Re: [FRnOG] [TECH] RFC 6820: Address Resolution Problems in Large Data Center Network

2013-01-31 Par sujet Jimmy Thrasibule
Le plus souvent dans les data center, on possède un inventaire des
adresses physiques de chaque machine.

Ne serait-il pas imaginable de créer une sorte de serveur DNS pour les
adresses physiques ?


Jimmy



---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] C2E France Telecom

2013-01-31 Par sujet David MARCIANO
Personne n'a mis en place une porte C2E Orange ?

Merci :)


Bonne réception
David Marciano


14, rue Crespin du Gast - 75011 Paris - France
Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08
Mail : dmarci...@adenis.fr 



-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David MARCIANO
Envoyé : mardi 29 janvier 2013 11:38
Cc : 'frnog@frnog.org'
Objet : [FRnOG] [TECH] C2E France Telecom

Bonjour Messieurs, 

Je suis à la recherche d'un confrere qui a déjà mis en prod une porte de 
collecte C2E FT, on a tout de livré avec des spec qui ont plus d'un an, si on 
pouvait gagner du temps, ce serait super cool. 

Merci d'avance. 


Bonne réception
David Marciano


14, rue Crespin du Gast - 75011 Paris - France Tel : +33 (0)1 48 24 07 07 - Fax 
: +33 (0)1 48 24 07 08 Mail : dmarci...@adenis.fr 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] RFC 6820: Address Resolution Problems in Large Data Center Network

2013-01-31 Par sujet Simon Morvan
Jimmy Thrasibule thrasibule.ji...@gmail.com wrote:

Le plus souvent dans les data center, on possède un inventaire des
adresses physiques de chaque machine.

Ne serait-il pas imaginable de créer une sorte de serveur DNS pour les
adresses physiques ?


Jimmy



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Une table/un cache ARP partagé entre tous les switchs d'un même L2 ?

On risque pas d'avoir une énorme latence quand CARP, VRRP, ... basculent ?
-- 
Simon Morvan
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] RFC 6820: Address Resolution Problems in Large Data Center Network

2013-01-31 Par sujet Emmanuel Thierry

Bonjour,

Le 31 janv. 2013 à 09:19, Jimmy Thrasibule a écrit :

 Le plus souvent dans les data center, on possède un inventaire des
 adresses physiques de chaque machine.
 
 Ne serait-il pas imaginable de créer une sorte de serveur DNS pour les
 adresses physiques ?

Le protocole LISP décrit récemment par Stéphane Bortzmeyer 
[http://www.bortzmeyer.org/6830.html] n'est-il pas ce genre de protocoles ?
Il me parait plutôt adapté à cette utilisation: Migration de VM = Changement 
de RLOC = Mise à jour de la base ALT

Cordialement
Emmanuel Thierry


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] RFC 6820: Address Resolution Problems in Large Data Center Network

2013-01-31 Par sujet Teto
Le protocole TRILL propose un système d'annuaire qui permet de réduire
l'ARP. Quand on ne connaît pas la MAC attachée à une IP on peut
interroger l'annuaire.
http://datatracker.ietf.org/doc/draft-ietf-trill-directory-framework/

2013/1/31 Emmanuel Thierry m...@sekil.fr:

 Bonjour,

 Le 31 janv. 2013 à 09:19, Jimmy Thrasibule a écrit :

 Le plus souvent dans les data center, on possède un inventaire des
 adresses physiques de chaque machine.

 Ne serait-il pas imaginable de créer une sorte de serveur DNS pour les
 adresses physiques ?

 Le protocole LISP décrit récemment par Stéphane Bortzmeyer 
 [http://www.bortzmeyer.org/6830.html] n'est-il pas ce genre de protocoles ?
 Il me parait plutôt adapté à cette utilisation: Migration de VM = Changement 
 de RLOC = Mise à jour de la base ALT

 Cordialement
 Emmanuel Thierry


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] RFC 6820: Address Resolution Problems in Large Data Center Network

2013-01-31 Par sujet Guillaume Barrot
Il ne reste plus qu'à décrire proprement une méthode Trill - Lisp
interconnect pour avoir un mapping complet entre les différentes couches,
mais aussi pour signaler plus proprement un déplacement de ressources (à
l'heure actuelle, Lisp attend que la ressource déplacée envoie un premier
paquet pour initier la mise à jour, ce qui a comme conséquence d'introduire
une latence supplémentaire).


Le 31 janvier 2013 11:06, Teto matta...@gmail.com a écrit :

 Le protocole TRILL propose un système d'annuaire qui permet de réduire
 l'ARP. Quand on ne connaît pas la MAC attachée à une IP on peut
 interroger l'annuaire.
 http://datatracker.ietf.org/doc/draft-ietf-trill-directory-framework/

 2013/1/31 Emmanuel Thierry m...@sekil.fr:
 
  Bonjour,
 
  Le 31 janv. 2013 à 09:19, Jimmy Thrasibule a écrit :
 
  Le plus souvent dans les data center, on possède un inventaire des
  adresses physiques de chaque machine.
 
  Ne serait-il pas imaginable de créer une sorte de serveur DNS pour les
  adresses physiques ?
 
  Le protocole LISP décrit récemment par Stéphane Bortzmeyer [
 http://www.bortzmeyer.org/6830.html] n'est-il pas ce genre de protocoles ?
  Il me parait plutôt adapté à cette utilisation: Migration de VM =
 Changement de RLOC = Mise à jour de la base ALT
 
  Cordialement
  Emmanuel Thierry
 
 
  ---
  Liste de diffusion du FRnOG
  http://www.frnog.org/


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/




-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Wifi CISCO

2013-01-31 Par sujet Stéphane Kanschine
Le jeu. 31 janv., vers 08:33, proreseau exprimait :

 Bonjour,

Bonjour,
 
 Je suis a la recherche d'un partenaire CISCO spécialisé dans les
 déploiement WiFi indoor et outdoor de leur solution. Avez vous un retour
 d’expérience avec un prestataire particulier dans ce contexte précis ?

