Re: [FRnOG] Re: [MISC] Le jour où internet a changé
Filtrer ICMP ne fait pourtant plus partie depuis longtemps des directives standard en matière de sécurité. C'est plutôt d'arrêter de sécuriser par l'obscurité qu'il faudra convaincre les RSSI. Pour ça t'auras le droit à une carmagnole. On Sat, 2012-06-09 at 20:24 +0200, Raphaël Durand wrote: > Le 09/06/2012 17:30, Stephane Bortzmeyer a écrit : > > On Sat, Jun 09, 2012 at 04:07:06PM +0200, > > Julien Richer wrote > > a message of 35 lines which said: > > > >> Pour la qualification du natif, qui est d'accord pour prendre le MTU > >> comme mesure ? > > Moi. Car c'est ce qui est important du point de vue *pratique* (sites > > bogués qui filtrent l'ICMP packet-too-big, etc)... Le reste est plutôt > > de l'esthétique. > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > Pour celà il faut convaincre les "experts en sécurité" de ne pas filtrer ICMP > (le ping c'est le ML ça tue des serveurs) Si vous y arrivez, je veux bien > danser la carmagnole sur le Trocadéro. > > Raphaël Durand > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Le jour où internet a changé
Le 09/06/2012 17:30, Stephane Bortzmeyer a écrit : > On Sat, Jun 09, 2012 at 04:07:06PM +0200, > Julien Richer wrote > a message of 35 lines which said: > >> Pour la qualification du natif, qui est d'accord pour prendre le MTU >> comme mesure ? > Moi. Car c'est ce qui est important du point de vue *pratique* (sites > bogués qui filtrent l'ICMP packet-too-big, etc)... Le reste est plutôt > de l'esthétique. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ Pour celà il faut convaincre les "experts en sécurité" de ne pas filtrer ICMP (le ping c'est le ML ça tue des serveurs) Si vous y arrivez, je veux bien danser la carmagnole sur le Trocadéro. Raphaël Durand --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le jour où internet a changé
2012/6/9 Julien Richer : > Pour finir sur Free, l'ADSL est en 6rd car les DSLAMv2 ne sont pas > dualstack, mais les v3 sont peut être déjà en déploiement (pour une > compatibilité VDSL2 par exemple ?). > Et sur Fibre c'est de l'IPv6 natif (autant commencer un déploiement > correctement). Free/fibre => pas natif l'IPv6... Je branche mon pc sur le convertisseur et ni SLAAC, ni dhcpv6... Peut-être que les équipements sont compatibles, mais la dual stack pas activée ? Jérémy --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Le jour où internet a changé
On Sat, Jun 09, 2012 at 04:07:06PM +0200, Julien Richer wrote a message of 35 lines which said: > Pour la qualification du natif, qui est d'accord pour prendre le MTU > comme mesure ? Moi. Car c'est ce qui est important du point de vue *pratique* (sites bogués qui filtrent l'ICMP packet-too-big, etc)... Le reste est plutôt de l'esthétique. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Le jour où internet a changé
On 09/06/2012 12:00, Radu-Adrian Feurdean wrote: > On Sat, 9 Jun 2012 11:47:29 +0200, "Stephane Bortzmeyer" > said: > >> Parce que les lecteurs de cette liste sont des Vrais Hommes, qui ont >> tous migré en IPv6 depuis longtemps ? Franchement, en juin 2012, ceux >> qui n'ont pas encore IPv6 en production, ce sont vraiment des Mangeurs >> de Yaourt... > Ca doit faire rever les producteurs de yaourt > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ C'est bon les yaourts !! #jesuisendualstack -- Ruhi ASLAN IT Engineer Network & Linux System Mail : ruhi.as...@gyust.com --- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le jour où internet a changé
