Re: [FRnOG] [TECH] trafic shaping sur linux
Salut, Le 7 juin 2013 à 14:09, Antoine Durant antoine.duran...@yahoo.fr a écrit : Oui je trouve un peux bizarre aussi... Il me semble de mon point de vue qu'il est préférable de faire du trafic shaping sur le routeur principal... ( En plus je n'ai qu'un seul routeur donc il va être difficile de l'appliquer sur celui du dessous... ) En regardant un peux sur google, je m'aperçoi que bon nombre d'ISP/FAI utilise le trafic shaping sur le routeur sans forcément de problème... Je ne suis pas derriere pour vérifier mais cela à l'air d'être appliqué à granche echelle ! Disons que google, et les autres isp (ceux qui ont plus que 1Gpbs de traffic donc) ont depuis longtemps utilisé du matériel qui est capable de manger du pps. Après sur un Linux (bien tunné avec un bon noyau) tu peux arriver a faire du pps. Mais plus tu mets de surcouches, plus tu perds du pps. (J'avais vu que le fait d'activer iptables sur un linux, faisais perdre de façon importante du pps sur des petits packets, je me rappelles plus du chiffre mais c'étais important, suffisament pour ne pas l'activer sur un routeur). Après tout dépends de ton activité, mais en cas de syn flood, j'ai vu des juniper m7i se la couler douce pendant qu'un dual xeon E5 avec le turbo boost quivasbien perdre 80% de packets alors que le shapping étais a 30% de la limite max. C'est toi qui voit, mais le software a ses limites quand même sinon les routeurs avec plein d'asic ne seraient que du bullshit commercial. (et a noter que je sais de quoi je parle j'ai longtemps utilisé du routage software...). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Il y a de ca longtemps, Bull faisais des trucs qui s'appelaient boite noire ethernet qui entre autre permettaient le chiffrement over ethernet de 2 sites. J'ai eu la chance de jouer avec pendant 2 jours, mais jamais d'en déployer. Xavier Le 11 juin 2013 à 11:03, Surya ARBY arbysu...@yahoo.fr a écrit : Pour ce genre de trucs, l'armée (et également en banque sur les salles de marchés pour le chiffrement téléphonique des lignes analogiques) utilisait des boitiers chiffrants Thales. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Autrement... Le 11 juin 2013 à 11:20, Guillaume Tournat guilla...@ironie.org a écrit : Le 11/06/2013 10:52, Emmanuel Lacour a écrit : On Tue, Jun 11, 2013 at 10:42:05AM +0200, Rémi Laurent wrote: Le problème c'est que je dois faire passer au moins un VLAN étendu dans lequel se trouve quelques serveurs, sinon oui, un VPN classique aurait été mon premier choix. OpenVPN (performances en Giga à valider)? en mode TAP, c'est du L2. par contre, ca implique d'insérer un équipement de terminaison de chaque côté. Sur FreeBSD il y a : netgraph, qui permet entre autre de jouer avec les packets ethernet et de les encapsuler dans un packet udp. Entre ng_switch (qui sais gérer les vlan), tu peux ajouter ton module netgraph qui vas bien pour faire du chiffrement ou le balancer dans openvpn ... :) Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] [Electricité] Mesure sur arrivée triphasée A / V / VA
Bonjour, Je suis en train de remettre a plat l'électricité d'un petit datacenter de ma modeste boite. Comme les anciens locataires des locaux avaient fait des trucs zarb (comme mettre sur l'arrivée électrique de la salle info, le split de la clim des bureaux), on pense un peut a refaire des choses propres. Dans la série propre, j'aimerais coller un compteur d'énergie triphasé pour mesurer en temps réél la conso sur mes 3 phases : - volts - ampères - VA ... Le truc c'est qu'on pas une salle qui comme a mort, et je voudrai juste mettre quelque chose qui compte proprement entre le différentiel et le disjoncteur qui me remonte en IP les infos. J'ai plusieurs méthodes : - je prends une usine a gaz type les devices legrand qui me demande en bref l'installation de 3 à 4 modules + une passerelle IP (ou un PéCé sous windows) - je prends un compteur à impulsion et je colles un IPX800 de GCE Electronics (qui me permettra de faire de la supervision environnementale de la salle) - je prends un compteur EDF like (voir ebay), une passerelle téléinfo GCE Electronics ou une passerelle fais maison et j'ai ce que j'ai chez moi : conso instantanée, Kwh etc... Vu qu'on as une petite salle : 20A Triphasé courbe C (ok pas terrible je l'accorde), je pense que c'est faisable correctement. L'idée c'est _surtout_ pas dépendre d'une VM / PéCé Windows qui vas nous casser les couilles pour interfacer ça sur nos outils opensource de monitoring / reporting : Observium / Zabbix / truc à base de rrdtool. Qu'avez vous de votre coté en place ? (je voudrais éviter le pinces ampèremétriques mises en place, car d'expérience c'est jamais super précis). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forward de Multicast DNS au travers d'un routeur CPE
Bonjour Frédéric, Le 20 juin 2013 à 00:42, Frederic Dhieux frede...@syn.fr a écrit : Je pensais à une solution similaire à ce qu'on trouve pour le DHCP (dhcp relay) et j'ai naïvement rêvé en voyant multicast forwarding sur les specs/docs du produit. Effectivement ça fait du multicast forwarding (ip pim, par ex) mais avec du 224.0.0.x t'es coincé le Cisco ne forwardera pas sauf si tu bidouilles des trucs sales... (encore faut-il que ça marche). Je m'étais déjà fais mal au nez un moment la dessus quand j'avais essayé d'avoir un réseau Wifi séparé du réseau local... Et quand j'ai vu 224.0.0 - mort. Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Utilité des adresses peering@
Le 21 juin 2013 à 15:31, Jérôme Nicolle jer...@ceriz.fr a écrit : Le 21/06/2013 15:08, Laurent a écrit : Si Free utilise exchange, je les quitte immédiatement Je vois pas pourquoi, c'est normal Exchange sur un intranet, non ? troll Oui effectivement c'est un outil de non productivité utile :) Pourquoi ? comme on est pas sûr que tous les mails arrivent, ça fait moins de travail :) (on peux dire la même chose de Lotus Notes aussi, avec le concept : vu que les filtres ne marchent jamais...) /troll --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le Marais
Hello, Je suis curieux de savoir comment tu as eu ton AS et tes @IPs à l’époque ? L'explication guidera grandement, à savoir es tu dans ton droit ou pas. Sinon oui le RIPE en profite un max actuellement sans proposer de solutions pour les petites. C'est triste mais c’était prévisible. Bah il y a des années (10 ans environ), avoir une PI n'étais pas soumis a un contrat. Donc évidement on ne m’amusaient pas à faire de papiers quand on donnais une PI a un tier. Et certaines boites ne peuvent plus soumettre des papiers (rachat, mortes, dépôts divers, oublié qu'il avais le RIPE...). Donc dans un avenir certains, on vas voir que le marais vas s'agrandir et bien s'amuser... Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le Marais
Hello, Ou pour recevoir un extrait de naissance ? Pas en France mais dans d'autres pays c'est le cas (mais c'est off topic) -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [Hardware] petit switch et switch console
Salut David, Le 9 juil. 2013 à 17:01, David B. haazel...@gmail.com a écrit : Merci à tous pour les retours. Coté swichs, je peux donc : - soit prendre un produit plus grand public et pas trop cher - soit prendre du C2950 en occasion (surement la bonne solution). Ou du 3548XL / 3550-48 vieux certes mais increvable. Pour la partie switch console, je vais continuer à chercher. :) Pour la partie console serie, je prends du AS2511RJ (idem, vieux, mais increvable). Seul draw back telnet console 20nn (nn=numero de port). Donc a ne pas trop laisser sur du reseau non sécurisé. Xavier Le 08/07/2013 13:20, Michael VILLAR a écrit : Pour les consoles il y a les Avocent ACS24 ou 48 -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de David B. Envoyé : lundi 8 juillet 2013 13:15 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] [Hardware] petit switch et switch console Oui je parlais de switch 100 Mb/s, donc du switch d'occasion, pourquoi pas. :) Et pour la console (seconde question) ? Le 08/07/2013 11:35, Radu-Adrian Feurdean a écrit : On Mon, Jul 8, 2013, at 9:16, David CHANIAL wrote: Par contre, je vais mettre un petit switch par baie pour la partie OOB (DRAC et autres ethernet admin). Les Cisco 2690G sont parfaits pour cela. Voire meme du 2960 ou 2950 d'occasion, si le 100 MBps est sufissant. Dans le neuf, la difference entre 2960 et 2960G est de presque 3 fois. Si c'est pour connecter des ports ILO/DRAC/ qui de toute facon ne montent que rarement a 1Gbps, pas vraiment la peine. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [Hardware] petit switch et switch console
Les 2511 ont été remplacés chez Cisco par des ISR avec des cartes HWIC (HWIC-16A and les câbles qui vont avec : CAB-HD8) Oui ou autrement avec du refurb 3640 et les cartes qui vont bien on fait aussi la même chose. Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ban d'IP par Google
