peut-être rejeté. Là tu es à 8.431. X-Spam-Flag: YES X-Spam-Score: 8.431 X-Spam-Level: X-Spam-Status: Yes, score=8.431 required=4 tests=[DKIM_ADSP_CUSTOM_MED=0.001, FREEMAIL_FROM=0.001, NO_RECEIVED=-0.001, NO_RELAYS=-0.001, RAZOR2_CF_RANGE_51_100=3.5, RAZOR2_CF_RANGE_E8_51_100=2.43, RAZOR2_CHECK=2.5, URIBL_BLOCKED=0.001] autolearn=no En fait ton IP est dans un range présent dans la blacklist Razor2 ,une liste automatique et distribuée http://razor.sourceforge.net/, la seule chose à faire est de comprendre pourquoi tu es entré dans cette liste, sinon il te faudra te plaindre à ton fournisseur d'accès, certains de tes voisins IP ont peut-être fait du spam. Cordialement Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Besoin de quelques IPs suisse pour héberger un site
Le 26/08/2015 16:16, Julien OHAYON a écrit : > Bonjour, > > > Un client a besoin d'héberger son site en France mais d'avoir au moins une IP > suisse pour le référencement ! > > > Vous avez une idée pour moi ? un CDN ? > Si ton but est d'avoir un petit frontal avec une IP Suisse, le mieux est de prendre un VPS là-bas. Voici une liste exhaustive de fournisseurs de VPS par pays : https://www.exoticvps.com/ Cordialement Solarus signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Livebox Buisness LBB230
Le 05/08/2015 12:07, richard lbxpro a écrit : > Bonjour > > Prochainement m'a Livebox pro va etre remplacé par ce routeur LBB230. > Salut. Si Orange change ta Livebox pro pour une LBB230, c'est que tu passes d'un ADSL pro à un SDSL, je me trompe ? Il s'agit bien d'un One Access 90, c'est français et la syntaxe ressemble à du Cisco à 80%. Mais il y a peu de chances qu'Orange te laisse la main dessus, ils ont des access-list pour bloquer le login en local. Au final, tu devras les appeler pour toute modif mais généralement un routeur comme ça peut se contenter de délivrer des IP publiques, à toi d'en faire ce que tu veux derrière. Cordialement. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 2015-06-29 15:01, Wallace a écrit : > Il me reste des T et des bouchons BNC à la cave ça intéresse quelqu'un qui > serait resté dans les années 90? Rigole, rigole, mais je continue à démonter du matos X.25 / XOT dans les DAB pour les passer en Full IP. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Le 2015-06-25 10:09, Stephane Bortzmeyer a écrit : > The Future Use range > (240.0.0.0/8 through 255.0.0.0/8) is a particularly good set of IP > addresses you might use, because most routers won't route it; however, > some OSes, such as Windows, won't use it." A décharge de l'auteur, ce genre de restriction codée en dur dans le code est complètement stupide. A charge de l'auteur, les plages non-annoncées pourraient être un jour réaffectées et réutilisées, comme ça avait été le cas avec les adresses en 5.x.x.x récupérées par OVH et usurpées par le logiciel de VPN Hamachi. (rappelez vous le gros bordel que c'était). Tant qu'on peut se conformer à la sacro-sainte RFC1918, on s'y conforme. Je connais quelques grosses boites qui sont en rade d'adresses privées, mais elles se comptent sur les doigts d'une main. Quand à IPv6, il arrive par la grande ou la petite porte mais il est inévitable. On rediscutera de pénurie quand on aura plus assez d'adresses IPv6 pour déployer Internet sur Pluton. Solarus. A décharge de l'auteur, ce genre de restriction codée en dur dans le code est complètement stupide. A charge de l'auteur, les plages non-annoncées pourraient être un jour réaffectées et réutilisées, comme ça avait été le cas avec les adresses en 5.x.x.x récupérées par OVH et usurpées par le logiciel de VPN Hamachi. (rappelez vous le gros bordel que c'était). Tant qu'on peut se conformer à la sacro-sainte RFC1918, on s'y conforme. Je connais quelques grosses boites qui sont en rade d'adresses privées, mais elles se comptent sur les doigts d'une main. Quand à IPv6, il arrive par la grande ou la petite porte mais il est inévitable. On rediscutera de pénurie quand on aura plus assez d'adresses IPv6 pour déployer Internet sur Pluton. