[FRnOG] Re: [TECH] DNS Serveur

[Stephane Bortzmeyer]

On Tue, Jan 22, 2013 at 07:31:20PM +0100,
 Dominique DERRIER  wrote 
 a message of 100 lines which said:

> Il y a aussi Djbdns pour les fanatiques, qui est aussi une bonne
> alternative,

Non, une très mauvaise. Pas maintenu, ne met en œuvre que ce que djb a
choisi, et ne gère aucune des nouveautés apparues depuis dix ans.

> Un élément essentiel reste que la résolution de noms est super
> longue 100/300ms

Euh, sur la planète Mars, OK, mais sur un service normal, dix fois
moins.

Depuis une ligne ADSL chez le fournisseur qui filtre les pubs pour
notre bien :

% dig A www.linkbynet.com
...
;; Query time: 36 msec

Et, après, c'est gardé dans le cache. Si www.linkbynet.com rame
parfois, c'est parce que le TTL est extrêmement bas. On ne peut pas
avoir le beurre et l'argent du beurre.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Recherche IP

[Jérémy Martin]

La dernière demande que j'avais fait avait reçu une fin de non recevoir, 
le RIPE pensant que on allais écouler notre /22 LIR trop lentement. 
Résultat, il est presque intégralement routé en 1 mois et demi...


Je vais leur refaire un mail, ça ne coute rien ...

Cordialement,
Jérémy Martin

Le 22/01/2013 22:10, Christophe LUCAS a écrit :

Vu le nombre de /22 en train d'être annoncé sur les ix, je pense qu'un dossier 
sérieux  au ripe devrait le faire ... Je parle en connaissance de cause.

Amicalement,
--
Christophe

Envoyé de mon téléphone, veuillez excuser ma brièveté.

Le 22 janv. 2013 à 17:05, Jérémy Martin  a écrit :


Bon, apparemment, y en a qui font les autistes sur la liste :)

Donc en gros, on cherche un opérateur, broker, entreprise, particulier, geek ou 
homme tout simplement qui accepterais de nous donner / vendre :
- Des informations concernant quelqu'un qui vend des IPv4
- Les coordonnées d'un broker
- Le prix qu'il me propose pour un /21 ou un /22.

Je ne communiquerais évidemment pas de proposition de prix d'achat ici.
Merci d'éviter les troll, on est pas vendredi.

Cordialement,
Jérémy Martin

Le 22/01/2013 16:43, Jérémy Martin a écrit :

Bonjour,

Je lance une bouteille à la mer comme d'autres ont pu le faire ici...
Nous, petit hébergeur en croissance qui essaye de faire des choses dans
le Nord :

On cherche des IPv4...

On a un petit budget qu'on a établit selon les bruits de couloir qu'on a
pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21.

Merci pour vos retours, ou vos pistes !



---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Recherche IP

[Christophe LUCAS]

Vu le nombre de /22 en train d'être annoncé sur les ix, je pense qu'un dossier 
sérieux  au ripe devrait le faire ... Je parle en connaissance de cause.

Amicalement,
--
Christophe

Envoyé de mon téléphone, veuillez excuser ma brièveté.

Le 22 janv. 2013 à 17:05, Jérémy Martin  a écrit :

> Bon, apparemment, y en a qui font les autistes sur la liste :)
> 
> Donc en gros, on cherche un opérateur, broker, entreprise, particulier, geek 
> ou homme tout simplement qui accepterais de nous donner / vendre :
> - Des informations concernant quelqu'un qui vend des IPv4
> - Les coordonnées d'un broker
> - Le prix qu'il me propose pour un /21 ou un /22.
> 
> Je ne communiquerais évidemment pas de proposition de prix d'achat ici.
> Merci d'éviter les troll, on est pas vendredi.
> 
> Cordialement,
> Jérémy Martin
> 
> Le 22/01/2013 16:43, Jérémy Martin a écrit :
>> Bonjour,
>> 
>> Je lance une bouteille à la mer comme d'autres ont pu le faire ici...
>> Nous, petit hébergeur en croissance qui essaye de faire des choses dans
>> le Nord :
>> 
>> On cherche des IPv4...
>> 
>> On a un petit budget qu'on a établit selon les bruits de couloir qu'on a
>> pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21.
>> 
>> Merci pour vos retours, ou vos pistes !
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS Serveur

[Mikaël Poussard]

Le 22/01/2013 19:31, Dominique DERRIER a écrit :
> si c'est pour deux zones qui se battent... Un petit serveur avec un bind
> fonctionne parfaitement.
>>> il faut quand même suivre les mises à jour car il y a quand même
>>> quelques bugs.
> 4 serveurs pour +2000zones, pour l'instant pas de soucis. (cela peut
> fonctionner avec 2)

Bind fonctionne aussi parfaitement avec plus de 200.000 zones sur une vm
avec 512Mo de RAM...
(avec backend DLZ)

-- 
Mikaël


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Recherche IP

[Xavier Beaudouin]

Et... Hum...

Comment dirais-je y a pas des clients qui veulent passer en ipv6 ?

Autrement fais comme certains, ouvres une boite en afrique, inscris-toi sur 
l'AFRNIC et dis que tu as une maison mère en France...

Puis "hop" routé...

M'enfin j'dis ca, j'dis rien, c'est comme toute les ressources minières de 
l'Afrique: c'est pas eux qui en profite.

Xavier
Le 22 janv. 2013 à 17:31, Jérémy Martin  a écrit :

> Indeed.
> 
> Cordialement,
> Jérémy Martin
> 
> Le 22/01/2013 17:25, Simon Morvan a écrit :
>> Le 22/01/2013 17:21, Radu-Adrian Feurdean a écrit :
>>> On Tue, Jan 22, 2013, at 17:15, Simon Morvan wrote:
 Le RIPE a mis en place un marketplace pour cela, non ?
>>> Avantage : faut etre LIR pour ca (avec un /22 gratuit en bonus)
>>> Desavantage : il faut etre LIR pour ca (j'ai pu comprendre que certains
>>> ne veulement tout simplement pas).
>>> 
>>> Pour beneficier du "RIPE listing serivce" il faut en plus avoir la
>>> demande pre-approuvee par RIPE NCC. Rien de mechant pour ceux qui sont
>>> prets a faire les choses proprement.
>> J'imagine que Jeremy a déjà requesté son last /22 et qu'il est donc déjà
>> membre.
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Gunther Ozerito]

> Monte un FAI avec une box sans UPNP, c'est Madame Michu qui sera ravie
> de devoir faire le port forwarding à la main.

C'est pas parce qu'un protocole est utile qu'il est parfait, sans defaut et
bien implementé.
La preuve, on est oblige de le completer par PCP pour gerer le CGN et
autres. Basé sur du broadcast, donc non routable, pas d'authent,
affectation automatique des ports meme s'ils sont deja utilisés, pas
d'encryption ... Bref du tout bon quoi.
Meme Bonjour est mieux pensé, c'est dire.

Bon donc une nouvelle version d'UPnP serait pas du luxe.