Le 9 juin 2012 16:21, Frédéric Gabut-Deloraine a écrit : > > Le 9 juin 2012 à 16:07, Julien Richer a écrit : > > > Pour la qualification du natif, qui est d'accord pour prendre le MTU > comme > > mesure ? > > Tout ce qui est <1500 n'est pas natif, même en IPv4 ? #ohwait > > > La question de natif vs encapsulé n'a aucun intérêt. Ce qui compte c'est > plutôt la dépendance entre v6 et v4 : peut-on avoir du v6 qui ne repose pas > sur une IPv4 par abonné ? Après, qu'on mette l'IPv6 dans n'importe quel > proto de niveau 2, qu'on transporte le tout dans du 6pe reposant sur mpls > signalé en v4 peu importe. Que la connectivité IPv6 repose sur le fait que > chaque box doit avoir une v4 publique, là c'est moins évolutif :) > 6rd peut tourner sur du v4 rfc1918, c'est lié à du v4, mais pas à l'obligation d'avoir une plage de v4 routable Donc dans 10ans tu peux monter un FAI IPv6 only reposant sur du vieux matos sans avoir d'IPv4 publiques. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le jour où internet a changé
Le 9 juin 2012 à 16:07, Julien Richer a écrit : > Pour la qualification du natif, qui est d'accord pour prendre le MTU comme > mesure ? > Tout ce qui est <1500 n'est pas natif, même en IPv4 ? #ohwait La question de natif vs encapsulé n'a aucun intérêt. Ce qui compte c'est plutôt la dépendance entre v6 et v4 : peut-on avoir du v6 qui ne repose pas sur une IPv4 par abonné ? Après, qu'on mette l'IPv6 dans n'importe quel proto de niveau 2, qu'on transporte le tout dans du 6pe reposant sur mpls signalé en v4 peu importe. Que la connectivité IPv6 repose sur le fait que chaque box doit avoir une v4 publique, là c'est moins évolutif :) La MTU < 1500 il me semble que tout le monde s'en accommode avec 1492 ou 1452 selon la collecte et le net continue à fonctionner. -- Frederic Gabut-Deloraine Network Engineer NEO TELECOMS - AS8218 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le jour où internet a changé
Le 9 juin 2012 13:32, Sylvain Rochet a écrit : > Bonjour, > > On Sat, Jun 09, 2012 at 01:09:38PM +0200, Raphaël Durand wrote: > > > > Sur les Freebox ça reste du 6rd et pas de l'IPv6 natif. Pour ça aussi il > > va falloir attendre un moment. > > Et quid de la collecte en PPPo(E|A|L2TP), c'est pas natif non plus > alors ?, et pour le coup, ni en v4, ni en v6. > Surtout que le 6rd est stateless, donc surement plus résiliant que n'importe quelle collecte PPP ? Mais d'autres exemples seront intéressants pour le débat natif/non-natif, comme Jaguar Network qui fera bientôt tout (IPv4 et IPv6 ) sur du MPLS sur de l'IPv4 rfc1918. Pour la qualification du natif, qui est d'accord pour prendre le MTU comme mesure ? Tout ce qui est <1500 n'est pas natif, même en IPv4 ? #ohwait Pour finir sur Free, l'ADSL est en 6rd car les DSLAMv2 ne sont pas dualstack, mais les v3 sont peut être déjà en déploiement (pour une compatibilité VDSL2 par exemple ?). Et sur Fibre c'est de l'IPv6 natif (autant commencer un déploiement correctement). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le jour où internet a changé
Bonjour, On Sat, Jun 09, 2012 at 01:09:38PM +0200, Raphaël Durand wrote: > > Sur les Freebox ça reste du 6rd et pas de l'IPv6 natif. Pour ça aussi il > va falloir attendre un moment. Et quid de la collecte en PPPo(E|A|L2TP), c'est pas natif non plus alors ?, et pour le coup, ni en v4, ni en v6. Sylvain signature.asc Description: Digital signature
Re: [FRnOG] [MISC] Le jour où internet a changé
Le 09/06/2012 10:31, Xavier Beaudouin a écrit : > (et non je ne jettes pas la pierre a free car au moins ils déploient > du v6 depuis longtemps). /Xavier Sur les Freebox ça reste du 6rd et pas de l'IPv6 natif. Pour ça aussi il va falloir attendre un moment. Pour répondre au reste, le problème n'est pas de savoir si telle ou telle PME doit migrer en IPv6, mais de faire en sorte qu'un maximum de services soient accessibles en IPv6 depuis Internet. Il faut se placer dans l'hypothèse d'un client qui n'aurait que de l'IPv6 sans aucune IPv4, il faut qu'il puisse accéder aux services. Les entreprises ont peur de migrer pour tout un tas de raisons, mais si elles veulent rester en interne en IPv4 ça ne pose aucun souci. Le jour où elles auront besoin d'un service disponible uniquement en IPv6, elles feront l'effort. Raphaël Durand. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le jour où internet a changé
