[FRnOG] Re: [MISC] Accès Internet grand public fibre sur Equinix PA3 et PA4

[Cyril B.]

David Ponzone wrote:

J’ai cru comprendre que sur PA3, il allait étendre le réseau WIFI ouvert aux 
datahalls, et pas seulement à la machine à café.


Je reviens de PA3, et il y a enfin du Wi-Fi dans les salles (au moins 
dans la mienne, la 3). C'est très récent : début décembre ça n'y était pas.


Le SSID est 'Equinix', en accès public (sans mot de passe) et est même 
disponible à la cafèt' (en plus de l'ancien Wi-Fi 'PA3-Internet-Cafe').


J'ai testé rapidement, a priori il y a un peu de filtrage : pas de ping 
ICMP, et j'ai l'impression qu'au moins certains ports sont bloqués. Rien 
de très gênant pour de l'OOB, au pire je changerai le port de mon 
OpenVPN extérieur.


--
Cyril B.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les préfixes Tor

[Jeremy]

Pour apporter ma petite pierre à l'édifice, voici mon retour 
d'expérience vis à vis de TOR en tant qu'exploitant hébergeur.


On vend plusieurs milliers de VPS par mois. On ne discrimine pas la 
provenance des visiteurs. J'ai regardé encore récemment nos stats, on a 
près de 20 % de nos commandes qui passent par des VPN ou des noeux TOR 
(majoritaire d'ailleurs).
Paradoxalement, quand je regarde les réquisitions judiciaires qu'on a 
eu, plusieurs dizaines par an, ici, j'en ai aucune qui n'a été générée 
par quelqu'un qui a acheté son produit via TOR. La plupart des 
utilisateurs qui ont une réquisition passent en clair (pays qui ne 
savent pas appliquer leur droit pénal en informatique).


Donc, j'ai pris la décision il y a déjà un certain temps de ne pas 
bloquer les noeuds TOR, ni en trafic, ni en provenance de commande, à 
partir du moment que les informations bancaires sont cohérentes et ça ne 
m'a jamais apporté de problème à ce jour. Ca nous apporte pas mal de 
clients par ailleurs, il parait qu'on est réputé pour ça.


Ceci dis, je comprends Michel qui ne veux pas s'emmerder avec les noeuds 
TOR. Si il est certain que personne ne doit utiliser TOR pour voir ses 
ressources, alors il a raison de filtrer.


Quand à savoir ce que chacun pensent de la neutralité du net, ça dépend 
de savoir si on aime se regarder dans le miroir le matin.


Jérémy


Le 05/01/2016 20:47, Xavier Claude a écrit :

Le lundi 4 janvier 2016 17:48:36 Michel Py a écrit :

49% des prefixes Tor sont marqués "mauvais" par d'autres sources.

Faudrait

peut-être balayer devant sa porte, chez Torproject, avant de se

plaindre

qu'il y a des gens qui bloquent Tor.

Il serait intéressant de savoir si ces autres sources bloquent parce que
c'est Tor ou pour une autre raison.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] PAT et ré-utilisation du port externe

[David Ponzone]

Seb,

A priori, je ne vois pas de trace d’un ALG SIP dans les paquets, ou alors il 
est très subtil.

Par plus complexe, je ne pensais pas à l’implémentation pour eux, mais au debug 
pour nous en cas de problème :)
Surtout sur un équipement qui ne permet pas de voir la table de PAT.