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Le 25/06/2015 10:09, Stephane Bortzmeyer a écrit : > The Future Use range > (240.0.0.0/8 through 255.0.0.0/8) is a particularly good set of IP > addresses you might use, because most routers won't route it; however, > some OSes, such as Windows, won't use it." > A décharge de l'auteur, ce genre de restriction codée en dur dans le code est complètement stupide. A charge de l'auteur, les plages non-annoncées pourraient être un jour réaffectées et réutilisées, comme ça avait été le cas avec les adresses en 5.x.x.x récupérées par OVH et usurpées par le logiciel de VPN Hamachi. (rappelez vous le gros bordel que c'était). Tant qu'on peut se conformer à la sacro-sainte RFC1918, on s'y conforme. Je connais quelques grosses boites qui sont en rade d'adresses privées, mais elles se comptent sur les doigts d'une main. Quand à IPv6, il arrive par la grande ou la petite porte mais il est inévitable. On rediscutera de pénurie quand on aura plus assez d'adresses IPv6 pour déployer Internet sur Pluton. Solarus. -BEGIN PGP SIGNATURE- Version: GnuPG v2 iQIcBAEBAgAGBQJVkGiBAAoJEL4mZMECwpc0UEwQAKj6Vu+O+NSzsq+n5OPurINh coxqHs7vQzJUxDHHJWSG5r/j/TYRQhDfqKOoh190M7xlIwC/M3qKHyXdisZEiLOU 0/u4ibX+vCzufrESpd7AttCBNMzmEntDwqD/8GeDZ9pGyQQSTxQV51XoLCaSy6zB NlPQ1HiBrScn6QtZlaXcwvurY82hTl682PW1OWAFV6BU9Kh275rcxA/sBMUbAPKs l9bsxIkgRyxj2GNL/3YUJn5KWQlIFvXJwcpu4rOCL9JZP30CYi+EEP2XBhrhKvUP 2HPAC4ZeNml8mGHSjsP3OQ5JkJ+eYOqiyXmWA8k9eGZLLIYahU3+6ERc6Ibxyagg JmnZOcw8aPwYWEhV8cQY6UUnE9IHM+1cwkQrARtkRz8XrQOi8Xld/XZ+sKoFyXks c72xXQKZgVSS8bnIQQ9B7G7+j61EW+HQU/FN5nDfftZiMOy6QxkzmQ8IpMSQ9FWG SOGJb3JNCmZ/zXpPtPE9wfWeLpyL0+5ux0g8Z+o6iEuLeEunGc6pnfYcpkznpNJI RiXVKS7pX/umbHRARWH32XR+Hn7Vy80Vzr0aLNHC/wJeeztSAjwC9N2+BKRamjVm OpsRSLDInrAt15VWtBWiNRzXeDTz005wD0W79ijH8eff5EWokgCxUWIXmTpe6wI9 gESK4beAlKC0eZL4YN7b =raxk -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Le 25/06/2015 10:09, Stephane Bortzmeyer a écrit : A décharge de l'auteur, ce genre de restriction codée en dur dans le code est complètement stupide. A charge de l'auteur, les plages non-annoncées pourraient être un jour réaffectées et réutilisées, comme ça avait été le cas avec les adresses en 5.x.x.x récupérées par OVH et usurpées par le logiciel de VPN Hamachi. (rappelez vous le gros bordel que c'était). Tant qu'on peut se conformer à la sacro-sainte RFC1918, on s'y conforme. Je connais quelques grosses boites qui sont en rade d'adresses privées, mais elles se comptent sur les doigts d'une main. Quand à IPv6, il arrive par la grande ou la petite porte mais il est inévitable. On rediscutera de pénurie quand on aura plus assez d'adresses IPv6 pour déployer Internet sur Pluton. Solarus. -BEGIN PGP SIGNATURE- Version: GnuPG v2 iQIcBAEBAgAGBQJVkGh9AAoJEL4mZMECwpc0APMP/jY6+k/RI5kZ0U49Qx/qpEIP v4/hs/i2xpu4aC1diwsEWafwK5qcYb+VzWYWfFTvyvIGSciEavnmxpnPlEZRdla4 3LSxTQxIhf9HNtitEDxkuMtw/xpKHIhVbr4vmtD+wAy25t0ZrEryB+2hJlRVrCbm ucnAb40D14d4O5WHLIY9tjr79rDMAXCi0xpDSvGHPKCCHJJ2j9Sj44SyjdD5YXrd Ej8YHI4w1e97C9vRrG7ECZOAjPcN4kVn+q65GasKwS9ldl0As+/6xZnUkC5I/ES3 mFEtrcbZGlDPP7NkP82tuav71Fr/UnbS30u4a0m1AZldkOIVJJs55AXTBIC193n4 rRfGv/epVJUVbQ+IO5zBWrUDOwU1AUg/RyLCus4Ls+zF0/UhZ4l8W79UC/Odi2qt eTkHyF7PxKGFsvI8eDouaJOSWj3w0n3lVsZUPdA3NKgguj+3zI9l9TBWlgloBrPl 4liYyd/7WuLhgaHyNqNxRHCbxIBRsWz9Kpog69Dt27UvyJcJqGp+M7e68/8AbEUQ gOgUjikIugJHHFxAsLe9Wpmbt+zJ46P9r/kl+oFCIhIlFF4nvi/z6/BS+f1rc5QD SFU84FkoJTa9reFUTx/88RyRBne8kag3L+mUO+X6O+2+GdyzuUJ9Il3wqygMpp+6 t9mJiy2tpt1AkUKalLzV =P7Rd -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] RE: Couverture total en FO prévue en 2022