Salut Stephane, > Ce qui est sûr, c'est que quand on ne veut pas bouger, on trouve > facilement des tas d'excuses (tiens, il y a peut-être même un business > plan pour ma future boîte de consulting, fournir des excuses pour ne > pas migrer vers IPv6). Je te sens agressif ! Mon reseau est dual stack depuis des annees. Mes DNS sont dual stack depuis des annees. Mon site web est IPv6 depuis des annees. Les sites tous mes clients sont IPv6 depuis le 6. On va donner a tous nos clients DSL une IPv6 en standard nous avons rate le 6 ! > Mais ce n'est pas vrai du tout. Les serveurs MX de l'AFNIC ont IPv6 > depuis des années et la quasi-totalité du spam est reçue en v4, comme > avant. Tous les bots sont encore "IPv4 only" ?? !! C'est scandaleux que les voleurs ne soit pas a la pointe de la technologie :D Mais quand tu as _UN_ serveur IPv6 qui te blaste du mail il te faut un système pour vérifier : - l'historique de fréquence d'envoi (de jamais vu a 100 message par secondes, etc) - le ratio spam/ham de l' IP - ... Bref la reputation de l'IP. Notre système maison n'est pas encore IPv6. IPv6 devra donc attendre un peu pour le MX, car le problème je l'ai vu passer une fois et tant que mon système anti-spam interne est "v4 only" mes MX resterons v4 only. C'est a faire : oui C'est dur : non C'est urgent : non Mettre ses serveurs mail en IPv6 sans mesure anti-spam, surement l'affaire de moins d'une heure mais comme tu le dis .. Il n'a pas de trafic ! :D >> La première ligne de défense anti spam sont base sur de la >> reputation des IP, en IPv6 cela ne marche plus trop. > > Parce qu'en IPv4, ça marche ? Incroyable mais oui ! Enfin le mien marche plutôt bien - en conjonction avec plein d'autres tests - pour les offres commerciales .. aucune idée. > Les éradicateurs du service de > messagerie de Microsoft (liste noire utilisée par d'autres > fournisseurs comme Equant) ont blacklisté les serveurs de l'AFNIC et > n'ont jamais fourni aucune explication. Bienvenu dans le monde SMTP - mais quel est le rapport avec IPv6 ? Bon week-end, Thomas signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] Re: [MISC] Le jour où internet a changé
On Sat, 9 Jun 2012 11:47:29 +0200, "Stephane Bortzmeyer" said: > Parce que les lecteurs de cette liste sont des Vrais Hommes, qui ont > tous migré en IPv6 depuis longtemps ? Franchement, en juin 2012, ceux > qui n'ont pas encore IPv6 en production, ce sont vraiment des Mangeurs > de Yaourt... Ca doit faire rever les producteurs de yaourt --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Le jour où internet a changé
On Sat, Jun 09, 2012 at 09:01:02AM +0100, Thomas Mangin wrote a message of 36 lines which said: > Passer ses SMTP en IPv6 aucun problemes, par contre les serveurs MX > resteront surement en IPv4 a cause du SPAM. Mais ce n'est pas vrai du tout. Les serveurs MX de l'AFNIC ont IPv6 depuis des années et la quasi-totalité du spam est reçue en v4, comme avant. Ce qui est sûr, c'est que quand on ne veut pas bouger, on trouve facilement des tas d'excuses (tiens, il y a peut-être même un business plan pour ma future boîte de consulting, fournir des excuses pour ne pas migrer vers IPv6). > La première ligne de défense anti spam sont base sur de la > reputation des IP, en IPv6 cela ne marche plus trop. Parce qu'en IPv4, ça marche ? Les éradicateurs du service de messagerie de Microsoft (liste noire utilisée par d'autres fournisseurs comme Equant) ont blacklisté les serveurs de l'AFNIC et n'ont jamais fourni aucune explication. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Le jour où internet a changé
