Re: [FRnOG] [TECH] Compte ? rebours des 400 000
Le 13 January 2012 ? 12:00, Stephane Le Men a écrit: Quand on a grosse allocation et plein de lieux de présence, on peut préférer que ce soit sur l'Internet que le trafic circule plutôt qu'au sein de son AS. Simple question de coût, Mon avis: Pouquoi ca serait à Internet de supporter le coût de transport au sein d'un AS ? C'est la même chose pour les petits TTL des records DNS: pour des économies de bouts de chandelle, ca fait souffrir tous le monde. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Retour d?expérience sur le GLBP.
Le 01 février 2011 à 10:07, Manuel OZAN a écrit: Le besoin vous l'aurez compris, est de non seulement d'avoir de la haute-dispo mais en plus faire du vrai équilibrage de charge. C'est la que rentre en jeu le GLBP. Certain diront, oui mai pourquoi pas faire du VRRP et jouer avec les routes ? Parce que dans ce cas c'est du partage de charge et non de l'équilibrage. Si tout ton traffic (ou une majorité) proviens d'une seule adresse MAC, alors il ne devrait pas être équillibré, tel que je le comprend en lisant la doc. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Re : [FRnOG] Re: [FRnOG] Une loi de compatibilit é IPv6 ? (ceci n'est pas un troll)
Le 10 décembre 2010 à 23:39, Mattieu Baptiste a écrit: Ça n'a rien à voir avec les adresses IP, ça a voir avec sockaddr_in6, qui, contrairement à sockaddr_in peut ne pas être aligné et qui oblige de recourir en permanence à des hacks pour s'assurer de l'alignement. Avec des @ qui font 128 bits, je vois mal comment ça peut ne pas être aligné. Est-ce vraiment si important que ça l'alignement, de nos jours, sur les archi qu'on utilise ? Ah, les langages de haut niveau. Java, Python... allé, je me lâche (c'est encore vendredi ;) ) Ruby ? A ton avis, dans l'interpréteur, c'est implémenté comment ? Dans mysql c'est pire: je crois qu'on a pas encore trouvé de bonne technique pour stocker une @ IPv6. Et ça, c'est un frein évident AMHA. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Questionne ment d'un administrateur système sur l'IPv6
Le 12 décembre 2010 à 22:11, Stephane Bortzmeyer a écrit: J'hallucine franchement que le cas (trivial) cité par Yohann suscite suscite un thread aussi lourd (ce cas n'aurait-il pas été prévu ?) Il n'est pas davantage prévu en IPv4, où le problème est exactement le même. Le multihoming des petits sites (i.e. BGPless) a toujours été un cauchemar. Est-ce un problème avec IP ou avec TCP ? Je pense que le problème du multihoming provient plus de TCP, qui ne gère pas la mobilité, et l'utilisation de plusieurs @IP. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] ipv6 fud (wa s Une loi de compatibilité IPv6 ?)
