Re: [FRnOG] [MISC] Le réseau du geek barbu
Le samedi 20 septembre 2014, 18:31:42 Michel Py a écrit : lut' - Interception DNS avec les listes de adblockplus.org. Mécanisme à définir, en faire quelque chose comme un AdTrap http://www.getadtrap.com/; je sais pas comment ils font, mais je préfèrerais quelque chose basé sur DNS au lieu d'un proxy http transparent. Pour les clients qui n'ont pas adblockplus installé. Chez moi[1], j'utilise un DNS menteur avec cette conf : http://pgl.yoyo.org/adservers/serverlist.php?hostformat=bindconfigshowintro=0mimetype=plaintext Voir le site pour les autres formats disponibles : http://pgl.yoyo.org/adservers/ Tout pointe vers une IP locale sur laquelle écoute un apache muni de quelques js et php bien sentis pour éviter des désagréments aux utilisateurs (ga.js, urchin.js, une rewrite rule et un redirect en php pour certains sites de stats...) C'est sûrement perfectible, mais globalement efficace. @++ Cyril. [1] : à 250ms+ du moindre serveur. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Bonjour, Le 20/09/2014 23:33, Stephane Martin a écrit : 1 - ufw, frontal à iptables 2- oui un parefeu ça aide, en particulier contre les invités qui ramènent leur portable win xp vérolé. se protéger contre l’externe, ça va, contre l’interne c’est plus compliqué. il faut un réseau wifi séparé pour les invités tout simplement... Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Et sur lequel tu actives l’isolation L2. Le 21 sept. 2014 à 10:20, Christophe c.baegert-lis...@lixium.fr a écrit : Bonjour, Le 20/09/2014 23:33, Stephane Martin a écrit : 1 - ufw, frontal à iptables 2- oui un parefeu ça aide, en particulier contre les invités qui ramènent leur portable win xp vérolé. se protéger contre l’externe, ça va, contre l’interne c’est plus compliqué. il faut un réseau wifi séparé pour les invités tout simplement... Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le réseau du geek barbu
On Saturday 20 September 2014 18:31:42 Michel Py wrote: *snip* - Interception DNS avec les listes de adblockplus.org. *snip* Juste pour corriger une petite technicité.Les listes easylist et fanboy[1] sont aujourd'hui hébergées sur un sous-domaine https://easylist.adblockplus.org mais ce ne sont pas les listes de adblock plus: easylist a été créée pour adblock et fanboy faisait son affaire entièrement indépendamment jusqu'à récemment. La liste de adblock plus c'est une liste blanche de publicités à ne pas bloquer, officiellement parce qu'elles seraient acceptables, officieusement parce que quand on est le bloqueur de pub le plus utilisé au monde faire payer les annonceurs pour être ajouté dans une liste blanche ça rapporte plus de pognon[2]. C'est d'ailleurs la raison de l'existence de adblock edge[3], un fork de adblock plus sans cette liste blanche. [1]: http://www.fanboy.co.nz/ [2]: http://www.presse-citron.net/adblock-plus-google-aurait-paye-pour-voir-ses-publicites-passer-sur-liste-blanche/ [3]: https://addons.mozilla.org/fr/firefox/addon/adblock-edge/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Howto? effectuer des tests de debits? Et faire les rapports!
On Sunday 21 September 2014 00:32:56 technicien hahd wrote: On Saturday 20 September 2014 23:58:00 Jerem wrote: Bonjour la liste :D Petite question. Premiere fois que j’en pose une d’ailleurs donc j’espère ne pas commettre d’impaires sinon n’hésitez pas à me pourrir! Dans le cadre de mon travail je mets de plus en plus souvent en place des systèmes de communications comme des ponts wifi ou encore des liaisons VPN entre des agences distantes et notre siege, base sur des offres fibres ou parfois 4g. Lors de ma prochaine intervention technique de ce type je vais bosser sur une liaisons point a point basee sur les radios Ubiquiti Rocket M5 Titanium. Une fois en place, j’aimerais effectuer des tests de debits a mettre dans mon rapport d’installation. Je souhaiterais standardiser cette procedure pour toutes nos interventions future et souhaiterais savoir si vous aviez des recommandations a me faire a ce sujet: Quels outils utilisez vous? Ya fil une méthodologie que vous me recommanderiez? Par exemple, je me dis qu’il y a surement plus propre qu’une capture d’écran speedtest quand on tests les liens FAI :D Merci d’avance pour vos réponse Jeremy Pour faire un test de débit entre deux équipement réseau ubiquiti tu peux utiliser l'outil intégré dans la webui d'airos. Autrement tu peux utiliser iptraf, tu trouveras plus d'information sur https://testdebit.info/ iptraf - iperf --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Howto? effectuer des tests de debits? Et faire les rapports!
