> Guillaume Tournat a écrit :
> On parle de paquets avec TTL expiré, qui devraient donc être rejetés.
> Qu’il y ait du throttle la dessus, ça ne me choque pas.
Cà devrait être ma décision, pas la leur. C'est pas choquant, mais 1 packet par
seconde faut qu'ils arrêtent de fumer la moquette.
En
Michel
On peut en discuter plus à fond en privé si nécessaire. Personnellement en
10 ans de pfsense et des centaines d'installations je n'ai jamais mis en
place une production avec un mode bridge. Sur des installations de routage
à base d'ip public je désactive simplement le NAT.
En mode
On parle de paquets avec TTL expiré, qui devraient donc être rejetés. Qu’il y
ait du throttle la dessus, ça ne me choque pas.
Le 28 août 2018 à 19:57, Michel Py a écrit
:
>> Michael Bazy a écrit :
>> Heu, pour le coup, la limitation que Michel remonte sur Forti n'est pas là
>> pour bloquer
> Xavier Lemaire a écrit :
> Troldi en avance ?
Non, en retard ! Trolldi dernier j'ai décidé de sortir au lieu de troller :P
> Quand je lis ce genre de sujet je me souviens à quel point Je suis tranquille
> avec pfsense et en plus le coût est moindre.
Oui justement çà fait quelques jours que
>
> C'est pire que çà, c'est 1 packet par seconde avec un TTL expiré. Même un
> simple traceroute, 1 seul à là fois, çà ne passe pas.
>
> UN PACKET PAR SECONDE !
>
> C'est qui la bite qui a inventé çà ? on parle couramment de MILLIONS de
> packets par seconde. J'ai une boite de 600 personnes
> Michael Bazy a écrit :
> Heu, pour le coup, la limitation que Michel remonte sur Forti n'est pas là
> pour bloquer l'encapsulation
> d'autres protocoles dans ICMP, elle empêche "juste" à une machine de faire
> plus de 1 traceroute par seconde.
C'est pire que çà, c'est 1 packet par seconde
> David Ponzone
> Elle coûte combien l’appliance Asterisk, carte PRI incluse ? Moins de 700€ ?
Facilement. PC de récup (on va quand même pas mettre un Core i7 pour faire çà);
la carte est environ 100 € si on se contente d'un clone (marche très bien j'en
ai des tas en prod).
Michel.
Au
Sur Debian buster/sid, bind 9.11.4
cat /etc/bind/bind.keys
[...]
managed-keys {
# This key (19036) is to be phased out starting in 2017. It will
# remain in the root zone for some time after its successor key
# has been added. It will remain this file until it is removed
On Tue, Aug 28, 2018 at 04:08:36PM +0200,
Guillaume Tournat wrote
a message of 80 lines which said:
> Pour bind 9.8 et 9.9 (sur Debian), il n’y a pas d’options « rndc managed-keys
> »
>
> Il y a une version minimale de bind a avoir ?
Je ne me souviens plus de laquelle. Mais je cite l'ISC :
Bonjour Stephane
Pour bind 9.8 et 9.9 (sur Debian), il n’y a pas d’options « rndc managed-keys »
Il y a une version minimale de bind a avoir ?
> Le 28 août 2018 à 11:38, Stephane Bortzmeyer a écrit :
>
> Il n'y aura probablement aucun problème pour les résolveurs DNS
> sérieux mais il y a
Le 28 août 2018 à 15:16, Nico CARTRON a écrit :
> et avec PowerDNS Recursor, ça se fait avec rec_control bien entendu:
>
> # rec_control get-tas
> Configured Trust Anchors:
> .
> 19036 8 2
> 49aac11d7b6f6446702e54a1607371607a1a41855200fd2ce1cdde32f24e8fb5
> 20326
Hello,
On 28-Aug-2018 11:38 CEST, wrote:
> Il n'y aura probablement aucun problème pour les résolveurs DNS
> sérieux mais il y a toujours des gens pas sérieux. L'ICANN a documenté
> ce à quoi ils devront s'attendre. Vous vous souvenez d'Uma Thurman
> dans la pub pour une boisson ? Ici, voici
Ça depend de l’Appliance
Mais oui ça sera plus cher que 700€.