Le 23/02/2015 18:33, Radu-Adrian Feurdean a écrit : > On Mon, Feb 23, 2015, at 17:50, Mathieu Husson wrote: >> Ce sera une architecture partagée pour le grand public PON ou RFoG (pour les >> cablos). >> On parle de 10G PON, voire WDM PON pour augmenter les débits si nécessaires. >> Le P2P restera utilisé , mais pour du service entreprise. > En 2022 on sera 100% fibres grace a quelques nouvelles technos comme > FTTNRA (fiber to the noeud de raccordement abonne) et FTTDC (fiber to > the datacenter). > Bref, le meme chose qu'aujourd'hui. Tu oublies le FTTSMMINPF (Fiber to the street mais mon immeuble n'est pas fibré). Solarus signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Une proposition de loi veut imposer l'IPv6 dans les appareils au 30 juin 2015
Le 2014-07-29 11:13, Jérémy PEREZ a écrit : Bonjour, N'y aurait-il pas un conflit d'intérêt dans cette proposition de loi " http://www.assemblee-nationale.fr/14/dossiers/acceleration_passage_norme_IPv6.asp [1]" émise par Mme Laure DE LA RAUDIÈRE, qui , si on en croit sa déclaration d'intérêts et d'activité cf http://www.hatvp.fr/files/declarations/de-la-raudiere-laure-dia-depute-28.pdf [2] , est gérante de la société Navigacom SAS "Cabinet de conseil en infrastructures Réseaux et Télécoms". Vu que le site web de la-dite société n'est pas disponible en IPv6 je pense que non. ;) Solarus :~$ dig www.navigacom.com @8.8.8.8 ; <<>> DiG 9.6-ESV-R4 <<>> www.navigacom.com @8.8.8.8 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21628 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.navigacom.com. IN ;; AUTHORITY SECTION: navigacom.com. 1799IN SOA a.dns.gandi.net. hostmaster.gandi.net. 1378899703 10800 3600 604800 10800 ;; Query time: 121 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Tue Jul 29 11:18:21 2014 ;; MSG SIZE rcvd: 97 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPV6 sur cisco 881
Le 2014-06-27 09:32, Antoine Durant a écrit : Bonjour, Est-ce que le Cisco 881 (CISCO881-SEC-K9) supporte une configuration IPV6, et est-ce qu'il y a une version de DHCP/RA pour annoncer le préfixe IPV6 sur les postes du lan ? Les Cisco 87x ne supportaient pas IPv6 il me semble, mais les 88x le font sans problème. Cordialement Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [TECH] RFC 7269: NAT64 Deployment Options and Experience
Le 20/06/2014 19:15, Guillaume a écrit : Sauf qu'un jour, il faudra bien y passer à IPv6. Et si personne ne se lance en disant "aujourd'hui, ça ne me rapporte rien", on repousse toujours plus l'échéance. Et quand on n'aura plus une seule IPv4 disponible, même en allant les chercher chez les RIR voisins, on sera bien em***dés ! J'attends avec impatience ce moment. Ce moment ou Microsoft/Google / Facebook seront tellement à court d'IPv4 que leurs services passeront en IPv6 uniquement. Là on verra tous les retardataire sauter dans l'Arche pour éviter le Déluge. Ça va faire des dégâts et ce sera très drôle, une sorte de darwinisme technologique. En attendant, la seule chose à faire est de boycotter les services IPv4 only. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Les DC Neo sous patriot act [was: Rachat sur Paris :)]
Le 05/05/2014 15:58, technicien hahd a écrit : > > Et puis plus subtil, le coup du contrat qui n'est pas un CDI et qui n'est pas > renouvelé, ou plus simplement l'employé qui n'est pas juriste et qui ne se > pose pas la question de la légalité de ce qu'on lui demande. > Le droit du travail s'applique à tout salarié, y compris en contrat précaire ou en période d'essai; et les prud'hommes sont là pour eux aussi (bon faut juste avoir le courage d'attendre 6 mois pour éventuellement passer en référé). Quand à la deuxième remarque, "Ignorantia iuris neminem excusat" (Nul n'est censé ignorer la loi). Cordialement. Solarus signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Les DC Neo sous patriot act [was: Rachat sur Paris :)]
