[FRnOG] [MISC] FRNOG 20.0
Bonjour, N'oubliez pas, la réunion FRNOG se déroulera ce vendredi. Si vous vous êtes inscrit mais que vous ne pouvez pas venir, merci de me contacter (ou d'utiliser le lien prévu à cet effet dans l'email de confirmation d'inscription), j'essayerais de redistribuer les places aux personnes ayant oublié de s'inscrire qui m'auraient contacté. Le programme (susceptible de petites updates) est disponible ici : http://www.frnog.org/?page=frnog20 Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : http://zsysctl.blogspot.com --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] DNS Serveur
On Mon, Jan 21, 2013 at 07:34:12PM +0100, eduper...@franceunicom.fr eduper...@franceunicom.fr wrote a message of 20 lines which said: Je suis sur un projet d'implémentation de serveur DNS public Vues les réactions (justifiées), il faudrait préciser. Serveur faisant autorité ou bien résolveur ? Ce sont deux choses complètement différentes (le terme de « serveur DNS » est bien trop vague). Quelles solutions utilisez-vous? Serveur faisant autorité : BIND et NSD (Knot et Yadifa ne me semblent pas encore tout à fait secs et PowerDNS me fait peur). Résolveur : Unbound (je dois avoir encore des BIND quelque part) Quiz de la redondance? Pour des serveurs faisant autorité, elle est bâtie dans le DNS depuis le début, donc pas grand'chose à dire. Il faut avoir plusieurs serveurs, sans SPOF (les mettre tous dans le même rack est donc une mauvaise idée). Pour des résolveurs, c'est plus compliqué, mais Pierre David avait fait un bon exposé à JRES sur la technique utilisée par le réseau Osiris = Ask Not-Evil Google Quelles sont les limites d'une solution open source comme Bind? BIND a des défauts (comme ses concurrents) mais je ne vois pas le rapport avec le fait que ce soit du logiciel libre. Par contre, ce que je ne comprends pas, c'est pourquoi tout le monde installe BIND sans même réflechir : il en existe, des serveurs DNS ! Quiz de l'ipv6? Ça marche. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] DNS Serveur
On Mon, Jan 21, 2013 at 11:00:30PM +0100, Cyril HLAKKACHE h...@internetown.eu wrote a message of 41 lines which said: Quelles BCP conseillent explicitement ça ? RFC 5358: Preventing Use of Recursive Nameservers in Reflector Attacks http://www.bortzmeyer.org/5358.html Voir aussi http://www.bortzmeyer.org/fermer-les-recursifs-ouverts.html Si on le fait quand même, il faut *impérativement* limiter le trafic http://www.bortzmeyer.org/rate-limiting-dns-open-resolver.html sinon, cinq minutes après la mise en route, on est utilisé pour des attaques par réflexion contre des sites de jeux en Chine. Pour un cache, le mieux est d'informer tes futurs clients des 2 ou 3 IP de ces serveurs Le problème est que la bascule d'un résolveur à un autre est bien trop lente pour la plupart des clients (5 secondes par défaut sur un OS Linux typique comme Debian). Les clients finaux ne mémorisent typiquement pas la panne du premier listé et continuent à reessayer. Donc, question redondance, ce n'est pas extra. Je crains qu'on ne puisse pas échapper à VRRP ou équivalent. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] DNS Serveur
On 01/22/2013 09:34 AM, Stephane Bortzmeyer wrote: Serveur faisant autorité : BIND et NSD (Knot et Yadifa ne me semblent pas encore tout à fait secs et PowerDNS me fait peur). Je confirme: nsd est vraiment puissant pour de l'autoritaire ;-) Merci encore aux gens de l'AFNIC pour le conseil pour l'AS112, ca a changé la donne au niveau de la charge infligée à la machine (quoique le setup est tout de même très spécifique). -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à l'utilisateur de faire du firewalling ou de la sécurité de base (RFC6092). Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand nombre d'utilisateurs conscients des enjeux de sécurité désactivent donc l'IPv6 de la freebox alors même qu'ils seraient content d'utiliser IPv6... Cordialement, Le 15 janv. 2013 à 17:35, Frédéric GANDER fgan...@corp.free.fr a écrit : ipv6 activé par défaut sur toute les box v6 depuis janvier 2011 d'ailleurs c'est pas une atteinte à la net neutralité ca ? de forcer l'utilisateur un choix de protocol pour surfer sur l'int[er|ra]net ? --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 E-Liance, Opérateur des entreprises et collectivités, Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
euh car le nat c'est de la securite ? et bientot on va me dire qu'un firewall regle les pb de securite ? nb : un des premier but d'ipv6 c'était de garantir une connectivite end to end sans passer par des machines qui triturent les paquets et la tout le monde veux remettre du statefull firewall ? bon ba on va faire du nat alors ;) - Mail original - De: Alain Richard alain.rich...@equation.fr À: Frédéric GANDER fgan...@corp.free.fr Cc: Liste FRnoG frnog@frnog.org Envoyé: Mardi 22 Janvier 2013 10:33:51 Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à l'utilisateur de faire du firewalling ou de la sécurité de base ( RFC6092). Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand nombre d'utilisateurs conscients des enjeux de sécurité désactivent donc l'IPv6 de la freebox alors même qu'ils seraient content d'utiliser IPv6... Cordialement, Le 15 janv. 2013 à 17:35, Frédéric GANDER fgan...@corp.free.fr a écrit : ipv6 activé par défaut sur toute les box v6 depuis janvier 2011 d'ailleurs c'est pas une atteinte à la net neutralité ca ? de forcer l'utilisateur un choix de protocol pour surfer sur l'int[er|ra]net ? --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 E-Liance, Opérateur des entreprises et collectivités, Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Je n'ai pas vu le mot NAT dans le message d'Alain, en dehors du sujet... Le 22/01/13 10:39, Frédéric GANDER a écrit : euh car le nat c'est de la securite ? et bientot on va me dire qu'un firewall regle les pb de securite ? nb : un des premier but d'ipv6 c'était de garantir une connectivite end to end sans passer par des machines qui triturent les paquets et la tout le monde veux remettre du statefull firewall ? bon ba on va faire du nat alors ;) -- Baptiste MALGUY NEW PGP fingerprint: 70A9 37BB 59F3 481D 190B 3B71 96D8 6328 0B2F 0EA1 OLD PGP fingerprint: 49B0 4F6E 4AA8 B149 B2DF 9267 0F65 6C1C C473 6EC2 signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 2013-01-22 10:33, Alain Richard wrote: Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à l'utilisateur de faire du firewalling ou de la sécurité de base (RFC6092). Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand nombre d'utilisateurs conscients des enjeux de sécurité désactivent donc l'IPv6 de la freebox alors même qu'ils seraient content d'utiliser IPv6... Cordialement, la box n'est qu'un routeur. le firewalling est a faire dans les feuilles, c'est à dire les machines connectées, ou dans un firewall intermédiaire si vous préférez cette méthode. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 22/01/13, sxpertsxp...@sxpert.org a écrit : la box n'est qu'un routeur. le firewalling est a faire dans les feuilles, c'est à dire les machines connectées, ou dans un firewall intermédiaire si vous préférez cette méthode. Le choix de Free de se restreindre à un /64 par abonné complique les choses si on veut mettre un FW intermédiaire tout en profitant de l'auto-configuration. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
firewall intermédiaire qui peut très bien être dans la box (configurable) si on considère que la box ne doit rien faire, à la limite on revient au bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc qui fait dhcp + nat44 + RAs derrière. Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le veuille ou non un firewall stateful qui deny toutes les connections entrantes qui n'ont pas de state ou de règle pour laisser passer. Le 22 janvier 2013 11:15, sxpert sxp...@sxpert.org a écrit : On 2013-01-22 10:33, Alain Richard wrote: Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à l'utilisateur de faire du firewalling ou de la sécurité de base (RFC6092). Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand nombre d'utilisateurs conscients des enjeux de sécurité désactivent donc l'IPv6 de la freebox alors même qu'ils seraient content d'utiliser IPv6... Cordialement, la box n'est qu'un routeur. le firewalling est a faire dans les feuilles, c'est à dire les machines connectées, ou dans un firewall intermédiaire si vous préférez cette méthode. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 2013-01-22 11:19, Rémi Bouhl wrote: Le 22/01/13, sxpertsxp...@sxpert.org a écrit : la box n'est qu'un routeur. le firewalling est a faire dans les feuilles, c'est à dire les machines connectées, ou dans un firewall intermédiaire si vous préférez cette méthode. Le choix de Free de se restreindre à un /64 par abonné complique les choses si on veut mettre un FW intermédiaire tout en profitant de l'auto-configuration. si tu avais suivi, t'aurais vu que maxime sait qu'il manque un bout de GUI pour permettre de router les 7 autres blocs affectés a l'utilisateur --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Rémi Bouhl, le Tue 22 Jan 2013 11:19:22 +0100, a écrit : Le 22/01/13, sxpertsxp...@sxpert.org a écrit : la box n'est qu'un routeur. le firewalling est a faire dans les feuilles, c'est à dire les machines connectées, ou dans un firewall intermédiaire si vous préférez cette méthode. Le choix de Free de se restreindre à un /64 par abonné complique les choses si on veut mettre un FW intermédiaire tout en profitant de l'auto-configuration. J'ai cru lire qu'ils avaient étendu à un /60 (ou du moins commencé à le faire en 2008). Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl remibo...@gmail.com wrote: Le choix de Free de se restreindre à un /64 par abonné complique les choses si on veut mettre un FW intermédiaire tout en profitant de l'auto-configuration. Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4 fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la solution de Free). -- Solarus www.ultrawaves.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On 2013-01-22 11:21, Guillaume Leclanche wrote: firewall intermédiaire qui peut très bien être dans la box (configurable) si on considère que la box ne doit rien faire, à la limite on revient au bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc qui fait dhcp + nat44 + RAs derrière. Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le veuille ou non un firewall stateful qui deny toutes les connections entrantes qui n'ont pas de state ou de règle pour laisser passer. si tu parles de la bidouille utilisée partout pour multiplier les ipv4 non disponibles en quantité suffisante, ce n'est pas du NAT, mais du PAT. de nos jours, vu le fonctionnement des malwares, qui attaquent de l'intérieur en utilisant diverses failles java, flash, navigateur ou humaines (cliquez sur le document machin dans le mail), ca n'amene absolument aucune sécurité. le NAT lui meme, c'est a dire qu'on fait correspondre des addresses 1 pour 1 n'amene pas plus de sécurité. au mieux, il ne sert qu'a obscurcir l'architecture interne --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On ne se débarrassera donc jamais de la rustine NAT parce que les gens ne se fatigueront jamais à faire les choses normalement et proprement et auront toujours en tête que sécu simple = NAT :( monde de merde Frederic Le 1/22/13 11:21 AM, Guillaume Leclanche a écrit : firewall intermédiaire qui peut très bien être dans la box (configurable) si on considère que la box ne doit rien faire, à la limite on revient au bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc qui fait dhcp + nat44 + RAs derrière. Le NAT n'est peut-être pas de la sécurité optimale, ça reste qu'on le veuille ou non un firewall stateful qui deny toutes les connections entrantes qui n'ont pas de state ou de règle pour laisser passer. Le 22 janvier 2013 11:15, sxpert sxp...