[FRnOG] Re: [MISC] Accès Internet grand public fibre sur Equinix PA3 et PA4
David Ponzone wrote: J’ai cru comprendre que sur PA3, il allait étendre le réseau WIFI ouvert aux datahalls, et pas seulement à la machine à café. Je reviens de PA3, et il y a enfin du Wi-Fi dans les salles (au moins dans la mienne, la 3). C'est très récent : début décembre ça n'y était pas. Le SSID est 'Equinix', en accès public (sans mot de passe) et est même disponible à la cafèt' (en plus de l'ancien Wi-Fi 'PA3-Internet-Cafe'). J'ai testé rapidement, a priori il y a un peu de filtrage : pas de ping ICMP, et j'ai l'impression qu'au moins certains ports sont bloqués. Rien de très gênant pour de l'OOB, au pire je changerai le port de mon OpenVPN extérieur. -- Cyril B. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les préfixes Tor
Pour apporter ma petite pierre à l'édifice, voici mon retour d'expérience vis à vis de TOR en tant qu'exploitant hébergeur. On vend plusieurs milliers de VPS par mois. On ne discrimine pas la provenance des visiteurs. J'ai regardé encore récemment nos stats, on a près de 20 % de nos commandes qui passent par des VPN ou des noeux TOR (majoritaire d'ailleurs). Paradoxalement, quand je regarde les réquisitions judiciaires qu'on a eu, plusieurs dizaines par an, ici, j'en ai aucune qui n'a été générée par quelqu'un qui a acheté son produit via TOR. La plupart des utilisateurs qui ont une réquisition passent en clair (pays qui ne savent pas appliquer leur droit pénal en informatique). Donc, j'ai pris la décision il y a déjà un certain temps de ne pas bloquer les noeuds TOR, ni en trafic, ni en provenance de commande, à partir du moment que les informations bancaires sont cohérentes et ça ne m'a jamais apporté de problème à ce jour. Ca nous apporte pas mal de clients par ailleurs, il parait qu'on est réputé pour ça. Ceci dis, je comprends Michel qui ne veux pas s'emmerder avec les noeuds TOR. Si il est certain que personne ne doit utiliser TOR pour voir ses ressources, alors il a raison de filtrer. Quand à savoir ce que chacun pensent de la neutralité du net, ça dépend de savoir si on aime se regarder dans le miroir le matin. Jérémy Le 05/01/2016 20:47, Xavier Claude a écrit : Le lundi 4 janvier 2016 17:48:36 Michel Py a écrit : 49% des prefixes Tor sont marqués "mauvais" par d'autres sources. Faudrait peut-être balayer devant sa porte, chez Torproject, avant de se plaindre qu'il y a des gens qui bloquent Tor. Il serait intéressant de savoir si ces autres sources bloquent parce que c'est Tor ou pour une autre raison. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] PAT et ré-utilisation du port externe
Seb, A priori, je ne vois pas de trace d’un ALG SIP dans les paquets, ou alors il est très subtil. Par plus complexe, je ne pensais pas à l’implémentation pour eux, mais au debug pour nous en cas de problème :) Surtout sur un équipement qui ne permet pas de voir la table de PAT. > Le 5 janv. 2016 à 23:07, Sebastien Lecomtea > écrit : > > > Salut David, > > Hypothèse: Peut-etre que cela simplifie le boulot de l'ALG SIP (qui modifie > la sig SIP en indiquant systématiquement son IP publique et le port 8000 pour > spécifier le flux RTP) du routeur? > (note que j'ai aucune idée de si ton routeur gpon alcatel a cette > fonctionnalité ; c'est vraiment une hyptohèse). > > Je ne sais pas si c'est vraiment plus complexe de faire ainsi (même port > externe) : cela reste une table avec les translations. > > a+ > > Seb > > > -Message d'origine- From: David Ponzone > Sent: Tuesday, January 5, 2016 10:10 PM > To: frnog-tech > Subject: [FRnOG] [TECH] PAT et ré-utilisation du port externe > > Barbu(e)s, > > Je suis tombé sur un cas de figure intéressant que je ne suis pas sûr d’avoir > déjà croisé avant: > un PAT qui utilise parfois simultanément plusieurs fois le même port externe > pour des flux RTP vers des couples adresses/ports distants différents. > > Par exemple, je vois au même moment les flux RTP suivants: > IP-PUBLIQUE-CPE:8000 <——> IP-DISTANTE:42000 > IP-PUBLIQUE-CPE:8000 <——> IP-DISTANTE:42008 > > C’est un mode de PAT que peu de constructeurs utilise (selon mon expérience). > Je me demande si d’autres ont croisé ceci, car cela me semble être un niveau > de complexité tellement inutile dans un routeur CPE. > Dans mon cas, c’est un routeur GPON Alcatel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Le 6 janvier 2016 02:42:09 CET, Sylvain Vallerota écrit : >Ce même FAI qui [...]. La bave du crapaud, tout ça. Tu as encore oublié de prendre tes pilules, Sylvain... Bien à toi, Fabien, président de FDN. -- Message envoyé depuis un téléphone portable. Merci d'excuser la brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] PAT et ré-utilisation du port externe