Hello, Ca me rappelles un certain thread sur nanog ca... Xavier Le 23 août 2013 à 11:09, Pellizzari cont...@pellizzari-web.org a écrit : Bonjour à tous, Depuis qq jours 2 de nos 4 IP publiques sont blacklistées par Google. Nos utilisateurs sont donc obligés de saisir un captcha à chaque recherche. Ne voyant pas d'anomalies en terme de volumes, nous cherchons la source du du ban dans le contenu des requêtes... Avec qq milliers d'utilisateurs c'et long et compliqué :( Seules les équipes tech de Google pourraient peut-être nous indiquer la cause du ban, mais le seul moyen de les contacter est un form en ligne, resté sans réponse. L'un d'entre vous serait-il en mesure de nous fournir les coordonnées d'un contact technique chez eux? D'avance merci, Guido Pellizzari --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Choix d'un routeur dual wan pour PME
Oui a toutes tes questions. L'IPv6 est supporté avec les 2.1-RC... Qui marchent bien :) (certains pkg sont pas encore a jour dessus mais en général ca roxe). Xavier Le 10 sept. 2013 à 21:56, Solarus sola...@ultrawaves.fr a écrit : Le 10/09/2013 16:30, Florent Rivoire a écrit : Je confirme : une Alix 2D13 (attention au modèle pour bien avoir les 3 ports réseau) avec un pfsense fonctionne bien pour tes critères. NB: je n'ai pas (ou presque pas) testé d'autres distribs, donc je pourrai pas dire si c'est mieux/moinsBien avec. Ça à l'air intéressant tout ça. J'aurais trois petites questions pour ceux qui utilisent pfsense. Est-il possible de gérer des règles différentes suivantes les IP publiques derrière le FW ? Est-ce que ça fait du NAT/PAT avec gestion des ports entrants ? Et enfin est-ce que ça supporte bien IPv6 ? Étant donné que ça tourne sous FreeBSD, j'ai tendance à penser que oui, mais si vous utilisez cette solution là j'aimerais votre avis. Cordialement Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] trunk layer 2 backup internet
Avec la version Barbue avec du BSD dedans : FreeBSD + Netgraph + vtun / openvpn peuvent faire de joli VPN L2 over internet. J'ai avec ce truc fait un tunnel L2 over IP qui faisais passer : - les VLAN - les truc proprio cisco (CDP, etc...) Avec 2 pauvres Via C3 :) Xavier Le 11 sept. 2013 à 10:50, Régis M regis-fr...@tornad.net a écrit : Version opensource/barbu tu peux aussi monter un vpn en openvpn en TAP/TAP avec une box de chaque coté... Le forti sait faire aussi je crois mais il aime bien avoir du forti aussi de l'autre coté :) Le 11 septembre 2013 10:39, Nicolas V nicovp...@gmail.com a écrit : Bonjour la liste ! J'ai un site distant sur lequel je dois faire transiter du layer 2 (trunk d'environ 10 vlans) de manière redondante. J'ai pour cela une liaison dédiée layer 2 (qui fonctionne très bien), et je dois pouvoir avoir un secours via une liaison internet. Est ce que vous avez déjà mis en place ou auriez des idées de techno (moins couteuse qu'un second layer 2 - et si possible pas trop usine à gaz) qui permettraient de réaliser une encapsulation layer 2 ? J'ai à ma disposition : - du matériel cisco (type 4500 / 7600) - du matériel fortigate - peut être du matériel F5 bigip (des fonctionnalités de tunnels existent mais je ne sais pas ce qu'elles permettent/valent) Merci pour vos lumières ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] CIsco IOS/Linux
Disons que le Linux a plein de drivers prorio... Donc plus tellement libre. Mais c'est pareil avec : - F5 - Extreme Network - Barracuda - F10 (?) Bon normalement Cisco devais ouvrir ses API NXOS (gamme Nexus) pour que des tiers puissent coller des extensions diverses et variées... Ce qui est marrant, c'est que entre le jour ou on m'as dit ca dans les jolis locaux de Cisco a Issy et maintenant, y a pas eu une seule annonce ... Et pourtant c'étais en ... 2009... Xavier Le 11 sept. 2013 à 17:50, Olivier CALVANO o.calv...@gmail.com a écrit : Et donc a quand une version linux sans hardware cisco ;) Le 11 septembre 2013 17:46, Surya ARBY arbysu...@yahoo.fr a écrit : C'est le cas également pour NX OS (gammes Nexus) et les IOS XE. cdlt, -- *De :* Olivier CALVANO o.calv...@gmail.com *À :* frnog-t...@frnog.org *Envoyé le :* Mercredi 11 septembre 2013 17h41 *Objet :* [FRnOG] [TECH] CIsco IOS/Linux Bonjour, Une petite question comme cela, on voit sur les ASR une mention Linux, doit on penser que sur ce type de routeur, on a un linux qui tourne pour faire fonctionner l'IOS ? Merci Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Choix d'un routeur dual wan pour PME
La dernière fois que j'ai utilisé un watchguard, ce con savais mettre des IPv6 sur les interfaces, mais pour effectuer : - le routage - les filtres La c'était walou... (en gros DTCP), donc on a mis... un monowall (free/pascher/et ca juste marche pour un firewall qui fait juste un filtre). Ah oui... c'étais en mai 2013.. (donc récent hein). Je trouve quand même ça gros pour un machin vendu en 2013 avec le support de ne pas avoir d'IPv6... Xavier Le 12/09/2013 6:50, Christophe Lucas a écrit : Sinon, voir du côté de watchguard. Bonne journée a tous. -- Christophe Envoyé de mon téléphone, veuillez excuser ma brièveté. Le 12 sept. 2013 à 00:11, michel besnard mic...@besnard.in a écrit : si tu veux vraiment avoir un boitier pas chiant à maintenir (sans avoir de l'opensource à gérer) un fortigate (FG 60C-ADSL-A ou FGW 60C si besoin de wifi par exemple) donc un firewall à la base te permettra de faire plus de chose qu'un routeur classique certes il y a un coût de maintenance annuelle (optionnel) si tu as besoins des mises à jour mais tu bénéficieras de nombreux autres services : - proxy http - anti-virus (central) - filtrage email - ssl et ipsec vpn si tu utilises du wifi - bornes wifi intégré ou non (controleur intégré) - routage dynamique - load balancing de liens - nat - gestion de qos - géolocalistion d'adresse ip ... http://www.fortinet.com/products/fortigate/60C.html cf la product matrix pour bien sélectionner ton équipement selon tes besoins http://www.fortinet.com/sites/default/files/basicfiles/ProductMatrix.pdf regarde si tu dois faire de l'IPv6 donc passer à un boitier plus récent à base de SOC2 Cdt michel Le 10 septembre 2013 16:05, Kevin Poirier kevin.poirie...@gmail.com a écrit : Bonjour, Je suis actuellement à la recherche d'un routeur dual wan pour une pme afin de pouvoir améliorer la continuité de service et la qualité de notre connexion internet. Pour cela nous avons un connexion ADSL Bouygues et nous envisageons de prendre une seconde ligne avec du SDSL ovh. Nous voulons donc pouvoir à la fois du loadbalacing et du failover entre les deux connexion si possible. Le wifi n'est pas obligatoire car je pense y ajouter ensuite une borne wifi. Merci d'avance pour votre aide. -- Cordialement, *-- * *Poirier Kévin,* *Mail : kevin.poirie...@gmail.com* --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] CIsco IOS/Linux
Hello, Le 12 sept. 2013 à 18:37, Raphael Mazelier r...@futomaki.net a écrit : Le 11/09/2013 22:58, Radu-Adrian Feurdean a écrit : Disons que le Linux a plein de drivers prorio... Donc plus tellement libre. Mais c'est pareil avec : - F5 - Extreme Network - Barracuda - F10 (?) - Arista - Brocade (VDX) - Fortinet Force10 a une base Netbsd, de meme que Ericson/Redback. Quand j'ai écris F10, je voulais dire A10. Juniper a une base FreeBSD. F5 avait commencé avec FreeBSD et est passé sur du Linux (bon avec du runit, ça passe). Non c'étais un BDSi :) J'ai encore un F5 version 4.2 qui trainne et le CD d'install du 4.5 qui sont tous des kernel BSDi Cela me semble d'ailleurs plus logique pour un constructeur d'utiliser une base système avec une license BSD, de sorte qu'il peuve garder closed le code produit. +1 Le choix de Cisco me semble donc surprenant du point vue légal. Je pense qu'ils ont pris ceux qui se trouve partout avec juste un binaire bien proprio au dessus. Mais je suis aussi d'accord avec toi . Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Double alimentation