@sxpert.org a écrit : On 2013-01-22 10:33, Alain Richard wrote: Oui, effectivement free active l'IPv6, mais ne donne aucun moyen à l'utilisateur de faire du firewalling ou de la sécurité de base (RFC6092). Etant donné que depuis 4 ans free n'avance pas sur ce sujet, un grand nombre d'utilisateurs conscients des enjeux de sécurité désactivent donc l'IPv6 de la freebox alors même qu'ils seraient content d'utiliser IPv6... Cordialement, la box n'est qu'un routeur. le firewalling est a faire dans les feuilles, c'est à dire les machines connectées, ou dans un firewall intermédiaire si vous préférez cette méthode. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 22 janv. 2013 à 11:28, Solarus sola...@ultrawaves.fr a écrit : On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl remibo...@gmail.com wrote: Le choix de Free de se restreindre à un /64 par abonné complique les choses si on veut mettre un FW intermédiaire tout en profitant de l'auto-configuration. Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4 fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la solution de Free). 6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. Facile quoi :) -- Frederic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
si on considère que la box ne doit rien faire, à la limite on revient au bon vieux modem serial, et puis on dit à l'utilisateur d'utiliser un truc qui fait dhcp + nat44 + RAs derrière. Je suis pour. C'est d'ailleurs ce que je demandais dans un autre thread : la possibilite de mettre son propre equipement a la place de la box. Bon on peut le faire en mettant son netgear/etc derriere la box en bridge, ca revient a ca, sauf qu'on depend de la box pour la gestion de la ligne (qos, marge de bruit etc. En meme temps c'est exactement la volonte des FAI). Rappelons que la box est dans un contexte grand public ou il est rare de trouver des vlans et/ou des dmz puisqu'il est interdit par les operateurs d'heberger des serveurs. Du coup plusieurs /64 ... Comment dire... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 22 janv. 2013 à 12:02, Frederic Gabut fga...@nautile.fr a écrit : Le 22 janv. 2013 à 11:28, Solarus sola...@ultrawaves.fr a écrit : On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl remibo...@gmail.com wrote: Le choix de Free de se restreindre à un /64 par abonné complique les choses si on veut mettre un FW intermédiaire tout en profitant de l'auto-configuration. Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4 fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la solution de Free). 6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. Facile quoi :) Bon on peut faire plusieurs zones en imaginant des splits aux /16 v4 a grands coups d'usine a gaz pour retomber sur du /56 a partir d'un /32 avec 128 /16 supportés. Bref ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 22 janvier 2013 12:21, Frederic Gabut fga...@nautile.fr a écrit : Le 22 janv. 2013 à 12:02, Frederic Gabut fga...@nautile.fr a écrit : Le 22 janv. 2013 à 11:28, Solarus sola...@ultrawaves.fr a écrit : On Tue, 22 Jan 2013 11:19:22 +0100, Rémi Bouhl remibo...@gmail.com wrote: Le choix de Free de se restreindre à un /64 par abonné complique les choses si on veut mettre un FW intermédiaire tout en profitant de l'auto-configuration. Ils n'ont même pas l'excuse de la technique puisqu'une adresse IPv4 fournit au maximum un /48 IPv6 quand on fait du 6to4 ou du 6rd (la solution de Free). 6to4 appartient au passé. Et 6rd de base pour faire un /48 faut un /16 v6. Facile quoi :) Bon on peut faire plusieurs zones en imaginant des splits aux /16 v4 a grands coups d'usine a gaz pour retomber sur du /56 a partir d'un /32 avec 128 /16 supportés. Bref ! c'est pas un peu gros un /56 par abonné ? Juste un /120 suffirait pour son usage domestique. Faudrait pas gâcher la ressource ipv6 et se plaindre dans quelques années qu'il y a plus car plein de blocs ont été attribués mais ne sont pas utilisés à bon et scient (juste savoir tirer les conclusions de l'usage de l'ipv4) Quand je vois du /64 juste pour une liaison ptp ... rah... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Tue, 22 Jan 2013 13:10:26 +0100, Pascal Rullier pas...@rullier.net wrote: c'est pas un peu gros un /56 par abonné ? Juste un /120 suffirait pour son usage domestique. Faudrait pas gâcher la ressource ipv6 et se plaindre dans quelques années qu'il y a plus car plein de blocs ont été attribués mais ne sont pas utilisés à bon et scient (juste savoir tirer les conclusions de l'usage de l'ipv4) Quand je vois du /64 juste pour une liaison ptp ... rah... Faire du /120 sur IPv6 nécessite de faire de l'adressage manuel ou du DHCPv6, mais la plupart des équipements fonctionnent avec de l'autoconfiguration utilisant sur l'adresse MAC. Compte tenu de la taille de l'adresse MAC, le préfixe le plus grand nécessaire à ces méthodes est un /64. Il y a également un intérêt à pouvoir découper plusieurs /64 dans un préfixe plus petit (/48,/56) pour pouvoir définir plusieurs zones d'autoconfiguration. Quand les plutoniens n'auront plus assez d'IPv6 pour se connecter à InterPlaNet , on pourra se préoccuper de la pénurie d'IPv6. ;) -- Solarus www.ultrawaves.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
- Mail original - De: Baptiste Malguy bapti...@malguy.net À: frnog@frnog.org Envoyé: Mardi 22 Janvier 2013 11:13:37 Objet: Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà Je n'ai pas vu le mot NAT dans le message d'Alain, en dehors du sujet... pourtant ce c'est que ca voulait dire je désactive l'ipv6 car j'ai une ip publique non firewaller sur internet alors que en ipv4 avec le nat actif par defaut je suis proteger Le 22/01/13 10:39, Frédéric GANDER a écrit : euh car le nat c'est de la securite ? et bientot on va me dire qu'un firewall regle les pb de securite ? nb : un des premier but d'ipv6 c'était de garantir une connectivite end to end sans passer par des machines qui triturent les paquets et la tout le monde veux remettre du statefull firewall ? bon ba on va faire du nat alors ;) -- Baptiste MALGUY NEW PGP fingerprint: 70A9 37BB 59F3 481D 190B 3B71 96D8 6328 0B2F 0EA1 OLD PGP fingerprint: 49B0 4F6E 4AA8 B149 B2DF 9267 0F65 6C1C C473 6EC2 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Fibre Noir vers Centre France Telecom ?