> Et puis sinon, y a pas besoin d'UPNP pour faire un virus. Le port 80
> et 53 suffisent amplement. Tu proposes du DPI pour filtrer les
> requêtes ?
>

La meilleure des plateforme de DPI, les CGV de l'operateur. "Le FAI n'est
pas responsable de la securité des équipements connectés a la box" ==>
demerden sie et installez un antivirus, firewall et/ou mettez votre OS a
jour.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Jérémie Marguerie]

Le 22 janvier 2013 19:10, Gunther Ozerito  a écrit :
> De plus l'ouverture dynamique de ports via UPNP est jne excellente idee. Ca
> facilite le developpement de backdoor, les hackerz du monde entier vous
> remercie.

Monte un FAI avec une box sans UPNP, c'est Madame Michu qui sera ravie
de devoir faire le port forwarding à la main.
Pense à bien dimensionner ton support client, parce qu'il va morfler
dès les premiers jours.

N'oublions pas que la sécurité est un compromis et que ce que tu peux
mettre en entreprise et qui te coûte un bras, tu ne l'appliqueras pas
au particulier qui ne veut pas payer plus de 30€ / mois pour aller sur
youtube et facebook.

Et puis sinon, y a pas besoin d'UPNP pour faire un virus. Le port 80
et 53 suffisent amplement. Tu proposes du DPI pour filtrer les
requêtes ?

-- 
Jérémie MARGUERIE


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS Serveur

[Dominique DERRIER]

Hello,

Comme toujours, cela dépend du niveau de risques et de ce que l'on veut
faire.
si c'est pour deux zones qui se battent... Un petit serveur avec un bind
fonctionne parfaitement.
>> il faut quand même suivre les mises à jour car il y a quand même
>>quelques bugs.
4 serveurs pour +2000zones, pour l'instant pas de soucis. (cela peut
fonctionner avec 2)


Il y a aussi Djbdns pour les fanatiques, qui est aussi une bonne
alternative, même si le principe de la segmentation des processus est bien
(c'est trop confisant pour moi).

Je separerai les notions de resolver et serveur dns... Pour éviter
d'expliquer tous les deux jours le principe des Ttl, de délégation...
Comme cela mr tout le monde et au même niveau.

Un élément essentiel reste que la résolution de noms est super longue
100/300ms ... Une éternité pour un photon :)
(c'est ce qui te plomb l'accès au premier octet).

Si c'est pour tes clients > approche le serveur DNS le plus possible d'eux.
Si c'est pour des internautes > pareil ... Les techniques anycast sont
sympathiques quand tu as des serveurs partout dans le monde.
(si le besoin de temps de réponse sur un téléphone mobile au fin fond de
la japon est important > je suis en train de tester route53 du livre dans
les nuages)


Je profite du sujet DNS:
> Est-ce qu'il y a des personnes qui systématisent l'utilisation de DNSSEC
>?
> Est-ce que vous avez de bonnes pratiques / QuickWin pour la gestion des
>modifications/clefs/master-slave/...

Bonne fin de journée.

++
Dominique

Le 21/01/13 23:00, « Cyril HLAKKACHE »  a écrit :

>Solarus wrote > Je ne sais pas pourquoi tu veux ouvrir un DNS public mais
>c'est déconseillé. Un DNS doit être limité à quelques plages IP ou un AS,
>mais un DNS public n'est pas recommandé.
>
>Quelles BCP conseillent explicitement ça ? si c'est un primaire ou
>secondaire, je ne pense pas que le filtrage proposé fonctionne. Si c'est
>un cache alors, oui ... peut-être ... mais bon c'est un peu dommage tout
>de même. Peut-être aussi qu'il y a confusion entre notion de "public" et
>"service de cache DNS".
> 
>eduperron wrote> quiz de la redondance?
>Solarus wrote> Tu redondes le premier avec le deuxième, ou inversement.
>
>ça dépend aussi de quoi on parle. Pour un cache, le mieux est d'informer
>tes futurs clients des 2 ou 3 IP de ces serveurs et de les positionner
>sur des réseaux différents de préférence et dans la mesure du possible.
>S'il s'agit de DNS primaire alors le mieux est d'avoir 2 secondaires,
>l'un chez soit, l'autre chez un partenaire comme un FAI par exemple. Pour
>la gestion de zone reverse, le mieux est d'avoir un RIR en NS secondaire
>comme par exemple le RIPE avec "ns.ripe.net".
>
>eduperron wrote> Quelles sont les limites d'une solution open source
>comme Bind?
>Solaris wrote> Aucune.
>
>;) tu fais plaisir à Paul Vixie là ! :) disons qu'il faut au moins viser
>la dernière ré-écriture en V9. La version 9.9.2-P1 publiée donne un petit
>listing des updates :
>https://lists.isc.org/pipermail/bind-announce/2012-December/000823.html
>arrive la V10, mais mieux vaut laisser les autres tester avant ;)
>  
>duperron wrote > Quiz de l'ipv6?
>
>Cette page est intéressante aussi à parcourir :
>http://livre.g6.asso.fr/index.php/Recommandations_op%C3%A9rationnelles_pou
>r_l%27int%C3%A9gration_d%27IPv6
>
>@+°
>
>Cyril H.
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Guillaume Barrot]

> T'a pas du voir l'etat dans lequel se trouvent pas mal de machines de
> non-techniques.
>
> Tu decris exactement le raison pour lequel la securite *par* *device* a
> un sens. Dommage que c'est aussi difficilement gerable (le cas ou je ne
> l'ai pas dit sufisamment de fois).
>

+1.

La secu dans la majorite des boites FR, c'est une enorme blague.

Je te deploierai un SRX 5800 en entree de sites mais je laisse tous les PCs
users sous WinXP parce que l'appli metier lourde est pas compatible Seven
(parlons de MacOs ou Linux hein).
"Byod ? Mais comment je vais gerer ca dans mon Active Directory moi ?" Et
boum debut de l'intoxication commerciale des vendeurs de solution clef en
main, car c'est clair que les pki, x509, eap-tls, 802.1x, profils ldap et
extension radius c'est sorti hier. Non mais faudrait que l'equipe reseau et
systeme collaborent, alors que c'est tellement plus simple de bosser en
mode "demande d'ouverture de flux" sur un monstre a 3000 regles ...
Et alors le portail web ... "ah ben je comprends pas, jne sql injection,
alors que j'avais bien tout filtré sauf le tcp80 en entrée ... Oh ben flute
alors, mes données ...".

Je serais terroriste, plutot que de m'emmerder avec des explosifs, je
montrais une SSII dans la secu moi. Plus de degats, sans l'inconvenient de
l'attaque kamikaze...
La culture sur brulis, y a que ca de vrai !

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Gunther Ozerito]

Il parait evident que
Externe : le mal absolu truffe de virus, de malware, de failles et de
hacker pour les utiliser.
Interne : bien cache derriere son firewall, aucun risque.

Donc on s'ennuie a gerer les ACLs mais on conserve la possibilite de passer
le wifi en wep ou pire.

De plus l'ouverture dynamique de ports via UPNP est jne excellente idee. Ca
facilite le developpement de backdoor, les hackerz du monde entier vous
remercie.

De plus avec un message du type "avec mon gros firewall je suis bien a
l'abris, pas besoin de mettre a jour mon OS, mon antivirus (mon quoi ?) et
mon firewall personnel", on va pas responsabiliser les internautes.
"Mettre a jour Java ? Mais pourquoi donc ?".