Hello, Le 17 sept. 2013 à 08:53, Julien Escario esca...@azylog.net a écrit : (...) Si jamais tu as la possibilité de prendre des serveurs avec deux alimentations, je pense que c’est plus simple. Tu auras également deux arrivée et tu seras en plus protégé de la panne de l’une des deux alimentations ; le basculement de lune à l’autre est directement géré au niveau hardware dans le serveur. Après ça sans doute être plus cher. Pour avoir longuement pesé le pour et le contre, nous avons fait le choix de serveur mono alim avec un STS en frontal + PDU. Au final, nous n'avons JAMAIS eu de panne sur une alim (que du Supermicro chez nous) et cela nous revient nettement moins cher d'acheter un STS + modules d'alim de spare que de mettre de la double alim sur chaque machine. Une exception : les serveurs de fichiers (filer), le reste peut tomber sans réelle incidence. Je fais les mêmes exceptions que toi, avec celle en plus : les gros serveurs de virtu (ceux qui ont 30 ou 40 vm) Sans compter la place que l'on gagne sur les PDU : la plupart des DC fournissent de l'APC avec 21 prises C13 ce qui limite le contenu de la baie à 21 serveurs avec de la double alim (un PDU par voie). En 2U, ça marche mais dès qu'on met une machine 1U, il y aura du vide dans la baie (à moins de rajouter de la multiprise). L'autre avantage, aussi c'est que du double alim dans un serveur c'est pas loin de 20% de consommation de plus... Donc ça se paye aussi largement sur le prix de la baie... /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Hello, Le 20 sept. 2013 à 10:53, Leslie-Alexandre DENIS m...@ladenis.fr a écrit : Pour l'avoir essayé en VM une fois, le produit est plutôt bien fait et complet en terme de fonctionnalités. C'est plus corporate que pfSense, je dirais que c'est du Netasq/Fortinet like. Heu j'utilise pfsense pour pas mal de choses là où je bosse... #define corporate pour un firewall... Parce que un pfSense 2.1 bien configuré c'est plus pratique que un netscreen out the box... (pas taper on est vendredi). Rien que pour l'openvpn intégré qui tape sur mon annuaire LDAP, déjà c'est un *bien* infini avec le wizard qui fait le binaire autoconf pour les windows box ou le fichier de conf pour Viscosity ca m'as permis d'avoir la paix romaine avec les gens qui se baladent un peu partout (y compris dans les UE ou les VPN IPsec sont souvent mouillés on vas dire). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Hello, Le 20 sept. 2013 à 11:53, Leslie-Alexandre DENIS m...@ladenis.fr a écrit : #include reply.h Je vais pas aller dans les détails, je parle pour moi et c'était le sujet (migrer depuis pfSense et pas vers pfSense) donc sentiments de côté pfSense est un bon produit base BSD donc stable mais faut pas trop cumuler les services d'une part, d'autre part les packages c'est confus, les migrations et autres upgrades c'est pas fait pour la grosse prod, et tu peux avoir des phénomènes particuliers sur des VLAN qui montent pas, des trunks qui tombent, du Snort qui boit beaucoup. Comme tout logiciels opensource, ceci dépends très sérieusement de ton matériel. Si tu fais des VLAN / Lagg (trunk) sur des cartes réseau à l'eau bénite (ou en mousse, au choix), comme des realtek ou autres chipset a la con (broadcom...), là tu es sûr d'avoir des emmerdes. Alors avec du matériel sérieux : Chipset intel / Cpu Intel / carte réseau intel, j'ai jamais eu le moindre problème. Donc évites de dénigrer des soft qui sont aussi utilisé dans des truc comme juniper (pour info une série J chez JunOS c'est un pauvre CPU - P4 je crois - et des cartes réseaux intel, sur une base FreeBSD avec quelques modules low level) ou Netapp (idem c'est du FreeBSD 7... + logiciels proprios dans des modules). Si FreeBSD tenais pas le pavé, je pense que ces 2 marques auraient des soucis. Après je l'utilise aussi en gw vpn ssl, avec un peu de routage/fw, ça va super bien oui. Evidement si tu mets 20 règles de firewall c'est que tu as un problème de fond : est-ce que tu utilises bien ton firewall... Perso je préfère avoir 3 firewalls successifs que un seul avec 90 interfaces / vlan. Xavier Le 20/09/2013 11:04, Xavier Beaudouin a écrit : Hello, Le 20 sept. 2013 à 10:53, Leslie-Alexandre DENIS m...@ladenis.fr a écrit : Pour l'avoir essayé en VM une fois, le produit est plutôt bien fait et complet en terme de fonctionnalités. C'est plus corporate que pfSense, je dirais que c'est du Netasq/Fortinet like. Heu j'utilise pfsense pour pas mal de choses là où je bosse... #define corporate pour un firewall... Parce que un pfSense 2.1 bien configuré c'est plus pratique que un netscreen out the box... (pas taper on est vendredi). Rien que pour l'openvpn intégré qui tape sur mon annuaire LDAP, déjà c'est un *bien* infini avec le wizard qui fait le binaire autoconf pour les windows box ou le fichier de conf pour Viscosity ca m'as permis d'avoir la paix romaine avec les gens qui se baladent un peu partout (y compris dans les UE ou les VPN IPsec sont souvent mouillés on vas dire). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Le 24/09/2013 10:55, Raphaël Jacquot a écrit : On 24.09.2013 10:52, Jean-Henri Antunes wrote: (...) dechiffrement (...) c'est moche le MITM... c'est même illégal (intrusion dans une correspondance privée) A noter que Squid 3.3 le fait aussi... My 0,02€ -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Hello, Par contre sur l'aspect illégal c'est étonnant... c'est du déchiffrement (man in the midle) juste pour assurer la sûreté du flux / la conformité avec la politique de l'usage internet... dans le cas où les utilisateurs sont informés... pour moi celà s'apparente à l'analyse d'une pièce jointe par l'AV Ce MITM nécessite que tu dépose une CA sur tous les postes clients de ton réseau. Dans le cas d'un réseau que tu maitrise (M$ ou pas) c'est facile, dans le cas d'un réseau BYOD c'est autre chose. Après je parle pas de DANE et ses amis... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] adresse MAC 00:00:00:00:00:00
Hello, Le 3 oct. 2013 à 12:23, jubonnau julien.bonn...@clermont-universite.fr a écrit : Bonjour à tous, Quelqu'un a t'il déjà vu ce genre de paquet une un routeur Brocade MLX ? .. - 0012.f2f3.0d60 [Type:0x8847] ** [xpp10ge_cpu_transmit_data]: Transmit LP CPU packet Time stamp : 86 day(s) 19h 43m 19s:, ** 00: 0001 0243 0090 0ff4-ffc0 022e 0100 FID = 0x0001 10: 748e f876 e900 - 8847 0048 Offset = 0x10 20: c0ff f008 81ff d4be-d98d 5ec4 0015 60ee VLAN= 4084(0x0ff4) 30: 2000 0800 4500 00e3-f1f1 4000 3406 c5df CAM = 0x00117 40: 5fd3 4c2e ac14 362e-0050 c2e3 142a 1bda SFLOW = 0 50: 3fd4 2502 5011 0073-adf7 4854 5450 DBL TAG = 0 60: 2f31 2e30 2034 3030-2042 6164 2072 6571 70: 7565 7374 0d0a 4361-6368 652d 436f 6e74 Pri CPU MON SRC PType US BRD DAV SAV DPV SV ER TXA SAS Tag MVID 0 0 0 CPU 3 0 0 0 0 0 0 0 0 1 0 0 l'adress mac .. n'est pas présente dans ma table de adresse MAC du vlan 4084 ou même globale. Je ne sais pas si c'est la cause, mais j'ai une charge CPU anormalement depuis que je reçois des paquets de ce genre ... Bah c'est normal les proco des cartes ne connaissent pas ce packet, il le passe au RE pour lui demande quoi faire. Aller au hasard, t'as du multicast sur ton réseau ? :p Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Hello Raphael, (...) On parle d'opérateurs / d'hebergeurs dans ce cas bien précis. On parle d'Internet ( Jeremy parlait de sa solution supportant 30gig ) Oui mais il y a aussi des petits opérateurs içi :) Tous aimeraient se payer des solution jolies et efficaces, après, il s'agit, comme tous de commencer petit et après arriver a se payer de beaux jouets. L'aspect des pères (ceux, comme toi qui ont de la chance de jouer avec des 100G de traffic), qui peuvent conseiller aux débutants des erreurs a ne pas faire est toujours intéressant, je pense que là est le débat... à mon avis. Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Hello, (...) Je suis d'accord avec toi. C'est parfois le cas. Parfois ce n'est pas le cas. D'où mon biais peut-être académique, de ne jamais donner d'avis absolu. Non par défaut la solution commerciale n'est pas toujours la bonne, et non plus par défaut la solution non commerciale n'est pas toujours la bonne. Je garde mes oreilles et mes méninges bien ouvertes et j'écoute les retours d'expérience et je prend une décision en fonction de mes contraintes. Parfois, je met le paquet et j'achète la solution commerciale. Parfois, je met le paquet sur mes ressources internes et je déploie la solution opensource. Parfois je réussi et j'apprends. Parfois je me plante, et j'apprends encore plus. Tu me diras, et les clients ! ils sont un élément de l'équation avec un gros coefficient de weighting :-). Et puis il y'a les commerciaux qui vendent de la fiabilité 99.999 % ( 3 minutes de coupure par an :-) ce que tout les technique savent que c'est pas possible partout, tout le temps …. Un exemple parmi d'autres : le monitoring. Les solutions commerciales ou pas ont toutes une approche différentes et des fois, selon ce qu'on veux, on prends une version commerciale ou pas... :) Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
Hello, Le 30 oct. 2013 à 11:41, Frederic Dhieux frede...@syn.fr a écrit : Le 10/30/13 11:24 AM, Raphael Mazelier a écrit : Le 30/10/2013 11:02, Radu-Adrian Feurdean a écrit : Avis de barbu rase : Pas de BGP + statefull. Avis de mal rasé : - bgp si tu veux, mais pas de statefull sur un routeur. +1 J'ajouterais aussi même si ce n'est pas forcément le cas ici : Eviter de mélanger les rôles entre routeurs eBGP et firewalling. On l'as dit souvent : on protège le backplane mais on s'amuse pas a faire de statefull sur un routeur BGP... Mais il y en as qui persistent et signent... et qu'un simple synflood partent en timeout en BGP... :p Voila on a dit : - routeur BGP en stateless avec protection du backplane - firewall DERRIERE le routeur BGP en statefull... - avant les firewalls : les revolvers DNS et hidden master (ca évite des nombreuses emmerdes avec les packets 512 en tcp sur les dns)... Mais bon... on aime bien se faire fouetter des fois :p Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Zayo : adoptanecrow ?