Bonjour, Une petite question pour ceux qui ont déjà buché le sujet ;=) France Telecom propose dans son catalogue de service la collecte sur site colocalisé. Je connais les règles pour être hébergé, pas très concevable pour nous. Y a t'il un autre méthode ? Quelqu'un a déjà collecté via une infra fibre noire ? Si oui qui a de la fibre Noire sur Paris et déjà présent dans un site (pour éviter les formalités de pénétration du bâtiment) Olivier. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Fibre Noir vers Centre France Telecom ?
Bonjour, Si Colo n'est pas possible il y a livraison sur POP opérateur pour CEX, NRO pour collecte DSL résidentiel etc... Regardes l'ODR correspondante au produit que tu étudies c'est marqué en toutes lettre et avec les couts aussi. Seb. Le 22/01/2013 14:02, Olivier CALVANO a écrit : Bonjour, Une petite question pour ceux qui ont déjà buché le sujet ;=) France Telecom propose dans son catalogue de service la collecte sur site colocalisé. Je connais les règles pour être hébergé, pas très concevable pour nous. Y a t'il un autre méthode ? Quelqu'un a déjà collecté via une infra fibre noire ? Si oui qui a de la fibre Noire sur Paris et déjà présent dans un site (pour éviter les formalités de pénétration du bâtiment) Olivier. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Appel à propositions JRES 2013
Bonjour, cette conférence peut intéresser certains d'entre-vous, par exemple pour présenter un sujet d'intérêt général sur les réseaux (i.e. non spécifique à la communauté enseigement/recherche), soit pour participer au stand des logiciels libres, soit mettre votre exemple préféré ici. Pierre David P.S.: les inscriptions ne sont pas encore ouvertes, le captcha n'a pas encore été choisi ;-). - Forwarded message from Francois Soler francois.so...@ac-paris.fr - From: Francois Soler francois.so...@ac-paris.fr To: annon...@jres.org Subject: Appel à propositions JRES 2013 Date: Mon, 21 Jan 2013 09:25:20 +0100 Bonjour, *Appel à Propositions *https://2013.jres.org/appel-a-propositions La *10ème* édition des Journées RESeaux (JRES) aura lieudu *10 au 13 décembre 2013* au Corum de Montpellier. Les JRES ont lieu tous les deux ans et s'adressent à l'ensemble de lacommunauté informatique de l'enseignement et de la recherche : architectes et administrateurs systèmes et réseaux, responsables deprojets, directeurs des systèmes d'information, développeurs et utilisateurs. Elles permettent de montrer et de valoriser l'activitéimportante de notre communauté et sa contribution à l'essor et au déploiement des nouvelles technologies pour l'information et lacommunication en constante évolution. Vous avez déployé des architectures et des technologies innovantes, développé de nouveaux services ou participé à des projets d'évolution et d'amélioration des pratiques et des organisations qui ont contribué à fiabiliser, sécuriser et moderniser l'outil informatique pour développer ses usages dans votre institution ? Alors, n'hésitez pas à présenter votre réalisation, en proposant une contribution à ces journées qui sont une vitrine majeure sur l'activité, le dynamisme et les talents de notre communauté. Vous êtes invités à soumettre ces propositions en vous appuyant surles thèmes de référence des JRES https://2013.jres.org/themes selon l'un des formats suivants : * présentations longues (35 min) ; * présentations courtes (10 min) ; * posters ; * tables rondes. Avec cette édition, le comité de programme des JRES propose un nouveautype de contribution sous la forme de lightning talks : présentations informelles très courtes de 5 minutes sur des sujetsdivers. Ces contributions ne sont pas soumises au même processus desélection standard. Les JRES mettent également en place un stand à disposition des associations dans le domaine du logiciel libre, qu'il s'agisse des logiciels libres en général ou d'unlogiciel en particulier. N'hésitez pas à communiquer cette information aux associations dont vous avez connaissance. La langue de la conférence est le français. Néanmoins, les articlesrédigés et/ou présentés en anglais sont également acceptés. Toutes les informations sont disponibles sur le site de la conférencehttps://2013.jres.org/. Les personnes souhaitant soumettre une proposition et les associations souhaitant profiter d'un standsont invitées à prendre connaissance des instructions https://2013.jres.org/instructions. Les propositions doivent être déposées au plus tard le 8 mars 2013. En espérant recevoir d'abondantes propositions nous permettant d'élaborer un programme de qualité qui vous donnera envie de venir nombreux à cette nouvelle édition. -- Pour le Comité de Programme JRES 2013 François Soler et Pierre David preside...@jres.org - End forwarded message - --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Bonjour, On Tue, 22 Jan 2013 15:24:51 +0100 Paul Rolland (ポール・ロラン) rol+fr...@witbe.net wrote: Bonjour, On Tue, 22 Jan 2013 11:15:21 +0100 sxpert sxp...@sxpert.org wrote: la box n'est qu'un routeur. le firewalling est a faire dans les feuilles, Ca n'empeche pas un routeur d'avoir des ACLs, d'ailleurs, surprise, Free propose de configurer des filtres sur IPv4. Groumpf... Piege par le jetlag, ce que permet l'interface, c'est du parametrage de Nat, pas des acls :( Et oui, rien de rien sur IPv6, c'est vraiment dommage... ca ne devrait quand meme pas etre si complique que ca... Ca, par contre, ca reste vrai :) Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Il n'est pas question ici de débattre si le NAT est ou n'est pas une sécurisation. Lisez la RFC6092 : Recommended Simple Security Capabilities in Customer Premises Equipment (CPE) for Providing Residential IPv6 Internet Service et arrêter d'incendier le monde avec la position extrême disant qu'IPv6 ne doit faire que du routage transparent, c'est une des raisons principales qui a freiné l'adoption d'IPv6. A+ Merci de lire la RFC6092 Le 22 janv. 2013 à 10:39, Frédéric GANDER fgan...@corp.free.fr a écrit : euh car le nat c'est de la securite ? et bientot on va me dire qu'un firewall regle les pb de securite ? nb : un des premier but d'ipv6 c'était de garantir une connectivite end to end sans passer par des machines qui triturent les paquets et la tout le monde veux remettre du statefull firewall ? bon ba on va faire du nat alors ;) -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 E-Liance, Opérateur des entreprises et collectivités, Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Fibre Noir vers Centre France Telecom ?
