[FRnOG] [MISC] FRNOG 20.0

2013-01-22 Par sujet Philippe Bourcier


Bonjour,

N'oubliez pas, la réunion FRNOG se déroulera ce vendredi.

Si vous vous êtes inscrit mais que vous ne pouvez pas venir, merci de 
me contacter (ou d'utiliser le lien prévu à cet effet dans l'email de 
confirmation d'inscription), j'essayerais de redistribuer les places aux 
personnes ayant oublié de s'inscrire qui m'auraient contacté.


Le programme (susceptible de petites updates) est disponible ici :
http://www.frnog.org/?page=frnog20


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : http://zsysctl.blogspot.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] Re: [TECH] DNS Serveur

2013-01-22 Par sujet Stephane Bortzmeyer
On Mon, Jan 21, 2013 at 07:34:12PM +0100,
 eduper...@franceunicom.fr eduper...@franceunicom.fr wrote 
 a message of 20 lines which said:

 Je suis sur un projet d'implémentation de serveur DNS public 

Vues les réactions (justifiées), il faudrait préciser. Serveur faisant
autorité ou bien résolveur ? Ce sont deux choses complètement
différentes (le terme de « serveur DNS » est bien trop vague).

 Quelles solutions utilisez-vous?

Serveur faisant autorité : BIND et NSD (Knot et Yadifa ne me semblent
pas encore tout à fait secs et PowerDNS me fait peur).

Résolveur : Unbound (je dois avoir encore des BIND quelque part)

 Quiz de la redondance?

Pour des serveurs faisant autorité, elle est bâtie dans le DNS depuis
le début, donc pas grand'chose à dire. Il faut avoir plusieurs
serveurs, sans SPOF (les mettre tous dans le même rack est donc une
mauvaise idée).

Pour des résolveurs, c'est plus compliqué, mais Pierre David avait
fait un bon exposé à JRES sur la technique utilisée par le réseau
Osiris = Ask Not-Evil Google

 Quelles sont les limites d'une solution open source comme Bind?

BIND a des défauts (comme ses concurrents) mais je ne vois pas le
rapport avec le fait que ce soit du logiciel libre.

Par contre, ce que je ne comprends pas, c'est pourquoi tout le monde
installe BIND sans même réflechir : il en existe, des serveurs DNS !

 Quiz de l'ipv6?

Ça marche. 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] Re: [TECH] DNS Serveur

2013-01-22 Par sujet Stephane Bortzmeyer
On Mon, Jan 21, 2013 at 11:00:30PM +0100,
 Cyril HLAKKACHE h...@internetown.eu wrote 
 a message of 41 lines which said:

 Quelles BCP conseillent explicitement ça ?

RFC 5358: Preventing Use of Recursive Nameservers in Reflector Attacks
http://www.bortzmeyer.org/5358.html

Voir aussi http://www.bortzmeyer.org/fermer-les-recursifs-ouverts.html

Si on le fait quand même, il faut *impérativement* limiter le trafic
http://www.bortzmeyer.org/rate-limiting-dns-open-resolver.html
sinon, cinq minutes après la mise en route, on est utilisé pour des
attaques par réflexion contre des sites de jeux en Chine.

 Pour un cache, le mieux est d'informer tes futurs clients des 2 ou 3
 IP de ces serveurs

Le problème est que la bascule d'un résolveur à un autre est bien trop
lente pour la plupart des clients (5 secondes par défaut sur un OS
Linux typique comme Debian). Les clients finaux ne mémorisent
typiquement pas la panne du premier listé et continuent à
reessayer. Donc, question redondance, ce n'est pas extra.

Je crains qu'on ne puisse pas échapper à VRRP ou équivalent.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [TECH] DNS Serveur

2013-01-22 Par sujet Clement Cavadore
On 01/22/2013 09:34 AM, Stephane Bortzmeyer wrote:
 Serveur faisant autorité : BIND et NSD (Knot et Yadifa ne me semblent
 pas encore tout à fait secs et PowerDNS me fait peur).

Je confirme: nsd est vraiment puissant pour de l'autoritaire ;-)

Merci encore aux gens de l'AFNIC pour le conseil pour l'AS112, ca a
changé la donne au niveau de la charge infligée à la machine (quoique le
setup est tout de même très spécifique).

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Alain Richard
Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à 
l'utilisateur de faire du firewalling ou de la sécurité de base (RFC6092).

Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand nombre 
d'utilisateurs conscients des enjeux de sécurité désactivent donc l'IPv6 de la 
freebox alors même qu'ils seraient content d'utiliser IPv6...

Cordialement,



Le 15 janv. 2013 à 17:35, Frédéric GANDER fgan...@corp.free.fr a écrit :

 ipv6 activé par défaut sur toute les box v6 depuis janvier 2011 
 
 d'ailleurs c'est pas une atteinte à la net neutralité ca ?
 de forcer l'utilisateur un choix de protocol pour surfer sur l'int[er|ra]net ?
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

-- 
Alain RICHARD mailto:alain.rich...@equation.fr
EQUATION SA http://www.equation.fr/
Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
E-Liance, Opérateur des entreprises et collectivités,
Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Frédéric GANDER
euh car le nat c'est de la securite ?
et bientot on va me dire qu'un firewall regle les pb de securite ?

nb : un des premier but d'ipv6 c'était de garantir une connectivite end to end 
sans passer par des machines qui triturent les paquets
et la tout le monde veux remettre du statefull firewall ? bon ba on va faire du 
nat alors ;)


- Mail original -
 De: Alain Richard alain.rich...@equation.fr
 À: Frédéric GANDER fgan...@corp.free.fr
 Cc: Liste FRnoG frnog@frnog.org
 Envoyé: Mardi 22 Janvier 2013 10:33:51
 Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
 
 Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à
 l'utilisateur de faire du firewalling ou de la sécurité de base (
 RFC6092).
 
 
 Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand
 nombre d'utilisateurs conscients des enjeux de sécurité désactivent
 donc l'IPv6 de la freebox alors même qu'ils seraient content
 d'utiliser IPv6...
 
 
 Cordialement,
 
 
 
 
 
 
 
 Le 15 janv. 2013 à 17:35, Frédéric GANDER  fgan...@corp.free.fr  a
 écrit :
 
 
 ipv6 activé par défaut sur toute les box v6 depuis janvier 2011
 
 d'ailleurs c'est pas une atteinte à la net neutralité ca ?
 de forcer l'utilisateur un choix de protocol pour surfer sur
 l'int[er|ra]net ?
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 --
 
 
 Alain RICHARD  mailto:alain.rich...@equation.fr 
 EQUATION SA  http://www.equation.fr/ 
 Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
 E-Liance, Opérateur des entreprises et collectivités,
 Liaisons Fibre optique, SDSL et ADSL  http://www.e-liance.fr 
 
 
 
 
 
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Baptiste Malguy
Je n'ai pas vu le mot NAT dans le message d'Alain, en dehors du sujet...