Bonjour, J'essaye depuis Mars 2012 de réussir a communiquer avec les relous de chez Zayo qui envoient les factures quand ils veulent, et perdent les AR quand on veux résilier. Régulièrement (en général, une fois par an) je reçois un mail paiement en retards... Dois-je commencer a prendre un avocat pour leur clouer le bec ou utiliser twitter pour leur faire comprendre que ces bandes de censored commencent a me pomper l'air. Personnellement, je suis arrivé a un point que je ne recommanderais jamais Zayo non pas pour leur QoS mais pour leur facturation qui est aussi délirante que le societe francaise au carré rouge quand j'ai eu affaire a eux. Un contact qui a de l'appuis chez eux serait bien car, je passe trop de temps a communiquer des pièces qui ne vont que dans un sens... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6 chez Voo
Hello, Le 17 nov. 2013 à 10:50, Raphael Jacquot sxp...@sxpert.org a écrit : On 17 Nov 2013, at 01:13, alarig ala...@swordarmor.fr wrote: Le 17/11/2013 00:40, Yoann Gini a écrit : Mais je te rejoint tout à fait sur le fait de dire que vu comme IPv6 est conçu, oui, il est obligatoire d’appliquer ce principe et d’en distribuer plus que nécessaire pour favoriser son émergence. Je ne pense pas que distribuer plus d’adresses que nécessaire aidera à sa diffusion. Le simple fait que l’on puisse avoir une adresse par machine et ne plus avoir à faire du passage de NAT est déjà un argument convaincant. certains vont t’affirmer au contraire que c’est super mal, parce que justement le fait de natter “protege” leurs machines contre les attaques ;-) Parce que ces personnes ne savent pas ce qu'est un firewall stateful... Bon joker. Disons que ces mêmes personnes vont bloquer l'icmp (totalement) et après s'etonnent que le pmtu marche pas... Avec l'IPv6 on aura la paix : pas d'icmp6 = pas de réseau :p Le coté positif que mettre le NAT dans la poubelle, c'est que les nat4 qu'on voit dans le milieu professionnel non internet risque de disparaitre... (exemple dans la finance) Encore faut-il que les dev de logiciels de finance sortent de l'ipv4 (et ça c'est loin d'être gagné...), et arrêtent d'utiliser des litterals codés en dur dans leur soft... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6 sur le réseau privé
Le 18/11/2013 0:13, Gaël a écrit : Pour un réseau privé interne d'une entreprise, ou d'un particulier, y a-t-il une vrai nécessitée de passer à l'IPv6? De mon point de vue, je ne vois pas... Des idées? Pouvoir utiliser n'importe quel logiciel qui a besoin d'une ip publique ? (voix sur IP, transfert direct IRC, etc.) S'habituer aux outils et spécificités de l'IPv6 ? et prévenir toute potentielle obsolescence de l'IPv4 ... +1 L'autre avantage : plus de pb : l'ip 192.168.0.1 c'est qui ? :) -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6 sur le réseau privé
Salut, Le 18 nov. 2013 à 19:09, Gilles Mocellin gilles.mocel...@nuagelibre.org a écrit : Le 18/11/2013 11:31, Laurent GUERBY a écrit : On Sun, 2013-11-17 at 23:47 +0100, m3g4g0lG0t|-| wrote: Pour un réseau privé interne d'une entreprise, ou d'un particulier, y a-t-il une vrai nécessitée de passer à l'IPv6? De mon point de vue, je ne vois pas... Des idées? Pour une entreprise demander un /48 PI IPv6 et tout numéroter proprement en IPv6 sur son LAN avec. Lors d'une fusion pas de renumerotation, un seul lien, deux routes et tout marche. En IPv4 ca ne se passe pas comme ça :). Question rapide en passant : Est-ce-possible de se réserver une plage IPv6 global, et de la conserver quelque soit l'opérateur ? Ca s'appelle des PI IPv6 (comme il y avais en IPv4). J'image qu'avec des FAI grand public, c'est pas la peine, mais avec les opérateurs pros ? Ca dépends des opérateur Pro (ou pas). Sinon, y a la solution tunnel vers un broker IPv6, mais c'est bien dommage. Évidement, je pense que pour ceux qui ont leur AS, ça doit être plus simple. Après si tu une PI, rien ne t'empêche d'y coller un AS... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] de nombreux bounce depuis les mx de free
Hello, Le 20/11/2013 12:27, Alexandre a écrit : Bonjour à tous, Voici le contexte en quelques mots. Suite à l'inscription d'un client sur notre site, nous lui envoyons en document en PJ. Nous n'avions pas de problème jusqu'ici, mais depuis ce matin, les mx de free nous rejettent avec un 550 5.2.2 user quota exceeded (in reply to RCPT TO command)). Avez-vous le même problème ? Non. Si cela est un problème isolé, comment puis-je le corriger ? Ca ressemble a des mails qui sont pas vidés par ignorance ou simplement des boites mails oubliés. J'ai un mail loop qui tourne toutes les 10 minutes (en journée) sur mon infra qui essaye d'envoyer a un mail perso chez free = pas de pb. Donc je pense que tu as 2 possiblités : o les adresses mails sont fausses, oubliés, ou ultra spammées o ton serveur de mail fais partie des serveurs de mails qui envoient trop de mail chez free et tu es dans une liste grise chez eux (voir threads de il y a quelques mois : comment être sympa avec les mx de free / hotmail / yahoo?). Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Hello, Le 21 nov. 2013 à 23:39, Fabien V. list-fr...@beufa.net a écrit : Le 2013-11-21 11:52, Cedric T. a écrit : Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Sans avoir lu tout le thread j'y vois deux problèmes majeurs : - j'utilise l'IP d'interco du routeur avec une ACL qui va bien pour autoriser une machine externe au réseau en cas de problème majeur (IGP pété...); L'out-of-band du pauvre certains diront ;) - je monitore le bon fonctionnement de mes transit avec un nagios sur une machine externe, alors comment faire si l'IP n'est meme pas routable ? La même. En plus, on vient de nous le proposer ce jour, comme pour Jérôme ... On a refusé ce fonctionnement, ne serait que parce que l'iBGP ou l'OSPF pourrait avoir à utiliser ce genre d'adresses Y a pas un SHOULDNOT quelque part dans les RFC de BGP ? Stéphane, tu peux nous le remplacer par un MUSTNOT ? ;) Enfin, moi j'dis ça, mais si vous avez un opérateur qui propose ça, je crois qu'il est temps d'aller voir ailleurs. D'ailleurs ça serait bien d'avoir des noms... Histoire que ces gens soient vu du monde FrNOG comme faisant des pratiques douteuses. My 0,02€ Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collocation Orange
Le 5 déc. 2013 à 13:04, Bruno CAVROS / SKIWEBCENTER br...@skiwebcenter.fr a écrit : Dites voir, déjà plus de 40% de loss vers free dés 13H, la saturation prends de l'avance ? en générale c'est 15/20% max entre 13h30 à 00h30 Y'a un soucis supplémentaire en plus des transitaires saturés ? troll Non, peut être juste un effet de bord de l'annonce de mardi dernier ? :) /troll /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] IGC/A et google