On Fri, Jun 08, 2012 at 09:10:37AM +0200, cam.la...@azerttyu.net wrote a message of 20 lines which said: > Au fait pourquoi le sujet n'est il pas revenu sur le tapis ici ces > derniers jours ? Parce que les lecteurs de cette liste sont des Vrais Hommes, qui ont tous migré en IPv6 depuis longtemps ? Franchement, en juin 2012, ceux qui n'ont pas encore IPv6 en production, ce sont vraiment des Mangeurs de Yaourt... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le jour où internet a changé
On Sat, 09 Jun 2012 11:36:24 +0200, "kankan" said: > À vue de nez (ie ma liste de pairs), il y a beaucoup de 6to4 et autres > mécanismes de tunnels automatique dans les pairs BitTorrent IPv6. Oui. Mais quand il y a du v6 natif, il est bien utilise comme il faut. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le jour où internet a changé
On 09/06/2012 11:14, Radu-Adrian Feurdean wrote: Il y a pas si longtemps que ca, la majorite du traffic IPv6 etait du torrent (merci uTorrent parmi autres). Mais ca, je suppose que ca fait pas "bling-bling" de le dire. À vue de nez (ie ma liste de pairs), il y a beaucoup de 6to4 et autres mécanismes de tunnels automatique dans les pairs BitTorrent IPv6. Gmail ca donne quoi ? Il ont un MX dual-stack, mais ils en sont ou pour la partie sortante ? De ce que j'ai pû voir, en sortie GMail c'est toujours de l'IPv4. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le jour où internet a changé
On Sat, 9 Jun 2012 10:31:33 +0200, "Xavier Beaudouin" said: > problème vas un jour se poser (ex un fournisseur de contenu qui n'as pas > de v4, ca arrivera un jour non ?). Il y aura toujours une solution pour pouvoir envoyer de l'email sur du v4. Pas forcement les solutions que tu aimes ou qui t'arrangent, mais il y aura toujours. Tout comme les solutions pour joindre les grand FAI francais qui ne pensnent plus qu'a vendre du pay-peering. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le jour où internet a changé
On Sat, 9 Jun 2012 10:16:42 +0200, "Xavier Beaudouin" said: > Ce fait plusieurs années que les "défenses" antispam basées sur IP sont > vraiment moyennes. En général un geoip est mieux, voire avec p0f le > nombre de hop (ttl) de l'ip source: il est plus souvent clair qu'un MX > qui a une ip a 30 hop n'est peut-être pas vraiment pour une fois un mx > désiré. Quand est dans le domaine de (dizaine de / centaine de) millions d'emails par jour, ca ne marche plus tout a fait comme ca. > Après une RBL c'est pas non plus ce qu'il y a mieux en terme de > collateral damage... On ne parle pas de blockage, mais de scoring. Entre la poubelle et l'Inbox, il y a un long chemin qui passe (parmi autres choses) par le "SPAM folder". Quand tu est bloque par un grand FAI, c'est que tu as du merder tres gravement. En plus 1000 erreurs de clasiffication sur 10 millions d'emails ca fait 0.01% -> negligeable. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le jour où internet a changé
On Sat, 9 Jun 2012 06:44:17 +0200, "Xavier Beaudouin" said: > D'un autre coté... Je comprends pas pourquoi autant de foin pour juste du > traffic web (80 et 443 tcp) alors que l'internet a quand même d'autres > applicatif que le web. Il y a pas si longtemps que ca, la majorite du traffic IPv6 etait du torrent (merci uTorrent parmi autres). Mais ca, je suppose que ca fait pas "bling-bling" de le dire. > Je ris assez doucement quand je vois la marque avec la couleur du fruit > (non pas apple) qui a mis juste son zoli site web en IPv6, mais par > contre le mail... oula... il reste toujours en IPv4. Ah, le SMTP over IPv6. Il y a pas mal de postmasters (dont un ici sur la liste) qui ne veulent surtout pas avoir leurs frontaux SMTP en IPv6. Sombre histoire de gestion des listes noires. Il y a encore quelques mois, il y a vait parmi les grands que DTAG qui avait un MX en v6. Aujourd'hui il y a aussi Google. Esperons que ca va evoluer, et que le v4 ne va pas survivre en tant que protocole de transport pour l'e-mail. > Déjà 1 ans de déploiement pour mettre du dual stack... bravo pour le dual > stack qui existe depuis aller... 