Le 22/01/13 10:39, Frédéric GANDER a écrit :
 euh car le nat c'est de la securite ?
 et bientot on va me dire qu'un firewall regle les pb de securite ?
 
 nb : un des premier but d'ipv6 c'était de garantir une connectivite end to 
 end sans passer par des machines qui triturent les paquets
 et la tout le monde veux remettre du statefull firewall ? bon ba on va faire 
 du nat alors ;)



-- 
Baptiste MALGUY
NEW PGP fingerprint: 70A9 37BB 59F3 481D 190B  3B71 96D8 6328 0B2F 0EA1
OLD PGP fingerprint: 49B0 4F6E 4AA8 B149 B2DF  9267 0F65 6C1C C473 6EC2



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet sxpert

On 2013-01-22 10:33, Alain Richard wrote:

Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à
l'utilisateur de faire du firewalling ou de la sécurité de base
(RFC6092).

Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand
nombre d'utilisateurs conscients des enjeux de sécurité désactivent
donc l'IPv6 de la freebox alors même qu'ils seraient content
d'utiliser IPv6...

Cordialement,



la box n'est qu'un routeur. le firewalling est a faire dans les 
feuilles,

c'est à dire les machines connectées, ou dans un firewall intermédiaire
si vous préférez cette méthode.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Rémi Bouhl
Le 22/01/13, sxpertsxp...@sxpert.org a écrit :

 la box n'est qu'un routeur. le firewalling est a faire dans les
 feuilles,
 c'est à dire les machines connectées, ou dans un firewall intermédiaire
 si vous préférez cette méthode.

Le choix de Free de se restreindre à un /64 par abonné complique les
choses si on veut mettre un FW intermédiaire tout en profitant de
l'auto-configuration.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Guillaume Leclanche
firewall intermédiaire qui peut très bien être dans la box (configurable)

si on considère que la box ne doit rien faire, à la limite on revient au
bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc
qui fait dhcp + nat44 + RAs derrière.

Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le
veuille ou non un firewall stateful qui deny toutes les connections
entrantes qui n'ont pas de state ou de règle pour laisser passer.


Le 22 janvier 2013 11:15, sxpert sxp...@sxpert.org a écrit :

 On 2013-01-22 10:33, Alain Richard wrote:

 Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à
 l'utilisateur de faire du firewalling ou de la sécurité de base
 (RFC6092).

 Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand
 nombre d'utilisateurs conscients des enjeux de sécurité désactivent
 donc l'IPv6 de la freebox alors même qu'ils seraient content
 d'utiliser IPv6...

 Cordialement,


 la box n'est qu'un routeur. le firewalling est a faire dans les feuilles,
 c'est à dire les machines connectées, ou dans un firewall intermédiaire
 si vous préférez cette méthode.



 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet sxpert

On 2013-01-22 11:19, Rémi Bouhl wrote:

Le 22/01/13, sxpertsxp...@sxpert.org a écrit :


la box n'est qu'un routeur. le firewalling est a faire dans les
feuilles,
c'est à dire les machines connectées, ou dans un firewall 
intermédiaire

si vous préférez cette méthode.


Le choix de Free de se restreindre à un /64 par abonné complique les
choses si on veut mettre un FW intermédiaire tout en profitant de
l'auto-configuration.


si tu avais suivi, t'aurais vu que maxime sait qu'il manque un bout de
GUI pour permettre de router les 7 autres blocs affectés a 
l'utilisateur



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Samuel Thibault
Rémi Bouhl, le Tue 22 Jan 2013 11:19:22 +0100, a écrit :
 Le 22/01/13, sxpertsxp...@sxpert.org a écrit :
 
  la box n'est qu'un routeur. le firewalling est a faire dans les
  feuilles,
  c'est à dire les machines connectées, ou dans un firewall intermédiaire
  si vous préférez cette méthode.
 
 Le choix de Free de se restreindre à un /64 par abonné complique les
 choses si on veut mettre un FW intermédiaire tout en profitant de
 l'auto-configuration.

J'ai cru lire qu'ils avaient étendu à un /60 (ou du moins commencé à le
faire en 2008).

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Solarus
On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl remibo...@gmail.com
wrote:

 Le choix de Free de se restreindre à un /64 par abonné complique les
 choses si on veut mettre un FW intermédiaire tout en profitant de
 l'auto-configuration.
 
Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4
fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la
solution de Free).

-- 
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet sxpert

On 2013-01-22 11:21, Guillaume Leclanche wrote:
firewall intermédiaire qui peut très bien être dans la box 
(configurable)


si on considère que la box ne doit rien faire, à la limite on revient 
au
bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un 
truc

qui fait dhcp + nat44 + RAs derrière.

Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le
veuille ou non un firewall stateful qui deny toutes les connections
entrantes qui n'ont pas de state ou de règle pour laisser passer.


si tu parles de la bidouille utilisée partout pour multiplier les ipv4 
non

disponibles en quantité suffisante, ce n'est pas du NAT, mais du PAT.

de nos jours, vu le fonctionnement des malwares, qui attaquent de 
l'intérieur
en utilisant diverses failles java, flash, navigateur ou humaines 
(cliquez sur
le document machin dans le mail), ca n'amene absolument aucune 
sécurité.


le NAT lui meme, c'est a dire qu'on fait correspondre des addresses 1 
pour 1
n'amene pas plus de sécurité. au mieux, il ne sert qu'a obscurcir 
l'architecture

interne


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Frederic Dhieux
On ne se débarrassera donc jamais de la rustine NAT parce que les gens
ne se fatigueront jamais à faire les choses normalement et proprement et
auront toujours en tête que sécu simple = NAT :(

monde de merde

Frederic

Le 1/22/13 11:21 AM, Guillaume Leclanche a écrit :
 firewall intermédiaire qui peut très bien être dans la box (configurable)

 si on considère que la box ne doit rien faire, à la limite on revient au
 bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc
 qui fait dhcp + nat44 + RAs derrière.

 Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le
 veuille ou non un firewall stateful qui deny toutes les connections
 entrantes qui n'ont pas de state ou de règle pour laisser passer.


 Le 22 janvier 2013 11:15, sxpert sxp...@sxpert.org a écrit :

 On 2013-01-22 10:33, Alain Richard wrote:

 Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à
 l'utilisateur de faire du firewalling ou de la sécurité de base
 (RFC6092).

 Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand
 nombre d'utilisateurs conscients des enjeux de sécurité désactivent
 donc l'IPv6 de la freebox alors même qu'ils seraient content
 d'utiliser IPv6...

 Cordialement,


 la box n'est qu'un routeur. le firewalling est a faire dans les feuilles,
 c'est à dire les machines connectées, ou dans un firewall intermédiaire
 si vous préférez cette méthode.



 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Frederic Gabut

Le 22 janv. 2013 à 11:28, Solarus sola...@ultrawaves.fr a écrit :

 On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl remibo...@gmail.com
 wrote:
 
 Le choix de Free de se restreindre à un /64 par abonné complique les
 choses si on veut mettre un FW intermédiaire tout en profitant de
 l'auto-configuration.
 Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4
 fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la
 solution de Free).