De plus dans ce cas, la compromission d'un device dans la zone inside et
hop par rebond je prends la totale, du NAS au frigo magique connecté.
Ca me fait penser a ces serveurs Apache tous ports ouverts derriere un
firewall overkill, la ou une regle iptable locale serait plus efficace.

Aux fans de RFC sur la securite par l'obscurantisme, relisez la vieille BCP
38 / rfc 2827 qui date de 2000.
J'aime a penser qu'on peut la resumer par "avant de firewaller dans le
reseau, commencer par firewaller les sources et destinations potentielles
avec un filtrage local".

Moi je dis la box de Madame Michu faut qu'elle embarque un moteur IPS,
antivirus, antispam, et de l'analyse de code java et javascript a la volée.
Juste au cas ou.
Le 22 janv. 2013 15:52, "Alain Richard"  a
écrit :

> ou autrement dit, la sécurité globale d'un site repose sur la sécurité de
> l'ensemble des périphériques utilisant le réseau.
>
> A l'époque du BYOD, on n'est donc pas prêt de voir les responsables
> sécurité faire confiance à tous les machins IP (PC, Macs, imprimantes,
> photocopieurs, tablettes, téléphones, machines à café, ...) !!!
>
> Donc le déploiement d'un firewall en entreprise n'est pas une option,
> c'est obligatoire.
>
> Ensuite, si les box à la maison n'implémentent pas une sécurité minimum,
> je vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans
> l'entreprise...
>
> A+
>
> Le 22 janv. 2013 à 11:15, sxpert  a écrit :
>
> > la box n'est qu'un routeur. le firewalling est a faire dans les feuilles,
> > c'est à dire les machines connectées, ou dans un firewall intermédiaire
> > si vous préférez cette méthode.
>
> --
> Alain RICHARD 
> EQUATION SA 
> Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
> E-Liance, Opérateur des entreprises et collectivités,
> Liaisons Fibre optique, SDSL et ADSL 
>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Fabien Dedenon]

Le 16/01/2013 12:35, Radu-Adrian Feurdean a écrit :

J'avais active le v6 sur la partie contenu pour l'IPv6 day 2011, et Free
avait resorti comme la premiere destination (mieux que Renater, HE.net
ou autres). Le probleme etait qu'il n'y avait a l'epoque aucune route
"potable" qui ne sortait pas de la France. Et ca, malgre 4 transitaires
+ He.net (meilleure route, mais +16ms via Amsterdam).


16ms via ams  avec 100% des paquets, c'est pas mieux que 2 ms avec 98% ?

+


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Recherche IP

[Jérémy Martin]

Indeed.

Cordialement,
Jérémy Martin

Le 22/01/2013 17:25, Simon Morvan a écrit :

Le 22/01/2013 17:21, Radu-Adrian Feurdean a écrit :

On Tue, Jan 22, 2013, at 17:15, Simon Morvan wrote:

Le RIPE a mis en place un marketplace pour cela, non ?

Avantage : faut etre LIR pour ca (avec un /22 gratuit en bonus)
Desavantage : il faut etre LIR pour ca (j'ai pu comprendre que certains
ne veulement tout simplement pas).

Pour beneficier du "RIPE listing serivce" il faut en plus avoir la
demande pre-approuvee par RIPE NCC. Rien de mechant pour ceux qui sont
prets a faire les choses proprement.

J'imagine que Jeremy a déjà requesté son last /22 et qu'il est donc déjà
membre.


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Recherche IP

[Simon Morvan]

Le 22/01/2013 17:21, Radu-Adrian Feurdean a écrit :
> On Tue, Jan 22, 2013, at 17:15, Simon Morvan wrote:
>> Le RIPE a mis en place un marketplace pour cela, non ?
> Avantage : faut etre LIR pour ca (avec un /22 gratuit en bonus)
> Desavantage : il faut etre LIR pour ca (j'ai pu comprendre que certains
> ne veulement tout simplement pas).
>
> Pour beneficier du "RIPE listing serivce" il faut en plus avoir la
> demande pre-approuvee par RIPE NCC. Rien de mechant pour ceux qui sont
> prets a faire les choses proprement.
J'imagine que Jeremy a déjà requesté son last /22 et qu'il est donc déjà
membre.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Recherche IP

[Radu-Adrian Feurdean]

On Tue, Jan 22, 2013, at 17:15, Simon Morvan wrote:
> Le RIPE a mis en place un marketplace pour cela, non ?

Avantage : faut etre LIR pour ca (avec un /22 gratuit en bonus)
Desavantage : il faut etre LIR pour ca (j'ai pu comprendre que certains
ne veulement tout simplement pas).

Pour beneficier du "RIPE listing serivce" il faut en plus avoir la
demande pre-approuvee par RIPE NCC. Rien de mechant pour ceux qui sont
prets a faire les choses proprement.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Recherche IP

[Christophe Baegert]

Le 22/01/2013 17:05, Jérémy Martin a écrit :
> Donc en gros, on cherche un opérateur, broker, entreprise, particulier,
> geek ou homme tout simplement qui accepterais de nous donner / vendre :
> - Des informations concernant quelqu'un qui vend des IPv4

Moi je veux bien vendre des informations sur quelqu'un qui vend des IPv6
:-)

Cordialement,

Christophe


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Recherche IP

[Raphael Maunier]

Ah, merci … :)

J'osais pas dire à Jérémy RTFM :)

-- 
Raphael MAUNIER
Jaguar Network France

On Jan 22, 2013, at 5:15 PM, Simon Morvan  wrote:

> Le RIPE a mis en place un marketplace pour cela, non ?
> 
> Le 22/01/2013 17:05, Jérémy Martin a écrit :
>> Bon, apparemment, y en a qui font les autistes sur la liste :)
>> 
>> Donc en gros, on cherche un opérateur, broker, entreprise,
>> particulier, geek ou homme tout simplement qui accepterais de nous
>> donner / vendre :
>> - Des informations concernant quelqu'un qui vend des IPv4
>> - Les coordonnées d'un broker
>> - Le prix qu'il me propose pour un /21 ou un /22.
>> 
>> Je ne communiquerais évidemment pas de proposition de prix d'achat ici.
>> Merci d'éviter les troll, on est pas vendredi.
>> 
>> Cordialement,
>> Jérémy Martin
>> 
>> Le 22/01/2013 16:43, Jérémy Martin a écrit :
>>> Bonjour,
>>> 
>>> Je lance une bouteille à la mer comme d'autres ont pu le faire ici...
>>> Nous, petit hébergeur en croissance qui essaye de faire des choses dans
>>> le Nord :
>>> 
>>> On cherche des IPv4...
>>> 
>>> On a un petit budget qu'on a établit selon les bruits de couloir qu'on a
>>> pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21.
>>> 
>>> Merci pour vos retours, ou vos pistes !
>>> 
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Recherche IP

[Jérémy Martin]

0 proposition sur le marketsplace pour 40 demandes.

Cordialement,
Jérémy Martin

Le 22/01/2013 17:15, Simon Morvan a écrit :

Le RIPE a mis en place un marketplace pour cela, non ?