Le 05/05/2014 14:39, Emmanuel Thierry a écrit : > Si la maison mère aux US subit des pressions c'est pas avec tes > doutes que tu vas lui barrer le passage, AMHA. > A la différence que le salarié est pénalement responsable s'il effectue > certaines opérations strictement interdites par la loi comme, mettons, lire > ou transmettre des mails. > > L'entreprise française aussi est responsable. Sur le territoire française, le CPCE (Code des Postes et Communications Électroniques) s'applique indépendamment du Patriot Act. Solarus signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] SPF et alias : quelle configuration?
Le 02/05/2014 11:40, foss a écrit : > Par contre, je vois que le champs SPF est le suivant : > son-domaine.fr. 600 IN TXT "v=spf1 include:mx.ovh.com ~all" > > Mais, les mails ne proviennent pas de mx.ovh.com. > Alors certes le ~all n'interdit pas cette situation, mais la déclaration > est clairement fausse. Tu as configuré Gmail en créant un simple alias ou alors en ajoutant le compte chez OVH (avec ses IMAP et ses SMTP) ? Dans le deuxième cas c'est normal, le mail est sorti par le SMTP d'OVH. Sois il faut modifier le DNS de ton amie pour mettre les SPF de Google, soit utiliser les SMTP de Gmail. Cordialement Solarus signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] RFC 7208: Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1
Le 2014-04-27 10:06, Stephane Bortzmeyer a écrit : http://www.bortzmeyer.org/7208.html Auteur(s) du RFC: S. Kitterman (Kitterman Technical Services) Chemin des normes [Attention, méchanceté gratuite suit] Tous les trolls qui avaient refusé de déployer SPF en arguant que le RFC n'avait que le statut « expérimental » vont-ils changer d'avis et le déployer, maintenant qu'il est officiellement norme ? Je ne sais pas ce qui est le pire, ceux qui me déploient pas ou ceux qui ne déploient n'importe comment (Cf: la folie du DMARC chez Yahoo). Dans le deuxième cas ça met pas mal de monde dans la panade jusqu'au cou. Cordialement Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Chiffrement des collectes ethernet
Le 2014-03-27 18:28, Jérôme Nicolle a écrit : Le 27/03/2014 14:02, Solarus a écrit : C'est certifié par l'ANSSI Out. Être certifié par l'ANSSI ne signifie pas avoir une backdoor implantée, ça signifie juste qu'ils répondent passivement à un cahier des charges établi par l'Agence. Keepass et Truecypt sont certifiés par l'ANSSI pourtant aux dernières nouvelles ils sont absolument sûrs. Pour en revenir au sujet, un tunnel IPSec ou SSL (OpenVPN) de bout en bout est la solution, quelque soit le tuyau au milieu. Règle numéro 1, ne jamais faire confiance à un chemin que l'on ne maitrise pas, que ce soit une collecte Orange ou un wifi public. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Chiffrement des collectes ethernet
Le 2014-03-27 11:51, Jérôme Nicolle a écrit : Mais dans le cas d'un lien P-PE ou PE-PE (signalisation MPLS poussée entre les sites raccordés par l'intermédiaire de ces liens collectés), on fait quoi ? IP/MPLS/GRE/IPSEC/IP ? Autre chose ? Tu peux mettre en place des boitiers Mistral qui chiffrent à la volée à un bout et l'autre de la liaison. C'est certifié par l'ANSSI et ça supporte pas mal de PPS. Mais Mistral c'est Thalès, faut avoir suffisamment confiance en eux. ;) Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Vendre du service et de la presta IT dans une ambassade
Le 20/03/2014 19:22, Jean François Esperet a écrit : > C'est un territoire français justement. > JFE > Justement pas. Contrairement aux idées reçues (et aux films américains) il n'y a pas de principe d'extraterritorialité pour les ambassades. En matière pénale comme en matière commercial c'est le droit du pays hôte (droit local) qui s'applique. La seule particularité est l'inviolabilité d'une ambassade qui interdit aux forces de l'ordre du pays hôte d'entrer dans l'ambassade sans l'accord du chef de mission diplomatique. Cordialement Solarus signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] HOPUS ?