2010/12/8 Radu-Adrian Feurdean r...@ftml.net: Si le v6 va s'imposer ou non, c'est question d'evolution/selection naturelle. Pourquoi legiferer quand on a un systeme qui fonctione sans erreur depuis 4 milliards d'annees ? Juste qu'il converge moins vite. Le 08 décembre 2010 à 12:48, Mattieu Baptiste a écrit: Et quand on voit à quel point IPv6 est une immense blague/merde créée par des gens (au choix) n'y connaissant rien à la technique ou n'étant jamais sorti de leur amphithéâtres d'université... Le frein viendrait plutôt de ceux qui ont du mal avec ipv4. IPv6 c'est aussi: - une meilleure aggrégation (si les gens se comportent bien), - des réseaux locaux pouvant grossir, (2^64 ip théoriques), - moins de broadcast - ... -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] lettre au père noël
Le 18 novembre 2010 à 21:31, Michel Py a écrit: - Je voudrais que IPv6 soit déployé chez un FAI qui me fournisse du service à la maison. Fait, au moins 2 FAI proposent de l'ipv6 en standard en France. - Je voudrais que les gens qui n'ont que du Cisco arrêtent de nous les gonfler en disant que c'est mieux que Juniper. s/mieux/plus déployé et moins cher ? ;-) - Je voudrais que les rookies qui ont découvert IPv6 l'année dernière arrêtent de nous les gonfler en disant que ça sera déployé l'année prochaine. L'année prochaine, ca risque d'être trop tard. - Je voudrais que les Chinois finissent par finalement comprendre comment configurer BGP au lieu de gonfler celles de tout le monde. Trop facile. - Je voudrais que Michel arrête de nous les gonfler sur la liste du FRnOG. Tu crois au père Noël ! ;-) -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Comment p énétrer('facilement) le backbone d'un grand FAI
Le 27 septembre 2010 à 11:02, Stephane Bortzmeyer a écrit: Que le code de toutes les boxes soit en logiciel libre et distribué publiquement, de façon à permettre les analyses de sécurité ? Personnellement, je me demande si on est pas obligé de laisser de l'obscurantisme dans les box. En effet, comment sécuriser un boitier qui est physiquement dans les mains de l'abonné ? La tâche me semble plutôt hardue. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] PacketShader : transformer un PC en routeur IP ultra-rapide
Le 19 septembre 2010 à 22:11, Stephane Bortzmeyer a écrit: [...] http://www.bortzmeyer.org/packetshader.html Les résultats sont rassemblés dans la figure 11. En IPv4, le débit théorique maximal est atteint, même sans le GPU. Ce dernier ne sert que pour les petits paquets (un gain de 40 % pour les paquets de 64 octets). [...] Désolé, j'ai lu l'article il y a longtemps, donc peut-être que certains détails m'ont échappé. Cependant, il me semble que la latence, et la stabilité de la latence ne sont pas trop évoquées (le ping). Le datagramme doit voyager de l'interface d'entrée jusqu'à la mémoire centrale, et de la mémoire centrale jusqu'à celle du GPU(*), puis la même chose en sens inverse. Pas bien compris l'histoire du routage en mode utilisateur, mais ça pourait jouer aussi. (*) enfin, au moins les headers -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Suggestion pour la liste FRNOG
Bonjour, après un peu de calme, la liste a tendance à partir à nouveau en longues enfilades sur des sujets politiques, juridiques, linguistiques(!)... Certains ont déjà proposé de limiter l'accès à la liste aux représentants des LIR, d'autres de la modérer purement et simplement. Il doit être encore possible d'éviter ces extrémités. Merci à tous de vérifier que le thread auquel vous répondez n'est pas en train de dévier complètement. J'aurais une proposition à vous faire: rappeler à l'ordre en privé, tous ceux qui dérivent. Qu'en pensez-vous ? -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] HS
Le 25 août 2010 à 16:56, Dominique Rousseau a écrit: [...] C'est parfois utile de surspécifier, quand « je t'ai envoyé un message » ne suffit pas à savoir si il regarder la boite à courriels, le téléphone mobile, etc. Désolé d'intervenir, mais est-ce bien nécessaire de s'étendre sur ces considérations linguistiques ? Je pense que la dizaine de messages échangés sur le sujet suffit largement. Merci :-) -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: retour au ripe (was Re: [FRnOG] Le RIPE et les PI)
Le 06 août 2010 à 19:48, Vivien GUEANT a écrit: Ah citéFibre et ses adresses publiques réservées pour la VoIP : Chaque abonné avait 3 IP : Une publique pour Internet, une publique pour la VoIP et une privée pour la TV. En soit c'est une façon normale d'utiliser Internet. Si la migration vers v6 avait été réalisée dans les temps, ca ne choquerait personne. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
retour au ripe (was Re: [FRnOG] Le RIPE et les PI)
Le 05 août 2010 à 22:48, Thomas Mangin a écrit: Toutes allocations assignées et non routées depuis plus d'un an devraient retourner a RIPE. Le retour prend du temps, beaucoup de temps. Rendre des IP nous fera gagner peu de temps au final. Une seule solution à terme: http://www.ipv6actnow.org/ -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Le RIPE et les PI
Le 04 août 2010 à 21:10, Pierre-Yves Maunier a écrit: [...] Typiquement en baissant la min LIR alloc size à /22 par exemple ce qui à mon avis finira pas arriver un jour pas si lointain. L'allocation minimum à /22 en ipv4 devrait être conditionnée par les 4 étoiles en ipv6 AMHA. C'est le manque d'ipv4 qui contraint à baisser l'allocation minimale, pas une diminution de la table de routage. Ok, ca metterait peut-être un peu plus de pression sur la table de routage ipv6, mais ca en vaudrait la peine AMHA. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Le RIPE et les PI
Le 04 août 2010 à 01:29, Jérôme Nicolle a écrit: [...] Encore un magnifique exemple de la partialité du RIPE, tiens. Toujours là au service des gros, mais peu enclin à assigner en dessous de 5k€ de cotisation annuelle... Et s'ils chassaient le gaspillage d'assignations chez Orange et autres, plutôt que d'interdire l'existence même de nouveaux acteurs ? Le problème avec les PI, c'est plus la désagrégation et donc l'augmentation de la table de routage globale. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] (greylist was Antispam : vaderetro, ...)