Nous les avions rencontré (dans une ancienne boîte) pour mettre en
place une solution de réalité contextuelle basé sur des mobiles.

Cisco eux même ont une liste de partenaires pour le déploiement de ce
genre de solutions. Ils ont même un lab à Issy les Moulinaux pour
tester les réglages, avec des AP répartis dans le bâtiment.

En bref, tu devrais leur demander :-)

Numériquement,
Stéphane K. 
-- 
Quand on me parle d'une femme cultivée, je l'imagine avec des carottes
dans les oreilles et du cerfeuil entre les doigts de pied. 
-+- Sacha Guitry -+-


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Antoine Durant
Bonjour,
 
Je me demande si d’installer et configurer un iptables sur un routeur BGP 
Quagga (debian) est une bonne chose ?
Est-ce que cela ne vas pas ralentir le routage ?

Si vous mettez un iptables sur vos routeurs soft, comment configurez-vous votre 
firewall ?
 
En gros se serait aussi pour essayer de limiter la casse en cas de DDOS et 
autre... Je ne sais pas trop trop si cela changera quelque chose mais bon !
 
Je suis vivement intéressé de divers retours d’expériences sur le sujet !

Merci.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Guillaume Rousseau

Le 31/01/2013 14:46, Antoine Durant a écrit :

Je me demande si d’installer et configurer un iptables sur un routeur BGP 
Quagga (debian) est une bonne chose ?
Est-ce que cela ne vas pas ralentir le routage ?

Si vous mettez un iptables sur vos routeurs soft, comment configurez-vous votre 
firewall ?
  
En gros se serait aussi pour essayer de limiter la casse en cas de DDOS et autre... Je ne sais pas trop trop si cela changera quelque chose mais bon !
Un avis très bref, prudence. En faisant ça, tu pourrais très bien te 
retrouver avec ton routeur par terre lors d'une attaque (donc 
potentiellement tout ton réseau si tu fais ça sur chacun de tes 
routeurs), là où certaines attaques n'auraient seulement fait tomber 
qu'un seul serveur à l'intérieur de ton réseau... Tout dépend de 
l'attaque, et des performances de ta machine...

--
Guillaume Rousseau


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Christophe Baegert
Bonjour,
Le 31/01/2013 14:46, Antoine Durant a écrit :
 Je me demande si d’installer et configurer un iptables sur un routeur BGP 
 Quagga (debian) est une bonne chose ?
 Est-ce que cela ne vas pas ralentir le routage ?

Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus
sûr est de faire un lsmod|grep conntrack. S'il est activé, on court à
la catastrophe.

Cordialement,

Christophe


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Antoine Durant
Ouep... Je comprends en effet le conntrack qui pourra écrouler la machine 
facilement...
 
Donc en gros pas de firewall sur un routeur, mais quelle protection est-il 
possible de mettre en place sans forcément plomber le serveur ?
 


 De : Christophe Baegert c.baegert-lis...@lixium.fr
À : Antoine Durant antoine.duran...@yahoo.fr 
Cc : frnog-t...@frnog.org frnog-t...@frnog.org 
Envoyé le : Jeudi 31 janvier 2013 15h02
Objet : Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
  
Bonjour,
Le 31/01/2013 14:46, Antoine Durant a écrit :
 Je me demande si d’installer et configurer un iptables sur un routeur BGP 
 Quagga (debian) est une bonne chose ?
 Est-ce que cela ne vas pas ralentir le routage ?

Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus
sûr est de faire un lsmod|grep conntrack. S'il est activé, on court à
la catastrophe.

Cordialement,

Christophe


---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Christophe Baegert
Le 31/01/2013 15:41, Antoine Durant a écrit :
 Donc en gros pas de firewall sur un routeur, mais quelle protection
 est-il possible de mettre en place sans forcément plomber le serveur ?


Si, le firewall c'est bon sans le conntrack, mais c'est moins pratique,
forcément...

Christophe



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Simon Morvan
Le 31/01/2013 15:44, Christophe Baegert a écrit :
 Le 31/01/2013 15:41, Antoine Durant a écrit :
 Donc en gros pas de firewall sur un routeur, mais quelle protection
 est-il possible de mettre en place sans forcément plomber le serveur ?

 Si, le firewall c'est bon sans le conntrack, mais c'est moins pratique,
 forcément...
Cela dit, avec conntrack (sous linux, ou 'keep state' sous pf/openbsd)
c'est pénible en cas de routage asymétrique (non rare dans un contexte
de routeur BGP).


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Simon Perreault

Le 2013-01-31 15:44, Christophe Baegert a écrit :

Le 31/01/2013 15:41, Antoine Durant a écrit :

Donc en gros pas de firewall sur un routeur, mais quelle protection
est-il possible de mettre en place sans forcément plomber le serveur ?


Si, le firewall c'est bon sans le conntrack, mais c'est moins pratique,
forcément...


Faux.

Voir l'article fondateur de pf:
http://www.benzedrine.cx/pf-paper.pdf

The benchmarks show that the lower cost of state
table lookups compared to the high cost of rule set
evaluations justify creating state for performance
reasons. Stateful filtering not only improves the
quality of the filter decisions, it effectively improves
filtering performance.

Simon


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Rémi Laurent
* Simon Morvan - 31-01-2013 à 15h50:

 Le 31/01/2013 15:44, Christophe Baegert a écrit :
  Le 31/01/2013 15:41, Antoine Durant a écrit :
  Donc en gros pas de firewall sur un routeur, mais quelle protection
  est-il possible de mettre en place sans forcément plomber le serveur ?
 
  Si, le firewall c'est bon sans le conntrack, mais c'est moins pratique,
  forcément...
 Cela dit, avec conntrack (sous linux, ou 'keep state' sous pf/openbsd)
 c'est pénible en cas de routage asymétrique (non rare dans un contexte
 de routeur BGP).