Bonjour, Le 08/12/2013 20:33, Jean-Yves Faye a écrit : Bonsoir, NetASQ a cette fonctionnalité, et de plus est un produit bien Français. Purement techniquement parlant, cette technique peut être pratique pour garder l'aspect SSL des communications, tout en soumettant à l'analyse antivirus/IDS les flux entrants, chose courante avec les appliances type NetASQ justement. Comme déjà dit, le danger vient plutôt de le faire avec une AC certifiée et publique (par transitivité). Normalement on fait ça avec une AC interne et les certificats spécifiques sont déployés sur les postes. Après cela remet encore une fois sur le tapis la question de la liste à rallonge des autorités de confiance qui peuvent donner des certificats pour n'importe quoi, qui ne veut plus dire grand chose. Dans ce cas précis, une fonctionnalité de type restriction à *.gouv.fr sur l'IGC de l'administration aurait été pertinente. Un nettoyage des magasins de certificats des navigateurs est la seule solution à court terme, ça ou alors les éditeurs de navigateurs se mettent à implémenter les protocoles déjà proposés pour réduire la voilure niveau portes d'entrée dans le système des IGC (moins problable) La solution a déployer serait plutôt un DANE vraiment intégré dans les navigateurs, seul bémol, ça dépends de DNSSEC et DNSSEC c'est bien mais c'est pas effortless a intégrer... Hélas :( Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch supermicro
Hello, Pour parler de bug, je te renvois à ton infra Brocade. Les bugs France-IX étaient liés plusieurs éléments : - Soucis d'os - Pb matériel - Soucis de configuration - Règles d'ingénierie trop permissive Le soucis de Brocade, c'est justement que c'est complique d'avoir un contact qui est la pour t'aider ou te dire autre chose que : la carte est cassé, merci de la renvoyer, on va vous balancer une nouvelle ( alors que c'est un bug logiciel ). Si Brocade continue de rien faire et de faire des softs radioactifs, et te répondre par des remises commerciales ( ton infra est par terre tu t'en fiches des remises à ce moment la ) , je ne crois pas qu'ils serviront encore longtemps chez certains ixp ... J'ai déjà déployé des Foundry Networks (quand ça s'appellais Foundry hein, en 2000), dans une boite qui s'appellais ISDnet. A l'époque, avant les jetcore, on avais un matériel correct qui fonctionne avec _certaines_ limitation des fois, je l'accorde, un peu débile, par rapport à Cisco. Après ils se sont lancés a la course à l'armement : mon 10G est plus gros que ton 10G et les bugs en série se sont déclarés les problèmes maladifs sont devenus de plus en plus courants. Mais on avais 2 personnes la bas en France, très compétant, qui pouvais faire avancer les choses dont une qui est partie, car... vraisemblablement ne rentrais pas dans la case où on l'avais mise. Ces deux personnes sont parties, reste plus que du vaporware (aka commercial et remises à la con), et le fait que brocade (qui n'y connais RIEN en L3 cette fois-ci) ai mangé Foundry, on se retrouve dans un mic-mac de machins qui tombent en marche quand elles veulent, et on crie a l'aide quand on a des merdes. Je suis d'accord avec Raphael, les remises commerciales ne suffisent pas a faire avancer les problèmes technologiques surtout sur un IXP ou ce que demandent les membres c'est un truc fiable, mais un pimp my ride... Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?
Hello, Le 20/01/2014 11:35, Clement Cavadore a écrit : On Mon, 2014-01-20 at 10:53 +0100, Romain GUICHARD wrote: Mais en soit si je dois perdre en moyenne 10min à chaque fois pour assurer la sécurité du DC, so be it. Il y a une différence entre perdre 10 minutes en moyenne, et entre 1/2h et 1h (pour au final te rendre compte que tu avais TOUT fait dans les règles, et que c'est juste le droide qui a décidé ne pas bosser, ou de te faire chier) Oui ou si tu es en sous-sous-sous location, la c'est un peu normal. L'expérience du bus rouge qui n'étais pas payé par un presta, qui bref. Mes expériences: - bus rouge : quand tu as ton accès et que tu n'es pas sous loc : RAZ, en dehors... aie - Th2 : quelque soit le truc: trop de papier et d'attente - Equinix : Ca va, des fois relou de pas faire des demande dans l'urgence quand tu n'as pas de badge (eg demande le jour pour... dans 1h := DTC). - SFR a CBV: alors... avant = moulin... Now : laissez moi sortir de la forteresse, on a la la palme de la bêtise et de la lourdeur. J'ai dû peter un plomb pour avoir un badge (valable 6 mois a renouveler), surtout quand t'a une @~#@~#\@~ de porte qui ne s'ouvre pas par incompétence de la personne à l’accueil qui n'est pas un droit, mais pire... une personne type SFR Bonjour?. Une fois qu'on a ce badge : LA PAIX, a part quand tu dois livrer un truc lourd ou faut négocier a fond avec le PC sécu pour eviter de faire option déménageur dans la rue. - Autrement la biométrie c'est bien, en abuser ça crain :) Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?
Le 21/01/2014 17:40, Inulogic - Free-H a écrit : Le 21 janvier 2014 13:29, Clement Cavadore clem...@cavadore.net a écrit : Si encore on ne faisait qu'imaginer... j'ai quelques anecdotes assez edifiantes (mais je vais les taire sur une liste publique :-)) On se demande pourquoi tu as commencé alors :). On souhaite la suite du coup. Dans la série anecdotes édifiantes j'ai eu le coup mec qui trifouille les câbles pour y coller des étiquettes à la con dans une suite chez SFR Courbevoie en Septembre/Octobre 2012 suite aux pb électriques connus qui se sont passé la bas. Évidement coup de fil au PC Sécu : on sait pas, les clef sont pas données, c'est pas normal... Comment ça été découvert ? Les serveurs qui disparaissent d'un coup de la supervision (les pris C13/C14 étant un peu sensibles au touché) et une camera dans la suite Alors que pour rentrer la dedans c'est ultra relou, même si on a badges ET listes d'accès. Comme quoi la sécurité ne fait chier que ceux qui sont dans la white liste. A noter qu'à ce jour SFR ne sais toujours pas qui est venu (ou ne veux pas savoir...). Je suis quasiment sûr que Clément a d'autres anecdotes bien grasses. -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?
Hello, Le 23 janv. 2014 à 15:54, Nathan delhaye cont...@nathan-delhaye.fr a écrit : - La biométrie est inutile et contre-productive Je ne suis pas d'accord avec toi. Certes à Redbus avec leur scanner rétinien à la noix c'était infâme, mais chez Eqx par exemple (où les accès sont rapides et simples au passage), le scanner de la main marche très bien. Si t'a du doigté et que t'es anti-microbes, t'a même pas besoin de poser vraiment la main dessus :-) Je ne suis pas d'accord avec toi. Je passe souvent a Equinix et a chaque fois je suis obligé de me re-enroller pour un accès temporaire (n'ayant pas d'accès permanent). C'est ca que j'appelle contre productif. En plus de 10 minutes perdues a trouver mon ACL, il faut aussi qu'on attendent l'enrôlement... Encore je parle pas des machins a emprunte digitale qui sont une putain de plaie. Le seul truc potable (a part l'interface d'enrôlement pourrie en java) c'est les machins biovein. /Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [MISC] Le troll du vendredi par Michel
Hello, Pourquoi se fatiguer à le faire à la main, il suffit de leur donner adblockplus. http://adblockplus.org ça fait bien longtemps que c'est fini ça, maintenant adblock plus laisse passer certaines pubs non intrusive mais surtout de ceux qui les payent pour être whitelisté, comme par exemple google: http://www.neowin.net/news/report-google-paying-adblock-plus-to-not-block-google039s-ads C'est pour ça qu'il existe un fork adblock edge qui lui n'est pas au service des publicitaires qui nous pourrissent l'internet et en font un outil de surveillance. Ou Ghostery... :) Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [MISC] Peering / net / web ...