Le 29 juillet 2010 à 16:41, Jérôme Nicolle a écrit: C'est précisément parce que la charge de stockage n'est pas naturellement à l'émetteur que le spam est aussi répandu. Donc oui, c'est l'expéditeur qui stocke. ce qui est greylisté. C'est normal, et ça devrait même être systématique. Les FAI sont relais SMTP pour leurs clients. Eux aussi doivent renvoyer X fois les mails à destination des greylisteurs, et les conserver X minutes. L'émetteur du mail (légitime ou non) ne voit aucune différence. Pour les spammeurs, la nuisance est très légère. Pour les opérateurs et les destinataires, c'est une autre histoire. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: sup720 3-BXL
Le 16 juillet 2010 à 12:44, Arnaud Launay a écrit: Là j'ai un lien intranet doublé (la pelleteuse, ça arrive) entre les deux sites; et du coup, de l'ospf pour rester léger, mais ça marcherait aussi avec du ibgp. Pourriez-vous préciser un peu plus ? Pour moi, ces deux protocoles n'ont pas la même utilité. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
Le 15 juin 2010 à 12:09, Pierre-Yves Maunier a écrit: Personnellement chez Neotelecoms (AS8218), ça nous a pas pris tant de temps que ça pour mettre en prod l'IPv6 sur tout le réseau et nous en sommes très contents, ça marche bien et l'adressage est simplicime (bien plus qu'en ipv4 après avoir compris ). Le problème se situe chez nous au niveau applicatif. Pour le meilleur ou pour le pire, les développeurs stoquent des @ IP dans les bases de données. A ma connaissance, ni mysql, ni php ont un type ipv6. C'est là le principal problème, à mon avis. D'autre part, au niveau du client: quand la connectivité ipv6 n'est pas parfaite, les clients (navigateurs web par exemple) ont un timeout plutôt long avant de fallback en ipv4 (quand ils le font). Enfin, il me semble que chez la plupart des fournisseurs de serveurs dédiés grand public, l'option ipv6 se trouve plutôt inutilisable dans la pratique. PS: l'as35070 annonce de l'ipv6, mais rien de très visible pour les clients. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] baie dell 48U en parfait etat, TH2
Bonjour, désolé de poster intempestivement, mais il se trouve que ma société vend une baie dell, 48U, qui se trouve dans l'espace mutualisé, au 2e étage de TéléHouse 2. Si jamais vous êtes intéressés, nous vous la cèderons pour 10 euros, et on vous fait une facture. Merci de répondre en privé. Je cèderai la baie à ceux qui seront capables de l'enlever à leur charge. Présence sur site appréciée ! PS: je ne répondrai pas avant mardi. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Ip publiques (was Re: [FRnOG] Pb OVH)
Le 28 avril 2010 à 19:04, Radu-Adrian Feurdean a écrit: Le pire que j'ai vu c'est des IP publiques utilises dans le core mais pas annonces dans la table globale Des IP publiques peuvent être annoncées à des peers sans pour autant se retrouver dans la table globale. Ca me semble un fonctionnement certes inhabituel, mais normal en IPv4. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Ip publiques (was Re: [FRnOG] Pb OVH)
Le 29 avril 2010 à 11:28, Antoine Versini a écrit: Disons que tu peux avoir communication si un routeur est amenné à proposer une fragmentation à l'éméteur du paquet qu'il détruit. Communication unidirectionnelle, certes, mais communication tout de même. Le routeur prend-il l'ip de la loopback pour émettre l'icmp ? Il me semblerait plus logique qu'il utilise l'ip de l'interface de sortie. PS: je ne pensais pas particulièrement aux loopbacks quand j'ai posté. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb OVH