Je confirme, avec OpenBSD c'est même particulièrement pénible.

- avec keep state, asymétrie impossible
- avec no state, déjà eu des surprises au niveau du window scaling sur
  du routing asymétrique.
- avec sloppy state, tout va bien, mais ça mange des states comme pour
  rigoler; à voir en jouant avec 'set timeout' pour trouver un
  équilibre.

D'ailleurs si sur la liste il y a des expériences avec OpenBSD/pf et
du routing asymétrique, je suis intéressé d'avoir leur retour ;)

-- 
Rémi Laurent

  Phone: +352 26 10 30 61
  General Support: supp...@conostix.com
  GPG FP: 27F4 6810 2B0E 1AA0 CDAE  7C7B 3DC9 085A 0FA0 0601


signature.asc
Description: Digital signature


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Christophe Baegert
Le 31/01/2013 16:16, Simon Perreault a écrit :
 Faux.
 
 Voir l'article fondateur de pf:
 http://www.benzedrine.cx/pf-paper.pdf

Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On
parle d'un routeur BGP là !!!

C'est toute la différence entre la théorie et la pratique. Peut-être
faux en théorie, mais vrai en pratique.

Cordialement,

Christophe


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Simon Perreault

Le 2013-01-31 16:22, Christophe Baegert a écrit :

Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On
parle d'un routeur BGP là !!!


1. Il n'a pas été dit que le routeur BGP passait du trafic. Peut-être ne 
fait-il que du BGP (e.g. un route reflector).


2. Pas besoin de stocker *tous* les flux en mémoire pour bénéficier de 
l'accélération. Juste à spécifier une limite de mémoire raisonnable, et 
quand la limite est atteinte on élimine l'état le plus vieux. Et il faut 
permettre à tous les types de paquet de créer un état. La table d'état 
est alors utilisée comme une cache LRU.


Simon


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Xavier Beaudouin
Hello,

Le 31 janv. 2013 à 16:22, Christophe Baegert c.baegert-lis...@lixium.fr a 
écrit :

 Le 31/01/2013 16:16, Simon Perreault a écrit :
 Faux.
 
 Voir l'article fondateur de pf:
 http://www.benzedrine.cx/pf-paper.pdf
 
 Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On
 parle d'un routeur BGP là !!!
 
 C'est toute la différence entre la théorie et la pratique. Peut-être
 faux en théorie, mais vrai en pratique.


3To de Ram. tout de suite... :D
Bon des becannes avec 4Go de RAM en 64bits c'est assez standard... 
Donc vu que quagga ne s'amuse pas à manger ces 4Go pour une ou plusieurs full 
view, normalement ça doit passer.

Pour revenir au sujet, il vaux mieux limiter l'usage du firewall *sauf* pour 
le control panel : en gros l'accès au ssh.

Si vous utiliser openbsd pf, pourquoi se faire c...r avec quagga alors que 
openBGPd est largement plus économique en mémoire?

Autre detail : attention au routage asymetrique. Bon si tu n'as qu'un routeur 
avec qu'un upstream, alors le firewall peux passer Autrement, attention au 
sciage de branche ou tu es assis.

Xavier



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Raphael Mazelier

Le 31/01/2013 16:31, Xavier Beaudouin a écrit :


Pour revenir au sujet, il vaux mieux limiter l'usage du firewall *sauf* pour 
le control panel : en gros l'accès au ssh.

Si vous utiliser openbsd pf, pourquoi se faire c...r avec quagga alors que 
openBGPd est largement plus économique en mémoire?


Certe mais niveau fonctionnalité c'est un poil plus limité quand même.
Meme sous OpenBSD je conseille Bird.

Concernant le sujet initial pas de firewall sur des routeurs, sauf 
volumes très faibles.


--
Raphael Mazelier




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Frederic Dhieux
Le 1/31/13 4:22 PM, Christophe Baegert a écrit :
 Le 31/01/2013 16:16, Simon Perreault a écrit :
 Faux.

 Voir l'article fondateur de pf:
 http://www.benzedrine.cx/pf-paper.pdf
 Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On
 parle d'un routeur BGP là !!!

 C'est toute la différence entre la théorie et la pratique. Peut-être
 faux en théorie, mais vrai en pratique.
Ca dépend surtout de quelle partie on souhaite saturer en traitement
(mémoire/CPU/IO) et de l'impact (deny de service, ralentissement, perte
complète du système). C'est une question de limite sur chaque partie,
sachant que la mémoire est surement encore le truc qui s'upgrade le plus
facilement mais aussi ce qui se remplit le plus facilement. Donc c'est
effectivement très dépendant du contexte en pratique, mais aussi du type
d'attaques parfois. Si un mec s'amuse à lancer des SYN d'établissement
en masse, c'est sûr que l'optimisation d'une connexion TCP déjà établie
ça fait une belle jambe...

Et pour moi autant que possible : 1 équipement = 1 fonction. Mettre du
firewalling sur un routeur qui gère le BGP du réseau, ça me choque un
peu. Forcément si on parle d'une petite plateforme, c'est envisageable,
mais c'est pas super propre je trouve. Surtout sur 2 fonctions qui
peuvent engendrer de la charge chacune.

Quelques ACL sur le routeur et un vrai firewalling derrière ça me semble
un bien meilleur équilibre. Quand ça blinde, c'est bien plus facile
d'isoler la cause et de réduire les actions à entreprendre pour gérer la
situation.

Surtout quand à la base il s'agit d'un Linux avec iptables et non d'un
BSD avec pf.

My 2 cents,
Frederic



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Xavier Beaudouin
Hello,

Le 31 janv. 2013 à 16:34, Raphael Mazelier r...@futomaki.net a écrit :

 Le 31/01/2013 16:31, Xavier Beaudouin a écrit :
 
 Pour revenir au sujet, il vaux mieux limiter l'usage du firewall *sauf* 
 pour le control panel : en gros l'accès au ssh.
 