Le 22/01/2013 17:05, Jérémy Martin a écrit :

Bon, apparemment, y en a qui font les autistes sur la liste :)

Donc en gros, on cherche un opérateur, broker, entreprise,
particulier, geek ou homme tout simplement qui accepterais de nous
donner / vendre :
- Des informations concernant quelqu'un qui vend des IPv4
- Les coordonnées d'un broker
- Le prix qu'il me propose pour un /21 ou un /22.

Je ne communiquerais évidemment pas de proposition de prix d'achat ici.
Merci d'éviter les troll, on est pas vendredi.

Cordialement,
Jérémy Martin

Le 22/01/2013 16:43, Jérémy Martin a écrit :

Bonjour,

Je lance une bouteille à la mer comme d'autres ont pu le faire ici...
Nous, petit hébergeur en croissance qui essaye de faire des choses dans
le Nord :

On cherche des IPv4...

On a un petit budget qu'on a établit selon les bruits de couloir qu'on a
pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21.

Merci pour vos retours, ou vos pistes !




---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Recherche IP

[Simon Morvan]

Le RIPE a mis en place un marketplace pour cela, non ?

Le 22/01/2013 17:05, Jérémy Martin a écrit :
> Bon, apparemment, y en a qui font les autistes sur la liste :)
>
> Donc en gros, on cherche un opérateur, broker, entreprise,
> particulier, geek ou homme tout simplement qui accepterais de nous
> donner / vendre :
> - Des informations concernant quelqu'un qui vend des IPv4
> - Les coordonnées d'un broker
> - Le prix qu'il me propose pour un /21 ou un /22.
>
> Je ne communiquerais évidemment pas de proposition de prix d'achat ici.
> Merci d'éviter les troll, on est pas vendredi.
>
> Cordialement,
> Jérémy Martin
>
> Le 22/01/2013 16:43, Jérémy Martin a écrit :
>> Bonjour,
>>
>> Je lance une bouteille à la mer comme d'autres ont pu le faire ici...
>> Nous, petit hébergeur en croissance qui essaye de faire des choses dans
>> le Nord :
>>
>> On cherche des IPv4...
>>
>> On a un petit budget qu'on a établit selon les bruits de couloir qu'on a
>> pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21.
>>
>> Merci pour vos retours, ou vos pistes !
>>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Recherche IP

[Jérémy Martin]

Bon, apparemment, y en a qui font les autistes sur la liste :)

Donc en gros, on cherche un opérateur, broker, entreprise, particulier, 
geek ou homme tout simplement qui accepterais de nous donner / vendre :

- Des informations concernant quelqu'un qui vend des IPv4
- Les coordonnées d'un broker
- Le prix qu'il me propose pour un /21 ou un /22.

Je ne communiquerais évidemment pas de proposition de prix d'achat ici.
Merci d'éviter les troll, on est pas vendredi.

Cordialement,
Jérémy Martin

Le 22/01/2013 16:43, Jérémy Martin a écrit :

Bonjour,

Je lance une bouteille à la mer comme d'autres ont pu le faire ici...
Nous, petit hébergeur en croissance qui essaye de faire des choses dans
le Nord :

On cherche des IPv4...

On a un petit budget qu'on a établit selon les bruits de couloir qu'on a
pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21.

Merci pour vos retours, ou vos pistes !




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [BIZ] Recherche IP

[Stephane Bortzmeyer]

On Tue, Jan 22, 2013 at 04:43:14PM +0100,
 Jérémy Martin  wrote 
 a message of 25 lines which said:

> Merci pour vos retours, ou vos pistes !

On serait vendredi, je dirais qu'il faut utiliser IPv6, plutôt...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Recherche IP

[Jérémy Martin]

Bonjour,

Je lance une bouteille à la mer comme d'autres ont pu le faire ici...
Nous, petit hébergeur en croissance qui essaye de faire des choses dans 
le Nord :


On cherche des IPv4...

On a un petit budget qu'on a établit selon les bruits de couloir qu'on a 
pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21.


Merci pour vos retours, ou vos pistes !

--
Cordialement,
Jérémy Martin

__
FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle !
PHP + Mysql + Espace 2 à 20 Go


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Radu-Adrian Feurdean]

On Tue, Jan 22, 2013, at 15:51, Alain Richard wrote:
> ou autrement dit, la sécurité globale d'un site repose sur la sécurité de
> l'ensemble des périphériques utilisant le réseau.

Apart le fait d'etre ingerable dans la plupart des cas, c'est pas une
mauvaise idee

> A l'époque du BYOD, on n'est donc pas prêt de voir les responsables
> sécurité faire confiance à tous les machins IP (PC, Macs, imprimantes,
> photocopieurs, tablettes, téléphones, machines à café, ...) !!!

Your device, your security. Dans un cotexte BYOD c'est meme pas mal
comme concept. Mais ca reste ingerable/difficilement gerable.
Je sais pas toi, mais moi je n'accepte pas qu'on deploie de politiques
de securite a la con sur *mon* *device* (ma propriete perso). Ils
veulent de la secu, ils me filent leur device.

> Donc le déploiement d'un firewall en entreprise n'est pas une option, c'est 
> obligatoire.

Un firewall pour proteger entre eux des devices sur le meme subnet
"on-link" ?!?!?!?!?!?!?!?!

> Ensuite, si les box à la maison n'implémentent pas une sécurité minimum,
> je vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans 
> l'entreprise...

T'a pas du voir l'etat dans lequel se trouvent pas mal de machines de
non-techniques.

Tu decris exactement le raison pour lequel la securite *par* *device* a
un sens. Dommage que c'est aussi difficilement gerable (le cas ou je ne
l'ai pas dit sufisamment de fois).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Jérémie Marguerie]

Le 22 janvier 2013 15:38, Paul Rolland  a écrit :
> Groumpf... Piege par le jetlag, ce que permet l'interface, c'est du
> parametrage de Nat, pas des acls :(

Je ne suis pas expert en NAT et UPNP mais la sécurité qu'offre le NAT
est somme toute celle d'un firewall stateful avec des règles assez
basiques :

FORWARD accepté de *interne vers externe*.
FORWARD accepté de *externe vers externe* Si *connexion déjà établie*.

Donc en somme, si une box avec ipv6 met en place ce genre de règles de
firewall, l'utilisateur est aussi protégé que via du NAT (on bloque
les connexions entrantes non sollicitées, ça suffit à la plupart des
gens).
Il ne manque qu'une chose, la capacité d'ouvrir des ports pour que les
applications le nécessitant ne soient pas bloquées.

Les solutions existent en IPv4 (NAT-PMP, UPNP, ...). La box peut
paramètrer son firewall en suivant les demandent de "NAT traversal"
émisent via UPNP Internet Gateway Device Protocol.
Linux-IGD (http://linux-igd.sourceforge.net/) semble le faire via du
DNAT, rien n'empêche de changer les règles de firewall insérées.

Du coup :
 * IPv4 + NAT + UPNP
 * IPv6 + Firewall + UPNP

Et le tour est joué, non ?