Le 28 avril 2010 à 12:41, Thomas Mangin a écrit: Qui prend le pari que c'est un changement qui va être défait a' cause de la pression clientèle ? Avec de la chance ils filtrent correctement et path MTU discovery marche encore :p Le path MTU discovery ne marche déjà pas vers le site ovh.com qui filtre tout l'icmp sans distinction. D'un autre côté, il y en a surement d'autres. Si ces pratiques n'étaient pas courantes, la MTU moyenne utilisée sur Internet aurait pu grandir. Et ça, ça aurait limité le nombre de datagrammes routés par nos équipements. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Hackito Ergo Sum 2010
Le 10 mars 2010 à 15:27, Clement Cavadore a écrit: La Quasi-neutralité, ca peut être aussi discriminer le trafic multicast (pour assurer la qualité l'IP TV des STB des abonnés), ou SIP (pour la qualité des communications VOIP faites depuis STB), mais ne pas discriminer l'ensemble du trafic Internet (IE: ip publique ip publique). C'est beau de rêver... mais c'est également s'exposer à des réseaux IP facilement saturés aux heures de pointe... Le meilleur moyen pour ne pas saturer les réseaux, c'est encore d'en augmenter la capa. Certains jugent même que c'est moins cher que de faire de la QoS. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] chatroulette (was Re: La n eutralité du Net)
Le 25 février 2010 à 17:09, Artur Pydo a écrit: Nadine Morano demande à l???ONU de réguler Internet Interviewée par RMC au sujet de chatroulette.com, la secrétaire d'Etat à la Famille s???est prononcée pour une régulation d???Internet au niveau mondial A-t-on des informations sur les technologies utilisées par chatroulette ? Je m'intéresse particulièrement à la façon dont ils font marcher leurs webcam: fms ou red5 sont-ils rédibitoires ? Est-ce que ca tiens la charge ? -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Soucis depuis Numericable
Le 19 février 2010 à 12:24, Sébastien Mortier a écrit: J'ai plusieurs clients connectés depuis des accès grands publics Numéricable qui rencontrent de gros problèmes d'accès depuis ce matin. Beaucoup de latence et de gigue, traceroutes complétement délirants.. Serait-il possible de poster des extraits de traceroute pour de telles remarques ? -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Le 16 février 2010 à 22:11, David Amiel a écrit: et je dirais que 60% des incidents mails que l'on reçoit sont dûs aux serveurs SMTP d'orange. En effet leurs serveurs sont régulièrement black-listé dans les RBL ce qui provoque de le refus de nombreux mails des utilisateurs. Est-ce de la faute d'orange s'il se retrouve dans les RBLs ? Les gestionnaires de RBLs blacklistent les smtp du premier FAI français. Les mails n'arrivent plus ? Comme c'est étrange ! -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Conseil IPV6
Le 12 octobre 2009 à 08:12, Olivier CALVANO a écrit: La RFC dit que l'utilisation d'un /126 ne pose pas de problème mais recommande quand même d'utiliser des /64 ou si on veux pas taper si haut des /112 ou /120. Donc je vais essayer d'employer des /120 pour les interco point a point Je ne vois pas de réelles raisons pour ne pas faire des /64. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Les DNS de SFR s'illustrent une fois de plus
Le 30 septembre 2009 à 17:54, Romain LE DISEZ a écrit: (les données comme le nom et l'IP concernant le client sont fictives) C'est bien dommage: ca permetterait de pousser un peu plus loin les recherches. $ dig +short srv01.client.netensia.net @80.118.196.36 195.160.189.184 = Hum ??? 184 ? De plus, le TTL pour cet enregistrement était anormalement élevé : 172800s (48h) alors que nous configurons la zone netensia.net avec un TTL de 86400s (24h) N'y aurait-il pas un glue record foireux ? Avez-vous fait une délégation ou est-ce que c'est la même zone pour tous le domaine netensia.net ? Avec des dig +trace on pourrait le voir je pense. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Outil de centralisation d'interventions