6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. 
Facile quoi :)

-- 
Frederic

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Guillaume Barrot

 si on considère que la box ne doit rien faire, à la limite on revient au
 bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc
 qui fait dhcp + nat44 + RAs derrière.


Je suis pour. C'est d'ailleurs ce que je demandais dans un autre thread :
la possibilite de mettre son propre equipement a la place de la box.
Bon on peut le faire en mettant son netgear/etc derriere la box en bridge,
ca revient a ca, sauf qu'on depend de la box pour la gestion de la ligne
(qos, marge de bruit etc. En meme temps c'est exactement la volonte des
FAI).

Rappelons que la box est dans un contexte grand public ou il est rare de
trouver des vlans et/ou des dmz puisqu'il est interdit par les operateurs
d'heberger des serveurs. Du coup plusieurs /64 ... Comment dire...

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Frederic Gabut

Le 22 janv. 2013 à 12:02, Frederic Gabut fga...@nautile.fr a écrit :

 
 Le 22 janv. 2013 à 11:28, Solarus sola...@ultrawaves.fr a écrit :
 
 On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl remibo...@gmail.com
 wrote:
 
 Le choix de Free de se restreindre à un /64 par abonné complique les
 choses si on veut mettre un FW intermédiaire tout en profitant de
 l'auto-configuration.
 Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4
 fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la
 solution de Free).
 
 6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. 
 Facile quoi :)

Bon on peut faire plusieurs zones en imaginant des splits aux /16 v4 a grands 
coups d'usine a gaz pour retomber sur du /56 a partir d'un /32 avec 128 /16 
supportés. Bref ! 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Pascal Rullier
Le 22 janvier 2013 12:21, Frederic Gabut fga...@nautile.fr a écrit :

 Le 22 janv. 2013 à 12:02, Frederic Gabut fga...@nautile.fr a écrit :


 Le 22 janv. 2013 à 11:28, Solarus sola...@ultrawaves.fr a écrit :

 On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl remibo...@gmail.com
 wrote:

 Le choix de Free de se restreindre à un /64 par abonné complique les
 choses si on veut mettre un FW intermédiaire tout en profitant de
 l'auto-configuration.
 Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4
 fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la
 solution de Free).

 6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. 
 Facile quoi :)

 Bon on peut faire plusieurs zones en imaginant des splits aux /16 v4 a grands 
 coups d'usine a gaz pour retomber sur du /56 a partir d'un /32 avec 128 /16 
 supportés. Bref !


c'est pas un peu gros un /56 par abonné ?
Juste un /120 suffirait pour son usage domestique.
Faudrait pas gâcher la ressource ipv6 et se plaindre dans quelques années
qu'il y a plus car plein de blocs ont été attribués mais ne sont pas utilisés
à bon et scient (juste savoir tirer les conclusions de l'usage de l'ipv4)
Quand je vois du /64 juste pour une liaison ptp ... rah...


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Solarus
On Tue, 22 Jan 2013 13:10:26 +0100, Pascal Rullier pas...@rullier.net
wrote:

 c'est pas un peu gros un /56 par abonné ?
 Juste un /120 suffirait pour son usage domestique.
 Faudrait pas gâcher la ressource ipv6 et se plaindre dans quelques années
 qu'il y a plus car plein de blocs ont été attribués mais ne sont pas utilisés
 à bon et scient (juste savoir tirer les conclusions de l'usage de l'ipv4)
 Quand je vois du /64 juste pour une liaison ptp ... rah...

Faire du /120 sur IPv6 nécessite de faire de l'adressage manuel ou du
DHCPv6, mais la plupart des équipements fonctionnent avec de
l'autoconfiguration utilisant sur l'adresse MAC.
Compte tenu de la taille de l'adresse MAC, le préfixe le plus grand
nécessaire à ces méthodes est un /64.

Il y a également un intérêt à pouvoir découper plusieurs /64 dans un
préfixe plus petit (/48,/56) pour pouvoir définir plusieurs zones
d'autoconfiguration.

Quand les plutoniens n'auront plus assez d'IPv6 pour se connecter à
InterPlaNet , on pourra se préoccuper de la pénurie d'IPv6. ;)

-- 
Solarus
www.ultrawaves.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Frédéric GANDER


- Mail original -
 De: Baptiste Malguy bapti...@malguy.net
 À: frnog@frnog.org
 Envoyé: Mardi 22 Janvier 2013 11:13:37
 Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
 
 Je n'ai pas vu le mot NAT dans le message d'Alain, en dehors du
 sujet...

pourtant ce c'est que ca voulait dire

je désactive l'ipv6 car j'ai une ip publique non firewaller sur internet alors 
que en ipv4 avec le nat actif par defaut je suis proteger

 
 
 Le 22/01/13 10:39, Frédéric GANDER a écrit :
  euh car le nat c'est de la securite ?
  et bientot on va me dire qu'un firewall regle les pb de securite ?
  
  nb : un des premier but d'ipv6 c'était de garantir une connectivite
  end to end sans passer par des machines qui triturent les paquets
  et la tout le monde veux remettre du statefull firewall ? bon ba on
  va faire du nat alors ;)
 
 
 
 --
 Baptiste MALGUY
 NEW PGP fingerprint: 70A9 37BB 59F3 481D 190B  3B71 96D8 6328 0B2F
 0EA1
 OLD PGP fingerprint: 49B0 4F6E 4AA8 B149 B2DF  9267 0F65 6C1C C473
 6EC2
 
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [BIZ] Fibre Noir vers Centre France Telecom ?

2013-01-22 Par sujet Olivier CALVANO
Bonjour,

Une petite question pour ceux qui ont déjà buché le sujet ;=)

France Telecom propose dans son catalogue de service la collecte sur site
colocalisé. Je connais les règles pour être hébergé, pas très
concevable pour nous.

Y a t'il un autre méthode ? Quelqu'un a déjà collecté via une infra
fibre noire ?
Si oui qui a de la fibre Noire sur Paris et déjà présent dans un site
(pour éviter les formalités
de pénétration du bâtiment)

Olivier.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Fibre Noir vers Centre France Telecom ?

2013-01-22 Par sujet Sebastien Lesimple

Bonjour,

Si Colo n'est pas possible il y a livraison sur POP opérateur pour CEX, 
NRO pour collecte DSL résidentiel etc...
Regardes l'ODR correspondante au produit que tu étudies c'est marqué en 
toutes lettre et avec les couts aussi.


Seb.

Le 22/01/2013 14:02, Olivier CALVANO a écrit :

Bonjour,

Une petite question pour ceux qui ont déjà buché le sujet ;=)

France Telecom propose dans son catalogue de service la collecte sur site
colocalisé. Je connais les règles pour être hébergé, pas très
concevable pour nous.

Y a t'il un autre méthode ? Quelqu'un a déjà collecté via une infra
fibre noire ?
Si oui qui a de la fibre Noire sur Paris et déjà présent dans un site
(pour éviter les formalités
de pénétration du bâtiment)

Olivier.