 Si vous utiliser openbsd pf, pourquoi se faire c...r avec quagga alors que 
 openBGPd est largement plus économique en mémoire?
 
 Certe mais niveau fonctionnalité c'est un poil plus limité quand même.

Il manque quoi ?  A part ISIS (alpha / beta sur Quagga) openBGP + OpenOSPF 
suffisent. 
Tu peux meme jouer avec LDP si tu veux.

J'ai plutôt detecté des bugs non résolus chez Quagga et une lenteur de 
convergence 

 Meme sous OpenBSD je conseille Bird.

Si Bird faisais de l'ISIS je le conseillerais aussi :p

 Concernant le sujet initial pas de firewall sur des routeurs, sauf volumes 
 très faibles.


:)

/Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Antoine Durant
Bonsoir,
 
Pour appronfondir et répondre aux questions :
Il sagit d'un routeur (pas route reflector) qui a deux transitaires.
 
Architecture 64 Bits
2Go de Ram DDR3-1066 Mhz
1 Intel xeon E5530 à 2.40Ghz (4 Core, 8 Mega de cache)
2 disques sata
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Simon Perreault

Le 2013-01-31 17:14, Antoine Durant a écrit :

Pour appronfondir et répondre aux questions :
Il sagit d'un routeur (pas route reflector) qui a deux transitaires.

Architecture 64 Bits
2Go de Ram DDR3-1066 Mhz
1 Intel xeon E5530 à 2.40Ghz (4 Core, 8 Mega de cache)
2 disques sata


Ça fait juste renforcer le consensus: pas de firewall sur un routeur. :)

Simon


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Radu-Adrian Feurdean
On Thu, Jan 31, 2013, at 15:02, Christophe Baegert wrote:

 Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus
 sûr est de faire un lsmod|grep conntrack. S'il est activé, on court à
 la catastrophe.

Plus precisement :
rm -f `locate conntrack.ko`
sinon, le module risque d'etre charge automatiquement avec un simple
iptables -L

Il faut aussi retenir le fait que les flux peuvent ne pas passer par le
meme chemin dans les deux sens.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Simon Perreault

Le 2013-01-31 17:41, Radu-Adrian Feurdean a écrit :

Plus precisement :
rm -f `locate conntrack.ko`
sinon, le module risque d'etre charge automatiquement avec un simple
iptables -L


Il y a des distros où conntrack n'est pas un module et n'est pas 
désactivable.


*tousse* Fedora *tousse*

Simon


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Antoine Durant
Bon, pas de firewall sur un routeur !!
 
le fait du supprimer directement conntrack.ko cela va-t'il pas poser des 
problèmes ? Est-ce que lorsque on va taper iptables -L; iptables va pas être en 
erreur du fait qu'il essayera de charger conntrack.ko ???
 
Est-ce qu'un modprobe -r ou un blacklist (/etc/modprobe.d/blacklist.conf) du 
ip_conntrack est pas une meilleure idée ?
 


 De : Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net
À : Christophe Baegert c.baegert-lis...@lixium.fr; Antoine Durant 
antoine.duran...@yahoo.fr 
Cc : frnog-t...@frnog.org frnog-t...@frnog.org 
Envoyé le : Jeudi 31 janvier 2013 17h41
Objet : Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
  
On Thu, Jan 31, 2013, at 15:02, Christophe Baegert wrote:

 Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus
 sûr est de faire un lsmod|grep conntrack. S'il est activé, on court à
 la catastrophe.

Plus precisement :
rm -f `locate conntrack.ko`
sinon, le module risque d'etre charge automatiquement avec un simple
iptables -L

Il faut aussi retenir le fait que les flux peuvent ne pas passer par le
meme chemin dans les deux sens.
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Simon Morvan
Le 31/01/2013 18:11, Antoine Durant a écrit :
 Est-ce qu'un modprobe -r ou un blacklist (/etc/modprobe.d/blacklist.conf) du 
 ip_conntrack est pas une meilleure idée ?
Sûrement, mais Radu est du genre... radical :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Rémi Laurent
* Simon Morvan - 31-01-2013 à 18h17:

 Le 31/01/2013 18:11, Antoine Durant a écrit :
  Est-ce qu'un modprobe -r ou un blacklist
  (/etc/modprobe.d/blacklist.conf) du ip_conntrack est pas une
  meilleure idée ?
 Sûrement, mais Radu est du genre... radical :)

Et puis comme ça on peut se faire payer un verre quand le nouveau venu
fait naïvement un update kernel et que nf_conntrack.ko fait à nouveau
son apparition

-- 
Rémi Laurent

  Phone: +352 26 10 30 61
  General Support: supp...@conostix.com
  GPG FP: 27F4 6810 2B0E 1AA0 CDAE  7C7B 3DC9 085A 0FA0 0601


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Laurent CARON

On 31/01/2013 16:16, Rémi Laurent wrote:

D'ailleurs si sur la liste il y a des expériences avec OpenBSD/pf et
du routing asymétrique, je suis intéressé d'avoir leur retour ;)


Bonsoir,

Le routage asymétrique fonctionne bien avec OpenBSD/OpenBGPd/pf si tu 
utilises l'option defer sur ton interface pfsync


defer
If the defer flag is used, the initial packet of a new connection 
passing through the firewall will not be transmitted until either 
another pfsync(4) system has acknowledged the state table addition, or a 
timeout has expired. This adds small delays but allows traffic to flow 
when more than one firewall might actively handle packets 
(active/active), e.g. with certain ospfd(8), bgpd(8) or carp(4) 
configurations.


Je l'utilise pour 4 routeurs (2 groupes de 2 en actif/passif) afin de 
pouvoir avoir les mêmes états sur les 4 machines.


Mes 0.02€



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Radu-Adrian Feurdean
On Thu, Jan 31, 2013, at 18:11, Antoine Durant wrote:
 Bon, pas de firewall sur un routeur !!