On Sat, Sep 20, 2014 at 11:58:00PM +0200, Jerem jgour...@free.fr wrote a message of 29 lines which said: Petite question. Premiere fois que j’en pose une d’ailleurs donc j’espère ne pas commettre d’impaires sinon n’hésitez pas à me pourrir! Déjà, c'est très mal de voler les fils : http://www.bortzmeyer.org/ne-pas-voler-les-fils.html Une fois en place, j’aimerais effectuer des tests de debits a mettre dans mon rapport d’installation. Ensuite, je suppose que ça va être des tests de capacité et pas de débit : http://www.bortzmeyer.org/capacite.html Pour la méthodologie, je pense que ce serait une bonne idée de lire tous les RFC du groupe IPPM : http://www.bortzmeyer.org/search?pattern=ippm --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Howto? effectuer des tests de debits? Et faire les rapports!
On Sun, Sep 21, 2014 at 03:12:37PM +0200, Matt matta...@gmail.com wrote a message of 75 lines which said: A priori il faut se méfier du ping pour récupérer le RTT Se méfier, oui, mais, en pratique, ça marche en général bien. Sinon, il y a OWAMP : http://www.bortzmeyer.org/4656.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Howto? effectuer des tests de debits? Et faire les rapports!
Comme nous parlons de mesure soyons précis :-) Que veut on mesurer ? Le débit sur un lien ? quel débit ? physique ? couche 2 ? couche 3? (exemple classique débit ATM sur ADSL \neq débit IP sur lien ATM) Pour le débit sur un lien seul utiliser SNMP, voir Netflow sans échantillonnage (sinon évaluer l’erreur d’échantillonnage) Le débit de bout en bout ? mais quel débit ? le débit disponible au goulot d’étranglement? (utiliser pathload http://www.measurementlab.net/tools/pathload2) le débit atteint par UDP? ( utiliser iperf) le débit atteint par TCP (utiliser iperf et fait varier vos tailles de fenêtre de réception, à la rigueur installer un web100 ou un web10G dans le noyau linux de la destination (http://www.web100.org/). Par ailleurs le ping ne donne pas toujours de RTT fiable, car les paquets ICMP peuvent être mis en file non prioritaire et peuvent être envoyé sur des chemins différents par les équilibreur de charge. Utiliser OWAMP pour de l'UDP, mais si vous avez du TCP sur votre lien c’est même mieux d’utiliser le RTT mesuré par les connexions TCP qu’on peut l’avoir de plusieurs façons par exemple en utilisant l’utilitaire ss (socket statistics) sous linux. BTW, IPPM est largement dépassé pour la mesure de débit car l’hypothèse de base d’échantillonnage sans biais (PASTA pour les intimes) n’est pas valable pour les flots TCP ou les flots ne générant pas de paquet à des instants aléatoires, lire le papier The Role of PASTA in Network Measurement » http://conferences.sigcomm.org/sigcomm/2006/discussion/getpaper.php?paper_id=23. IPPM est bon pour monitorer les statistiques moyennes à grande échelles (moyenne des statistiques au moins sur 5 mins) . Croire les RFC quand on parle de technique et d’architecture. Ne jamais les croire quand on parle de stats ou de méthodologie analytique :-). Je ne fais pas référence à mon cours sur les mesures sur Internet mieux vaut indiquer les réfs à la source :-). Mais dans le cours je passe bien 2 à 3 séances de cours + 2 TP à expliquer les subtilités de la mesure de débit, donc la réponse précise nécessite d’avoir plus de détails sur le scénario. A+ Kv Le 21 sept. 2014 à 16:21, Stephane Bortzmeyer bortzme...@nic.fr a écrit : On Sun, Sep 21, 2014 at 03:12:37PM +0200, Matt matta...@gmail.com wrote a message of 75 lines which said: A priori il faut se méfier du ping pour récupérer le RTT Se méfier, oui, mais, en pratique, ça marche en général bien. Sinon, il y a OWAMP : http://www.bortzmeyer.org/4656.html --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Howto? effectuer des tests de debits? Et faire les rapports!