Les clients chez qui on a fait ça en on profité pour migrer aussi des Fax
papiers vers l’IPBX (fax2mail) (un grand nombre de fax) + connexion de nouveau
postes sur l’IPBX Asterisk (afin de ne pas payer des licences sur un PABX qui
Olivier,
Elle coûte combien l’appliance Asterisk, carte PRI incluse ?
Moins de 700€ ?
Au final, c’est une question de rapport qualité/prix. Patton, je comprends
qu’on aime pas la conf (aller à la formation aide, c’est clair), mais ça bouge
pas. Je vais pas mettre un truc 100€ moins cher, si ça
Il n'y aura probablement aucun problème pour les résolveurs DNS
sérieux mais il y a toujours des gens pas sérieux. L'ICANN a documenté
ce à quoi ils devront s'attendre. Vous vous souvenez d'Uma Thurman
dans la pub pour une boisson ? Ici, voici "what to expect":
Question con, mais pourquoi ne pas utiliser une petite Appliance asterisk qui
va te faire ça ?
Chez nous dans ce cas on met un IPBX Xorcom CXR2000 avec une carte 1 PRI, et
roulez jeunesse, souvent dans le meme cas que toi: a savoir migration d'un
matériel T2 vers du SIP "en douceur"
Heu, pour le coup, la limitation que Michel remonte sur Forti n'est pas là pour
bloquer l'encapsulation d'autres protocoles dans ICMP, elle empêche "juste" à
une machine de faire plus de 1 traceroute par seconde.
Sinon, ça donne quelque chose comme ça (exemple sur un tracert -d 8.8.8.8)
Tant
Sébastien, si tu as expérimenté les IAD OneAccess au début des années 2000
je comprends ton avis pourri sur leurs produits. C'était même peu dire^^
Mais pour avoir bossé aussi sur leurs versions après 2008, c'est devenu du
bon matos (meme les problemes d'alim qui crament ont disparu)
Quant aux
Le 27/08/2018 à 22:58, Sébastien Lesimple a écrit :
Le 27/08/2018 à 19:53, Michel Py a écrit :
Sébastien Lesimple a écrit :
Avec des 2911, ca va dépendre des WIC que tu met dedans et des DSP, ca utilise
vraiment beaucoup
de ressources les routeurs. A surveiller aussi avec les 2911, il y a
Hello Pascal,
> Dans l'absolu oui, le bloc du ping m'enerve aussi, mais le ping est un
> passe muraille que beaucoup négligent,
> entre les octets inutilisés qui permettent de faire un relai icmp tcp,
> ou le fait de pouvoir se faire ddos par du ping
Tout n'est pas a jeter (je parlais de l'ICMP,
J'ai oublié "le poc" :
http://www.mit.edu/afs.new/sipb/user/golem/tmp/ptunnel-0.61.orig/web/
Le 28/08/2018 à 08:59, VALOIS, Pascal a écrit :
Dans l'absolu oui, le bloc du ping m'enerve aussi, mais le ping est un
passe muraille que beaucoup négligent,
entre les octets inutilisés qui permettent
Dans l'absolu oui, le bloc du ping m'enerve aussi, mais le ping est un
passe muraille que beaucoup négligent,
entre les octets inutilisés qui permettent de faire un relai icmp tcp,
ou le fait de pouvoir se faire ddos par du ping
(plus facilement que par du tcp, vu qu'un paquet ping c'est tout
> Je ne suis pas d'accord avec toi. L'écosystème dépend pour beaucoup de ce
> qui se passe en interne chez les principaux. Sangoma et Digium ils se sont
> foutus sur la gueule depuis la nuit des temps, il va y avoir des
> règlements de comptes crades, je suis mieux dans mes pompes que d'un
>
Bonjour
Troldi en avance ?
Quand je lis ce genre de sujet je me souviens à quel point Je suis
tranquille avec pfsense et en plus le coût est moindre.
Le lun. 27 août 2018 à 20:29, Michel Py
a écrit :
> Quand on traverse un Fortigate, on ne peut pas faire de traceroute fiable,
> car il y a un
Le 27/08/2018 à 20:28, Michel Py a écrit :
Quand on traverse un Fortigate, on ne peut pas faire de traceroute fiable, car
il y a un rate-limit de 1 packet par seconde avec TTL expiré.
C'est documenté. Et en plus ils pensent qu'ils ont raison.
Tiens, on est déjà Vendredi ? :-D
A l'occasion,
25 matches
Mail list logo