Le 2014-02-06 15:24, Romain DEGEZ a écrit : J'oublie un point important. BGP étant ce qu'il est, tout le monde va annoncer ses routes vers ce ... truc en espérant recevoir du trafic et la rémunération qui va avec, mais tout en s'arrangeant pour faire sortir son trafic par ailleurs, sur du peering ou du transit moins cher. C'est comme espérer gagner au loto alors que personne ne joue. C'est ce qui fait que ce business model n'est pas viable. Post scriptum : " Access ISPs tend to receive more than they send. " Thank you Captain Obvious, that's the point. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] HOPUS ?
Le 2014-02-06 15:24, Romain DEGEZ a écrit : SI je comprends bien c'est une sorte de manière de ressusciter le concept de terminaison d'appel avec un prix "régulé" entre tous les membres. Qu'en pensez-vous ? J'en pense que la jurisprudence Orange vers Cogent a fait des petits, et que certains voient la dedans un business model juteux. Plus factuellement, ce modèle fait payer les fournisseurs de contenus, notamment vidéo, au profit des FAI. J'aurais pu deviner la liste des premiers membres sans la consulter. Bref, le rêve des ministres français est en train de devenir réalité dans e business model. Est-ce que c'est normal, inquiétant, whatever, je vous laisse juger. Je pense que les petits AS n'ont aucun intérêt à s'y aventurer, que les fournisseurs de contenus fuiront comme la peste et que les FAI présents y resteront seuls, à se regarder dans le blanc des yeux. Cordialement. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le troll du vendredi par Michel
Le 2014-02-04 13:23, Nathan delhaye a écrit : Être obligé de mettre en place des LB sur des IP sortantes sur le 25 pour qu'une newsletter soit envoyée parce que Mr Yahoo te filtre a partir de quelques mail/secondes tout ça pour contrer les vendeurs de viagra... Niveau protocole y'a rien à faire, le problème est dans les usages. La newsletter est un usage ancien, qui n'a plus raison d'exister depuis la création de RSS. Pourquoi pousser des milliers de messages d'un coup quand on peut laisser les abonnés le réclamer quand ils le souhaitent ? Une boite mail ça sert à envoyer des messages uniques protégés par le secret de la correspondance à un destinaire bien précis, pas des prospectus. Si le fournisseur de mails du client met un "stop-pub" , tu peux le respecter ou t'échiner à refiler ta came en contrebande. De même pour le web, si on avait pas tué le P2P pour concentrer le trafic vidéo sur HTTP, on ne serait pas en train d'entendre pleurer les complices de la Hadopi sur l'engorgement de leurs capacités. Et l'on pourrait également reparler de l'usage des mailing-list comme celle-ci alors qu'il existe les newsgroups) Usage, tout n'est qu'usage c'est pour cela que le Web est effectivement plus important qu'IRC pour un opérateur réseau. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le troll du vendredi par Michel
Le 2014-01-24 15:24, Sylvain Vallerot a écrit : La vie sur le net est devenue un enfer à cause de l'avidité commerciale, le Web est quasi inutilisable sans filtres contre les pop-up, les pubs, Le Web ≠ le Net. En dehors des ports 80 et 443, le Net (IRC, XMPP, SMTP, IMAP) se porte plutôt bien. Je sais que la mode des webmail et autres applis de contenus pour smartphone nous a fait oublier que le Net c'est bien plus que le Web, mais quand même. ;) Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Attaques par amplification NTP