On est bien d'accord, mais ca reste un peu delicat si on veut limiter
l'access a la machine elle-meme. 

 le fait du supprimer directement conntrack.ko cela va-t'il pas poser des
 problèmes ? Est-ce que lorsque on va taper iptables -L; iptables va pas
 être en erreur du fait qu'il essayera de charger conntrack.ko ???

J'ai deja applique cette methode avec success il y a plusieurs annees.
Si jamais il y a des regles qui ont besoin de conntrack, oui, il va y
avoir des erreurs. Si par contre il n'y a pas, les eventuels erreurs
ou warnings vont etre sans effet.

 Est-ce qu'un modprobe -r ou un blacklist (/etc/modprobe.d/blacklist.conf)
 du ip_conntrack est pas une meilleure idée ?

C'est pas qu'il faut enlever le module, c'est qu'il doit pas etre charge
strictement jamais et sous aucun pretexte.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Christophe Baegert
Le 31/01/2013 20:59, Radu-Adrian Feurdean a écrit :
 C'est pas qu'il faut enlever le module, c'est qu'il doit pas etre charge
 strictement jamais et sous aucun pretexte.

+1


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Michel Luczak

On Jan 31, 2013, at 8:59 PM, Radu-Adrian Feurdean 
fr...@radu-adrian.feurdean.net wrote:

 On Thu, Jan 31, 2013, at 18:11, Antoine Durant wrote:
 Bon, pas de firewall sur un routeur !!
 
 On est bien d'accord, mais ca reste un peu delicat si on veut limiter
 l'access a la machine elle-meme. 

Dans ce cas pas besoin de cochonneries type conntrack et on peut se limiter à 
binder ssh sur une loopback et la firewaller elle, non ? Cela doit résoudre 
tous les problèmes de routage asymétrique etc… je pense.




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Julien Lollivier
Simon Perreault simon.perrea...@viagenie.ca (31/01/2013 18:06) :
 Il y a des distros où conntrack n'est pas un module et n'est pas 
 désactivable.
 
 *tousse* Fedora *tousse*

Ça doit toucher certaines versions de la Fedora uniquement, parce que
sous toutes celles que j'ai sous la main, même des vieilleries (FC4 ..)
j'ai bien un nf_conntrack ou un ip_conntrack.

Julien.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Frederic Dhieux
Un bon noyau Linux est un noyau compilé aux petits oignons sans support
de module :D

/intégriste (ça évite quelques failles de sécu au passage)

Frédéric

Le 1/31/13 9:15 PM, Christophe Baegert a écrit :
 Le 31/01/2013 20:59, Radu-Adrian Feurdean a écrit :
 C'est pas qu'il faut enlever le module, c'est qu'il doit pas etre charge
 strictement jamais et sous aucun pretexte.
 +1


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] UPNP ce protocole d'avenir

2013-01-31 Par sujet Gunther Ozerito
www.bit-tech.net/news/bits/2013/01/30/upnp-vuln/1

On peut y mettre le feu maintenant et bosser sur un vrai protocole pour le
remplacer ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] UPNP ce protocole d'avenir

2013-01-31 Par sujet sxpert

On 2013-01-31 23:29, Gunther Ozerito wrote:

www.bit-tech.net/news/bits/2013/01/30/upnp-vuln/1

On peut y mettre le feu maintenant et bosser sur un vrai protocole 
pour le

remplacer ?


implementer vite fait ipv6 partout par exemple et arreter de jouer au 
PAT ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] C2E France Telecom

2013-01-31 Par sujet Sebastien Lesimple

Ben si mais ce que tu demandes là...
... C'est du temps, des compétences et ça n'est pas gratuit.

Ca s'appelle une prestation de service/conseil/support dans la vraie vie.
Un peu comme demander combien couterait un min d'interco C7 avec Orange ;)

Aller, comme tu n'as pas les ressources humaines et financières en 
interne, v'là une petite piste...

C2E et CE LAN sont mutualisables sur un même tronc.

Avec ça, tu as 90% de ta solution.

Seb.


Le 31/01/2013 09:20, David MARCIANO a écrit :

Personne n'a mis en place une porte C2E Orange ?

Merci :)


Bonne réception
David Marciano


14, rue Crespin du Gast - 75011 Paris - France
Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08
Mail : dmarci...@adenis.fr



-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David MARCIANO
Envoyé : mardi 29 janvier 2013 11:38
Cc : 'frnog@frnog.org'
Objet : [FRnOG] [TECH] C2E France Telecom

Bonjour Messieurs,

Je suis à la recherche d'un confrere qui a déjà mis en prod une porte de 
collecte C2E FT, on a tout de livré avec des spec qui ont plus d'un an, si on 
pouvait gagner du temps, ce serait super cool.

Merci d'avance.


Bonne réception
David Marciano


14, rue Crespin du Gast - 75011 Paris - France Tel : +33 (0)1 48 24 07 07 - Fax 
: +33 (0)1 48 24 07 08 Mail : dmarci...@adenis.fr



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] UPNP ce protocole d'avenir

2013-01-31 Par sujet Guillaume Barrot
Admettons pour UPNP IGD, mais IPv6 en lui même ne réglera pas la
problématique UPNP AV (ie présentation de services).


Le 1 février 2013 00:22, sxpert sxp...@sxpert.org a écrit :

 On 2013-01-31 23:29, Gunther Ozerito wrote:

 www.bit-tech.net/news/bits/**2013/01/30/upnp-vuln/1http://www.bit-tech.net/news/bits/2013/01/30/upnp-vuln/1

 On peut y mettre le feu maintenant et bosser sur un vrai protocole pour le
 remplacer ?


 implementer vite fait ipv6 partout par exemple et arreter de jouer au PAT ?



 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/




-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] UPNP ce protocole d'avenir

2013-01-31 Par sujet Rémy Sanchez
On Friday 01 February 2013 00:28:46 Guillaume Barrot wrote:
 Admettons pour UPNP IGD, mais IPv6 en lui même ne réglera pas la
 problématique UPNP AV (ie présentation de services).