On peut déjà faire du port forwarding sur le NAT des box avec
l'interface du FAI, rajouter une option "ipv4/ipv6" et de toucher soit
au NAT, soit d'ouvrir bêtement le port (vers une destination, un
masque, ou vers tout le sous-réseau) fait l'affaire.

J'ai loupé quelque chose ?

-- 
Jérémie MARGUERIE


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Alain Richard]

ou autrement dit, la sécurité globale d'un site repose sur la sécurité de 
l'ensemble des périphériques utilisant le réseau.

A l'époque du BYOD, on n'est donc pas prêt de voir les responsables sécurité 
faire confiance à tous les machins IP (PC, Macs, imprimantes, photocopieurs, 
tablettes, téléphones, machines à café, ...) !!!

Donc le déploiement d'un firewall en entreprise n'est pas une option, c'est 
obligatoire.

Ensuite, si les box à la maison n'implémentent pas une sécurité minimum, je 
vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans l'entreprise...

A+

Le 22 janv. 2013 à 11:15, sxpert  a écrit :

> la box n'est qu'un routeur. le firewalling est a faire dans les feuilles,
> c'est à dire les machines connectées, ou dans un firewall intermédiaire
> si vous préférez cette méthode.

-- 
Alain RICHARD 
EQUATION SA 
Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
E-Liance, Opérateur des entreprises et collectivités,
Liaisons Fibre optique, SDSL et ADSL 




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Fibre Noir vers Centre France Telecom ?

[Olivier CALVANO]

Oui je sais mais vous vous en doutez, ce n'est pas l'accès a la
prestation mais le prix de l'accès
a celle ci.




Le 22 janvier 2013 14:59, Sebastien Lesimple  a écrit :
> Bonjour,
>
> Si Colo n'est pas possible il y a livraison sur POP opérateur pour CEX, NRO
> pour collecte DSL résidentiel etc...
> Regardes l'ODR correspondante au produit que tu étudies c'est marqué en
> toutes lettre et avec les couts aussi.
>
> Seb.
>
> Le 22/01/2013 14:02, Olivier CALVANO a écrit :
>>
>> Bonjour,
>>
>> Une petite question pour ceux qui ont déjà buché le sujet ;=)
>>
>> France Telecom propose dans son catalogue de service la collecte sur site
>> colocalisé. Je connais les règles pour être hébergé, pas très
>> concevable pour nous.
>>
>> Y a t'il un autre méthode ? Quelqu'un a déjà collecté via une infra
>> fibre noire ?
>> Si oui qui a de la fibre Noire sur Paris et déjà présent dans un site
>> (pour éviter les formalités
>> de pénétration du bâtiment)
>>
>> Olivier.
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Alain Richard]

Il n'est pas question ici de débattre si le NAT est ou n'est pas une 
sécurisation.

Lisez la RFC6092 : "Recommended Simple Security Capabilities in Customer 
Premises Equipment (CPE) for Providing Residential IPv6 Internet Service"

et arrêter d'incendier le monde avec la position extrême disant qu'IPv6 ne doit 
faire que du routage transparent, c'est une des raisons principales qui a 
freiné l'adoption d'IPv6.

A+


Merci de lire la RFC6092 
Le 22 janv. 2013 à 10:39, Frédéric GANDER  a écrit :

> euh car le nat c'est de la securite ?
> et bientot on va me dire qu'un firewall regle les pb de securite ?
> 
> nb : un des premier but d'ipv6 c'était de garantir une connectivite end to 
> end sans passer par des machines qui triturent les paquets
> et la tout le monde veux remettre du statefull firewall ? bon ba on va faire 
> du nat alors ;)

-- 
Alain RICHARD 
EQUATION SA 
Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
E-Liance, Opérateur des entreprises et collectivités,
Liaisons Fibre optique, SDSL et ADSL 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[ポール・ロラン]

Bonjour,

On Tue, 22 Jan 2013 15:24:51 +0100
Paul Rolland (ポール・ロラン)  wrote:

> Bonjour,
> 
> On Tue, 22 Jan 2013 11:15:21 +0100
> sxpert  wrote:
> 
> > la box n'est qu'un routeur. le firewalling est a faire dans les 
> > feuilles,
> 
> Ca n'empeche pas un routeur d'avoir des ACLs, d'ailleurs, surprise, Free
> propose de configurer des filtres sur IPv4.
Groumpf... Piege par le jetlag, ce que permet l'interface, c'est du
parametrage de Nat, pas des acls :(
 
> Et oui, rien de rien sur IPv6, c'est vraiment dommage... ca ne devrait
> quand meme pas etre si complique que ca...
Ca, par contre, ca reste vrai :)

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[ポール・ロラン]

Bonjour,

On Tue, 22 Jan 2013 11:15:21 +0100
sxpert  wrote:

> la box n'est qu'un routeur. le firewalling est a faire dans les 
> feuilles,

Ca n'empeche pas un routeur d'avoir des ACLs, d'ailleurs, surprise, Free
propose de configurer des filtres sur IPv4.

Et oui, rien de rien sur IPv6, c'est vraiment dommage... ca ne devrait
quand meme pas etre si complique que ca...

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Appel à propositions JRES 2013

[Pierre DAVID]

Bonjour,

cette conférence peut intéresser certains d'entre-vous, par exemple
pour présenter un sujet d'intérêt général sur les réseaux (i.e. non
spécifique à la communauté enseigement/recherche), soit pour participer
au stand des logiciels libres, soit .


Pierre David

P.S.: les inscriptions ne sont pas encore ouvertes, le captcha n'a pas
encore été choisi ;-).

- Forwarded message from Francois Soler  -

From: Francois Soler 
To: annon...@jres.org
Subject: Appel à propositions JRES 2013
Date: Mon, 21 Jan 2013 09:25:20 +0100

Bonjour,

*Appel à Propositions *

La *10ème* édition des Journées RESeaux (JRES) aura lieudu *10 au 13
décembre 2013* au Corum de Montpellier.

Les JRES ont lieu tous les deux ans et s'adressent à l'ensemble de
lacommunauté informatique de l'enseignement et de la recherche :
architectes et administrateurs systèmes et réseaux, responsables
deprojets, directeurs des systèmes d'information, développeurs et
utilisateurs. Elles permettent de montrer et de valoriser
l'activitéimportante de notre communauté et sa contribution à l'essor
et au déploiement des nouvelles technologies pour l'information et
lacommunication en constante évolution.

Vous avez déployé des architectures et des technologies innovantes,
développé de nouveaux services ou participé à des projets d'évolution
et d'amélioration des pratiques et des organisations qui ont contribué
à fiabiliser, sécuriser et moderniser l'outil informatique pour
développer ses usages dans votre institution ?

Alors, n'hésitez pas à présenter votre réalisation, en proposant une
contribution à ces journées qui sont une vitrine majeure sur
l'activité, le dynamisme et les talents de notre communauté.

Vous êtes invités à soumettre ces propositions en vous appuyant surles
thèmes de référence des JRES  selon l'un
des formats suivants :
 * présentations longues (35 min) ;
 * présentations courtes (10 min) ;
 * posters ;
 * tables rondes.

Avec cette édition, le comité de programme des JRES propose un
nouveautype de contribution sous la forme de "lightning talks" :
présentations informelles très courtes de 5 minutes sur des
sujetsdivers. Ces contributions ne sont pas soumises au même processus
desélection standard.