Le 2014-01-16 10:42, Jérémy Martin a écrit : A ceux qui n'ont pas peur de limiter les attaques en SORTIE de leur réseau, n'oubliez pas d'intégrer un petit shapping sur vos routeurs pour le port 123 UDP, vous rendrez service à plein de petits réseaux (80% des AS). Effectivement, comme pour DNS il faut restreindre l'accès aux serveurs NTP, soit par AS ou par préfixe, soit par shapping sur le port 123 si le serveur doit rester public. Same old song. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Soyez sympas, hébergez un Ancre RIPE Atlas
Le 12/11/2013 11:01, Sébastien Lesimple a écrit : > Je ne dis pas non mais... > Je pas assez d'ipv4 pour nos clients, on est déjà en train de faire des > acrobaties et ca va empirer > Et d'autre part nous sommes en plein déploiement en région, donc c'est pas > vraiment dans les priorités. > Alors oui mais pas tout de suite. > Seb > A voir si l'on peut fournir des amers IPv6 only. ;) -- Solarus - sola...@ultrawaves.fr Clé GPG - 0x02C29734 N'hésitez pas à chiffrer vos messages avec ma clé pour m'écrire directement signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] IPv6 chez Voo
Le 16/11/2013 17:25, Yoann Gini a écrit : > Depuis, le problème a été débloqué en permettant à la Freebox Revolution de > disposer de plusieurs sous-réseau v6. Chaque abonné dispose d’un /61 sur sa > ligne (c’est, je trouve, un gâchis d’adresse vu le nombre de gens qui ne se > serviront pas de ça). En 6rd comme avant le 6to4, à chaque IPv4 publique distribuée aux clients correspond un préfixe IPv6 compris entre /32 et 64. Dès lors que l'on adopte ce système il ne faut pas avoir peur de distribuer des plages suffisantes aux client pour rendre IPv6 utilisable et attractif, plages qui de toute façon seront difficilement routables vers d'autres clients. Il y a assez d'IPv6 pour connecter la Terre et Mars. Peut-être que les vénusiens seront embêtés. Plus sérieusement, il y a assez d'IPv6 pour ne pas avoir peur d'en gaspiller. L'important c'est de s'y mettre. -- Solarus - sola...@ultrawaves.fr Clé GPG - 0x02C29734 N'hésitez pas à chiffrer vos messages avec ma clé pour m'écrire directement signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Message à l'intention des utilisateurs d'outlook
Le 05/10/2013 22:35, Jérémie Bouillon a écrit : > On 04/10/2013 23:33, Jérôme Nicolle wrote: >> Après quelques investigations (10 minutes de recherche quoi), l'origine >> du problème est identifié : Microsoft Outlook (au moins les versions >> 2007 à 2013) ne respectent plus les RFC portant sur la composition d'un >> e-mail, et n'utilisent plus les champs "references" et "in-reply-to". > > Oh, et c'est une découverte pour toi ?? > > Continue à enquêter alors, tu vas en trouver des vertes et des pas > mûres. À commencer par cette habitude des neuneus de répondre avant le > message cité. Sans vouloir défendre l'indéfendable top-posting, cette habitude a surtout été répandu par une poignée de clients et interfaces mails, Gmail en tête. Les pauvres utilisateurs n'y sont pour pas grand chose, souvent (pardonnez les) ils ne savent pas ce que font. Le plus grand fournisseur de mails et connecté en IPv6 n'est pas capable de respecter la netiquette. C'est triste. -- Solarus - sola...@ultrawaves.fr Clé GPG - 0x9C5AC79A N'hésitez pas à chiffrer vos messages avec ma clé pour m'écrire directement signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Le cloud à la française, reloaded
Le 2013-09-26 10:42, Stephane Bortzmeyer a écrit : http://www.leparisien.fr/high-tech/cloud-breton-charge-de-mission-sur-le-pour-la-france-et-l-ue-25-09-2013-3168793.php « Thierry Breton, ancien ministre de l'Économie, "co-pilote avec OVH.com (hébergeur français) le plan industriel" dédié au cloud à la française » Je me souviens encore des promesses originelles du cloud, la haute disponibilité et la réplication dans le monde entier, c'était des voeux pieux. Envolées les belles promesses. Maintenant on nous sort du "cloud à la française", quelle catastrophe. Encore un label inutile accompagné de subventions justeuses. Mais juste une question ? Le mec qui promeut le cloud à la française et qui utilise un CDN en amérique, c'est toujours du cloud à la française ? Parce que sinon bonjour les performances du bouzin à l'international. Cocorico ! Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Incident Réseau SFR