Si tu veux un speedtest estampillé par ta société : http://www.speedtest.net/fr/mini.php ça vaut ce que ça vaut, ça évolue souvent, et c'est donc embêtant à maintenir, mais c'est plus simple qu'un iperf côté client (un navigateur web + flash fait l'affaire côté client), et côté serveur, tu as le choix PHP, ASP ou JSP. Pour des tests plus poussés, iperf en faisant jouer les tailles de fenêtres TCP sera plus précis, et en UDP pour avoir la capacité maximale (je me force à utiliser les bons termes, sinon un troll de la liste va me tomber dessus). Le 21/09/2014 16:57, Kavé Salamatian a écrit : Comme nous parlons de mesure soyons précis :-) Que veut on mesurer ? Le débit sur un lien ? quel débit ? physique ? couche 2 ? couche 3? (exemple classique débit ATM sur ADSL \neq débit IP sur lien ATM) Pour le débit sur un lien seul utiliser SNMP, voir Netflow sans échantillonnage (sinon évaluer l’erreur d’échantillonnage) Le débit de bout en bout ? mais quel débit ? le débit disponible au goulot d’étranglement? (utiliser pathload http://www.measurementlab.net/tools/pathload2) le débit atteint par UDP? ( utiliser iperf) le débit atteint par TCP (utiliser iperf et fait varier vos tailles de fenêtre de réception, à la rigueur installer un web100 ou un web10G dans le noyau linux de la destination (http://www.web100.org/). Par ailleurs le ping ne donne pas toujours de RTT fiable, car les paquets ICMP peuvent être mis en file non prioritaire et peuvent être envoyé sur des chemins différents par les équilibreur de charge. Utiliser OWAMP pour de l'UDP, mais si vous avez du TCP sur votre lien c’est même mieux d’utiliser le RTT mesuré par les connexions TCP qu’on peut l’avoir de plusieurs façons par exemple en utilisant l’utilitaire ss (socket statistics) sous linux. BTW, IPPM est largement dépassé pour la mesure de débit car l’hypothèse de base d’échantillonnage sans biais (PASTA pour les intimes) n’est pas valable pour les flots TCP ou les flots ne générant pas de paquet à des instants aléatoires, lire le papier The Role of PASTA in Network Measurement » http://conferences.sigcomm.org/sigcomm/2006/discussion/getpaper.php?paper_id=23. IPPM est bon pour monitorer les statistiques moyennes à grande échelles (moyenne des statistiques au moins sur 5 mins) . Croire les RFC quand on parle de technique et d’architecture. Ne jamais les croire quand on parle de stats ou de méthodologie analytique :-). Je ne fais pas référence à mon cours sur les mesures sur Internet mieux vaut indiquer les réfs à la source :-). Mais dans le cours je passe bien 2 à 3 séances de cours + 2 TP à expliquer les subtilités de la mesure de débit, donc la réponse précise nécessite d’avoir plus de détails sur le scénario. A+ Kv Le 21 sept. 2014 à 16:21, Stephane Bortzmeyer bortzme...@nic.fr a écrit : On Sun, Sep 21, 2014 at 03:12:37PM +0200, Matt matta...@gmail.com wrote a message of 75 lines which said: A priori il faut se méfier du ping pour récupérer le RTT Se méfier, oui, mais, en pratique, ça marche en général bien. Sinon, il y a OWAMP : http://www.bortzmeyer.org/4656.html --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Ce courrier électronique ne contient aucun virus ou logiciel malveillant parce que la protection avast! Antivirus est active. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: Re: [TECH] Howto? effectuer des tests de debits? Et faire les rapports!
On Sun, Sep 21, 2014 at 04:57:52PM +0200, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote a message of 138 lines which said: Que veut on mesurer ? Le débit sur un lien ? quel débit ? physique ? couche 2 ? couche 3? (exemple classique débit ATM sur ADSL \neq débit IP sur lien ATM) C'est bien pour cela qu'il faut lire les RFC et, pour ce problème bien connu, le RFC 5136, qui le discute en détail. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Le pare-feu du geek barbu