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [MISC] Appel à propositions JRES 2013

2013-01-22 Par sujet Pierre DAVID
Bonjour,

cette conférence peut intéresser certains d'entre-vous, par exemple
pour présenter un sujet d'intérêt général sur les réseaux (i.e. non
spécifique à la communauté enseigement/recherche), soit pour participer
au stand des logiciels libres, soit mettre votre exemple préféré ici.


Pierre David

P.S.: les inscriptions ne sont pas encore ouvertes, le captcha n'a pas
encore été choisi ;-).

- Forwarded message from Francois Soler francois.so...@ac-paris.fr -

From: Francois Soler francois.so...@ac-paris.fr
To: annon...@jres.org
Subject: Appel à propositions JRES 2013
Date: Mon, 21 Jan 2013 09:25:20 +0100

Bonjour,

*Appel à Propositions *https://2013.jres.org/appel-a-propositions

La *10ème* édition des Journées RESeaux (JRES) aura lieudu *10 au 13
décembre 2013* au Corum de Montpellier.

Les JRES ont lieu tous les deux ans et s'adressent à l'ensemble de
lacommunauté informatique de l'enseignement et de la recherche :
architectes et administrateurs systèmes et réseaux, responsables
deprojets, directeurs des systèmes d'information, développeurs et
utilisateurs. Elles permettent de montrer et de valoriser
l'activitéimportante de notre communauté et sa contribution à l'essor
et au déploiement des nouvelles technologies pour l'information et
lacommunication en constante évolution.

Vous avez déployé des architectures et des technologies innovantes,
développé de nouveaux services ou participé à des projets d'évolution
et d'amélioration des pratiques et des organisations qui ont contribué
à fiabiliser, sécuriser et moderniser l'outil informatique pour
développer ses usages dans votre institution ?

Alors, n'hésitez pas à présenter votre réalisation, en proposant une
contribution à ces journées qui sont une vitrine majeure sur
l'activité, le dynamisme et les talents de notre communauté.

Vous êtes invités à soumettre ces propositions en vous appuyant surles
thèmes de référence des JRES https://2013.jres.org/themes selon l'un
des formats suivants :
 * présentations longues (35 min) ;
 * présentations courtes (10 min) ;
 * posters ;
 * tables rondes.

Avec cette édition, le comité de programme des JRES propose un
nouveautype de contribution sous la forme de lightning talks :
présentations informelles très courtes de 5 minutes sur des
sujetsdivers. Ces contributions ne sont pas soumises au même processus
desélection standard.

Les JRES mettent également en place un stand à disposition des
associations dans le domaine du logiciel libre, qu'il s'agisse des
logiciels libres en général ou d'unlogiciel en particulier. N'hésitez
pas à communiquer cette information aux associations dont vous avez
connaissance.

La langue de la conférence est le français. Néanmoins, les
articlesrédigés et/ou présentés en anglais sont également acceptés.

Toutes les informations sont disponibles sur le site de la
conférencehttps://2013.jres.org/. Les personnes souhaitant soumettre
une proposition et les associations souhaitant profiter d'un standsont
invitées à prendre connaissance des instructions
https://2013.jres.org/instructions.

Les propositions doivent être déposées au plus tard le 8 mars 2013.

En espérant recevoir d'abondantes propositions nous permettant
d'élaborer un programme de qualité qui vous donnera envie de venir
nombreux à cette nouvelle édition.

-- 
Pour le Comité de Programme JRES 2013
François Soler et Pierre David
preside...@jres.org

- End forwarded message -


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet ポール・ロラン
Bonjour,

On Tue, 22 Jan 2013 15:24:51 +0100
Paul Rolland (ポール・ロラン) rol+fr...@witbe.net wrote:

 Bonjour,
 
 On Tue, 22 Jan 2013 11:15:21 +0100
 sxpert sxp...@sxpert.org wrote:
 
  la box n'est qu'un routeur. le firewalling est a faire dans les 
  feuilles,
 
 Ca n'empeche pas un routeur d'avoir des ACLs, d'ailleurs, surprise, Free
 propose de configurer des filtres sur IPv4.
Groumpf... Piege par le jetlag, ce que permet l'interface, c'est du
parametrage de Nat, pas des acls :(
 
 Et oui, rien de rien sur IPv6, c'est vraiment dommage... ca ne devrait
 quand meme pas etre si complique que ca...
Ca, par contre, ca reste vrai :)

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Alain Richard
Il n'est pas question ici de débattre si le NAT est ou n'est pas une 
sécurisation.

Lisez la RFC6092 : Recommended Simple Security Capabilities in Customer 
Premises Equipment (CPE) for Providing Residential IPv6 Internet Service

et arrêter d'incendier le monde avec la position extrême disant qu'IPv6 ne doit 
faire que du routage transparent, c'est une des raisons principales qui a 
freiné l'adoption d'IPv6.

A+


Merci de lire la RFC6092 
Le 22 janv. 2013 à 10:39, Frédéric GANDER fgan...@corp.free.fr a écrit :

 euh car le nat c'est de la securite ?
 et bientot on va me dire qu'un firewall regle les pb de securite ?
 
 nb : un des premier but d'ipv6 c'était de garantir une connectivite end to 
 end sans passer par des machines qui triturent les paquets
 et la tout le monde veux remettre du statefull firewall ? bon ba on va faire 
 du nat alors ;)

-- 
Alain RICHARD mailto:alain.rich...@equation.fr
EQUATION SA http://www.equation.fr/
Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
E-Liance, Opérateur des entreprises et collectivités,
Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Fibre Noir vers Centre France Telecom ?

2013-01-22 Par sujet Olivier CALVANO
Oui je sais mais vous vous en doutez, ce n'est pas l'accès a la
prestation mais le prix de l'accès
a celle ci.




Le 22 janvier 2013 14:59, Sebastien Lesimple s.lesim...@b-and-c.net a écrit :
 Bonjour,

 Si Colo n'est pas possible il y a livraison sur POP opérateur pour CEX, NRO
 pour collecte DSL résidentiel etc...
 Regardes l'ODR correspondante au produit que tu étudies c'est marqué en
 toutes lettre et avec les couts aussi.

 Seb.

 Le 22/01/2013 14:02, Olivier CALVANO a écrit :

 Bonjour,

 Une petite question pour ceux qui ont déjà buché le sujet ;=)

 France Telecom propose dans son catalogue de service la collecte sur site
 colocalisé. Je connais les règles pour être hébergé, pas très
 concevable pour nous.

 Y a t'il un autre méthode ? Quelqu'un a déjà collecté via une infra
 fibre noire ?
 Si oui qui a de la fibre Noire sur Paris et déjà présent dans un site
 (pour éviter les formalités
 de pénétration du bâtiment)

 Olivier.


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Alain Richard
ou autrement dit, la sécurité globale d'un site repose sur la sécurité de 
l'ensemble des périphériques utilisant le réseau.

A l'époque du BYOD, on n'est donc pas prêt de voir les responsables sécurité 
faire confiance à tous les machins IP (PC, Macs, imprimantes, photocopieurs, 
tablettes, téléphones, machines à café, ...) !!!

Donc le déploiement d'un firewall en entreprise n'est pas une option, c'est 
obligatoire.