Les JRES mettent également en place un stand à disposition des
associations dans le domaine du logiciel libre, qu'il s'agisse des
logiciels libres en général ou d'unlogiciel en particulier. N'hésitez
pas à communiquer cette information aux associations dont vous avez
connaissance.

La langue de la conférence est le français. Néanmoins, les
articlesrédigés et/ou présentés en anglais sont également acceptés.

Toutes les informations sont disponibles sur le site de la
conférence. Les personnes souhaitant soumettre
une proposition et les associations souhaitant profiter d'un standsont
invitées à prendre connaissance des instructions
.

Les propositions doivent être déposées au plus tard le 8 mars 2013.

En espérant recevoir d'abondantes propositions nous permettant
d'élaborer un programme de qualité qui vous donnera envie de venir
nombreux à cette nouvelle édition.

-- 
Pour le Comité de Programme JRES 2013
François Soler et Pierre David
preside...@jres.org

- End forwarded message -


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Fibre Noir vers Centre France Telecom ?

[Sebastien Lesimple]

Bonjour,

Si Colo n'est pas possible il y a livraison sur POP opérateur pour CEX, 
NRO pour collecte DSL résidentiel etc...
Regardes l'ODR correspondante au produit que tu étudies c'est marqué en 
toutes lettre et avec les couts aussi.


Seb.

Le 22/01/2013 14:02, Olivier CALVANO a écrit :

Bonjour,

Une petite question pour ceux qui ont déjà buché le sujet ;=)

France Telecom propose dans son catalogue de service la collecte sur site
colocalisé. Je connais les règles pour être hébergé, pas très
concevable pour nous.

Y a t'il un autre méthode ? Quelqu'un a déjà collecté via une infra
fibre noire ?
Si oui qui a de la fibre Noire sur Paris et déjà présent dans un site
(pour éviter les formalités
de pénétration du bâtiment)

Olivier.


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Fibre Noir vers Centre France Telecom ?

[Olivier CALVANO]

Bonjour,

Une petite question pour ceux qui ont déjà buché le sujet ;=)

France Telecom propose dans son catalogue de service la collecte sur site
colocalisé. Je connais les règles pour être hébergé, pas très
concevable pour nous.

Y a t'il un autre méthode ? Quelqu'un a déjà collecté via une infra
fibre noire ?
Si oui qui a de la fibre Noire sur Paris et déjà présent dans un site
(pour éviter les formalités
de pénétration du bâtiment)

Olivier.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Frédéric GANDER]

- Mail original -
> De: "Baptiste Malguy" 
> À: frnog@frnog.org
> Envoyé: Mardi 22 Janvier 2013 11:13:37
> Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
> 
> Je n'ai pas vu le mot "NAT" dans le message d'Alain, en dehors du
> sujet...

pourtant ce c'est que ca voulait dire

"je désactive l'ipv6 car j'ai une ip publique non firewaller sur internet alors 
que en ipv4 avec le nat actif par defaut je suis proteger"

> 
> 
> Le 22/01/13 10:39, Frédéric GANDER a écrit :
> > euh car le nat c'est de la securite ?
> > et bientot on va me dire qu'un firewall regle les pb de securite ?
> > 
> > nb : un des premier but d'ipv6 c'était de garantir une connectivite
> > end to end sans passer par des machines qui triturent les paquets
> > et la tout le monde veux remettre du statefull firewall ? bon ba on
> > va faire du nat alors ;)
> 
> 
> 
> --
> Baptiste MALGUY
> NEW PGP fingerprint: 70A9 37BB 59F3 481D 190B  3B71 96D8 6328 0B2F
> 0EA1
> OLD PGP fingerprint: 49B0 4F6E 4AA8 B149 B2DF  9267 0F65 6C1C C473
> 6EC2
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Solarus]

On Tue, 22 Jan 2013 13:10:26 +0100, Pascal Rullier 
wrote:

> c'est pas un peu gros un /56 par abonné ?
> Juste un /120 suffirait pour son usage domestique.
> Faudrait pas gâcher la ressource ipv6 et se plaindre dans quelques années
> qu'il y a plus car plein de blocs ont été attribués mais ne sont pas utilisés
> à bon et scient (juste savoir tirer les conclusions de l'usage de l'ipv4)
> Quand je vois du /64 juste pour une liaison ptp ... rah...

Faire du /120 sur IPv6 nécessite de faire de l'adressage manuel ou du
DHCPv6, mais la plupart des équipements fonctionnent avec de
l'autoconfiguration utilisant sur l'adresse MAC.
Compte tenu de la taille de l'adresse MAC, le préfixe le plus grand
nécessaire à ces méthodes est un /64.

Il y a également un intérêt à pouvoir découper plusieurs /64 dans un
préfixe plus petit (/48,/56) pour pouvoir définir plusieurs zones
d'autoconfiguration.

Quand les plutoniens n'auront plus assez d'IPv6 pour se connecter à
InterPlaNet , on pourra se préoccuper de la pénurie d'IPv6. ;)

-- 
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Pascal Rullier]

Le 22 janvier 2013 12:21, Frederic Gabut  a écrit :
>
> Le 22 janv. 2013 à 12:02, Frederic Gabut  a écrit :
>
>>
>> Le 22 janv. 2013 à 11:28, Solarus  a écrit :
>>
>>> On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl 
>>> wrote:
>>>
 Le choix de Free de se restreindre à un /64 par abonné complique les
 choses si on veut mettre un FW intermédiaire tout en profitant de
 l'auto-configuration.
>>> Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4
>>> fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la
>>> solution de Free).
>>
>> 6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. 
>> Facile quoi :)
>
> Bon on peut faire plusieurs zones en imaginant des splits aux /16 v4 a grands 
> coups d'usine a gaz pour retomber sur du /56 a partir d'un /32 avec 128 /16 
> supportés. Bref !
>

c'est pas un peu gros un /56 par abonné ?
Juste un /120 suffirait pour son usage domestique.
Faudrait pas gâcher la ressource ipv6 et se plaindre dans quelques années
qu'il y a plus car plein de blocs ont été attribués mais ne sont pas utilisés
à bon et scient (juste savoir tirer les conclusions de l'usage de l'ipv4)
Quand je vois du /64 juste pour une liaison ptp ... rah...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Frederic Gabut]

Le 22 janv. 2013 à 12:02, Frederic Gabut  a écrit :

> 
> Le 22 janv. 2013 à 11:28, Solarus  a écrit :
> 
>> On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl 
>> wrote:
>> 
>>> Le choix de Free de se restreindre à un /64 par abonné complique les
>>> choses si on veut mettre un FW intermédiaire tout en profitant de
>>> l'auto-configuration.
>> Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4
>> fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la
>> solution de Free).
> 
> 6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. 
> Facile quoi :)

Bon on peut faire plusieurs zones en imaginant des splits aux /16 v4 a grands 
coups d'usine a gaz pour retomber sur du /56 a partir d'un /32 avec 128 /16 
supportés. Bref ! 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Guillaume Barrot]

>
> si on considère que la box ne doit rien faire, à la limite on revient au
> bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc
> qui fait dhcp + nat44 + RAs derrière.
>

Je suis pour. C'est d'ailleurs ce que je demandais dans un autre thread :
la possibilite de mettre son propre equipement a la place de la box.
Bon on peut le faire en mettant son netgear/etc derriere la box en bridge,
ca revient a ca, sauf qu'on depend de la box pour la gestion de la ligne
(qos, marge de bruit etc. En meme temps c'est exactement la volonte des
FAI).