Hello, Le 04/02/2014 17:06, Simon Morvan a écrit : Les logiciels libres ne sont pas gratuits. On confond souvent libre (free en anglais) et gratuits. Il sont libres car on peux les utiliser sans passer au tiroir caisse, mais pas gratuits car il faut des gens qui les connaissent pour les utiliser. D'une manière générale le logiciel libre permet de mieux contrôler un SI que pleins de briques proprio dans lesquelles tu peux rien adapter / changer. A noter que l'Internet ne serait pas non plus ce qu'il est actuellement si les logiciels libres n'étaient pas là (exemple JunOS basé sur FreeBSD, ou NXOS basé sur Linux). Néanmoins on a besoin de choses ouvertes (RFC / pas de firewall à la con / le moins de QoS possible globalement sauf cas particuliers) pour des futurs développements apparaissent et changent notre façon de vivre. Si l'Internet dans les années 90-2000 était ce qu'il est actuellement (et ce qui a été évoqué içi) certaines boites qui sont des références actuellement n'existeraient pas. Il faut quand même se souvenir d'où on vient et ou on vas (ou pas actuellement). Le peering existe de fait que si on as un AS et des IPS, si on peere pas avec au moins une personne ça sert à rien, revenons a l'AS3215 et du temps de transpac dans ce cas là (avec son support qui sort que des requins ont mangés une fibre [j'ai eu ce coup la en 1988]). D'autre part, quand on parle de résilence, le peering aide au fait qu'on ai un internet solide et qui ne part pas en couille quand un datacenter fait plouf (eg le busrouge, le citédetele, ...) car trop d'équipement sensibles des quelques gros transitaires ont fait plouf avec l'onduleur qui ondure ton core ... Après que le peering soit payant quand on as des gros gorets en bp... je comprends, qu'il soit non toi je ne te cause pas car tu n'envoie pas assez de gros packet même si tu as un /20 la je ne trouve pas fair play. My 0,02 Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Consultation Ftt-WTF de l'ARCEP
Salut, Le 11/02/2014 8:10, m3g4g0lG0t|-| a écrit : Le 10/02/2014 18:46, Jérôme Nicolle a écrit : ça risque aussi de conforter les offres PRM (subvention illégale d'Orange par les collectivités comme en concluent certaines analyses). Les offres d'Orange ne disparaîtront pas avec ça... Ca ne fera même rien de ce coté. Les élus locaux préfèrent Orange, car ça coûte moins cher(subvention), et le truc change de nom (de FT à Orange) mais ça reste le même système qu'avant (pas de changement, ce qui intéressant en politique). Il y a aussi que Orange quand une communauté de commune leur demande un machin, ils répondent. Pour avoir eu la CCBS au téléphone, il n'y avais que Orange et éventuellement SFR qui ont répondu a leur demande pour y coller de FTTH, ce qui les as un peu chagrinés : juste 2 réponses, c'est moyen quand même (et n'allez pas dire que c'est la steppe, c'est dans les Yvelines nord). Après vous vous étonnez qu'il n'y a que 2 pseudo concurrents dans certaines zones, n'allez pas pleurer. Répondez aux appels d'offres, c'est déjà un truc qui permet de faire de sorte que Orange et SFR soit pas les deux seules offres sur le territoire français. Après le contenu de l'offre, joker, mais c'est un exemple parmi d'autres... Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] L'Internet européen
Le 17/02/2014 10:51, Laurent Seror a écrit : Au niveau de la latence ça ne serait en effet pas top. Par contre en cas de problème réseau chez un (ou plusieurs opérateurs comme lors d'une perte de POP), on peut se retrouver à passer temporairement par les US. Et c'est déjà arrivé, voir épisode loft story 1 dans ISDnet vs 3215. A l'époque suite a un consored tout le traffic a destination de 3215 s'est retrouvé a peerer a NY... Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Firewalls, routeurs et pulls marins (was [MISC] L'Internet européen)
Hello, Le 18/02/2014 2:08, stephane.martin a écrit : Acheter des produits de sécurité qualifiés par l'ANSSI est une obligation pour les opérateurs français d'importance vitale depuis le 18 décembre 2013. Pour les firewalls, seuls trois (deux ?) constructeurs ont des produits qualifiés : Arkoon, Netasq, Stonesoft. trollDonc les soft opensource sont pas qualifiés? Marrant netasq est basé sur du freebsd... alors que pfsense aussi/troll Dans les autres joyeusetés du 18/12, on trouve aussi la révision de la liste des articles relevant du 226-3 du code pénal. Je ne serais pas surpris qu'in fine cela vienne à signifier : achetez des routeurs Alcatel. Rien que penser avoir des routeurs Alcatel, ca fait mal à la tête... -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] [FRnOG] Re: Firewalls, routeurs et pulls marins (was [MISC] L'Internet européen)
Quant aux routeurs (et switchs) Alcatel, les as-tu testé? Dans quel contexte? Pour quel besoin? Quel est ton retour? Quand je bossais chez CW, j'ai essayé en vain de tester ces produits : Moi bonjour alcatel Alcatel ou ? Moi je voudrais tester vos switchs ethernet A des Pabx.. ? (...) Bref, au bout de 10 essais avec ces dialogue de sourd - insert into vendors_boulet J'ai eu une petite expérience en personnel dessus, j'ai pas très apprécié, la doc est difficile a trouver, les bonnes pratiques moins, des limitations étranges, bref je sens bien le produit techniquement bon, mais avec des limitations étranges. De plus quel est le gain en techno d'un alcatel par rapport a un juniper / cisco / huawai : a part une eventuelle backdoor ? j'vois pas. Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [MISC] L'Internet européen
Hello, Comme le disait Benjamin, la fiscalité et la fâcheuse tendance des boîtes étrangères et américaines à optimiser leurs impôts et taxes (merci l'Irlande...) contraint les gouvernements, en crise, à repenser le système. Factuellement, tout cela montre que nous sommes en retard : - sur l'appréciation des revenus engendrés par l'économie numérique (on réfléchit quand Google dégage 13 milliards$ par an) - sur nos compétences, tout le monde gueule, certes, mais pour l'instant les américains lead et de loin (droppez vos Android/iPhone, router Cisco/Juniper, votre Cogent qu'il y a naturellement partout mais faut pas le dire...) La volonté de l'Europe est louable mais c'est comme la frenchtech, c'est en retard et dépassé. Il va falloir qu'on s'entende et qu'on rattrape les choses de façon vertueuse et non protectionniste, en passant par motiver nos talents voir même les découvrir... Enfin, je suis d'accord, mais il faut aussi voir clairement les problèmes actuels. On a fait l'€uro, c'est bien, mais on a rien harmonisé en dehors de la monnaie. Donc évidement y a des vases communicant : l'Irelande, le Luxembourg, etc... Donc il vas falloir qu'on s'entende (...) deviens assez urgent pour les optimisations fiscales décriées soient peut-être moins facile en europe que maintenant... Mais je rêve sûrement... Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [TECH] Routeurs cisco
Le 24/02/2014 18:15, Frederic Dhieux a écrit : Le 2/24/14 6:07 PM, Michel Py a écrit : Jeremy a écrit: depuis qu'on a démarré 1500 routes statiques sur chaque équipements (2), on a de gros bagots à chaque fois qu'on rajoute une route. J'aimerais bien savoir comment tu en arrives à autant de routes. Combien de serveurs tu héberges ? Michel. Hello, Je me posais la même question, est-ce qu'une refonte et une optimisation du design ne serait pas plus efficace que la recherche d'un équipement gérant mieux 1500 routes statiques ? enfin 1500 routes c'est pas beaucoup, en mettant un sdm prefer on peux aller a 8000 routes... M'enfin... bon faut reloader aussi. -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Gamme Juniper ?
Salut Pierre-Yves, Le 5 mars 2014 à 14:24, Pierre-Yves Maunier pymaunier+li...@gmail.com a écrit : 800 sessions BGP pour 150 Mbits/sec de traf ? Et donc ? il fait ce qu'il veux avec ses équipements non ? Après peu importe le CPU être un peering slut ça a des désavantages. Oui et non ca dépends des services qu'on propose. Si on propose un service critique (hint cherches dans peeringdb), et bien c'est pas du peering pour de la DB mais du peering pour de la résilience d'un service assez critique pour pas mal de monde... Mon précédent employeur et mon actuel sont open peering policy c'est pas pour autant que je peere avec tout le monde. Si le niveau de trafic est représentatif, je monte une session, sinon la personne peut toujours avoir mes routes via les route serveurs. Ils sont aussi là pour faire plaisir à ton CPU. Des fois le traffic n'est pas tout. Tu as des machins qui sont utilisés par mr et mme michu qui s'en rendent pas comptent quand il vont sur youtube/porn / google/ dailymotion etc... qui sont à la base de ce que tu mets dans ton brouteur en haut... Si ces gens font qu'un peering avec juste un gars qui fait du traffic (par ex...) et bien suffit que ce gars se banane pour 90% des requêtes prennent trop de temps... et terminent en timeout. Tout le monde ici n'as pas le même modèle économique c'est a dire envoyer de Gbps et se foutre de la latence. /Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [TECH] Gamme Juniper ?