10 ans au moins. Il y a des endroits ou ca se deploie ultra rapidement, et d'autres ou il est plus complique: - dans tous les cas, il faut savoir ce que tu dois faire de ton allocation ou assignment. Un fois ce probleme regle, il faut faire le pland d'addressage, ce qui ne prend pas tres longtemps. - backbone : juste question de mettre les IP sur les interfaces, configurer l'IGP et BGP. Pas complique, mais il faut un peu de temps, selon la taille du reseau - postes utilisateur : sur un parc assez recent ca doit etre tres facile (activer RA sur le default gateway, eventuellemnt DHCPv6 pour les tres motives) - serveurs : c'est generalement la que ca commence a se compliquer, et chaque situation est diferente. Si les OS recents supportent tous IPv6, on ne peut pas dire autant pour les applications. Et meme quand c'est le cas, il y a nombre d'autre choses qui doivent etre pris en compte, comme la securite et les admin systeme. - finalement la partie la plus difficile, mettre l'IPv6 a cote du v4 dans tous les processus (deploiement, maintenance, support, .) > Perso en IPv6 sur mon asso, pas vu de différence. Pourtant ca fait 2 ans > qu'il est en réél production (pas juste un /48 annonce vers /dev/null > hein) : web, mail, dns, ssh... Bravo, mais tous les environnements ne sont pas aussi simples que le tien. > J'attends toujours de voir _massivement_ du mail arriver sur mes ports 25 Gmail ca donne quoi ? Il ont un MX dual-stack, mais ils en sont ou pour la partie sortante ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re: [FRnOG] [MISC] Un datacenter autonome en énergie
>>> Et Bordeaux alors?! :) >> Pas crédible, ya même pas de GIX... > Pour l'inauguration de GirondIX alors ? :) Qui me parle ? Je suis preneur d'infos sur ce nouveau GirondIX. J'aime bien parler des GIX sur ZDNet même si cela n'intéresse pas grand monde et que ces billets-là peuplent les tréfonds de mon palmarès d'audience :-) -- Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le jour où internet a changé
On 06/09/2012 10:31 AM, Xavier Beaudouin wrote: Vous ne pouvez pas comparer la migration d'une association avec celle d'un FAI. Il ne s'agit généralement pas juste de mettre en place une dual stack mais de vérifier que l'ensemble des outils maisons sont pleinement compatibles. Et, dans certains cas, il faut faire des mises à jour. Dans d'autres, il n'y a pas de solution et donc pas de "migration IPv6" prévue. Un proxy (nginx, whatever) est la méthode plus kick and dirty qu'on peux mettre (cf des choses passées dans le coin sur l'implémentation de ipv6 chez facebook). C'est quick, pas kick... Et c'est pas forcément dirty : les serveurs sont déjà probablement derrière un loadbalancer. Si celui-ci gère aussi le trafic retour, on peut se contenter de mettre le support IPv6 dessus. Sur du mail, y a carrément plus de taf car l'ip source est très importante :) Il y a des serveurs web, ftp, autres qui sont protégés en fonction de l'IP source (ne serait-ce que pour limiter le nombre de sessions simultanées). Justement ça serait pas mal d'y réfléchir car vu l'espace d'adressage ce problème vas un jour se poser (ex un fournisseur de contenu qui n'as pas de v4, ca arrivera un jour non ?). Pour les serveurs ? Pas avant de nombreuses années... J'avais pensé a travailler a coup de /64 ou autres... mais ca fait quand même du monde... Il n'y a aucune solution