Et pourtant, c'était prévu dans les premiers drafts IPv6 : 
http://tools.ietf.org/html/draft-ietf-sip-discovery-03

   Auto-configuration

  The connection procedures for a configuring a new system are
  reduced to the minimal set of plug it in, turn on the power, and
  run.

  -  Each node is assigned an identifier, usually within the number
 space assigned to the local subnet.

  -  The node discovers the routers attached to the local subnet, so
 that it can exchange packets with remote systems.

  -  The node discovers the location of servers that it needs for
 configuration, loading, dumping, printing, and other services.

  -  If desired, each node is assigned a name within the local
 domain.  The name, and the associated identifiers, can be
 registered in the local domain name server.

Je voudrais pas m'avancer, mais il parraîtrait que certains constructeurs 
auraient dégagé ces éléments du standard...

Bonne nuit,
-- 
Rémy Sanchez
http://hyperthese.net/

signature.asc
Description: This is a digitally signed message part.


Re: [FRnOG] [TECH] UPNP ce protocole d'avenir

2013-01-31 Par sujet Méhdi Denou
Pour ça il y a DNS-SD.
Bon l'implémentation d'Apple est un peu crade, je travaille depuis quelques
mois sur une réimplem en python.

2013/2/1 Rémy Sanchez remy.sanc...@hyperthese.net

 **

 On Friday 01 February 2013 00:28:46 Guillaume Barrot wrote:

  Admettons pour UPNP IGD, mais IPv6 en lui même ne réglera pas la

  problématique UPNP AV (ie présentation de services).



 Et pourtant, c'était prévu dans les premiers drafts IPv6 :
 http://tools.ietf.org/html/draft-ietf-sip-discovery-03



 Auto-configuration


   The connection procedures for a configuring a new system are

   reduced to the minimal set of plug it in, turn on the power, and

   run.


   -  Each node is assigned an identifier, usually within the number

  space assigned to the local subnet.


   -  The node discovers the routers attached to the local subnet, so

  that it can exchange packets with remote systems.


   -  The node discovers the location of servers that it needs for

  configuration, loading, dumping, printing, and other services.


   -  If desired, each node is assigned a name within the local

  domain.  The name, and the associated identifiers, can be

  registered in the local domain name server.



 Je voudrais pas m'avancer, mais il parraîtrait que certains constructeurs
 auraient dégagé ces éléments du standard...



 Bonne nuit,

 --

 Rémy Sanchez

 http://hyperthese.net/




-- 
Méhdi Denou
06 64 18 67 71

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Laurent Cheylus
Bonjour,

On Thu, Jan 31, 2013 at 04:22:23PM +0100, Christophe Baegert wrote:
 Le 31/01/2013 16:16, Simon Perreault a écrit :
  Faux.
  
  Voir l'article fondateur de pf:
  http://www.benzedrine.cx/pf-paper.pdf
 
 Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On
 parle d'un routeur BGP là !!!
 
 C'est toute la différence entre la théorie et la pratique. Peut-être
 faux en théorie, mais vrai en pratique.

La meilleure solution pour répondre à ce type de questions sur OpenBSD /
PF / OpenBGP est de s'adresser directement à Henning Brauer
(henn...@openbsd.org) : un des devs de PF et dev principal de OpenBGP.
C'est lui le master sur le sujet et a déjà mis en place ce genre de conf
chez des ISP allemands. Son expérience réelle en prod et sa vue de dev
sera la plus précise.

Pour info, une table de connexions statefull en mode kernel Linux, dans
un monde moderne et quand c'est bien codé, ça prend 1/2 GB de RAM pour
des 100 de milliers de connexions, pas besoin de Teras ! Et comme dit
dans le doc sur PF, tous les benchs montrent que ça coute bien moins en
CPU de faire un lookup avec une bonne fonction de hachage (jhash ou
approchant) que de parcourir à chaque fois une politique de filtrage
pour créer une nouvelle connexion.

A++ Laurent


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] 10Gbps Open Source Routing

2013-01-31 Par sujet Laurent Cheylus
Bonjour,

On Wed, Jan 30, 2013 at 10:23:41PM +0100, Vincent Bernat wrote:
 L'article semble un peu vieux (2008?). Toutes les cartes 10G sont
 maintenant capable de faire du multiqueue sans réglages particuliers ce
 qui est la principale optimisation. Les cartes type bnx2x ou ixgbe ont
 toutes au moins 16 queues dans les deux sens et peuvent donc faire
 travailler tous les cores de 2 Xeon récents type X5650, y compris en
 usant de fonctionnalités telles que Netfilter ou LVS.
 
 La seule optimisation à faire est de sticker les queues sur un CPU
 chacune (et de ne surtout pas laisser irqbalance faire le boulot, à
 moins de tester avec une version = 1).

Je confirme ce que dit Vincent : l'article cité par Stéphane Bortzmeyer
est un peu vieux et on a fait pas mal de progrès sur le sujet depuis
niveau software et gestion multiqueues avec les derniers chips Intel
10Gb et processeurs.

Voir par exemple, papier de Jesper Dangaard Brouer à la LinuxCon 2009 :
http://fr.slideshare.net/brouer/linuxcon2009-10gbits-bidirectional-routing-on-standard-hardware-running-linux

et la présentation de Luca Deri au RIPE61 10 Gbit Hardware Packet
Filtering Using Commodity Network Adapters
http://ripe61.ripe.net/presentations/138-Deri_RIPE_61.pdf

A++ Laurent


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] C2E France Telecom

2013-01-31 Par sujet Phibee Network Operation Center

Le 01/02/2013 00:26, Sebastien Lesimple a écrit :

Ben si mais ce que tu demandes là...
... C'est du temps, des compétences et ça n'est pas gratuit.


Faudrait surtout savoir si les compétences existent sur ce produit la 
précisément

hors France Telecom.