Le 11 août 2009 à 00:23, Pierre-Edouard Budan a écrit: Selon la taille du parc et pour un simplicité ajustable, je verrais bien un fichier Excel... Il pourrait vous faire très facilement cela en calculant automatiquement de superbes statistiques... Mais pas viable sur un réseau avec des milliers d'équipements... Une bdd mysql et un peu de code php(*) ? Ca marche en réseau, ca gère les accès concurents et c'est scalable. My 2 cents, (*) tout langage commençant par P: php, perl, python, ruby, ... -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
HS (was Re: [FRnOG] Outil de centralisation d'interventions)
Le 11 août 2009 à 10:12, Jérôme Nicolle a écrit: (*) tout langage commençant par P: php, perl, python, ruby, ... Contresens : PHP ne fait pas partie de cette liste, n'étant pas un langage puisque l'interpreteur est configurable. WTF ? C'était juste une boutade en fin de mail. La prochaine fois, je rajouterai un ;-) -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
fcoe (was Re: [FRnOG] NAS ?)
Le 10 juillet 2009 à 09:39, o...@ovh.net a écrit: moi à la maison j'ai un FCoE 20To et un nexus 5010. Et juste par curiosité, ca donne quoi le FCoE ? Aurais-tu des pointeurs vers une doc ? -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
habitudes ssh (was Re: [FRnOG] Faille OpenSSH?)
Le 09 juillet 2009 à 08:32, Thomas Mangin a écrit: Puisqu' on liste maintenant ce qui creve les yeux :) Pas tant que ça. Au risque de paraître rabat-joie: [...] - changer le port par default de SSH si on doit laisser ssh ouvert sur le monde $ grep ssh /etc/services ssh 22/tcp # SSH Remote Login Protocol Pas bien de changer le port de ssh. Oui, ca fait gagner quelques jours, lors d'une compromission, mais on perd en clarté. L'informatique est déjà assez complexe n'est-ce pas ? - utiliser .ssh./config pour ne pas a avoir a lister ce port de maniere explicite Voilà ;-) - utiliser un VPN pour travailler depuis le monde Là aussi, le VPN augmente peut être un peu la sécurité, mais à quel prix ? Difficile de se connecter rapidement le jour où tout est planté, dans un cyber-café, depuis un téléphone 3G, ... -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
annonces bgp specifiques (was Re: [FRnOG] Coupure electrique...)
Le 07 juillet 2009 à 02:21, Gregoire Villain a écrit: Après moi j'aime bien l'idée d'aller mettre des proxies dans les PoPs en province et de les annoncer localement en plus spécifique, [...] Ca rajoute des routes dans les tables de routage, pas terrible. L'anycast est beaucoup plus sexy à mon humble avis. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Apache DoS tool impacts ?
Le 22 juin 2009 à 13:10, jul a écrit: En réaction à la publication par rsnake d'un outil pour faire du DoS sur Apache en quelques paquets [1], je souhaitais savoir si des vérifications/mesures particulières ont été prises par les opérateurs/hébergeurs ? [...] [1] http://ha.ckers.org/blog/20090617/slowloris-http-dos/ Lu le lien un peu rapidement, donc désolé si j'ai pris des raccourcis. Then I randomly started thinking about the way Apache works and figured out that it may be possible to create something similar to a SYN flood, but in HTTP. KeepAlive Off devrait pas mal aider. Une bonne partie des utilisateurs d'apache utilise ce paramètre. Don't worry. Ce n'est pas une faille bien nouvelle. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Apache DoS tool impacts ?