Oui je sais mais vous vous en doutez, ce n'est pas l'accès a la prestation mais le prix de l'accès a celle ci. Le 22 janvier 2013 14:59, Sebastien Lesimple s.lesim...@b-and-c.net a écrit : Bonjour, Si Colo n'est pas possible il y a livraison sur POP opérateur pour CEX, NRO pour collecte DSL résidentiel etc... Regardes l'ODR correspondante au produit que tu étudies c'est marqué en toutes lettre et avec les couts aussi. Seb. Le 22/01/2013 14:02, Olivier CALVANO a écrit : Bonjour, Une petite question pour ceux qui ont déjà buché le sujet ;=) France Telecom propose dans son catalogue de service la collecte sur site colocalisé. Je connais les règles pour être hébergé, pas très concevable pour nous. Y a t'il un autre méthode ? Quelqu'un a déjà collecté via une infra fibre noire ? Si oui qui a de la fibre Noire sur Paris et déjà présent dans un site (pour éviter les formalités de pénétration du bâtiment) Olivier. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
ou autrement dit, la sécurité globale d'un site repose sur la sécurité de l'ensemble des périphériques utilisant le réseau. A l'époque du BYOD, on n'est donc pas prêt de voir les responsables sécurité faire confiance à tous les machins IP (PC, Macs, imprimantes, photocopieurs, tablettes, téléphones, machines à café, ...) !!! Donc le déploiement d'un firewall en entreprise n'est pas une option, c'est obligatoire. Ensuite, si les box à la maison n'implémentent pas une sécurité minimum, je vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans l'entreprise... A+ Le 22 janv. 2013 à 11:15, sxpert sxp...@sxpert.org a écrit : la box n'est qu'un routeur. le firewalling est a faire dans les feuilles, c'est à dire les machines connectées, ou dans un firewall intermédiaire si vous préférez cette méthode. -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 E-Liance, Opérateur des entreprises et collectivités, Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 22 janvier 2013 15:38, Paul Rolland rol+fr...@witbe.net a écrit : Groumpf... Piege par le jetlag, ce que permet l'interface, c'est du parametrage de Nat, pas des acls :( Je ne suis pas expert en NAT et UPNP mais la sécurité qu'offre le NAT est somme toute celle d'un firewall stateful avec des règles assez basiques : FORWARD accepté de *interne vers externe*. FORWARD accepté de *externe vers externe* Si *connexion déjà établie*. Donc en somme, si une box avec ipv6 met en place ce genre de règles de firewall, l'utilisateur est aussi protégé que via du NAT (on bloque les connexions entrantes non sollicitées, ça suffit à la plupart des gens). Il ne manque qu'une chose, la capacité d'ouvrir des ports pour que les applications le nécessitant ne soient pas bloquées. Les solutions existent en IPv4 (NAT-PMP, UPNP, ...). La box peut paramètrer son firewall en suivant les demandent de NAT traversal émisent via UPNP Internet Gateway Device Protocol. Linux-IGD (http://linux-igd.sourceforge.net/) semble le faire via du DNAT, rien n'empêche de changer les règles de firewall insérées. Du coup : * IPv4 + NAT + UPNP * IPv6 + Firewall + UPNP Et le tour est joué, non ? On peut déjà faire du port forwarding sur le NAT des box avec l'interface du FAI, rajouter une option ipv4/ipv6 et de toucher soit au NAT, soit d'ouvrir bêtement le port (vers une destination, un masque, ou vers tout le sous-réseau) fait l'affaire. J'ai loupé quelque chose ? -- Jérémie MARGUERIE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
On Tue, Jan 22, 2013, at 15:51, Alain Richard wrote: ou autrement dit, la sécurité globale d'un site repose sur la sécurité de l'ensemble des périphériques utilisant le réseau. Apart le fait d'etre ingerable dans la plupart des cas, c'est pas une mauvaise idee A l'époque du BYOD, on n'est donc pas prêt de voir les responsables sécurité faire confiance à tous les machins IP (PC, Macs, imprimantes, photocopieurs, tablettes, téléphones, machines à café, ...) !!! Your device, your security. Dans un cotexte BYOD c'est meme pas mal comme concept. Mais ca reste ingerable/difficilement gerable. Je sais pas toi, mais moi je n'accepte pas qu'on deploie de politiques de securite a la con sur *mon* *device* (ma propriete perso). Ils veulent de la secu, ils me filent leur device. Donc le déploiement d'un firewall en entreprise n'est pas une option, c'est obligatoire. Un firewall pour proteger entre eux des devices sur le meme subnet on-link ?!?!?!?!?!?!?!?! Ensuite, si les box à la maison n'implémentent pas une sécurité minimum, je vous dis pas la joie du BYOD lorsque l'utilisateur retourne dans l'entreprise... T'a pas du voir l'etat dans lequel se trouvent pas mal de machines de non-techniques. Tu decris exactement le raison pour lequel la securite *par* *device* a un sens. Dommage que c'est aussi difficilement gerable (le cas ou je ne l'ai pas dit sufisamment de fois). --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [BIZ] Recherche IP
On Tue, Jan 22, 2013 at 04:43:14PM +0100, Jérémy Martin li...@freeheberg.com wrote a message of 25 lines which said: Merci pour vos retours, ou vos pistes ! On serait vendredi, je dirais qu'il faut utiliser IPv6, plutôt... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Recherche IP
Bon, apparemment, y en a qui font les autistes sur la liste :) Donc en gros, on cherche un opérateur, broker, entreprise, particulier, geek ou homme tout simplement qui accepterais de nous donner / vendre : - Des informations concernant quelqu'un qui vend des IPv4 - Les coordonnées d'un broker - Le prix qu'il me propose pour un /21 ou un /22. Je ne communiquerais évidemment pas de proposition de prix d'achat ici. Merci d'éviter les troll, on est pas vendredi. Cordialement, Jérémy Martin Le 22/01/2013 16:43, Jérémy Martin a écrit : Bonjour, Je lance une bouteille à la mer comme d'autres ont pu le faire ici... Nous, petit hébergeur en croissance qui essaye de faire des choses dans le Nord : On cherche des IPv4... On a un petit budget qu'on a établit selon les bruits de couloir qu'on a pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21. Merci pour vos retours, ou vos pistes ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Recherche IP