> Le 5 janv. 2016 à 23:07, Sebastien Lecomte  a 
> écrit :
> 
> 
> Salut David,
> 
> Hypothèse: Peut-etre que cela simplifie le boulot de l'ALG SIP (qui modifie 
> la sig SIP en indiquant systématiquement son IP publique et le port 8000 pour 
> spécifier le flux RTP) du routeur?
> (note que j'ai aucune idée de si ton routeur gpon alcatel a cette 
> fonctionnalité ; c'est vraiment une hyptohèse).
> 
> Je ne sais pas si c'est vraiment plus complexe de faire ainsi (même port 
> externe) : cela reste une table avec les translations.
> 
> a+
> 
> Seb
> 
> 
> -Message d'origine- From: David Ponzone
> Sent: Tuesday, January 5, 2016 10:10 PM
> To: frnog-tech
> Subject: [FRnOG] [TECH] PAT et ré-utilisation du port externe
> 
> Barbu(e)s,
> 
> Je suis tombé sur un cas de figure intéressant que je ne suis pas sûr d’avoir 
> déjà croisé avant:
> un PAT qui utilise parfois simultanément plusieurs fois le même port externe 
> pour des flux RTP vers des couples adresses/ports distants différents.
> 
> Par exemple, je vois au même moment les flux RTP suivants:
> IP-PUBLIQUE-CPE:8000   <——> IP-DISTANTE:42000
> IP-PUBLIQUE-CPE:8000   <——> IP-DISTANTE:42008
> 
> C’est un mode de PAT que peu de constructeurs utilise (selon mon expérience).
> Je me demande si d’autres ont croisé ceci, car cela me semble être un niveau 
> de complexité tellement inutile dans un routeur CPE.
> Dans mon cas, c’est un routeur GPON Alcatel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le pare-feu du geek barbu

[Fabien Sirjean]

Le 6 janvier 2016 02:42:09 CET, Sylvain Vallerot  a écrit :
>Ce même FAI qui [...].
La bave du crapaud, tout ça. Tu as encore oublié de prendre tes pilules, 
Sylvain...

Bien à toi,

Fabien, président de FDN.
--
Message envoyé depuis un téléphone portable. Merci d'excuser la brièveté.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] PAT et ré-utilisation du port externe

[Sebastien Lecomte]

Salut David,

Hypothèse: Peut-etre que cela simplifie le boulot de l'ALG SIP (qui modifie 
la sig SIP en indiquant systématiquement son IP publique et le port 8000 
pour spécifier le flux RTP) du routeur?
(note que j'ai aucune idée de si ton routeur gpon alcatel a cette 
fonctionnalité ; c'est vraiment une hyptohèse).


Je ne sais pas si c'est vraiment plus complexe de faire ainsi (même port 
externe) : cela reste une table avec les translations.


a+

Seb


-Message d'origine- 
From: David Ponzone

Sent: Tuesday, January 5, 2016 10:10 PM
To: frnog-tech
Subject: [FRnOG] [TECH] PAT et ré-utilisation du port externe

Barbu(e)s,

Je suis tombé sur un cas de figure intéressant que je ne suis pas sûr d’avoir 
déjà croisé avant:
un PAT qui utilise parfois simultanément plusieurs fois le même port externe 
pour des flux RTP vers des couples adresses/ports distants différents.


Par exemple, je vois au même moment les flux RTP suivants:
IP-PUBLIQUE-CPE:8000   <——> IP-DISTANTE:42000
IP-PUBLIQUE-CPE:8000   <——> IP-DISTANTE:42008

C’est un mode de PAT que peu de constructeurs utilise (selon mon 
expérience).
Je me demande si d’autres ont croisé ceci, car cela me semble être un niveau 
de complexité tellement inutile dans un routeur CPE.

Dans mon cas, c’est un routeur GPON Alcatel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/ 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les préfixes Tor

[Xavier Claude]

Le lundi 4 janvier 2016 17:48:36 Michel Py a écrit :
> 49% des prefixes Tor sont marqués "mauvais" par d'autres sources. 
Faudrait
> peut-être balayer devant sa porte, chez Torproject, avant de se 
plaindre
> qu'il y a des gens qui bloquent Tor.

Il serait intéressant de savoir si ces autres sources bloquent parce que 
c'est Tor ou pour une autre raison.
-- 
Xavier Claude
cont...@xavierclaude.be

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] PAT et ré-utilisation du port externe

[David Ponzone]

Barbu(e)s,

Je suis tombé sur un cas de figure intéressant que je ne suis pas sûr d’avoir 
déjà croisé avant:
un PAT qui utilise parfois simultanément plusieurs fois le même port externe 
pour des flux RTP vers des couples adresses/ports distants différents.