Le 2013-09-13 10:42, David MARCIANO a écrit : Bonjour, Il y'a depuis 6h00 ce matin un incident sérieux sur le réseau XDSL et Fibre de chez Sfr, quelqu'un en sait plus svp ? Et un Vendredi 13 en plus, on va devenir superstitieux chez les telcos. ;) Solars --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Choix d'un routeur dual wan pour PME
Le 10/09/2013 16:30, Florent Rivoire a écrit : > Je confirme : une Alix 2D13 (attention au modèle pour bien avoir les 3 > ports réseau) avec un pfsense fonctionne bien pour tes critères. > NB: je n'ai pas (ou presque pas) testé d'autres distribs, donc je pourrai > pas dire si c'est mieux/moinsBien avec. > Ça à l'air intéressant tout ça. J'aurais trois petites questions pour ceux qui utilisent pfsense. Est-il possible de gérer des règles différentes suivantes les IP publiques derrière le FW ? Est-ce que ça fait du NAT/PAT avec gestion des ports entrants ? Et enfin est-ce que ça supporte bien IPv6 ? Étant donné que ça tourne sous FreeBSD, j'ai tendance à penser que oui, mais si vous utilisez cette solution là j'aimerais votre avis. Cordialement Solarus. signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Chic, des AS privés sur 32 bits
Le 2013-07-29 12:50, Stephane Bortzmeyer a écrit : Je suis sûr que bien des gens ici souffraient de n'avoir que 1 023 AS privés :-) Là avec quasiment 95 millions d'AS qui se plaindrait ? ;) À noter que l'idée même d'avoir des nombres pour usage privé (que ce soient les numéros d'AS ou d'autres comme les adresses IP) défrise toujours un certain nombre de gens à l'IETF et que cette minorité s'était fait entendre dans le débat sur cet élargissement. Sans entrer dans le débat, le fait de disposer d'AS privés en 32 bits, va faciliter les batteries de tests alors même que nous rencontrons encore beaucoup d'équipement incompatibles et/où à débugger. Cordialement, Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le Marais
Le 15/07/2013 16:16, David Ramahefason a écrit : > Quel second degré ? > Il est ou ? > Explique Sûrement pourras t'il te l'expliquer en privé, hors-liste. Solarus signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Re: [MISC] Statistiques data mobile et frequences
Le 2013-07-08 18:33, Bertrand Yvain a écrit : On Mon, Jul 08, 2013 at 06:26:23PM +0200, Solarus wrote: Un vrai nazi de la métrologie aurait utilisé les préfixes binaires normalisés par la CEE soit Tio (tébloctet) et des Pio (pébloctet) Tebioctet et Pebioctet J'ai eu un doute alors j'ai vérifié sur Wikipedia. Ça s'écrit bien comme cela en anglais http://en.wikipedia.org/wiki/Octet_%28computing%29 mais pas en français http://fr.wikipedia.org/wiki/Octet Je ne trouve aucune autre occurrence de cette "notation" francophone. Faudrait t'il corriger Wikipedia ? Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Statistiques data mobile et frequences
Le 2013-07-08 09:20, Stephane Bortzmeyer a écrit : On Sat, Jul 06, 2013 at 05:11:39PM +0200, Laurent GUERBY wrote a message of 60 lines which said: Le calcul : 35 000 TB / trimestre Vu l'augmentation de débit dans les réseaux, il vaut mieux s'habituer tout de suite aux nouvelles unités. Donc, 35 PB. -- Le nazi de la métrologie Un vrai nazi de la métrologie aurait utilisé les préfixes binaires normalisés par la CEE soit Tio (tébloctet) et des Pio (pébloctet) [troll/] My 2 cents Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Donner une adresse se terminant par .0 est-il sadique ?