Ensuite, si les box à la maison n'implémentent pas une sécurité minimum, je 
vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans l'entreprise...

A+

Le 22 janv. 2013 à 11:15, sxpert sxp...@sxpert.org a écrit :

 la box n'est qu'un routeur. le firewalling est a faire dans les feuilles,
 c'est à dire les machines connectées, ou dans un firewall intermédiaire
 si vous préférez cette méthode.

-- 
Alain RICHARD mailto:alain.rich...@equation.fr
EQUATION SA http://www.equation.fr/
Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
E-Liance, Opérateur des entreprises et collectivités,
Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Jérémie Marguerie
Le 22 janvier 2013 15:38, Paul Rolland rol+fr...@witbe.net a écrit :
 Groumpf... Piege par le jetlag, ce que permet l'interface, c'est du
 parametrage de Nat, pas des acls :(

Je ne suis pas expert en NAT et UPNP mais la sécurité qu'offre le NAT
est somme toute celle d'un firewall stateful avec des règles assez
basiques :

FORWARD accepté de *interne vers externe*.
FORWARD accepté de *externe vers externe* Si *connexion déjà établie*.

Donc en somme, si une box avec ipv6 met en place ce genre de règles de
firewall, l'utilisateur est aussi protégé que via du NAT (on bloque
les connexions entrantes non sollicitées, ça suffit à la plupart des
gens).
Il ne manque qu'une chose, la capacité d'ouvrir des ports pour que les
applications le nécessitant ne soient pas bloquées.

Les solutions existent en IPv4 (NAT-PMP, UPNP, ...). La box peut
paramètrer son firewall en suivant les demandent de NAT traversal
émisent via UPNP Internet Gateway Device Protocol.
Linux-IGD (http://linux-igd.sourceforge.net/) semble le faire via du
DNAT, rien n'empêche de changer les règles de firewall insérées.

Du coup :
 * IPv4 + NAT + UPNP
 * IPv6 + Firewall + UPNP

Et le tour est joué, non ?

On peut déjà faire du port forwarding sur le NAT des box avec
l'interface du FAI, rajouter une option ipv4/ipv6 et de toucher soit
au NAT, soit d'ouvrir bêtement le port (vers une destination, un
masque, ou vers tout le sous-réseau) fait l'affaire.

J'ai loupé quelque chose ?

-- 
Jérémie MARGUERIE


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Radu-Adrian Feurdean
On Tue, Jan 22, 2013, at 15:51, Alain Richard wrote:
 ou autrement dit, la sécurité globale d'un site repose sur la sécurité de
 l'ensemble des périphériques utilisant le réseau.

Apart le fait d'etre ingerable dans la plupart des cas, c'est pas une
mauvaise idee

 A l'époque du BYOD, on n'est donc pas prêt de voir les responsables
 sécurité faire confiance à tous les machins IP (PC, Macs, imprimantes,
 photocopieurs, tablettes, téléphones, machines à café, ...) !!!

Your device, your security. Dans un cotexte BYOD c'est meme pas mal
comme concept. Mais ca reste ingerable/difficilement gerable.
Je sais pas toi, mais moi je n'accepte pas qu'on deploie de politiques
de securite a la con sur *mon* *device* (ma propriete perso). Ils
veulent de la secu, ils me filent leur device.

 Donc le déploiement d'un firewall en entreprise n'est pas une option, c'est 
 obligatoire.

Un firewall pour proteger entre eux des devices sur le meme subnet
on-link ?!?!?!?!?!?!?!?!

 Ensuite, si les box à la maison n'implémentent pas une sécurité minimum,
 je vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans 
 l'entreprise...

T'a pas du voir l'etat dans lequel se trouvent pas mal de machines de
non-techniques.

Tu decris exactement le raison pour lequel la securite *par* *device* a
un sens. Dommage que c'est aussi difficilement gerable (le cas ou je ne
l'ai pas dit sufisamment de fois).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [BIZ] Recherche IP

2013-01-22 Par sujet Jérémy Martin

Bonjour,

Je lance une bouteille à la mer comme d'autres ont pu le faire ici...
Nous, petit hébergeur en croissance qui essaye de faire des choses dans 
le Nord :


On cherche des IPv4...

On a un petit budget qu'on a établit selon les bruits de couloir qu'on a 
pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21.


Merci pour vos retours, ou vos pistes !

--
Cordialement,
Jérémy Martin

__
FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle !
PHP + Mysql + Espace 2 à 20 Go


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] Re: [BIZ] Recherche IP

2013-01-22 Par sujet Stephane Bortzmeyer
On Tue, Jan 22, 2013 at 04:43:14PM +0100,
 Jérémy Martin li...@freeheberg.com wrote 
 a message of 25 lines which said:

 Merci pour vos retours, ou vos pistes !

On serait vendredi, je dirais qu'il faut utiliser IPv6, plutôt...


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Recherche IP

2013-01-22 Par sujet Jérémy Martin

Bon, apparemment, y en a qui font les autistes sur la liste :)

Donc en gros, on cherche un opérateur, broker, entreprise, particulier, 
geek ou homme tout simplement qui accepterais de nous donner / vendre :

- Des informations concernant quelqu'un qui vend des IPv4
- Les coordonnées d'un broker
- Le prix qu'il me propose pour un /21 ou un /22.

Je ne communiquerais évidemment pas de proposition de prix d'achat ici.
Merci d'éviter les troll, on est pas vendredi.

Cordialement,
Jérémy Martin

Le 22/01/2013 16:43, Jérémy Martin a écrit :

Bonjour,

Je lance une bouteille à la mer comme d'autres ont pu le faire ici...
Nous, petit hébergeur en croissance qui essaye de faire des choses dans
le Nord :

On cherche des IPv4...

On a un petit budget qu'on a établit selon les bruits de couloir qu'on a
pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21.

Merci pour vos retours, ou vos pistes !




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Recherche IP

2013-01-22 Par sujet Simon Morvan
Le RIPE a mis en place un marketplace pour cela, non ?

Le 22/01/2013 17:05, Jérémy Martin a écrit :
 Bon, apparemment, y en a qui font les autistes sur la liste :)

 Donc en gros, on cherche un opérateur, broker, entreprise,
 particulier, geek ou homme tout simplement qui accepterais de nous
 donner / vendre :
 - Des informations concernant quelqu'un qui vend des IPv4
 - Les coordonnées d'un broker
 - Le prix qu'il me propose pour un /21 ou un /22.

 Je ne communiquerais évidemment pas de proposition de prix d'achat ici.
 Merci d'éviter les troll, on est pas vendredi.

 Cordialement,
 Jérémy Martin

 Le 22/01/2013 16:43, Jérémy Martin a écrit :
 Bonjour,

 Je lance une bouteille à la mer comme d'autres ont pu le faire ici...
 Nous, petit hébergeur en croissance qui essaye de faire des choses dans
 le Nord :

 On cherche des IPv4...

 On a un petit budget qu'on a établit selon les bruits de couloir qu'on a
 pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21.

 Merci pour vos retours, ou vos pistes !