Salut David, Hypothèse: Peut-etre que cela simplifie le boulot de l'ALG SIP (qui modifie la sig SIP en indiquant systématiquement son IP publique et le port 8000 pour spécifier le flux RTP) du routeur? (note que j'ai aucune idée de si ton routeur gpon alcatel a cette fonctionnalité ; c'est vraiment une hyptohèse). Je ne sais pas si c'est vraiment plus complexe de faire ainsi (même port externe) : cela reste une table avec les translations. a+ Seb -Message d'origine- From: David Ponzone Sent: Tuesday, January 5, 2016 10:10 PM To: frnog-tech Subject: [FRnOG] [TECH] PAT et ré-utilisation du port externe Barbu(e)s, Je suis tombé sur un cas de figure intéressant que je ne suis pas sûr d’avoir déjà croisé avant: un PAT qui utilise parfois simultanément plusieurs fois le même port externe pour des flux RTP vers des couples adresses/ports distants différents. Par exemple, je vois au même moment les flux RTP suivants: IP-PUBLIQUE-CPE:8000 <——> IP-DISTANTE:42000 IP-PUBLIQUE-CPE:8000 <——> IP-DISTANTE:42008 C’est un mode de PAT que peu de constructeurs utilise (selon mon expérience). Je me demande si d’autres ont croisé ceci, car cela me semble être un niveau de complexité tellement inutile dans un routeur CPE. Dans mon cas, c’est un routeur GPON Alcatel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les préfixes Tor
Le lundi 4 janvier 2016 17:48:36 Michel Py a écrit : > 49% des prefixes Tor sont marqués "mauvais" par d'autres sources. Faudrait > peut-être balayer devant sa porte, chez Torproject, avant de se plaindre > qu'il y a des gens qui bloquent Tor. Il serait intéressant de savoir si ces autres sources bloquent parce que c'est Tor ou pour une autre raison. -- Xavier Claude cont...@xavierclaude.be --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] PAT et ré-utilisation du port externe
Barbu(e)s, Je suis tombé sur un cas de figure intéressant que je ne suis pas sûr d’avoir déjà croisé avant: un PAT qui utilise parfois simultanément plusieurs fois le même port externe pour des flux RTP vers des couples adresses/ports distants différents. Par exemple, je vois au même moment les flux RTP suivants: IP-PUBLIQUE-CPE:8000 <——> IP-DISTANTE:42000 IP-PUBLIQUE-CPE:8000 <——> IP-DISTANTE:42008 C’est un mode de PAT que peu de constructeurs utilise (selon mon expérience). Je me demande si d’autres ont croisé ceci, car cela me semble être un niveau de complexité tellement inutile dans un routeur CPE. Dans mon cas, c’est un routeur GPON Alcatel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
On lundi 4 janvier 2016 22:31:37 CET Sylvain Vallerot - sylv...@gixe.net wrote: > Je passe en MISC. > > On 04/01/2016 20:23, frnog.kap...@antichef.net wrote: > > Les bases fondamentales de la vie en groupe c'est le partage et > > coopération. > Et qui dit que les gens aspirent à la vie en groupe ? L'histoire de l'humanité ? L'être humain est par définition social. En fait ma remarque sur la vie en groupe partait du constat que la loi n'existe qu'au sein d'une société qui est par définition "vivre en groupe". > > vouloir partager sa connexion à internet avec ses voisins serait une > > solution simple et évidente > > Pour certains. Mais la facilité n'est pas forcément un gage ni de qualité > ni de bénéfice pour tous, à court ni moyen ni long terme. J'en conviens tout à fait, c'est pour ça que je n'ai pas parlé de facilité mais de simplicité qui n'est pas du tout la même chose. > Il est un peu trop facile d'avoir ce genre de discours sans mettre en regard > tous les tenants et aboutissants. J'estime qu'il n'est pas nécéssaire sur FRnOG de préciser les enjeux de disposer d'un accès à internet par rapport à ne pas en avoir. Pour ceux et celles à qui cette problématique échapperait, je recommande de vous rendre sur le site www.iletaitunefoisinternet.fr pour cette conférence : http://www.iletaitunefoisinternet.fr/comprendre-un-monde-qui-change-internet-et-ses-enjeux-benjamin-bayart/ > Une solution plus acceptable il me semble est de monter, comme certains le > font, des petits FAI pro ou associatifs, pour partager des accès en restant > dans les clous de la légalité et du principe