Par exemple, je vois au même moment les flux RTP suivants:
IP-PUBLIQUE-CPE:8000   <——> IP-DISTANTE:42000
IP-PUBLIQUE-CPE:8000   <——> IP-DISTANTE:42008

C’est un mode de PAT que peu de constructeurs utilise (selon mon expérience).
Je me demande si d’autres ont croisé ceci, car cela me semble être un niveau de 
complexité tellement inutile dans un routeur CPE.
Dans mon cas, c’est un routeur GPON Alcatel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le pare-feu du geek barbu

[frnog . kapush]

On lundi 4 janvier 2016 22:31:37 CET Sylvain Vallerot - sylv...@gixe.net 
wrote:
> Je passe en MISC.
> 
> On 04/01/2016 20:23, frnog.kap...@antichef.net wrote:
> > Les bases fondamentales de la vie en groupe c'est le partage et
> > coopération.
> Et qui dit que les gens aspirent à la vie en groupe ?

L'histoire de l'humanité ? L'être humain est par définition social.

En fait ma remarque sur la vie en groupe partait du constat que la loi 
n'existe qu'au sein d'une société qui est par définition "vivre en groupe".
 
> > vouloir partager sa connexion à internet avec ses voisins serait une
> > solution simple et évidente
> 
> Pour certains. Mais la facilité n'est pas forcément un gage ni de qualité
> ni de bénéfice pour tous, à court ni moyen ni long terme. 

J'en conviens tout à fait, c'est pour ça que je n'ai pas parlé de facilité 
mais de simplicité qui n'est pas du tout la même chose.

> Il est un peu trop facile d'avoir ce genre de discours sans mettre en regard 
> tous les tenants et aboutissants.

J'estime qu'il n'est pas nécéssaire sur FRnOG de préciser les enjeux de 
disposer d'un accès à internet par rapport à ne pas en avoir.

Pour ceux et celles à qui cette problématique échapperait, je recommande de 
vous rendre sur le site www.iletaitunefoisinternet.fr pour cette conférence :
http://www.iletaitunefoisinternet.fr/comprendre-un-monde-qui-change-internet-et-ses-enjeux-benjamin-bayart/
 
> Une solution plus acceptable il me semble est de monter, comme certains le
> font, des petits FAI pro ou associatifs, pour partager des accès en restant
> dans les clous de la légalité et du principe de responsabilité.

Le FAI local est une forme, le réseau mesh en est une autre, la communauté 
FON, les RANs (Rural Area Network)  sont autant d'autres formes de solution.
(on laissera à Spyou expliquer ce qu'il en est vraiment des petits FAI pro 
dans sa conférence sur comment devenir notre propre fai:
http://www.iletaitunefoisinternet.fr/comment-devenir-votre-propre-fai/ )

À ma connaissance, on reste dans les clous de la légalité en partageant son 
accès internet avec son voisin, la loi n'interdit pas de partager son accès à 
internet elle s'efforce de dissuader de le faire en déportant la 
responsabilité des usagers sur le titulaire de l'abonnement. À la rigueur il 
pourrait y avoir un litige contractuel si le FAI précise dans ses CGV qu'il 
interdit le partage de connexion mais ça pourrait aussi bien être qualifié de 
clause abusive.
Et même si cet usage sortait des clous de la loi, c'est la loi qui s'adapte à 
l'usage et pas le contraire. Quand fumer du tabac était interdit et puni par 
la peine de mort, ça n'a pas empêché la population de fumer et plutôt que de 
couper la tête à tous les fumeurs on s'est séparé de cette loi.

Je ne suis pas familier du principe de responsabilité, je serai content qu'on 
me l'explique. 

Ceci dit, je doute qu'on puisse l'appliquer à la loi qui définit le "défaut de 
sécurisation" qui comme expliqué par maitre Eolas[1] est inapplicable, ou 
comme on a pu le constater lors de la première condamnation pour "défaut de 
sécurisation", c'est en apportant la preuve de son innocence par un aveu de 
son ex-femme que l'ex-mari a pu être condamné parce qu'il était titulaire de 
l'abonnement pendant que son ex-femme n'était pas inquiétée[2]. On a vu mieux 
comme principe de responsabilité.