 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Recherche IP

2013-01-22 Par sujet Jérémy Martin

0 proposition sur le marketsplace pour 40 demandes.

Cordialement,
Jérémy Martin

Le 22/01/2013 17:15, Simon Morvan a écrit :

Le RIPE a mis en place un marketplace pour cela, non ?

Le 22/01/2013 17:05, Jérémy Martin a écrit :

Bon, apparemment, y en a qui font les autistes sur la liste :)

Donc en gros, on cherche un opérateur, broker, entreprise,
particulier, geek ou homme tout simplement qui accepterais de nous
donner / vendre :
- Des informations concernant quelqu'un qui vend des IPv4
- Les coordonnées d'un broker
- Le prix qu'il me propose pour un /21 ou un /22.

Je ne communiquerais évidemment pas de proposition de prix d'achat ici.
Merci d'éviter les troll, on est pas vendredi.

Cordialement,
Jérémy Martin

Le 22/01/2013 16:43, Jérémy Martin a écrit :

Bonjour,

Je lance une bouteille à la mer comme d'autres ont pu le faire ici...
Nous, petit hébergeur en croissance qui essaye de faire des choses dans
le Nord :

On cherche des IPv4...

On a un petit budget qu'on a établit selon les bruits de couloir qu'on a
pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21.

Merci pour vos retours, ou vos pistes !




---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Recherche IP

2013-01-22 Par sujet Raphael Maunier
Ah, merci … :)

J'osais pas dire à Jérémy RTFM :)

-- 
Raphael MAUNIER
Jaguar Network France

On Jan 22, 2013, at 5:15 PM, Simon Morvan gar...@zone84.net wrote:

 Le RIPE a mis en place un marketplace pour cela, non ?
 
 Le 22/01/2013 17:05, Jérémy Martin a écrit :
 Bon, apparemment, y en a qui font les autistes sur la liste :)
 
 Donc en gros, on cherche un opérateur, broker, entreprise,
 particulier, geek ou homme tout simplement qui accepterais de nous
 donner / vendre :
 - Des informations concernant quelqu'un qui vend des IPv4
 - Les coordonnées d'un broker
 - Le prix qu'il me propose pour un /21 ou un /22.
 
 Je ne communiquerais évidemment pas de proposition de prix d'achat ici.
 Merci d'éviter les troll, on est pas vendredi.
 
 Cordialement,
 Jérémy Martin
 
 Le 22/01/2013 16:43, Jérémy Martin a écrit :
 Bonjour,
 
 Je lance une bouteille à la mer comme d'autres ont pu le faire ici...
 Nous, petit hébergeur en croissance qui essaye de faire des choses dans
 le Nord :
 
 On cherche des IPv4...
 
 On a un petit budget qu'on a établit selon les bruits de couloir qu'on a
 pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21.
 
 Merci pour vos retours, ou vos pistes !
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Recherche IP

2013-01-22 Par sujet Christophe Baegert
Le 22/01/2013 17:05, Jérémy Martin a écrit :
 Donc en gros, on cherche un opérateur, broker, entreprise, particulier,
 geek ou homme tout simplement qui accepterais de nous donner / vendre :
 - Des informations concernant quelqu'un qui vend des IPv4

Moi je veux bien vendre des informations sur quelqu'un qui vend des IPv6
:-)

Cordialement,

Christophe


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Recherche IP

2013-01-22 Par sujet Radu-Adrian Feurdean
On Tue, Jan 22, 2013, at 17:15, Simon Morvan wrote:
 Le RIPE a mis en place un marketplace pour cela, non ?

Avantage : faut etre LIR pour ca (avec un /22 gratuit en bonus)
Desavantage : il faut etre LIR pour ca (j'ai pu comprendre que certains
ne veulement tout simplement pas).

Pour beneficier du RIPE listing serivce il faut en plus avoir la
demande pre-approuvee par RIPE NCC. Rien de mechant pour ceux qui sont
prets a faire les choses proprement.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Recherche IP

2013-01-22 Par sujet Simon Morvan
Le 22/01/2013 17:21, Radu-Adrian Feurdean a écrit :
 On Tue, Jan 22, 2013, at 17:15, Simon Morvan wrote:
 Le RIPE a mis en place un marketplace pour cela, non ?
 Avantage : faut etre LIR pour ca (avec un /22 gratuit en bonus)
 Desavantage : il faut etre LIR pour ca (j'ai pu comprendre que certains
 ne veulement tout simplement pas).

 Pour beneficier du RIPE listing serivce il faut en plus avoir la
 demande pre-approuvee par RIPE NCC. Rien de mechant pour ceux qui sont
 prets a faire les choses proprement.
J'imagine que Jeremy a déjà requesté son last /22 et qu'il est donc déjà
membre.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Recherche IP

2013-01-22 Par sujet Jérémy Martin

Indeed.

Cordialement,
Jérémy Martin

Le 22/01/2013 17:25, Simon Morvan a écrit :

Le 22/01/2013 17:21, Radu-Adrian Feurdean a écrit :

On Tue, Jan 22, 2013, at 17:15, Simon Morvan wrote:

Le RIPE a mis en place un marketplace pour cela, non ?

Avantage : faut etre LIR pour ca (avec un /22 gratuit en bonus)
Desavantage : il faut etre LIR pour ca (j'ai pu comprendre que certains
ne veulement tout simplement pas).

Pour beneficier du RIPE listing serivce il faut en plus avoir la
demande pre-approuvee par RIPE NCC. Rien de mechant pour ceux qui sont
prets a faire les choses proprement.

J'imagine que Jeremy a déjà requesté son last /22 et qu'il est donc déjà
membre.


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Fabien Dedenon

Le 16/01/2013 12:35, Radu-Adrian Feurdean a écrit :

J'avais active le v6 sur la partie contenu pour l'IPv6 day 2011, et Free
avait resorti comme la premiere destination (mieux que Renater, HE.net
ou autres). Le probleme etait qu'il n'y avait a l'epoque aucune route
potable qui ne sortait pas de la France. Et ca, malgre 4 transitaires
+ He.net (meilleure route, mais +16ms via Amsterdam).


16ms via ams  avec 100% des paquets, c'est pas mieux que 2 ms avec 98% ?

+


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Gunther Ozerito
Il parait evident que
Externe : le mal absolu truffe de virus, de malware, de failles et de
hacker pour les utiliser.
Interne : bien cache derriere son firewall, aucun risque.

Donc on s'ennuie a gerer les ACLs mais on conserve la possibilite de passer
le wifi en wep ou pire.

De plus l'ouverture dynamique de ports via UPNP est jne excellente idee. Ca
facilite le developpement de backdoor, les hackerz du monde entier vous
remercie.

De plus avec un message du type avec mon gros firewall je suis bien a
l'abris, pas besoin de mettre a jour mon OS, mon antivirus (mon quoi ?) et
mon firewall personnel, on va pas responsabiliser les internautes.
Mettre a jour Java ? Mais pourquoi donc ?.