Le 22 juin 2009 à 14:58, Jean-Francois Cousi a écrit: KeepAlive Off devrait pas mal aider. Une bonne partie des utilisateurs d'apache utilise ce paramètre. Don't worry. Ce n'est pas une faille bien nouvelle. KeepAlive Off ou On ne suffit pas à bloquer le flood. Effectivement. Mea-culpa pour cette erreur. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Parlons d'IPv6
Le 18 mars 2009 à 13:16, Radu-Adrian Feurdean a écrit: Par contre, ils (RIPE) geulent si tu est petit et tu as des resources (blocs d'IP, ASN) qui ne se trouvent pas dans la table globale. Déjà, si les gens faisaient des annonces aggrégées, ca simplifierait pas mal les choses. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] serveur flash linux
Quelqu'un a-t-il un retour d'expérience sur les différents serveurs flash sous linux ? On cherche à faire marcher un client en flash pour faire du jabber sur le web. Pour l'instant on s'est penché là dessus: www.flashcoms.com Voilà, si quelqu'un a un petit coup de pouce à donner, je lui en serait très reconnaissant ! PS: c'est surement hors charte, mais je suis sur que beaucoup d'autres dans la liste ont déjà rencontré le poblème. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] FAI refusant de fournir des adresses IP publiques
Le 08 octobre 2008 à 10:36, Francois Tigeot a écrit: Mes machines ne peuvent récupérer que des adresses RFC1918 en 192.168.x.y sur leurs interfaces réseau. Bien entendu, je n'ai pas IPv6 non plus. Trouver des IP ailleurs et faire des tunnels/vpn ? Mettre vos services Internet chez un hébergeur ? -- Xavier Nicollet http://nicollet.jeru.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
Le 28 août 2008 à 11:50, Pierre Gaxatte a écrit: Voilà donc mon problème, je cherche depuis quelques temps une solution pour mettre deux firewalls avec Netfilter en actif/actif et j'avoue que je m'y perd un peu (VRRP avec conntrack, CARP avec ucarp, keepalived, heartbeat,...). A part pour heartbeat que je connais déjà pas mal, j'ai du mal à réunir de la documentation et à peser le pour et le contre de tout ce qui peut se faire. Keepalived permet de recopier l'etat des connexions via un démon spécifique je crois. Sinon, comme mentionné, il est possible de configurer les routeurs en amont pour répartir le traffic entre les 2 firewalls, via le protocole de routage. Enfin, le mieux, à mon avis, c'est de désactiver le suivi de connexions, et de faire des acl basiques, qui rendent le problème beaucoup plus simple. Et là, ca sera peu cher et relativement bien sécurisé. -- Xavier Nicollet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Le 01 octobre 2007 à 19:47, John Fistack a écrit: - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? Oui, ca tiendrait bien plus que 2 Gb/s, et ca fait des économies pour les machines qui rendent vraiment le service. Si j'avais vraiment un firewall en coupure à mettre, je désactiverais le NAT et le connection tracking, qui sont gourmands en CPU et risquent de s'écrouler en cas de présence de paquets fragmentés et surtout du nombre de connexions. Sinon, pour l'histoire des bicore, il me semble que la table de nat et la table de connexion tracking sont unique dans l'os. Si on a 4 cpu, ils vont se battre pour accèder à la même ressource, et à mon avis, on risque de ne pas gagner énormément. -- Xavier Nicollet http://nicollet.jeru.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Co ntent Delivery Network (CDN) à la francaise
Le 30 novembre 2006 à 11:36, Philippe Bourcier a écrit: [CDN + bittorent] On pourrait imaginer une topo BitTorrent propre à chaque ISP en anycast pour que chaque région ou département favorise les échanges géographiquement proches... [...] Effectivement, dans le même ordre d'idées, pourquoi pas une sorte de proxy/cache pour les P2P chez les fournisseurs d'accès ? -- Xavier Nicollet http://nicollet.jeru.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/