Et puis le petit FAI local, associatif ou non, n'est pas une solution viable 
dans le temps, voués à disparaître avec la transition du cuivre vers la fibre 
comme nous l'expliquait en 2013 le plus vieux FAI français encore en activité 
dans la conférence "petit état des lieux du déploiement de la fibre optique en 
France. ou comment ruiner une bonne idée"


[1]: 
http://www.maitre-eolas.fr/post/2010/06/29/HADOPI-%3A-l-op%C3%A9ration-Usine-%C3%A0-gaz-continue
[2]: 
http://www.nextinpact.com/news/73816-hadopi-interview-premier-abonne-condamne.htm
[3]: https://www.fdn.fr/Fibre-Optique-etat-des-lieux.html

> > Par contre, à ma connaissance le titulaire de l'abonnement à
> > l'électricité/eau ne porte pas la responsabilité devant le tribunal de
> > l'usage qui est fait de son courant électrique / eau potable
> 
> Pas si évident que ça. Il me semble qu'une actualité récente a montré que le
> fait de mettre à disposition certaines ressource (hébergement, donc eau et
> électricité ?) à certaines catégories de personnes pouvait bel et bien
> avoir des conséquences judiciaires pour le titulaire (oui je parle d'un
> certain appartement à St-Denis) ou à tout le moins mettre en jeu sa
> responsabilité.
> 
> Bref, il me semble qu'on part vraiment dans le troll velu là, ce serait sans
> doute bien de recoller au sujet de départ.

Je pense aussi. Ce que j'essayais de dire avec ça c'est que la comparaison 
retenue par David était mal choisie. 
 
> Cordialement,
Cordialement aussi.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Les préfixes Tor

[Michel Py]

>> Michel Py a écrit :
>> 49% des prefixes Tor sont marqués "mauvais" par d'autres sources. Faudrait 
>> peut-être balayer
>> devant sa porte, chez Torproject, avant de se plaindre qu'il y a des gens 
>> qui bloquent Tor.

> Xavier Claude a écrit :
> Il serait intéressant de savoir si ces autres sources bloquent parce que 
> c'est Tor ou pour une autre raison.

En toute logique, pour une autre raison : si une des listes que j'utilise 
listait ces préfixes par ce qu'ils sont des noeuds Tor, comment expliquer la 
différence au comptage quand j'enlève la liste des préfixes Tor de ma 
moulinette ?

> Jeremy a écrit :
> Ceci dis, je comprends Michel qui ne veux pas s'emmerder avec les noeuds TOR. 
> Si il est certain
> que personne ne doit utiliser TOR pour voir ses ressources, alors il a raison 
> de filtrer.

A part les archives de ipv6mh, il n'y a aucune ressource publique. Je ne suis 
pas hypocrite : si je devais voyager dans un pays non-libre et/ou l'accès à 
l'Internet est censuré, j'installerais peut-être Tor, sauf que j'ai déjà des 
VPN partout.


> On vend plusieurs milliers de VPS par mois.

Ce qui serait intéressant pour toi, çà serait de regarder quel pourcentage de 
tes adresses IP sont dans mon feed, sachant que tu n'es pas trop regardant sur 
les clients que tu prends ;-)

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le pare-feu du geek barbu

[Sylvain Vallerot]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256



On 05/01/2016 14:18, frnog.kap...@antichef.net wrote:
> L'histoire de l'humanité ? L'être humain est par définition social.

Ce qui ne veut pas dire que les gens apprécient de vivre en groupe. Il se
trouve que la plupart mettent une porte à leur domicile, et ne partagent 
pas facilement leurs ressources avec leurs voisins. L'individualisme se 
taille la part du lion dans nos sociétés.

Ce cloisonnement, qu'on le juge regrettable ou non, apporte aussi à
l'individu une dose de maîtrise de ce qui se passe dans son foyer, et de ce
fait une dose de sécurité et pour le chef du foyer, un bornage du domaine 
de sa responsabilité.