Le RIPE a mis en place un marketplace pour cela, non ? Le 22/01/2013 17:05, Jérémy Martin a écrit : Bon, apparemment, y en a qui font les autistes sur la liste :) Donc en gros, on cherche un opérateur, broker, entreprise, particulier, geek ou homme tout simplement qui accepterais de nous donner / vendre : - Des informations concernant quelqu'un qui vend des IPv4 - Les coordonnées d'un broker - Le prix qu'il me propose pour un /21 ou un /22. Je ne communiquerais évidemment pas de proposition de prix d'achat ici. Merci d'éviter les troll, on est pas vendredi. Cordialement, Jérémy Martin Le 22/01/2013 16:43, Jérémy Martin a écrit : Bonjour, Je lance une bouteille à la mer comme d'autres ont pu le faire ici... Nous, petit hébergeur en croissance qui essaye de faire des choses dans le Nord : On cherche des IPv4... On a un petit budget qu'on a établit selon les bruits de couloir qu'on a pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21. Merci pour vos retours, ou vos pistes ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Recherche IP
0 proposition sur le marketsplace pour 40 demandes. Cordialement, Jérémy Martin Le 22/01/2013 17:15, Simon Morvan a écrit : Le RIPE a mis en place un marketplace pour cela, non ? Le 22/01/2013 17:05, Jérémy Martin a écrit : Bon, apparemment, y en a qui font les autistes sur la liste :) Donc en gros, on cherche un opérateur, broker, entreprise, particulier, geek ou homme tout simplement qui accepterais de nous donner / vendre : - Des informations concernant quelqu'un qui vend des IPv4 - Les coordonnées d'un broker - Le prix qu'il me propose pour un /21 ou un /22. Je ne communiquerais évidemment pas de proposition de prix d'achat ici. Merci d'éviter les troll, on est pas vendredi. Cordialement, Jérémy Martin Le 22/01/2013 16:43, Jérémy Martin a écrit : Bonjour, Je lance une bouteille à la mer comme d'autres ont pu le faire ici... Nous, petit hébergeur en croissance qui essaye de faire des choses dans le Nord : On cherche des IPv4... On a un petit budget qu'on a établit selon les bruits de couloir qu'on a pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21. Merci pour vos retours, ou vos pistes ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Recherche IP
Ah, merci … :) J'osais pas dire à Jérémy RTFM :) -- Raphael MAUNIER Jaguar Network France On Jan 22, 2013, at 5:15 PM, Simon Morvan gar...@zone84.net wrote: Le RIPE a mis en place un marketplace pour cela, non ? Le 22/01/2013 17:05, Jérémy Martin a écrit : Bon, apparemment, y en a qui font les autistes sur la liste :) Donc en gros, on cherche un opérateur, broker, entreprise, particulier, geek ou homme tout simplement qui accepterais de nous donner / vendre : - Des informations concernant quelqu'un qui vend des IPv4 - Les coordonnées d'un broker - Le prix qu'il me propose pour un /21 ou un /22. Je ne communiquerais évidemment pas de proposition de prix d'achat ici. Merci d'éviter les troll, on est pas vendredi. Cordialement, Jérémy Martin Le 22/01/2013 16:43, Jérémy Martin a écrit : Bonjour, Je lance une bouteille à la mer comme d'autres ont pu le faire ici... Nous, petit hébergeur en croissance qui essaye de faire des choses dans le Nord : On cherche des IPv4... On a un petit budget qu'on a établit selon les bruits de couloir qu'on a pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21. Merci pour vos retours, ou vos pistes ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Recherche IP
Le 22/01/2013 17:05, Jérémy Martin a écrit : Donc en gros, on cherche un opérateur, broker, entreprise, particulier, geek ou homme tout simplement qui accepterais de nous donner / vendre : - Des informations concernant quelqu'un qui vend des IPv4 Moi je veux bien vendre des informations sur quelqu'un qui vend des IPv6 :-) Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Recherche IP
On Tue, Jan 22, 2013, at 17:15, Simon Morvan wrote: Le RIPE a mis en place un marketplace pour cela, non ? Avantage : faut etre LIR pour ca (avec un /22 gratuit en bonus) Desavantage : il faut etre LIR pour ca (j'ai pu comprendre que certains ne veulement tout simplement pas). Pour beneficier du RIPE listing serivce il faut en plus avoir la demande pre-approuvee par RIPE NCC. Rien de mechant pour ceux qui sont prets a faire les choses proprement. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Recherche IP
Le 22/01/2013 17:21, Radu-Adrian Feurdean a écrit : On Tue, Jan 22, 2013, at 17:15, Simon Morvan wrote: Le RIPE a mis en place un marketplace pour cela, non ? Avantage : faut etre LIR pour ca (avec un /22 gratuit en bonus) Desavantage : il faut etre LIR pour ca (j'ai pu comprendre que certains ne veulement tout simplement pas). Pour beneficier du RIPE listing serivce il faut en plus avoir la demande pre-approuvee par RIPE NCC. Rien de mechant pour ceux qui sont prets a faire les choses proprement. J'imagine que Jeremy a déjà requesté son last /22 et qu'il est donc déjà membre. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Recherche IP