Stephane Martin a écrit : un parefeu ça aide, en particulier contre les invités qui ramènent leur portable win xp vérolé. se protéger contre l'externe, ça va, contre l'interne c'est plus compliqué. Christophe Baegert a écrit : il faut un réseau wifi séparé pour les invités tout simplement... David Ponzone a écrit : Et sur lequel tu actives l'isolation L2. Ou carrément un subnet séparé, aucun problème j'ai une FE de rab' sur mon Cisco. Malheureusement, çà ne sert pas à grand-chose. Les trucs les plus ennuyeux qu'un portable vérolé ramène ces jours-ci sont : (note : liste non exhaustive, merci de compléter) 1. Les merdiciels ransomware comme cryptowall ou cryptolocker. Si c'est moi qui le prend sur mon portable, danger car je vais être sur le réseau interne et le parefeu ne peut rien faire. Mais si c'est un invité, çà ne me dérange pas vraiment : il ne fait pas partie de mon domaine, donc n'a pas accès à mes drives réseau qui contiennent les documents Excel, Word et .pdf à encrypter. C'est pour cette raison qu'un NAS dans la machinbox est sympa: si gros fichier à échanger, les mettre sur le NAS auquel tu peux donner accès aux invités. 2. Les spambots. C'est ennuyeux car ils vont mettre mon IP dans Spamhaus et auxtres, mais çà me dérange pas non plus, je bloque le port 25. 3. Les merdiciels qui ouvrent uPNP. M'en fous, j'ai pas uPNP. 4. Les merdiciels qui font des attaques force brute / de dictionnaires. - S'ils attaquent l'intérieur : c'est pour çà qu'on met des mots de passe longs. Ils vont pas rester sur mon réseau assez longtemps pour trouver. - S'ils attaquent l'extérieur : un subnet / VLAN etc séparé pour les invités ne va rien y changer. Danger car ils peuvent aussi mettre mon IP dans une blacklist. C'est là ou le parefeu comme dans le schéma que j'ai mis dans le fil le réseau du geek barbu peut servir, en détectant ce genre de chose. Le WiFi séparé pour les invités c'est utile si tu as une IP publique à lui allouer, mais à la maison je n'ai qu'une seule IP et je suis radin j'ai pas envie de payer pour avoir un /29. Je dis pas que c'est complètement inutile, mais voir l'analyse de risque ci-dessus. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Le réseau du geek barbu
Cyril Lacoux a écrit : Chez moi[1], j'utilise un DNS menteur avec cette conf : http://pgl.yoyo.org/adservers/serverlist.php?hostformat=bindconfigshowintro=0mimetype=plaintext Voir le site pour les autres formats disponibles : http://pgl.yoyo.org/adservers/ [1] : à 250ms+ du moindre serveur. Oui on comprend que tu n'aies pas envie de gaspiller de la bande passante Tout pointe vers une IP locale sur laquelle écoute un apache muni de quelques js et php bien sentis pour éviter des désagréments aux utilisateurs (ga.js, urchin.js, une rewrite rule et un redirect en php pour certains sites de stats...) Donc si je comprends bien, ton DNS menteur renvoie l'IP de ton apache (la même machine, possiblement?) pour les adservers; ton ga.js et urchin.js ne font rien ? Quelques questions : - Tu fais çà avec un Pi ? - Quelques détails sur rewrite rule et redirect ? - A part Google analytics et les trucs whitelistés, qu'est-ce qui se passerait si tu envoyais 127.0.0.1 à la place de l'IP de ton apache ? - Qu'est-ce qui t'a fait choisir les listes de pgl.yoyo.org au lieux de celles de adblockplus ? (Adblock plus me parait plus complet) technicien hahd a écrit : Juste pour corriger une petite technicité.Les listes easylist et fanboy[1] sont aujourd'hui hébergées sur un sous-domaine https://easylist.adblockplus.org mais ce ne sont pas les listes de adblockplus: easylist a été créée pour adblock et fanboy faisait son affaire entièrement indépendamment jusqu'à récemment. La liste de adblock plus c'est une liste blanche de publicités à ne pas bloquer Veux-tu dire que : https://easylist-downloads.adblockplus.org/easylist.txt C'est une liste blanche, ou que c'est une liste noire qui oublie les choses que Google a payé Adblockplus pour oublier ? David Ponzone a écrit : En regardant un peu la doc d'AdTrap: http://www.getadtrap.com/manual/AdTrapUserManualAT1000v2.pdf A priori, c'est donc un prou HTTP. C'est bien ce que j'en avais déduit. Alexandre Chappaz a écrit : si tu veux faire un proxy filtrer plusieurs listes adblockplus, prépare toi à ce que ça bouffe de la ram. C'est une des raisons pour lesquelles je voudrais une solution basée sur un DNS menteur, pas un proxy. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Le dimanche 21 septembre 2014 12:16:14 Michel Py a écrit : 2. Les spambots. C'est ennuyeux car ils vont mettre mon IP dans Spamhaus et auxtres, mais çà me dérange pas non plus, je bloque le port 25. Attention, on peut se retrouver sur les spam lists sans envoyer du spam. J'ai déjà vu les infos suivantes dans une black list: This was detected by observing this IP attempting to make contact to a s_gozi2 Command and Control server, with contents unique to s_gozi2 CC command protocols. This was detected by a TCP/IP connection from x.x.x.x on port 56162 going to IP address y.y.y.y (the sinkhole) on port 443. -- Xavier Claude cont...@xavierclaude.be --- Liste de diffusion du FRnOG http://www.frnog.org/