Ca s'appelle une prestation de service/conseil/support dans la vraie vie.
Un peu comme demander combien couterait un min d'interco C7 avec 
Orange ;)


Faut il vraiment qu'il y aille toujours une notion de facturation ;=) 
Moi j'aime bien

l'entraide



Aller, comme tu n'as pas les ressources humaines et financières en 
interne, v'là une petite piste...


Un peu dur quand même .


C2E et CE LAN sont mutualisables sur un même tronc.



Alors justement, moi je serais curieux de savoir si beaucoup de personne 
sont équipés Tronc C2E,
car quand on lit les specs et autre, c'est quand même pas très très 
pratique. J ai eu un tronc C2E
pendant presque un an sans avoir une seule liaison dessus ;) Signé trop 
vite sans bien lire avant.




Avec ça, tu as 90% de ta solution.

Seb.






Cordialement
Jerome





Le 31/01/2013 09:20, David MARCIANO a écrit :

Personne n'a mis en place une porte C2E Orange ?

Merci :)


Bonne réception
David Marciano


14, rue Crespin du Gast - 75011 Paris - France
Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08
Mail : dmarci...@adenis.fr



-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la 
part de David MARCIANO

Envoyé : mardi 29 janvier 2013 11:38
Cc : 'frnog@frnog.org'
Objet : [FRnOG] [TECH] C2E France Telecom

Bonjour Messieurs,

Je suis à la recherche d'un confrere qui a déjà mis en prod une porte 
de collecte C2E FT, on a tout de livré avec des spec qui ont plus 
d'un an, si on pouvait gagner du temps, ce serait super cool.


Merci d'avance.


Bonne réception
David Marciano


14, rue Crespin du Gast - 75011 Paris - France Tel : +33 (0)1 48 24 
07 07 - Fax : +33 (0)1 48 24 07 08 Mail : dmarci...@adenis.fr




---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] C2E France Telecom

2013-01-31 Par sujet David MARCIANO
Merci Seb, mais ça je le sais depuis des mois, c est mutualisable uniquement 
sur la zone de la porte pour le moment et en national l année prochaine !

Des ressources INGE j en ai 5, je ne fais pas de la mendicité, mais sur le 
forum on échange des infos et des expériences pour ceux qui ont déjà mis en 
place c est ce que je recherchais.

Pour l interco C7 j ai eu les infos, je t en remercie -;)

DM

Envoyé de mon iPhone

Le 1 févr. 2013 à 03:26, Sebastien Lesimple s.lesim...@b-and-c.net a écrit :

 Ben si mais ce que tu demandes là...
 ... C'est du temps, des compétences et ça n'est pas gratuit.
 
 Ca s'appelle une prestation de service/conseil/support dans la vraie vie.
 Un peu comme demander combien couterait un min d'interco C7 avec Orange ;)
 
 Aller, comme tu n'as pas les ressources humaines et financières en 
 interne, v'là une petite piste...
 C2E et CE LAN sont mutualisables sur un même tronc.
 
 Avec ça, tu as 90% de ta solution.
 
 Seb.
 
 
 Le 31/01/2013 09:20, David MARCIANO a écrit :
 Personne n'a mis en place une porte C2E Orange ?
 
 Merci :)
 
 
 Bonne réception
 David Marciano
 
 
 14, rue Crespin du Gast - 75011 Paris - France
 Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08
 Mail : dmarci...@adenis.fr
 
 
 
 -Message d'origine-
 De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
 David MARCIANO
 Envoyé : mardi 29 janvier 2013 11:38
 Cc : 'frnog@frnog.org'
 Objet : [FRnOG] [TECH] C2E France Telecom
 
 Bonjour Messieurs,
 
 Je suis à la recherche d'un confrere qui a déjà mis en prod une porte de 
 collecte C2E FT, on a tout de livré avec des spec qui ont plus d'un an, si 
 on pouvait gagner du temps, ce serait super cool.
 
 Merci d'avance.
 
 
 Bonne réception
 David Marciano
 
 
 14, rue Crespin du Gast - 75011 Paris - France Tel : +33 (0)1 48 24 07 07 - 
 Fax : +33 (0)1 48 24 07 08 Mail : dmarci...@adenis.fr
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] C2E France Telecom

2013-01-31 Par sujet David MARCIANO
Merci Jérôme, je pense que toi au moins tu as tout compris et pose les bonnes 
questions!

J adore les donneurs de leçons qui pensent tout savoir et n ont pas compris la 
raison de cette liste !

Et effectivement je pense que très peu de personnes ont une porte C2E ou savent 
vraiment comment ça fonctionne vraiment.



Envoyé de mon iPhone

Le 1 févr. 2013 à 08:14, Phibee Network Operation Center n...@phibee.net a 
écrit :

 Le 01/02/2013 00:26, Sebastien Lesimple a écrit :
 Ben si mais ce que tu demandes là...
 ... C'est du temps, des compétences et ça n'est pas gratuit.
 
 Faudrait surtout savoir si les compétences existent sur ce produit la 
 précisément
 hors France Telecom.
 
 
 
 Ca s'appelle une prestation de service/conseil/support dans la vraie vie.
 Un peu comme demander combien couterait un min d'interco C7 avec 
 Orange ;)
 
 Faut il vraiment qu'il y aille toujours une notion de facturation ;=) 
 Moi j'aime bien
 l'entraide
 
 
 Aller, comme tu n'as pas les ressources humaines et financières en 
 interne, v'là une petite piste...
 
 Un peu dur quand même .
 
 C2E et CE LAN sont mutualisables sur un même tronc.
 
 
 Alors justement, moi je serais curieux de savoir si beaucoup de personne 
 sont équipés Tronc C2E,
 car quand on lit les specs et autre, c'est quand même pas très très 
 pratique. J ai eu un tronc C2E
 pendant presque un an sans avoir une seule liaison dessus ;) Signé trop 
 vite sans bien lire avant.
 
 
 Avec ça, tu as 90% de ta solution.
 