de responsabilité. Le FAI local est une forme, le réseau mesh en est une autre, la communauté FON, les RANs (Rural Area Network) sont autant d'autres formes de solution. (on laissera à Spyou expliquer ce qu'il en est vraiment des petits FAI pro dans sa conférence sur comment devenir notre propre fai: http://www.iletaitunefoisinternet.fr/comment-devenir-votre-propre-fai/ ) À ma connaissance, on reste dans les clous de la légalité en partageant son accès internet avec son voisin, la loi n'interdit pas de partager son accès à internet elle s'efforce de dissuader de le faire en déportant la responsabilité des usagers sur le titulaire de l'abonnement. À la rigueur il pourrait y avoir un litige contractuel si le FAI précise dans ses CGV qu'il interdit le partage de connexion mais ça pourrait aussi bien être qualifié de clause abusive. Et même si cet usage sortait des clous de la loi, c'est la loi qui s'adapte à l'usage et pas le contraire. Quand fumer du tabac était interdit et puni par la peine de mort, ça n'a pas empêché la population de fumer et plutôt que de couper la tête à tous les fumeurs on s'est séparé de cette loi. Je ne suis pas familier du principe de responsabilité, je serai content qu'on me l'explique. Ceci dit, je doute qu'on puisse l'appliquer à la loi qui définit le "défaut de sécurisation" qui comme expliqué par maitre Eolas[1] est inapplicable, ou comme on a pu le constater lors de la première condamnation pour "défaut de sécurisation", c'est en apportant la preuve de son innocence par un aveu de son ex-femme que l'ex-mari a pu être condamné parce qu'il était titulaire de l'abonnement pendant que son ex-femme n'était pas inquiétée[2]. On a vu mieux comme principe de responsabilité. Et puis le petit FAI local, associatif ou non, n'est pas une solution viable dans le temps, voués à disparaître avec la transition du cuivre vers la fibre comme nous l'expliquait en 2013 le plus vieux FAI français encore en activité dans la conférence "petit état des lieux du déploiement de la fibre optique en France. ou comment ruiner une bonne idée" [1]: http://www.maitre-eolas.fr/post/2010/06/29/HADOPI-%3A-l-op%C3%A9ration-Usine-%C3%A0-gaz-continue [2]: http://www.nextinpact.com/news/73816-hadopi-interview-premier-abonne-condamne.htm [3]: https://www.fdn.fr/Fibre-Optique-etat-des-lieux.html > > Par contre, à ma connaissance le titulaire de l'abonnement à > > l'électricité/eau ne porte pas la responsabilité devant le tribunal de > > l'usage qui est fait de son courant électrique / eau potable > > Pas si évident que ça. Il me semble qu'une actualité récente a montré que le > fait de mettre à disposition certaines ressource (hébergement, donc eau et > électricité ?) à certaines catégories de personnes pouvait bel et bien > avoir des conséquences judiciaires pour le titulaire (oui je parle d'un > certain appartement à St-Denis) ou à tout le moins mettre en jeu sa > responsabilité. > > Bref, il me semble qu'on part vraiment dans le troll velu là, ce serait sans > doute bien de recoller au sujet de départ. Je pense aussi. Ce que j'essayais de dire avec ça c'est que la comparaison retenue par David était mal choisie. > Cordialement, Cordialement aussi. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Les préfixes Tor
>> Michel Py a écrit : >> 49% des prefixes Tor sont marqués "mauvais" par d'autres sources. Faudrait >> peut-être balayer >> devant sa porte, chez Torproject, avant de se plaindre qu'il y a des gens >> qui bloquent Tor. > Xavier Claude a écrit : > Il serait intéressant de savoir si ces autres sources bloquent parce que > c'est Tor ou pour une autre raison. En toute logique, pour une autre raison : si une des listes que j'utilise listait ces préfixes par ce qu'ils sont des noeuds Tor, comment expliquer la différence au comptage quand j'enlève la liste des préfixes Tor de ma moulinette ? > Jeremy a écrit : > Ceci dis, je comprends Michel qui ne veux pas s'emmerder avec les noeuds TOR. > Si il est certain > que personne ne doit utiliser TOR pour voir ses ressources, alors il a raison > de filtrer. A part les archives de ipv6mh, il n'y a aucune ressource publique. Je ne suis pas hypocrite : si je devais voyager dans un pays non-libre et/ou l'accès à l'Internet est censuré, j'installerais peut-être Tor, sauf que j'ai déjà des VPN partout. > On vend plusieurs milliers de VPS par mois. Ce qui serait intéressant pour toi, çà serait de regarder quel pourcentage de tes adresses IP sont dans mon feed, sachant que tu n'es pas trop regardant sur les clients que tu prends ;-) Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 05/01/2016 14:18, frnog.kap...