De plus dans ce cas, la compromission d'un device dans la zone inside et
hop par rebond je prends la totale, du NAS au frigo magique connecté.
Ca me fait penser a ces serveurs Apache tous ports ouverts derriere un
firewall overkill, la ou une regle iptable locale serait plus efficace.

Aux fans de RFC sur la securite par l'obscurantisme, relisez la vieille BCP
38 / rfc 2827 qui date de 2000.
J'aime a penser qu'on peut la resumer par avant de firewaller dans le
reseau, commencer par firewaller les sources et destinations potentielles
avec un filtrage local.

Moi je dis la box de Madame Michu faut qu'elle embarque un moteur IPS,
antivirus, antispam, et de l'analyse de code java et javascript a la volée.
Juste au cas ou.
Le 22 janv. 2013 15:52, Alain Richard alain.rich...@equation.fr a
écrit :

 ou autrement dit, la sécurité globale d'un site repose sur la sécurité de
 l'ensemble des périphériques utilisant le réseau.

 A l'époque du BYOD, on n'est donc pas prêt de voir les responsables
 sécurité faire confiance à tous les machins IP (PC, Macs, imprimantes,
 photocopieurs, tablettes, téléphones, machines à café, ...) !!!

 Donc le déploiement d'un firewall en entreprise n'est pas une option,
 c'est obligatoire.

 Ensuite, si les box à la maison n'implémentent pas une sécurité minimum,
 je vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans
 l'entreprise...

 A+

 Le 22 janv. 2013 à 11:15, sxpert sxp...@sxpert.org a écrit :

  la box n'est qu'un routeur. le firewalling est a faire dans les feuilles,
  c'est à dire les machines connectées, ou dans un firewall intermédiaire
  si vous préférez cette méthode.

 --
 Alain RICHARD mailto:alain.rich...@equation.fr
 EQUATION SA http://www.equation.fr/
 Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
 E-Liance, Opérateur des entreprises et collectivités,
 Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr




 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DNS Serveur

2013-01-22 Par sujet Dominique DERRIER
Hello,

Comme toujours, cela dépend du niveau de risques et de ce que l'on veut
faire.
si c'est pour deux zones qui se battent... Un petit serveur avec un bind
fonctionne parfaitement.
 il faut quand même suivre les mises à jour car il y a quand même
quelques bugs.
4 serveurs pour +2000zones, pour l'instant pas de soucis. (cela peut
fonctionner avec 2)


Il y a aussi Djbdns pour les fanatiques, qui est aussi une bonne
alternative, même si le principe de la segmentation des processus est bien
(c'est trop confisant pour moi).

Je separerai les notions de resolver et serveur dns... Pour éviter
d'expliquer tous les deux jours le principe des Ttl, de délégation...
Comme cela mr tout le monde et au même niveau.

Un élément essentiel reste que la résolution de noms est super longue
100/300ms ... Une éternité pour un photon :)
(c'est ce qui te plomb l'accès au premier octet).

Si c'est pour tes clients  approche le serveur DNS le plus possible d'eux.
Si c'est pour des internautes  pareil ... Les techniques anycast sont
sympathiques quand tu as des serveurs partout dans le monde.
(si le besoin de temps de réponse sur un téléphone mobile au fin fond de
la japon est important  je suis en train de tester route53 du livre dans
les nuages)


Je profite du sujet DNS:
 Est-ce qu'il y a des personnes qui systématisent l'utilisation de DNSSEC
?
 Est-ce que vous avez de bonnes pratiques / QuickWin pour la gestion des
modifications/clefs/master-slave/...

Bonne fin de journée.

++
Dominique

Le 21/01/13 23:00, « Cyril HLAKKACHE » h...@internetown.eu a écrit :

Solarus wrote  Je ne sais pas pourquoi tu veux ouvrir un DNS public mais
c'est déconseillé. Un DNS doit être limité à quelques plages IP ou un AS,
mais un DNS public n'est pas recommandé.

Quelles BCP conseillent explicitement ça ? si c'est un primaire ou
secondaire, je ne pense pas que le filtrage proposé fonctionne. Si c'est
un cache alors, oui ... peut-être ... mais bon c'est un peu dommage tout
de même. Peut-être aussi qu'il y a confusion entre notion de public et
service de cache DNS.
 
eduperron wrote quiz de la redondance?
Solarus wrote Tu redondes le premier avec le deuxième, ou inversement.

ça dépend aussi de quoi on parle. Pour un cache, le mieux est d'informer
tes futurs clients des 2 ou 3 IP de ces serveurs et de les positionner
sur des réseaux différents de préférence et dans la mesure du possible.
S'il s'agit de DNS primaire alors le mieux est d'avoir 2 secondaires,
l'un chez soit, l'autre chez un partenaire comme un FAI par exemple. Pour
la gestion de zone reverse, le mieux est d'avoir un RIR en NS secondaire
comme par exemple le RIPE avec ns.ripe.net.

eduperron wrote Quelles sont les limites d'une solution open source
comme Bind?
Solaris wrote Aucune.

;) tu fais plaisir à Paul Vixie là ! :) disons qu'il faut au moins viser
la dernière ré-écriture en V9. La version 9.9.2-P1 publiée donne un petit
listing des updates :
https://lists.isc.org/pipermail/bind-announce/2012-December/000823.html
arrive la V10, mais mieux vaut laisser les autres tester avant ;)
  
duperron wrote  Quiz de l'ipv6?

Cette page est intéressante aussi à parcourir :
http://livre.g6.asso.fr/index.php/Recommandations_op%C3%A9rationnelles_pou
r_l%27int%C3%A9gration_d%27IPv6

@+°

Cyril H.
---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Jérémie Marguerie
Le 22 janvier 2013 19:10, Gunther Ozerito gozer...@gmail.com a écrit :
 De plus l'ouverture dynamique de ports via UPNP est jne excellente idee. Ca
 facilite le developpement de backdoor, les hackerz du monde entier vous
 remercie.

Monte un FAI avec une box sans UPNP, c'est Madame Michu qui sera ravie
de devoir faire le port forwarding à la main.
Pense à bien dimensionner ton support client, parce qu'il va morfler
dès les premiers jours.

N'oublions pas que la sécurité est un compromis et que ce que tu peux
mettre en entreprise et qui te coûte un bras, tu ne l'appliqueras pas
au particulier qui ne veut pas payer plus de 30€ / mois pour aller sur
youtube et facebook.

Et puis sinon, y a pas besoin d'UPNP pour faire un virus. Le port 80
et 53 suffisent amplement. Tu proposes du DPI pour filtrer les
requêtes ?

-- 
Jérémie MARGUERIE


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà

2013-01-22 Par sujet Gunther Ozerito
 Monte un FAI avec une box sans UPNP, c'est Madame Michu qui sera ravie
 de devoir faire le port forwarding à la main.

C'est pas parce qu'un protocole est utile qu'il est parfait, sans defaut et
bien implementé.
La preuve, on est oblige de le completer par PCP pour gerer le CGN et
autres. Basé sur du broadcast, donc non routable, pas d'authent,
affectation automatique des ports meme s'ils sont deja utilisés, pas
d'encryption ... Bref du tout bon quoi.
Meme Bonjour est mieux pensé, c'est dire.