Hello, Il y a quand meme des désavantages à monter x centaines de sessions : hormis le CPU que ça bouffe et donc convergence à tout remonter en cas de pépin, c'est de la configuration à maintenir, à monitorer etc). La effectivement quand on a des processeurs en mousse sur les RE.. c'est relou. Du coup Juniper n'assure pas un cachou... Dommage :( (...) Bah on est d'accord, le trafic ne fait pas tout (voir plus haut et même voir mon mail initial). S'il y a des besoins spécifiques autres que le trafic une session directe peut toujours être montée. Après ne pas monter des sessions ne veut pas dire ne pas s'échanger des routes. Les routes serveurs sont là pour ça du coup je ne comprend pas l'objet de ton paragraphe. Les route serveurs sont la, et que les open policy jouent bien le jeu, c'est à dire annoncent bien toutes les routes qu'il ont sur leur AS sur les routes server, j'appelle jouer le jeu. Par contre ça fait spof un route server, et des fois des routes fantômes (j'ai déjà eu le coup sur un des IX francais qui en avais un, je sais plus lequel...). Monter une session directe ou passer par un route serveur ça revient dans 95% des cas au même. Dans un des deux cas tu fais confiance a un tiers pour recevoir les routes mais dans ta RIB et dans ta FIB le next-hop est le même. Juste tu soulages ton CPU. Tu as bien dis 95%, je pense que dans le cas présent, il se trouve dans les 5% restant. Quant à ton commentaire sur le modèle économique sur envoyer du Gbps et se foutre de la latence je ne comprends pas non plus, en tout cas ce modèle n'est pas le mien. Bah tu parlais de traffic vs est-ce que ca vaux le coup de peerer ? (Sans que tu n'ai parlé des route serveurs). Et surtout je ne vois pas le rapport avec le fait de ne pas monter de sessions directes. Oui je te suis, uniquement si tout le monde joue le jeu avec les routes servers Si et Seulement Si... Les open policy qui ne peerent pas sur les routes servers - joker. Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [MISC] Conservation des données pour réseau public
Hello, Il y a quelques jours j'ai mis une paire de pneus neufs sur ma bagnole chez un vendeur connu (http://lesschwab.com), il y a du WiFi pour passer le temps pendant qu'ils changent tes pneus au même titre qu'il y a du café (gratuit). Mon vendeur de pneus n'est pas un FAI, il essaie de rendre mon attente plus facile. J'ai donné la clé de la voiture, je me suis servi un caoua, je me suis assis, j'ai sorti mon portable et j'ai fait quelque chose. Même expérience en Corée du Sud avec un iPhone 4S sans carte SIM Coréenne : y a du wifi partout, sans mdp ni truc de menaces comme en France. Comme ça tu peux prendre ton portable et bosser là ou tu veux et être sur d'avoir du réseau. Idem avec le cable réseau qui traine derrière la TV dans les hotels en corée... Ce qui est lamentable avec la loi Française c'est que les gros qui ont les moyens ne l'appliquent pas, laissant les petits sans connaissance technique avec des obligations et l'épée de Damoclès au-dessus de leur tête. C'est trop compliqué, çà ne sert a rien si ce n'est à faire chier le petit peuple. C'est l'effet pervers des élites(sic) qui n'ont rien compris à la choucroute. Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [TECH] raconte moi tronc de collecte
Salut Laurent, J'ai bossé dans une petite boite qui faisait de la collecte SFR, mais aussi plein d'autres choses... A cette époque on avais pas mal de collecte SFR, mais la comptable pétais un plomb avec la facturation délirante de SFR. A un tel point, que chaque mois on passais elle et moi à une vérification complète que quelle ligne a été acheté avec quel debit, comment etc... A la fin on en a eu marre, on passé L33.1 et on a pris une collecte FT/Orange. Zen, fiable, pas d'emmerdes (parce que les truc qui marchent a moitié mais quand même facturé, SFR aime bien...). Evidement il y avais la menace de ouais vous faites pas assez de CA, et on étais de l'ordre de 20K€ par mois chez eux joker donc. En tous cas, je souhaite plein de bon plaisir a Numéricable ou Bouygues pour absorber le Mammouth, car le bordel ambiant qui reste depuis LDCOM/Gaoland/Worldnet est toujours planqué sous le faux plancher... Je sais pas comment cette boite arrive a tenir, mais je suis toujours étonné... Entre le datacenter de Courbevoie ou on a l'impression de rentrer dans une fortification mais qui laisse rentrer des gens inconnus dans des suites privées a bidouiller des cables pour y coller des étiquettes, des groupes électrogènes mobiles qui arrivent des fois... Des portes prévues pour rentrer les mains dans les poches mais si jamais tu arrives avec un machin qui fait 4U la tu en chies... Bref... :) Le problème de SFR : penser qu'ils sont indispensables et donc ne rien changer a leur politique... Alors que Orange a commencé a bouger... pour un prix des fois plus avantageux (quand on mets en compte les emmerdes générées par SFR). Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [TECH] Utiliser BGP pour se protéger des DDoS
Hello, Le 4 avr. 2014 à 08:35, Philippe Bourcier phili...@frnog.org a écrit : Bonjour, On fait et faisait un truc basique sur les serveurs IRC (depuis les années 2000 (old!)), pour se prémunir des pertes business liées aux DDoS (coucou Pascal Gloor et Nicolas Strina)... On se prenait une /24 PI qu'on annonçait depuis le serveur IRC à travers une seconde NIC... dès qu'on détectait une attaque, on droppait l'annonce et hop, le DDoSseur DDoSsé. En effet, une fois la route disparue du net, c'est le réseau source du DDoS qui s'en prend plein la tête (ICMP unreachable), ce qui permet à l'admin du réseau en question de se rendre compte qu'il y a un soucis chez lui. Bien sure ce n'est valable que pour un service perdable, mais ça a sauvé des business et c'est totalement KISS. Depuis les transits permettent des systèmes un peu plus sophistiqués, mais pour un truc comme de l'IRC, tu n'as pas forcément envie de t'embêter (et puis l'IPv4 n'était pas bien chère et rare à l'époque :)). C'est la technique que j'avais utilisé pour un service de DNS gratis qui se faisais souvent DDoS. Principe un PI/24. Un serveur ayant 10Mbps (ca suffit largement pour du traffic DNS normal). Du BGP Dampening... réglé a 45 minutes... :D Et hop :) En cas de DDoS ca saute, puis ca re-saute, et puis le dampening se met en branle et donc l'annonce disparait... Ok ca fait le service qui n'est pas dispo, mais ca protège et ca laisse les relou s'énerver tout seul. Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [TECH] [Clim] Ce qui s'est vraiment passé à TH2
Salut, Le 8 avr. 2014 à 00:06, technicien hahd technic...@hahd.fr a écrit : On Monday 07 April 2014 23:40:53 Radu-Adrian Feurdean wrote: On Mon, Apr 7, 2014, at 21:06, Sylvain Busson wrote: Pas besoin d'aller si loin, à Telehouse Londres(Docklands) ils fouillent dans ta valise, ils te font sortir tes pesli pour peu que tu y soit pour plusieurs jours, si t'es pas d'accord tu rentres pas. Ca a probablement change depuis, mais il y a meme pas 2 ans (mai 2012), c'etait certainement pas ca. Valise dans une main, boite assez grande pour contenir un CER dans l'autre, on m'a pas pose des questions. C'est assez marrant que tout le monde focalise sur l'entrée parce que houlala il pourrait y avoir des explosifs et la sécurité tout ça. Par contre à la sortie le gars qui sort avec ton serveur dans son sac, on lui demande rien. Quand Telecity CBV s'appelais Redbus, le fait de sortir un serveur c'était du sport. Sortir un HD passais mieux, surtout quand on a un mac book pro :) Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [MISC] Le néo-colonialisme, une nouvelle opportinuté ?
Salut, Foin de l'or, pétrole, ressources humaines ou coton, je m'attarderai sur cette ressources rare, précieuse et inexistante : les adresses IP, que l'on trouve à poignées dans les plaines africaines (l'Afrinic ne consomme que 30% de son potentiel). Bref, tout ça pour dire que je projette de récupérer cette manne quasi-divine de la manière suivante : - création d'une personne morale dans une contrée lointaine - adhésion à l'Afrinic - récupération d'un subnet (un /13 me semble raisonnable pour débuter) - annonce de ce subnet via mon ASN européen Bon, s'il faut, j'accepte de me sacrifier économiquement en payant un autochtone, pour un salaire de misère (si j'en crois le grand journal de TF1, c'est la norme) Qu'en pensez-vous ? J'aimerais vos avis, en particulier sur les points législatifs et techniques. Est-ce une bonne pratique, et si non, pourquoi et quels sont les risques ? Ca existe déjà, voir rapport de l'ODRIF. Tant que j'y suis, et si ce premier projet tombe à l'eau, j'ai trouvé une autre piste pour assouvir ma soif de numéro (autre que le loto) : le ninja de prefix. Il semble que ce soit un sport communément répandu, si j'en crois Hurricane Electric : http://bgp.he.net/report/bogons#_bogonsv4asn Ou alors, il ment ? Sur ce point tu n'as aucune garantie que ton prefix bogon ne soit pas filtre quelque part... Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [MISC] Le néo-colonialisme, une nouvelle opportinuté ?