 Seb.
 
 
 
 
 
 Cordialement
 Jerome
 
 
 
 
 Le 31/01/2013 09:20, David MARCIANO a écrit :
 Personne n'a mis en place une porte C2E Orange ?
 
 Merci :)
 
 
 Bonne réception
 David Marciano
 
 
 14, rue Crespin du Gast - 75011 Paris - France
 Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08
 Mail : dmarci...@adenis.fr
 
 
 
 -Message d'origine-
 De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la 
 part de David MARCIANO
 Envoyé : mardi 29 janvier 2013 11:38
 Cc : 'frnog@frnog.org'
 Objet : [FRnOG] [TECH] C2E France Telecom
 
 Bonjour Messieurs,
 
 Je suis à la recherche d'un confrere qui a déjà mis en prod une porte 
 de collecte C2E FT, on a tout de livré avec des spec qui ont plus 
 d'un an, si on pouvait gagner du temps, ce serait super cool.
 
 Merci d'avance.
 
 
 Bonne réception
 David Marciano
 
 
 14, rue Crespin du Gast - 75011 Paris - France Tel : +33 (0)1 48 24 
 07 07 - Fax : +33 (0)1 48 24 07 08 Mail : dmarci...@adenis.fr
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] C2E France Telecom

2013-01-31 Par sujet Arthur Fernandez - Liazo

Salut,

je pense aussi qu'assez peu de gens qui postent sur cette liste se sont 
déjà retrouvés bloqués à se creuser le crâne devant des stas incomplètes 
ou imprécises de chez nos amis de la mandarine...
dans ce genre de moment on est en général assez content de partager nos 
moments de solitude, et je crois qu'il faut le comprendre ;)


de manière générale, il me semble assez clair que l'offre C2E de FT 
n'est pas encore bien cuite, les équipes sur le terrain ne sont pas 
encore formées et un certain nombre d'intervention échoue, du moins 
c'est ce qu'on a pu avoir comme retour par ici... Il va falloir être 
encore un peu patient.


A+
Arthur


--
Arthur Fernandez - Directeur / CEO
Tel:+33.1.82.28.82.80, Fax:+33.1.82.28.82.70.
http://www.Liazo.fr/ - Réseaux, Applications, Haute disponibilité, Sécu.
3/7 rue Albert Marquet, 75020 Paris - Siret 51754198300022



Le 01/02/2013 05:19, David MARCIANO a écrit :

Merci Jérôme, je pense que toi au moins tu as tout compris et pose les bonnes 
questions!

J adore les donneurs de leçons qui pensent tout savoir et n ont pas compris la 
raison de cette liste !

Et effectivement je pense que très peu de personnes ont une porte C2E ou savent 
vraiment comment ça fonctionne vraiment.



Envoyé de mon iPhone

Le 1 févr. 2013 à 08:14, Phibee Network Operation Center n...@phibee.net a 
écrit :


Le 01/02/2013 00:26, Sebastien Lesimple a écrit :

Ben si mais ce que tu demandes là...
... C'est du temps, des compétences et ça n'est pas gratuit.

Faudrait surtout savoir si les compétences existent sur ce produit la
précisément
hors France Telecom.



Ca s'appelle une prestation de service/conseil/support dans la vraie vie.
Un peu comme demander combien couterait un min d'interco C7 avec
Orange ;)

Faut il vraiment qu'il y aille toujours une notion de facturation ;=)
Moi j'aime bien
l'entraide


Aller, comme tu n'as pas les ressources humaines et financières en
interne, v'là une petite piste...

Un peu dur quand même .


C2E et CE LAN sont mutualisables sur un même tronc.


Alors justement, moi je serais curieux de savoir si beaucoup de personne
sont équipés Tronc C2E,
car quand on lit les specs et autre, c'est quand même pas très très
pratique. J ai eu un tronc C2E
pendant presque un an sans avoir une seule liaison dessus ;) Signé trop
vite sans bien lire avant.


Avec ça, tu as 90% de ta solution.

Seb.





Cordialement
Jerome




Le 31/01/2013 09:20, David MARCIANO a écrit :

Personne n'a mis en place une porte C2E Orange ?

Merci :)


Bonne réception
David Marciano


14, rue Crespin du Gast - 75011 Paris - France
Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08
Mail : dmarci...@adenis.fr



-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la
part de David MARCIANO
Envoyé : mardi 29 janvier 2013 11:38
Cc : 'frnog@frnog.org'
Objet : [FRnOG] [TECH] C2E France Telecom

Bonjour Messieurs,

Je suis à la recherche d'un confrere qui a déjà mis en prod une porte
de collecte C2E FT, on a tout de livré avec des spec qui ont plus
d'un an, si on pouvait gagner du temps, ce serait super cool.

Merci d'avance.


Bonne réception
David Marciano


14, rue Crespin du Gast - 75011 Paris - France Tel : +33 (0)1 48 24
07 07 - Fax : +33 (0)1 48 24 07 08 Mail : dmarci...@adenis.fr



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

2013-01-31 Par sujet Vincent Bernat
 ❦ 31 janvier 2013 15:02 CET, Christophe Baegert c.baegert-lis...@lixium.fr :

 Je me demande si d’installer et configurer un iptables sur un
 routeur BGP Quagga (debian) est une bonne chose ?
 Est-ce que cela ne vas pas ralentir le routage ?

 Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus
 sûr est de faire un lsmod|grep conntrack. S'il est activé, on court à
 la catastrophe.

iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK

Cela permet aussi de conserver la conntrack pour les connexions
d'administration. Avec la mémoire dispo actuellement, il est aussi
possible de tuner la conntrack pour augmenter drastiquement la taille de
la table de connexions et diminuer le te timeout de la plupart des
états.

Sinon, on peut aussi filtrer avec tc.
-- 
Watch out for off-by-one errors.
- The Elements of Programming Style (Kernighan  Plauger)


---
Liste de diffusion du FRnOG
http://www.frnog.org/