Indeed. Cordialement, Jérémy Martin Le 22/01/2013 17:25, Simon Morvan a écrit : Le 22/01/2013 17:21, Radu-Adrian Feurdean a écrit : On Tue, Jan 22, 2013, at 17:15, Simon Morvan wrote: Le RIPE a mis en place un marketplace pour cela, non ? Avantage : faut etre LIR pour ca (avec un /22 gratuit en bonus) Desavantage : il faut etre LIR pour ca (j'ai pu comprendre que certains ne veulement tout simplement pas). Pour beneficier du RIPE listing serivce il faut en plus avoir la demande pre-approuvee par RIPE NCC. Rien de mechant pour ceux qui sont prets a faire les choses proprement. J'imagine que Jeremy a déjà requesté son last /22 et qu'il est donc déjà membre. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 16/01/2013 12:35, Radu-Adrian Feurdean a écrit : J'avais active le v6 sur la partie contenu pour l'IPv6 day 2011, et Free avait resorti comme la premiere destination (mieux que Renater, HE.net ou autres). Le probleme etait qu'il n'y avait a l'epoque aucune route potable qui ne sortait pas de la France. Et ca, malgre 4 transitaires + He.net (meilleure route, mais +16ms via Amsterdam). 16ms via ams avec 100% des paquets, c'est pas mieux que 2 ms avec 98% ? + --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DNS Serveur
Hello, Comme toujours, cela dépend du niveau de risques et de ce que l'on veut faire. si c'est pour deux zones qui se battent... Un petit serveur avec un bind fonctionne parfaitement. il faut quand même suivre les mises à jour car il y a quand même quelques bugs. 4 serveurs pour +2000zones, pour l'instant pas de soucis. (cela peut fonctionner avec 2) Il y a aussi Djbdns pour les fanatiques, qui est aussi une bonne alternative, même si le principe de la segmentation des processus est bien (c'est trop confisant pour moi). Je separerai les notions de resolver et serveur dns... Pour éviter d'expliquer tous les deux jours le principe des Ttl, de délégation... Comme cela mr tout le monde et au même niveau. Un élément essentiel reste que la résolution de noms est super longue 100/300ms ... Une éternité pour un photon :) (c'est ce qui te plomb l'accès au premier octet). Si c'est pour tes clients approche le serveur DNS le plus possible d'eux. Si c'est pour des internautes pareil ... Les techniques anycast sont sympathiques quand tu as des serveurs partout dans le monde. (si le besoin de temps de réponse sur un téléphone mobile au fin fond de la japon est important je suis en train de tester route53 du livre dans les nuages) Je profite du sujet DNS: Est-ce qu'il y a des personnes qui systématisent l'utilisation de DNSSEC ? Est-ce que vous avez de bonnes pratiques / QuickWin pour la gestion des modifications/clefs/master-slave/... Bonne fin de journée. ++ Dominique Le 21/01/13 23:00, « Cyril HLAKKACHE » h...@internetown.eu a écrit : Solarus wrote Je ne sais pas pourquoi tu veux ouvrir un DNS public mais c'est déconseillé. Un DNS doit être limité à quelques plages IP ou un AS, mais un DNS public n'est pas recommandé. Quelles BCP conseillent explicitement ça ? si c'est un primaire ou secondaire, je ne pense pas que le filtrage proposé fonctionne. Si c'est un cache alors, oui ... peut-être ... mais bon c'est un peu dommage tout de même. Peut-être aussi qu'il y a confusion entre notion de public et service de cache DNS. eduperron wrote quiz de la redondance? Solarus wrote Tu redondes le premier avec le deuxième, ou inversement. ça dépend aussi de quoi on parle. Pour un cache, le mieux est d'informer tes futurs clients des 2 ou 3 IP de ces serveurs et de les positionner sur des réseaux différents de préférence et dans la mesure du possible. S'il s'agit de DNS primaire alors le mieux est d'avoir 2 secondaires, l'un chez soit, l'autre chez un partenaire comme un FAI par exemple. Pour la gestion de zone reverse, le mieux est d'avoir un RIR en NS secondaire comme par exemple le RIPE avec ns.ripe.net. eduperron wrote Quelles sont les limites d'une solution open source comme Bind? Solaris wrote Aucune. ;) tu fais plaisir à Paul Vixie là ! :) disons qu'il faut au moins viser la dernière ré-écriture en V9. La version 9.9.2-P1 publiée donne un petit listing des updates : https://lists.isc.org/pipermail/bind-announce/2012-December/000823.html arrive la V10, mais mieux vaut laisser les autres tester avant ;) duperron wrote Quiz de l'ipv6? Cette page est intéressante aussi à parcourir : http://livre.g6.asso.fr/index.php/Recommandations_op%C3%A9rationnelles_pou r_l%27int%C3%A9gration_d%27IPv6 @+° Cyril H. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 22 janvier 2013 19:10, Gunther Ozerito gozer...@gmail.com a écrit : De plus l'ouverture dynamique de ports via UPNP est jne excellente idee. Ca facilite le developpement de backdoor, les hackerz du monde entier vous remercie. Monte un FAI avec une box sans UPNP, c'est Madame Michu qui sera ravie de devoir faire le port forwarding à la main. Pense à bien dimensionner ton support client, parce qu'il va morfler dès les premiers jours. N'oublions pas que la sécurité est un compromis et que ce que tu peux mettre en entreprise et qui te coûte un bras, tu ne l'appliqueras pas au particulier qui ne veut pas payer plus de 30€ / mois pour aller sur youtube et facebook. Et puis sinon, y a pas besoin d'UPNP pour faire un virus. Le port 80 et 53 suffisent amplement. Tu proposes du DPI pour filtrer les requêtes ? -- Jérémie MARGUERIE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Monte un FAI avec une box sans UPNP, c'est Madame Michu qui sera ravie de devoir faire le port forwarding à la main. C'est pas parce qu'un protocole est utile qu'il est parfait, sans defaut et bien implementé. La preuve, on est oblige de le completer par PCP pour gerer le CGN et autres. Basé sur du broadcast, donc non routable, pas d'authent, affectation automatique des ports meme s'ils sont deja utilisés, pas d'encryption ... Bref du tout bon quoi. Meme Bonjour est mieux pensé, c'est dire. Bon donc une nouvelle version d'UPnP serait pas du luxe. Et puis sinon, y a pas besoin d'UPNP pour faire un virus. Le port 80 et 53 suffisent amplement. Tu proposes du DPI pour filtrer les requêtes ? La meilleure des plateforme de DPI, les CGV de l'operateur. Le FAI n'est pas responsable de la securité des équipements connectés a la box == demerden sie et installez un antivirus, firewall et/ou mettez votre OS a jour. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Recherche IP