Bon donc une nouvelle version d'UPnP serait pas du luxe.

 Et puis sinon, y a pas besoin d'UPNP pour faire un virus. Le port 80
 et 53 suffisent amplement. Tu proposes du DPI pour filtrer les
 requêtes ?


La meilleure des plateforme de DPI, les CGV de l'operateur. Le FAI n'est
pas responsable de la securité des équipements connectés a la box ==
demerden sie et installez un antivirus, firewall et/ou mettez votre OS a
jour.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Recherche IP

2013-01-22 Par sujet Xavier Beaudouin
Et... Hum...

Comment dirais-je y a pas des clients qui veulent passer en ipv6 ?

Autrement fais comme certains, ouvres une boite en afrique, inscris-toi sur 
l'AFRNIC et dis que tu as une maison mère en France...

Puis hop routé...

M'enfin j'dis ca, j'dis rien, c'est comme toute les ressources minières de 
l'Afrique: c'est pas eux qui en profite.

Xavier
Le 22 janv. 2013 à 17:31, Jérémy Martin li...@freeheberg.com a écrit :

 Indeed.
 
 Cordialement,
 Jérémy Martin
 
 Le 22/01/2013 17:25, Simon Morvan a écrit :
 Le 22/01/2013 17:21, Radu-Adrian Feurdean a écrit :
 On Tue, Jan 22, 2013, at 17:15, Simon Morvan wrote:
 Le RIPE a mis en place un marketplace pour cela, non ?
 Avantage : faut etre LIR pour ca (avec un /22 gratuit en bonus)
 Desavantage : il faut etre LIR pour ca (j'ai pu comprendre que certains
 ne veulement tout simplement pas).
 
 Pour beneficier du RIPE listing serivce il faut en plus avoir la
 demande pre-approuvee par RIPE NCC. Rien de mechant pour ceux qui sont
 prets a faire les choses proprement.
 J'imagine que Jeremy a déjà requesté son last /22 et qu'il est donc déjà
 membre.
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DNS Serveur

2013-01-22 Par sujet Mikaël Poussard
Le 22/01/2013 19:31, Dominique DERRIER a écrit :
 si c'est pour deux zones qui se battent... Un petit serveur avec un bind
 fonctionne parfaitement.
 il faut quand même suivre les mises à jour car il y a quand même
 quelques bugs.
 4 serveurs pour +2000zones, pour l'instant pas de soucis. (cela peut
 fonctionner avec 2)

Bind fonctionne aussi parfaitement avec plus de 200.000 zones sur une vm
avec 512Mo de RAM...
(avec backend DLZ)

-- 
Mikaël


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Recherche IP

2013-01-22 Par sujet Christophe LUCAS
Vu le nombre de /22 en train d'être annoncé sur les ix, je pense qu'un dossier 
sérieux  au ripe devrait le faire ... Je parle en connaissance de cause.

Amicalement,
--
Christophe

Envoyé de mon téléphone, veuillez excuser ma brièveté.

Le 22 janv. 2013 à 17:05, Jérémy Martin li...@freeheberg.com a écrit :

 Bon, apparemment, y en a qui font les autistes sur la liste :)
 
 Donc en gros, on cherche un opérateur, broker, entreprise, particulier, geek 
 ou homme tout simplement qui accepterais de nous donner / vendre :
 - Des informations concernant quelqu'un qui vend des IPv4
 - Les coordonnées d'un broker
 - Le prix qu'il me propose pour un /21 ou un /22.
 
 Je ne communiquerais évidemment pas de proposition de prix d'achat ici.
 Merci d'éviter les troll, on est pas vendredi.
 
 Cordialement,
 Jérémy Martin
 
 Le 22/01/2013 16:43, Jérémy Martin a écrit :
 Bonjour,
 
 Je lance une bouteille à la mer comme d'autres ont pu le faire ici...
 Nous, petit hébergeur en croissance qui essaye de faire des choses dans
 le Nord :
 
 On cherche des IPv4...
 
 On a un petit budget qu'on a établit selon les bruits de couloir qu'on a
 pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21.
 
 Merci pour vos retours, ou vos pistes !
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Recherche IP

2013-01-22 Par sujet Jérémy Martin
La dernière demande que j'avais fait avait reçu une fin de non recevoir, 
le RIPE pensant que on allais écouler notre /22 LIR trop lentement. 
Résultat, il est presque intégralement routé en 1 mois et demi...


Je vais leur refaire un mail, ça ne coute rien ...

Cordialement,
Jérémy Martin

Le 22/01/2013 22:10, Christophe LUCAS a écrit :

Vu le nombre de /22 en train d'être annoncé sur les ix, je pense qu'un dossier 
sérieux  au ripe devrait le faire ... Je parle en connaissance de cause.

Amicalement,
--
Christophe

Envoyé de mon téléphone, veuillez excuser ma brièveté.

Le 22 janv. 2013 à 17:05, Jérémy Martin li...@freeheberg.com a écrit :


Bon, apparemment, y en a qui font les autistes sur la liste :)

Donc en gros, on cherche un opérateur, broker, entreprise, particulier, geek ou 
homme tout simplement qui accepterais de nous donner / vendre :
- Des informations concernant quelqu'un qui vend des IPv4
- Les coordonnées d'un broker
- Le prix qu'il me propose pour un /21 ou un /22.

Je ne communiquerais évidemment pas de proposition de prix d'achat ici.
Merci d'éviter les troll, on est pas vendredi.

Cordialement,
Jérémy Martin

Le 22/01/2013 16:43, Jérémy Martin a écrit :

Bonjour,

Je lance une bouteille à la mer comme d'autres ont pu le faire ici...
Nous, petit hébergeur en croissance qui essaye de faire des choses dans
le Nord :

On cherche des IPv4...

On a un petit budget qu'on a établit selon les bruits de couloir qu'on a
pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21.

Merci pour vos retours, ou vos pistes !



---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] Re: [TECH] DNS Serveur

2013-01-22 Par sujet Stephane Bortzmeyer
On Tue, Jan 22, 2013 at 07:31:20PM +0100,
 Dominique DERRIER d.derr...@linkbynet.com wrote 
 a message of 100 lines which said:

 Il y a aussi Djbdns pour les fanatiques, qui est aussi une bonne
 alternative,

Non, une très mauvaise. Pas maintenu, ne met en œuvre que ce que djb a
choisi, et ne gère aucune des nouveautés apparues depuis dix ans.

 Un élément essentiel reste que la résolution de noms est super
 longue 100/300ms

Euh, sur la planète Mars, OK, mais sur un service normal, dix fois
moins.

Depuis une ligne ADSL chez le fournisseur qui filtre les pubs pour
notre bien :

% dig A www.linkbynet.com
...
;; Query time: 36 msec

Et, après, c'est gardé dans le cache. Si www.linkbynet.com rame
parfois, c'est parce que le TTL est extrêmement bas. On ne peut pas
avoir le beurre et l'argent du beurre.


---
Liste de diffusion du FRnOG
http://www.frnog.org/