Donc non, avoir un comportement de vie "en groupe" (partage, coopération)
n'est pas un réflexe pour beaucoup de gens.


>>> vouloir partager sa connexion à internet avec ses voisins serait une
>>> solution simple et évidente
>>
>> Pour certains. Mais la facilité n'est pas forcément un gage ni de qualité
>> ni de bénéfice pour tous, à court ni moyen ni long terme. 
> 
> J'en conviens tout à fait, c'est pour ça que je n'ai pas parlé de facilité 
> mais de simplicité qui n'est pas du tout la même chose.

La simplicité est une qualité, pas une recette. Elle n'est pas non plus un gage 
de qualité ni de bénéfices pour tous, si ça peut préciser ma pensée. D'ailleurs 
tu évoquais toi-même plus haut la loi, on comprend bien qu'elle est là pour 
éviter 
ou régler les conflits qui surgissent dans la vie "en groupe" ce qui qui 
sous-tend qu'elle n'est justement pas si "simple". 

Donc non, partager sa connexion avec ses voisins n'est ni simple ni évident,
à moins d'une certaine dose de naïveté ou d'angélisme. En lisant des listes 
comme
celle des RAN, on voit aussi que le partage de maigres ressources de bande 
passante
n'est pas non plus une question si simple que ça, et souvent elle est traitée de
manière relativement autoritaire, limitative, et partielle. Au bout du compte 
une
solution complète et correcte se révèle en fait relativement complexe et 
pourtant
difficilement équitable. Et loin d'être à la portée de n'importe qui, témoin le
nombre réduit de tels projets et leur structuration, qui repose très souvent sur
l'énorme travail de quelques-uns.

Mais après, oui, on peut aussi être parfaitement angélique et inconséquent, et
ensuite répondre aux flics "oh ben vous savez, moi, je m'en fous de ce que les
gens font avec mon accès..." Il suffit de n'avoir aucun sens des 
responsabilités,
finalement c'est tellement plus "simple".

Par ailleurs la comparaison du régime de responsabilité sur le partage d'un 
accès à internet avec celui d'un abonnement électrique ne présente pas beaucoup 
d'intérêt : les conséquences de l'usage malveillant d'un accès internet n'ont 
rien à voir dans leur impact sur des tiers, avec celui d'un simple vol d'énergie
qui n'aura d'effet que sur la compagnie fournisseuse.


> c'est en apportant la preuve de son innocence par un aveu de 
> son ex-femme que l'ex-mari a pu être condamné parce qu'il était titulaire de 
> l'abonnement pendant que son ex-femme n'était pas inquiétée[2]. On a vu mieux 
> comme principe de responsabilité.

C'est ta perception de la justice.

Mais responsable n'est pas coupable.

 
> Et puis le petit FAI local, associatif ou non, n'est pas une solution viable 
> dans le temps, voués à disparaître avec la transition du cuivre vers la fibre 
> comme nous l'expliquait en 2013 le plus vieux FAI français 

Ce même FAI qui s'est embourbé dans l'ADSL depuis 2005, en oubliant sa raison 
d'être statutaire et en traitant par le mépris ses adhérents ? Il est déjà mort 
depuis qu'il a piétiné ses propres statuts et tourné le dos à la coopération
large qu'il aurait pu impulser entre les FAI locaux. Mais sa mort n'implique 
pas celle de tous ces autres projets, bien au contraire, je pense que c'est 
une chance pour eux de réfléchir leurs besoins locaux et de les mutualiser.

Cordialement,

- -- 
Gixe  - Association 1901  - conseil, hébergement, opérateur pour tous
SIREN 450 404 769-   http://www.gixe.net-cont...@gixe.net
venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868
-BEGIN PGP SIGNATURE-
Version: GnuPG v1

iF4EAREIAAYFAlaMcPEACgkQJBGsD8mtnRGVtwD6A7LwDP4k37Pryqk5TJQ6qNtZ
7kNzVuPcOr1PTeCpGYEA/RQ/J32QSZZMKcZooNOMZSA609rVtttLDloKV0hwPizo
=/lyL
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/