Et... Hum... Comment dirais-je y a pas des clients qui veulent passer en ipv6 ? Autrement fais comme certains, ouvres une boite en afrique, inscris-toi sur l'AFRNIC et dis que tu as une maison mère en France... Puis hop routé... M'enfin j'dis ca, j'dis rien, c'est comme toute les ressources minières de l'Afrique: c'est pas eux qui en profite. Xavier Le 22 janv. 2013 à 17:31, Jérémy Martin li...@freeheberg.com a écrit : Indeed. Cordialement, Jérémy Martin Le 22/01/2013 17:25, Simon Morvan a écrit : Le 22/01/2013 17:21, Radu-Adrian Feurdean a écrit : On Tue, Jan 22, 2013, at 17:15, Simon Morvan wrote: Le RIPE a mis en place un marketplace pour cela, non ? Avantage : faut etre LIR pour ca (avec un /22 gratuit en bonus) Desavantage : il faut etre LIR pour ca (j'ai pu comprendre que certains ne veulement tout simplement pas). Pour beneficier du RIPE listing serivce il faut en plus avoir la demande pre-approuvee par RIPE NCC. Rien de mechant pour ceux qui sont prets a faire les choses proprement. J'imagine que Jeremy a déjà requesté son last /22 et qu'il est donc déjà membre. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DNS Serveur
Le 22/01/2013 19:31, Dominique DERRIER a écrit : si c'est pour deux zones qui se battent... Un petit serveur avec un bind fonctionne parfaitement. il faut quand même suivre les mises à jour car il y a quand même quelques bugs. 4 serveurs pour +2000zones, pour l'instant pas de soucis. (cela peut fonctionner avec 2) Bind fonctionne aussi parfaitement avec plus de 200.000 zones sur une vm avec 512Mo de RAM... (avec backend DLZ) -- Mikaël --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Recherche IP
Vu le nombre de /22 en train d'être annoncé sur les ix, je pense qu'un dossier sérieux au ripe devrait le faire ... Je parle en connaissance de cause. Amicalement, -- Christophe Envoyé de mon téléphone, veuillez excuser ma brièveté. Le 22 janv. 2013 à 17:05, Jérémy Martin li...@freeheberg.com a écrit : Bon, apparemment, y en a qui font les autistes sur la liste :) Donc en gros, on cherche un opérateur, broker, entreprise, particulier, geek ou homme tout simplement qui accepterais de nous donner / vendre : - Des informations concernant quelqu'un qui vend des IPv4 - Les coordonnées d'un broker - Le prix qu'il me propose pour un /21 ou un /22. Je ne communiquerais évidemment pas de proposition de prix d'achat ici. Merci d'éviter les troll, on est pas vendredi. Cordialement, Jérémy Martin Le 22/01/2013 16:43, Jérémy Martin a écrit : Bonjour, Je lance une bouteille à la mer comme d'autres ont pu le faire ici... Nous, petit hébergeur en croissance qui essaye de faire des choses dans le Nord : On cherche des IPv4... On a un petit budget qu'on a établit selon les bruits de couloir qu'on a pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21. Merci pour vos retours, ou vos pistes ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Recherche IP
La dernière demande que j'avais fait avait reçu une fin de non recevoir, le RIPE pensant que on allais écouler notre /22 LIR trop lentement. Résultat, il est presque intégralement routé en 1 mois et demi... Je vais leur refaire un mail, ça ne coute rien ... Cordialement, Jérémy Martin Le 22/01/2013 22:10, Christophe LUCAS a écrit : Vu le nombre de /22 en train d'être annoncé sur les ix, je pense qu'un dossier sérieux au ripe devrait le faire ... Je parle en connaissance de cause. Amicalement, -- Christophe Envoyé de mon téléphone, veuillez excuser ma brièveté. Le 22 janv. 2013 à 17:05, Jérémy Martin li...@freeheberg.com a écrit : Bon, apparemment, y en a qui font les autistes sur la liste :) Donc en gros, on cherche un opérateur, broker, entreprise, particulier, geek ou homme tout simplement qui accepterais de nous donner / vendre : - Des informations concernant quelqu'un qui vend des IPv4 - Les coordonnées d'un broker - Le prix qu'il me propose pour un /21 ou un /22. Je ne communiquerais évidemment pas de proposition de prix d'achat ici. Merci d'éviter les troll, on est pas vendredi. Cordialement, Jérémy Martin Le 22/01/2013 16:43, Jérémy Martin a écrit : Bonjour, Je lance une bouteille à la mer comme d'autres ont pu le faire ici... Nous, petit hébergeur en croissance qui essaye de faire des choses dans le Nord : On cherche des IPv4... On a un petit budget qu'on a établit selon les bruits de couloir qu'on a pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21. Merci pour vos retours, ou vos pistes ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] DNS Serveur
On Tue, Jan 22, 2013 at 07:31:20PM +0100, Dominique DERRIER d.derr...@linkbynet.com wrote a message of 100 lines which said: Il y a aussi Djbdns pour les fanatiques, qui est aussi une bonne alternative, Non, une très mauvaise. Pas maintenu, ne met en œuvre que ce que djb a choisi, et ne gère aucune des nouveautés apparues depuis dix ans. Un élément essentiel reste que la résolution de noms est super longue 100/300ms Euh, sur la planète Mars, OK, mais sur un service normal, dix fois moins. Depuis une ligne ADSL chez le fournisseur qui filtre les pubs pour notre bien : % dig A www.linkbynet.com ... ;; Query time: 36 msec Et, après, c'est gardé dans le cache. Si www.linkbynet.com rame parfois, c'est parce que le TTL est extrêmement bas. On ne peut pas avoir le beurre et l'argent du beurre. --- Liste de diffusion du FRnOG http://www.frnog.org/