Rappelons que la box est dans un contexte grand public ou il est rare de
trouver des vlans et/ou des dmz puisqu'il est "interdit" par les operateurs
d'heberger des serveurs. Du coup plusieurs /64 ... Comment dire...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Frederic Gabut]

Le 22 janv. 2013 à 11:28, Solarus  a écrit :

> On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl 
> wrote:
> 
>> Le choix de Free de se restreindre à un /64 par abonné complique les
>> choses si on veut mettre un FW intermédiaire tout en profitant de
>> l'auto-configuration.
> Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4
> fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la
> solution de Free).

6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. 
Facile quoi :)

-- 
Frederic

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Frederic Dhieux]

On ne se débarrassera donc jamais de la rustine NAT parce que les gens
ne se fatigueront jamais à faire les choses normalement et proprement et
auront toujours en tête que "sécu simple" = "NAT" :(

"monde de merde"

Frederic

Le 1/22/13 11:21 AM, Guillaume Leclanche a écrit :
> firewall intermédiaire qui peut très bien être dans la box (configurable)
>
> si on considère que la box ne doit rien faire, à la limite on revient au
> bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc
> qui fait dhcp + nat44 + RAs derrière.
>
> Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le
> veuille ou non un firewall stateful qui deny toutes les connections
> entrantes qui n'ont pas de state ou de règle pour laisser passer.
>
>
> Le 22 janvier 2013 11:15, sxpert  a écrit :
>
>> On 2013-01-22 10:33, Alain Richard wrote:
>>
>>> Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à
>>> l'utilisateur de faire du firewalling ou de la sécurité de base
>>> (RFC6092).
>>>
>>> Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand
>>> nombre d'utilisateurs conscients des enjeux de sécurité désactivent
>>> donc l'IPv6 de la freebox alors même qu'ils seraient content
>>> d'utiliser IPv6...
>>>
>>> Cordialement,
>>>
>>>
>> la box n'est qu'un routeur. le firewalling est a faire dans les feuilles,
>> c'est à dire les machines connectées, ou dans un firewall intermédiaire
>> si vous préférez cette méthode.
>>
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[sxpert]

On 2013-01-22 11:21, Guillaume Leclanche wrote:
firewall intermédiaire qui peut très bien être dans la box 
(configurable)


si on considère que la box ne doit rien faire, à la limite on revient 
au
bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un 
truc

qui fait dhcp + nat44 + RAs derrière.

Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le
veuille ou non un firewall stateful qui deny toutes les connections
entrantes qui n'ont pas de state ou de règle pour laisser passer.


si tu parles de la bidouille utilisée partout pour multiplier les ipv4 
non

disponibles en quantité suffisante, ce n'est pas du NAT, mais du PAT.

de nos jours, vu le fonctionnement des malwares, qui attaquent de 
l'intérieur
en utilisant diverses failles java, flash, navigateur ou humaines 
(cliquez sur
le document machin dans le mail), ca n'amene absolument aucune 
sécurité.


le NAT lui meme, c'est a dire qu'on fait correspondre des addresses 1 
pour 1
n'amene pas plus de sécurité. au mieux, il ne sert qu'a obscurcir 
l'architecture

interne


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Solarus]

On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl 
wrote:

> Le choix de Free de se restreindre à un /64 par abonné complique les
> choses si on veut mettre un FW intermédiaire tout en profitant de
> l'auto-configuration.
> 
Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4
fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la
solution de Free).

-- 
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Samuel Thibault]

Rémi Bouhl, le Tue 22 Jan 2013 11:19:22 +0100, a écrit :
> Le 22/01/13, sxpert a écrit :
> 
> > la box n'est qu'un routeur. le firewalling est a faire dans les
> > feuilles,
> > c'est à dire les machines connectées, ou dans un firewall intermédiaire
> > si vous préférez cette méthode.
> 
> Le choix de Free de se restreindre à un /64 par abonné complique les
> choses si on veut mettre un FW intermédiaire tout en profitant de
> l'auto-configuration.

J'ai cru lire qu'ils avaient étendu à un /60 (ou du moins commencé à le
faire en 2008).

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[sxpert]

On 2013-01-22 11:19, Rémi Bouhl wrote:

Le 22/01/13, sxpert a écrit :


la box n'est qu'un routeur. le firewalling est a faire dans les
feuilles,
c'est à dire les machines connectées, ou dans un firewall 
intermédiaire

si vous préférez cette méthode.


Le choix de Free de se restreindre à un /64 par abonné complique les
choses si on veut mettre un FW intermédiaire tout en profitant de
l'auto-configuration.


si tu avais suivi, t'aurais vu que maxime sait qu'il manque un bout de
GUI pour permettre de router les 7 autres blocs affectés a 
l'utilisateur



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Guillaume Leclanche]

firewall intermédiaire qui peut très bien être dans la box (configurable)

si on considère que la box ne doit rien faire, à la limite on revient au
bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc
qui fait dhcp + nat44 + RAs derrière.

Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le
veuille ou non un firewall stateful qui deny toutes les connections
entrantes qui n'ont pas de state ou de règle pour laisser passer.


Le 22 janvier 2013 11:15, sxpert  a écrit :

> On 2013-01-22 10:33, Alain Richard wrote:
>
>> Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à
>> l'utilisateur de faire du firewalling ou de la sécurité de base
>> (RFC6092).
>>
>> Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand
>> nombre d'utilisateurs conscients des enjeux de sécurité désactivent
>> donc l'IPv6 de la freebox alors même qu'ils seraient content
>> d'utiliser IPv6...
>>
>> Cordialement,
>>
>>
> la box n'est qu'un routeur. le firewalling est a faire dans les feuilles,
> c'est à dire les machines connectées, ou dans un firewall intermédiaire
> si vous préférez cette méthode.
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Rémi Bouhl]

Le 22/01/13, sxpert a écrit :

> la box n'est qu'un routeur. le firewalling est a faire dans les
> feuilles,
> c'est à dire les machines connectées, ou dans un firewall intermédiaire
> si vous préférez cette méthode.

Le choix de Free de se restreindre à un /64 par abonné complique les
choses si on veut mettre un FW intermédiaire tout en profitant de
l'auto-configuration.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[sxpert]

On 2013-01-22 10:33, Alain Richard wrote:

Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à
l'utilisateur de faire du firewalling ou de la sécurité de base
(RFC6092).

Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand
nombre d'utilisateurs conscients des enjeux de sécurité désactivent
donc l'IPv6 de la freebox alors même qu'ils seraient content
d'utiliser IPv6...

Cordialement,



la box n'est qu'un routeur. le firewalling est a faire dans les 
feuilles,

c'est à dire les machines connectées, ou dans un firewall intermédiaire
si vous préférez cette méthode.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Baptiste Malguy]

Je n'ai pas vu le mot "NAT" dans le message d'Alain, en dehors du sujet...