@antichef.net wrote: > L'histoire de l'humanité ? L'être humain est par définition social. Ce qui ne veut pas dire que les gens apprécient de vivre en groupe. Il se trouve que la plupart mettent une porte à leur domicile, et ne partagent pas facilement leurs ressources avec leurs voisins. L'individualisme se taille la part du lion dans nos sociétés. Ce cloisonnement, qu'on le juge regrettable ou non, apporte aussi à l'individu une dose de maîtrise de ce qui se passe dans son foyer, et de ce fait une dose de sécurité et pour le chef du foyer, un bornage du domaine de sa responsabilité. Donc non, avoir un comportement de vie "en groupe" (partage, coopération) n'est pas un réflexe pour beaucoup de gens. >>> vouloir partager sa connexion à internet avec ses voisins serait une >>> solution simple et évidente >> >> Pour certains. Mais la facilité n'est pas forcément un gage ni de qualité >> ni de bénéfice pour tous, à court ni moyen ni long terme. > > J'en conviens tout à fait, c'est pour ça que je n'ai pas parlé de facilité > mais de simplicité qui n'est pas du tout la même chose. La simplicité est une qualité, pas une recette. Elle n'est pas non plus un gage de qualité ni de bénéfices pour tous, si ça peut préciser ma pensée. D'ailleurs tu évoquais toi-même plus haut la loi, on comprend bien qu'elle est là pour éviter ou régler les conflits qui surgissent dans la vie "en groupe" ce qui qui sous-tend qu'elle n'est justement pas si "simple". Donc non, partager sa connexion avec ses voisins n'est ni simple ni évident, à moins d'une certaine dose de naïveté ou d'angélisme. En lisant des listes comme celle des RAN, on voit aussi que le partage de maigres ressources de bande passante n'est pas non plus une question si simple que ça, et souvent elle est traitée de manière relativement autoritaire, limitative, et partielle. Au bout du compte une solution complète et correcte se révèle en fait relativement complexe et pourtant difficilement équitable. Et loin d'être à la portée de n'importe qui, témoin le nombre réduit de tels projets et leur structuration, qui repose très souvent sur l'énorme travail de quelques-uns. Mais après, oui, on peut aussi être parfaitement angélique et inconséquent, et ensuite répondre aux flics "oh ben vous savez, moi, je m'en fous de ce que les gens font avec mon accès..." Il suffit de n'avoir aucun sens des responsabilités, finalement c'est tellement plus "simple". Par ailleurs la comparaison du régime de responsabilité sur le partage d'un accès à internet avec celui d'un abonnement électrique ne présente pas beaucoup d'intérêt : les conséquences de l'usage malveillant d'un accès internet n'ont rien à voir dans leur impact sur des tiers, avec celui d'un simple vol d'énergie qui n'aura d'effet que sur la compagnie fournisseuse. > c'est en apportant la preuve de son innocence par un aveu de > son ex-femme que l'ex-mari a pu être condamné parce qu'il était titulaire de > l'abonnement pendant que son ex-femme n'était pas inquiétée[2]. On a vu mieux > comme principe de responsabilité. C'est ta perception de la justice. Mais responsable n'est pas coupable. > Et puis le petit FAI local, associatif ou non, n'est pas une solution viable > dans le temps, voués à disparaître avec la transition du cuivre vers la fibre > comme nous l'expliquait en 2013 le plus vieux FAI français Ce même FAI qui s'est embourbé dans l'ADSL depuis 2005, en oubliant sa raison d'être statutaire et en traitant par le mépris ses adhérents ? Il est déjà mort depuis qu'il a piétiné ses propres statuts et tourné le dos à la coopération large qu'il aurait pu impulser entre les FAI locaux. Mais sa mort n'implique pas celle de tous ces autres projets, bien au contraire, je pense que c'est une chance pour eux de réfléchir leurs besoins locaux et de les mutualiser. Cordialement, - -- Gixe - Association 1901 - conseil, hébergement, opérateur pour tous SIREN 450 404 769- http://www.gixe.net-cont...@gixe.net venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868 -BEGIN PGP SIGNATURE- Version: GnuPG v1 iF4EAREIAAYFAlaMcPEACgkQJBGsD8mtnRGVtwD6A7LwDP4k37Pryqk5TJQ6qNtZ 7kNzVuPcOr1PTeCpGYEA/RQ/J32QSZZMKcZooNOMZSA609rVtttLDloKV0hwPizo =/lyL -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/