Le 03/07/2013 16:30, Stephane Bortzmeyer a écrit : > Cela se traduit par quelques pertes de connectivité : > > https://labs.ripe.net/Members/stephane_bortzmeyer/all-ip-addresses-are-equal-dot-zero-addresses-are-less-equal > Certaines versions de Windows, notamment NT4 étaient victime de cela, Microsoft a reconnu que c'était un bug et a publié des correctifs. http://support.microsoft.com/kb/241657/fr Ça me rappelle que Windows interdit les adresses comprises dans 240.0.0.0/4. Le jour où l'IANA décide qu'elles sont attribuables , il va falloir encore patcher. Solarus smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] Re: [MISC] Auto hébergement
On Mon, 1 Jul 2013 11:46:41 +0200, Stephane Bortzmeyer wrote: > Bien d'accord mais, dans ce cas précis, le témoignage parlait juste de > "serveur DNS" sans préciser si c'étaient des résolveurs ou des > serveurs faisant autorité. Donc, on ne sait pas assez, avec les infos > publiées sur FRnog, pour condamner ou pour absoudre. Mea culpa, on peut effectivement penser aux serveurs d'autorité. Mais j'ai quand même du mal à imager un SOA derrière une Freebox. Cordialement. -- Solarus www.ultrawaves.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Auto hébergement
On Mon, 01 Jul 2013 00:24:40 +0200, alarig wrote: > Le 30/06/2013 12:00, David CHANIAL a écrit : >> Si ce sont des choses qui ont étés clairement annoncés au préalable (type >> CGV) je vois pas le problème ? > Ouais enfin j'ai aussi vu des serveurs coupés parce qu'ils servaient de > DNS et que des IPs roumaines venaient se connecter dessus. Mais quoi de > plus normal pour un serveur de nom ? > Ben non ce n'est pas normal pour un serveur de nom,c'est un problème de sécurité. Avoir des IP roumaines qui viennent se connecter sur un AS d'un FAI français c'est une faille de sécurité. Jamais de DNS ouvert, pour le bien de l'Internet fermez vos résolveurs. Ça ne me gène pas plus que de voir un accès shutté pour cause de spam sur le port 25 à cause d'un botnet. La neutralité oui, mais laisser la porte ouverte au failles et aux botnet, non. Cordialement. -- Solarus www.ultrawaves.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Adresses de support Proxad efficientes ?
Vincent LOUPIEN a écrit : Connaissez-vous d'autres adresses web ou de courriels du groupe Proxad qui nous permettraient de faire remonter plus efficacement cette plainte ? Envoyer une mise en demeure au service juridique pour tentative intrusion dans un système informatique (avec accusé de réception) Et sinon, techniquement ou administrativement, mise à part des filtrages IP, que nous conseilleriez-vous ? Si l'attaquant oeuvre à partir d'une seule Freebox, on peut soupçonner un script kiddy ou un botnet. Le filtre sur l'IP semble alors suffisant. Cordialement Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/