Le 22/01/13 10:39, Frédéric GANDER a écrit :
> euh car le nat c'est de la securite ?
> et bientot on va me dire qu'un firewall regle les pb de securite ?
> 
> nb : un des premier but d'ipv6 c'était de garantir une connectivite end to 
> end sans passer par des machines qui triturent les paquets
> et la tout le monde veux remettre du statefull firewall ? bon ba on va faire 
> du nat alors ;)



-- 
Baptiste MALGUY
NEW PGP fingerprint: 70A9 37BB 59F3 481D 190B  3B71 96D8 6328 0B2F 0EA1
OLD PGP fingerprint: 49B0 4F6E 4AA8 B149 B2DF  9267 0F65 6C1C C473 6EC2



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Frédéric GANDER]

euh car le nat c'est de la securite ?
et bientot on va me dire qu'un firewall regle les pb de securite ?

nb : un des premier but d'ipv6 c'était de garantir une connectivite end to end 
sans passer par des machines qui triturent les paquets
et la tout le monde veux remettre du statefull firewall ? bon ba on va faire du 
nat alors ;)


- Mail original -
> De: "Alain Richard" 
> À: "Frédéric GANDER" 
> Cc: "Liste FRnoG" 
> Envoyé: Mardi 22 Janvier 2013 10:33:51
> Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
> 
> Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à
> l'utilisateur de faire du firewalling ou de la sécurité de base (
> RFC6092).
> 
> 
> Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand
> nombre d'utilisateurs conscients des enjeux de sécurité désactivent
> donc l'IPv6 de la freebox alors même qu'ils seraient content
> d'utiliser IPv6...
> 
> 
> Cordialement,
> 
> 
> 
> 
> 
> 
> 
> Le 15 janv. 2013 à 17:35, Frédéric GANDER < fgan...@corp.free.fr > a
> écrit :
> 
> 
> ipv6 activé par défaut sur toute les box v6 depuis janvier 2011
> 
> d'ailleurs c'est pas une atteinte à la net neutralité ca ?
> de forcer l'utilisateur un choix de protocol pour surfer sur
> l'int[er|ra]net ?
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 
> 
> --
> 
> 
> Alain RICHARD < mailto:alain.rich...@equation.fr >
> EQUATION SA < http://www.equation.fr/ >
> Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
> E-Liance, Opérateur des entreprises et collectivités,
> Liaisons Fibre optique, SDSL et ADSL < http://www.e-liance.fr >
> 
> 
> 
> 
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

[Alain Richard]

Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à 
l'utilisateur de faire du firewalling ou de la sécurité de base (RFC6092).

Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand nombre 
d'utilisateurs conscients des enjeux de sécurité désactivent donc l'IPv6 de la 
freebox alors même qu'ils seraient content d'utiliser IPv6...

Cordialement,



Le 15 janv. 2013 à 17:35, Frédéric GANDER  a écrit :

> ipv6 activé par défaut sur toute les box v6 depuis janvier 2011 
> 
> d'ailleurs c'est pas une atteinte à la net neutralité ca ?
> de forcer l'utilisateur un choix de protocol pour surfer sur l'int[er|ra]net ?
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

-- 
Alain RICHARD 
EQUATION SA 
Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
E-Liance, Opérateur des entreprises et collectivités,
Liaisons Fibre optique, SDSL et ADSL 




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] DNS Serveur

[Clement Cavadore]

On 01/22/2013 09:34 AM, Stephane Bortzmeyer wrote:
> Serveur faisant autorité : BIND et NSD (Knot et Yadifa ne me semblent
> pas encore tout à fait secs et PowerDNS me fait peur).

Je confirme: nsd est vraiment puissant pour de l'autoritaire ;-)

Merci encore aux gens de l'AFNIC pour le conseil pour l'AS112, ca a
changé la donne au niveau de la charge infligée à la machine (quoique le
setup est tout de même très spécifique).

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] DNS Serveur

[Stephane Bortzmeyer]

On Mon, Jan 21, 2013 at 11:00:30PM +0100,
 Cyril HLAKKACHE  wrote 
 a message of 41 lines which said:

> Quelles BCP conseillent explicitement ça ?

RFC 5358: Preventing Use of Recursive Nameservers in Reflector Attacks


Voir aussi 

Si on le fait quand même, il faut *impérativement* limiter le trafic

sinon, cinq minutes après la mise en route, on est utilisé pour des
attaques par réflexion contre des sites de jeux en Chine.

> Pour un cache, le mieux est d'informer tes futurs clients des 2 ou 3
> IP de ces serveurs

Le problème est que la bascule d'un résolveur à un autre est bien trop
lente pour la plupart des clients (5 secondes par défaut sur un OS
Linux typique comme Debian). Les clients finaux ne mémorisent
typiquement pas la panne du premier listé et continuent à
reessayer. Donc, question redondance, ce n'est pas extra.

Je crains qu'on ne puisse pas échapper à VRRP ou équivalent.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] DNS Serveur

[Stephane Bortzmeyer]

On Mon, Jan 21, 2013 at 07:34:12PM +0100,
 eduper...@franceunicom.fr  wrote 
 a message of 20 lines which said:

> Je suis sur un projet d'implémentation de serveur DNS public 

Vues les réactions (justifiées), il faudrait préciser. Serveur faisant
autorité ou bien résolveur ? Ce sont deux choses complètement
différentes (le terme de « serveur DNS » est bien trop vague).

> Quelles solutions utilisez-vous?

Serveur faisant autorité : BIND et NSD (Knot et Yadifa ne me semblent
pas encore tout à fait secs et PowerDNS me fait peur).

Résolveur : Unbound (je dois avoir encore des BIND quelque part)

> Quiz de la redondance?

Pour des serveurs faisant autorité, elle est bâtie dans le DNS depuis
le début, donc pas grand'chose à dire. Il faut avoir plusieurs
serveurs, sans SPOF (les mettre tous dans le même rack est donc une
mauvaise idée).

Pour des résolveurs, c'est plus compliqué, mais Pierre David avait
fait un bon exposé à JRES sur la technique utilisée par le réseau
Osiris => Ask Not-Evil Google

> Quelles sont les limites d'une solution open source comme Bind?

BIND a des défauts (comme ses concurrents) mais je ne vois pas le
rapport avec le fait que ce soit du logiciel libre.

Par contre, ce que je ne comprends pas, c'est pourquoi tout le monde
installe BIND sans même réflechir : il en existe, des serveurs DNS !

> Quiz de l'ipv6?

Ça marche. 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] FRNOG 20.0

[Philippe Bourcier]

Bonjour,

N'oubliez pas, la réunion FRNOG se déroulera ce vendredi.

Si vous vous êtes inscrit mais que vous ne pouvez pas venir, merci de 
me contacter (ou d'utiliser le lien prévu à cet effet dans l'email de 
confirmation d'inscription), j'essayerais de redistribuer les places aux 
personnes ayant oublié de s'inscrire qui m'auraient contacté.


Le programme (susceptible de petites updates) est disponible ici :
http://www.frnog.org/?page=frnog20


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : http://zsysctl.blogspot.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/