pour connaitre la taille des délégations. Vous risquez d'être trop large d'un coté (1) et trop petit de l'autre (2). (1) - un hébergeur mutualisé peut se retrouver avec un serveur compromis, vous risquez de bloquer l'hébergeur au complet au lieu d'un serveur - il y a des hébergeurs de serveurs dédiés qui distribuent des sous-réseaux inférieurs à un /64 - certains sites répartissent leur trafic mail vers des serveurs propres (ie sans spams) et des serveurs poubelles, vous allez agréger les deux profils (2) si un spammeur récupère un /48, ça lui laisse 64K positions dans la base, si les règles se déclenche au bout de 10 mails, ça fait 640K mails délivrables Je crois qu'il y a un draft sur une histoire de "whiteliste" (pour limiter le nombre d'IP qui peuvent envoyer du mail en IPv6). Des discussions que j'ai pu avoir au MAAWG cette semaine, les avis seraient plutôt de partir vers de la réputation sur le domaine (avec comme conséquence de rendre obligatoire DMARC ou un équivalent sur les serveurs SMTP). François --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le jour où internet a changé
>> Après une RBL c'est pas non plus ce qu'il y a mieux en terme de collateral >> damage... > > Nous ne parlions pas de RBL mais de base de réputation. Une RBL est une des forme de réputation :) Laissons sortir le troll pour le week-end :) Thomas signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [MISC] Le jour où internet a changé
Hello François, Le 9 juin 2012 à 09:54, Francois Petillon a écrit : > On 06/09/2012 06:44 AM, Xavier Beaudouin wrote: >> Je ris assez doucement quand je vois la marque avec la couleur du fruit (non >> pas apple) qui a mis juste son zoli site web en IPv6, mais par contre le >> mail... oula... il reste toujours en IPv4. >> Déjà 1 ans de déploiement pour mettre du dual stack... bravo pour le dual >> stack qui existe depuis aller... 10 ans au moins. >> Perso en IPv6 sur mon asso, pas vu de différence. Pourtant ca fait 2 ans >> qu'il est en réél production (pas juste un /48 annonce vers /dev/null hein) >> : web, mail, dns, ssh... > > Vous ne pouvez pas comparer la migration d'une association avec celle d'un > FAI. Il ne s'agit généralement pas juste de mettre en place une dual stack > mais de vérifier que l'ensemble des outils maisons sont pleinement > compatibles. Et, dans certains cas, il faut faire des mises à jour. Dans > d'autres, il n'y a pas de solution et donc pas de "migration IPv6" prévue. Oui un site web est plus 'facile' a mettre en place en v6 qu'un serveur mail (j'en sais quelque chose...). Un proxy (nginx, whatever) est la méthode plus kick and dirty qu'on peux mettre (cf des choses passées dans le coin sur l'implémentation de ipv6 chez facebook). Sur du mail, y a carrément plus de taf car l'ip source est très importante :) > Par exemple, chez Free, il y a de l'IPv6 sur les serveurs SMTP mais pas sur > les MXes : il n'y a, aujourd'hui, pas de bonne manière de gérer une base de > réputation sur l'IPv6 (du fait du volume d'espace d'adressage). Justement ça serait pas mal d'y réfléchir car vu l'espace d'adressage ce problème vas un jour se poser (ex un fournisseur de contenu qui n'as pas de v4, ca arrivera un jour non ?). J'avais pensé a travailler a coup de /64 ou autres... mais ca fait quand même du monde... (et non je ne jettes pas la pierre a free car au moins ils déploient du v6 depuis longtemps). /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le jour où internet a changé
On 06/09/2012 10:16 AM, Xavier Beaudouin wrote: Passer ses SMTP en IPv6 aucun problemes, par contre les serveurs MX resteront surement en IPv4 a cause du SPAM. La première ligne de défense anti spam sont base sur de la reputation des IP, en IPv6 cela ne marche plus trop. Ce fait plusieurs années que les "défenses" antispam basées sur IP sont vraiment moyennes. En général un geoip est mieux, voire avec p0f c'est fou le nombre de windows qu'il peut y avoir chez hotmail... le nombre de hop (ttl) de l'ip source: il est plus souvent clair qu'un MX qui a une ip a 30 hop n'est peut-être pas vraiment pour une fois un mx désiré. si vous gerez un petit domaine avec peu de comptes, oui. Quand vous gérez un domaine de taille conséquente avec un volume non négligeable à l'internationnale (même si en ratio ça reste faible), vous ne pouvez pas vous reposer sur geoip ou sur le nombre de hop. Après une RBL c'est pas non plus ce qu'il y a mieux en terme de collateral damage... Nous ne parlions pas de RBL mais de base de réputation. François --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le jour où internet a changé
Le 9 juin 2012 à 10:01, Thomas Mangin a écrit : >> Je ris assez doucement quand je vois la marque avec la couleur du fruit (non >> pas apple) qui a mis juste son zoli site web en IPv6, mais par contre le >> mail... oula... il reste toujours en IPv4. > > Passer ses SMTP en IPv6 aucun problemes, par contre les serveurs MX resteront > surement en IPv4 a cause du SPAM. > La première ligne de défense anti spam sont base sur de la reputation des IP, > en IPv6 cela ne marche plus trop. Hahaha :) Ce fait plusieurs années que les "défenses" antispam basées sur IP sont vraiment moyennes. En général un geoip est mieux, voire avec p0f le nombre de hop (ttl) de l'ip source: il est plus souvent clair qu'un MX qui a une ip a 30 hop n'est peut-être pas vraiment pour une fois un mx désiré. Après une RBL c'est pas non plus ce qu'il y a mieux en terme de collateral damage... My 0,02€ Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le jour où internet a changé
> Je ris assez doucement quand je vois la marque avec la couleur du fruit (non > pas apple) qui a mis juste son zoli site web en IPv6, mais par contre le > mail... oula... il reste toujours en IPv4. Passer ses SMTP en IPv6 aucun problemes, par contre les serveurs MX resteront surement en IPv4 a cause du SPAM. La première ligne de défense anti spam sont base sur de la reputation des IP, en IPv6 cela ne marche plus trop. Thomas signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [MISC] Un datacenter autonome en énergie
Le 08/06/2012 23:12, Patrick Maigron a écrit : > Le 08/06/2012 15:17, Jérôme Nicolle a écrit : >>> Et Bordeaux alors?! :) >> Pas crédible, ya même pas de GIX... > Pour l'inauguration de GirondIX alors ? :) Espérons... :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le jour où internet a changé
On 06/09/2012 06:44 AM, Xavier Beaudouin wrote: Je ris assez doucement quand je vois la marque avec la couleur du fruit (non pas apple) qui a mis juste son zoli site web en IPv6, mais par contre le mail... oula... il reste toujours en IPv4. Déjà 1 ans de déploiement pour mettre du dual stack... bravo pour le dual stack qui existe depuis aller... 10 ans au moins. Perso en IPv6 sur mon asso, pas vu de différence. Pourtant ca fait 2 ans qu'il est en réél production (pas juste un /48 annonce vers /dev/null hein) : web, mail, dns, ssh... Vous ne pouvez pas comparer la migration d'une association avec celle d'un FAI. Il ne s'agit généralement pas juste de mettre en place une dual stack mais de vérifier que l'ensemble des outils maisons sont pleinement compatibles. Et, dans certains cas, il faut faire des mises à jour. Dans d'autres, il n'y a pas de solution et donc pas de "migration IPv6" prévue. Par exemple, chez Free, il y a de l'IPv6 sur les serveurs SMTP mais pas sur les MXes : il n'y a, aujourd'hui, pas de bonne manière de gérer une base de réputation sur l'IPv6 (du fait du volume d'espace d'adressage). François --- Liste de diffusion du FRnOG http://www.frnog.org/