Salut Julien, Je suis assez surpris du manque de réaction au cynisme répugnant de ce mail. En dehors de la réalité technique et des magouilles en vogue depuis des années sur lesquelles je n'ai rien à dire présentement, je trouve vraiment le ton de ce mail inacceptable. Alors, d'aucuns vont me traiter de père la morale ou que-sais-je mais ce n'est pas la première fois que je constate ce genre de réflexions de dominants autour d'frnog (que ce soit la liste ou le chan IRC). Ça donne une image de la liste et de la communauté du réseau français vraiment déplorable. Je te comprends, je suis laissé volontairement neutre lors de ma réponse. Il est clair que les sociétés qui font vraiment du travail avec l'Afrique peuvent faire ce qu'il est dit. Ceci dit, le pillage de ressources est quelque chose de courant même si ça m’écœure au plus haut point (genre les suremballages qui sont jeté direct en plastique = on jette du pétrole directement vu qu'on est pas capable de recycler ce PVC...). Pour revenir au problème, il est clair que l'Afrinic devrait être un peu plus strict en connaissance de cause... mais je pense que la politique de l'autruche, connue sous le nom : du moment qu'ils payent est le fait de cette méthode en vogue. Tout ça parce qu'on essaye de ne pas migrer en IPv6... Sortez vous les doigts... (trollD'façon on arrive au 500k routes... les 6500 vont aider a un peu bouger les choses non ? /troll) Xavier Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Voip
Salut David Lucas, Le 12 juin 2014 à 10:57, David Ponzone david.ponz...@gmail.com a écrit : Ok mais il ne faut pas croire que: grand constructeur = $ = qualité de service +1 En plus, pour un « grand constructeur » , tu seras un « tout petit ». +1 Ne pas oublier que de plus en plus, les routeurs deviennent des serveurs. Exemple nexus5000 : c'est un PéCé avec un Linux dedans, plus quelques extensions hardware, mais grosso modo t'as un Linux... Idem avec des juniper c'est pas un linux mais un freebsd avec plein d'extensions bien fermées... La plupart des solutions SIP de « grand constructeur » sont basés sur des serveurs Linux (certains ne s’en vantent pas). Je gère quelques serveurs Dell sur lesquels je n’ai pas eu le moindre problème en 8 ans, donc peut-être que c’est du côté du serveur que tu devrais regarder (grand constructeur ou assembleur genre Supermicro, au choix). Idem, un grand construteur type Dell peut aussi avoir des grosses emmerdes... Quand tu choisi du hardware, il faut le faire correctement. Genre : prendre des disques fiables, avec des cartes raid fiable, alim, avoir du hot spare sur place. Ne crois pas que si tu achete du Cisco ou whatever ton alim vas pas crâmer ! (testé et approuvé de mon coté). Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [TECH] Si y'a du monde de chez Orange Buisness sur la liste ...
Salut Clément, Le 13 juin 2014 à 15:44, Clement Cavadore clem...@cavadore.net a écrit : Bonjour, On Fri, 2014-06-13 at 15:34 +0200, Guillaume Hilt wrote: Ok, c'est lié à la fibre Completel HS. (...) Je trouve tout de même incroyable qu'une simple rupture de fibre puisse avoir autant d'impact visible (que ce soit dans ce cas là, ou l'autre cité plus tôt dans la journée). C'est pourtant pas compliqué de faire des réseaux résilients (que ce soit CPTL eux même, ou les clients utilisant leur infra), surtout en IDF où il y a de la fibre partout, dans tous les sens... Tu demandes trop a la poste... Déjà avoir une interface web qui fonctionne pour les colis a été un travail long et difficile, alors qu'elle soit résiliente... t'en as au moins pour 10 ans... (après on parlera d'interface visible en ipv6... donc 10 ans de plus : on se revoit en 2034 donc ?) Xaiver signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [FrnOG] [TECH] Alphalink
Hello, Le 16/06/2014 13:18, fr...@thibault-delahaye.fr a écrit : Il y a apparemment un problème chez Cogent à La Garenne Colombes (92) depuis 9h15. Je connais un opérateur qui est hébergé là-bas, qui dépend complètement du transit Cogent et dont l'AS est HS depuis 9h15... (même le Looking Glass de Cogent à Paris est HS : http://cogentco.com/fr/network/looking-glass) Et comme environ 11% des préfixes annoncés par Alphalink passe par Cogent, ceci explique cela non ? Encore un excellent exemple de chose bizare... Avoir un AS et des Prefix et ne les annoncer sur un transitaire... pour des choses sensibles... Joker... Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] L'affaire noip.com VS Microsoft
Hello, Le 3 juil. 2014 à 18:12, Renaud Chaput renc...@cocoa-x.com a écrit : Le Thu, 3 Jul 2014 12:09:18 -0400, Fried Wil wilfried.pasca...@gmail.com a écrit : La décision est totalement logique vu l'historique de no-ip ... Tu as des faits pour étayer ça ? Ce n'est pas leur discours officiel (normal je suppose), et j'ai au contraire vu des témoignages de gens bossant dans la sécu qui disaient qu'ils étaient très coopératifs et réactifs pour lutter contre les utilisations frauduleuses de leurs services. Aucune idée la dessus, mais je pense que M$ a tapé fort chez l'organisme qui gère les domaines de no-ip pour ce genre de chose. Juste pour rappeler aux incrédules ... les .com sont soumis aux lois US. Donc votre domaine en .com n'est exempt de ce genre de choses... Voila my 0,02€ Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [MISC] 8emes assises du très haut débit
Hello, Le 9 juil. 2014 à 16:53, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Jul 9, 2014, at 15:24, David Ponzone wrote: Vous êtes quand même durs quoi, on a eu le Minitel, merde! On sait de quoi on parle dans ce pays, ça nous connait l’innovation. Oui, mais la reglementation lourde et inutile on connait encore mieux en France. (au pif : enterrer la fibre coute que coute, licences non-utilises pour du spectre radio, il y a X qui a deploye sa fibre ici - au revoir, sans oublier le prix du o debi qui doit etre le meme a La Defense ou a Nullepart-en-Campagne). Sans compter des fibres qui ne servent a rien car si jamais on les éclairent ça dénaturerait l'objet du contrat de concession (coucou Yvelines Connect / Eiffage)... Bref jeter du pognon par la fenêtre... Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [MISC] 8emes assises du très haut débit
Le 9 juil. 2014 à 17:30, Gaïa messa...@greboca.com a écrit : Le 09/07/2014 17:16, Manu a écrit : Le 09/07/2014 17:13, David Ponzone a écrit : Mais il est effectivement possible que ce choix soit au niveau des collectivités (villes/régions) et que trop souvent, elle fasse le mauvais choix. Mais y a t il des régions où ça fonctionne ? Ou d'autres pays ? (qui font les bons choix) Dans le sud de la Chine, c'est très aérien. Du coups, certains installent des fibres eux-même, entre leurs différents bureaux ou commerces. Comme il y en a plein, personne n'y touche. Les câbles sont généralement accrochés aux murs des bâtiments, et parfois à porté de main pour les plus grands. Comme quoi le DIY est une bonne méthode : faut pas compter sur les politiques pour faire quelque chose qui marche... Sinon on serait encore en X25 hein... Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [TECH] Statut adresses IPv4 .0
Emmanuel, Pour du pro aussi j'ai eu ce genre de surprise ou j'avais des gens étonnés qu'ile ne pouvaient pas voir leur joli site web sur un certain nombre de box Ok router un /32 sur un load balancer ça peux paraître étrange, mais certains FAI (et pas que orange car NC, SFR, et bien d'autre sont touchés la dessus) et l'article de Stéphane le montre bien. Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [JOBS] Recrutement et télétravail
Hello, Le 25 juil. 2014 à 09:53, neo futur frnog@waisse.org a écrit : 2014-07-25 3:12 GMT-04:00 David H. bou...@appartland.eu: Pour ma part, le télétravail dans ma boite, c'est : - obligatoirement chez soi - on conserve exactement les mêmes horaires que sur site (cad qu'il faut être joignable) - deux jours minimum à faire sur le site de l'agence (ces jours peuvent être modifiés mais il faut prévenir 2 semaines à l'avance) Peut-on réellement parler de télétravail dans ce cas ? :) oui, c est deja pas mal, un bon debut, et peu d entreprises ont cette souplesse, meme si je pense que plus de souplesse pourrait etre benefique tant pour l employe que pour l entreprise. C'est déjà pas mal. Les deux jour c'est par semaine ou par mois ? Moi de mon coté j'ai pu négo du télétravail, ceci dit, on a quand même besoin de moi sur place, surtout quand mon collègue est en vacances. Ceci dit un argument type : on a réussit a réparer une sonde sur mars depuis la terre, pourquoi ne pas arriver a mettre a jour ou reinstaller un OS depuis 20km overs xDSL. La difficulté pour l'employeur c'est surtout : est-ce qu'il bosse. Pour un sys/net admin y a plein d'outils : - le ticketing (forcer tout le monde a l'utiliser) - la supervision (si tout est rouge tout le temps, alors ) - les mails. - le IM ... accessoirement le téléphone (mais c'est une plaie le téléphone, car ca monopolise le gars). Le coté positif pour la boite : - pas de locaux a payer pour ses télétravailleurs - pas de pb de transport (surtout valable en IdF ou les transports sont de plus en plus lamentable, a part l'adresse ca sert a quoi d'avoir des locaux a paris, super cher, avec une électricité qui pete tous les week-end ?). - toujours à l'heure ... My 0,02€ Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] Probleme Panap ?
Hello, François JOMIER wrote: Bonjour, Effectivement, plus aucun trafic de mon côté sur TH2 depuis 16h20 environ, toutes mes sessions BGP sont tombées... :/ François J'ai des rapport qu'il du broyage de packet inside... dans le panap ... (eg par ex entre neuf et certains peer, pas ex mon assoce).. /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] L'ARCEP définit les conditions de déploiement de la fibre optique pour libérer l'investissement
Ne serait-ce pas plus simple d'avoir 1 prise par appart neutre et du brassage au pied de l'immeuble ? Imaginons n opérateurs, n prises dans l'appart ? super le tiroir optique... Bonjour... je vous installe la fibre, la mini baie, je la pose où ? ;) Ca serait pas mal en fait dans le meilleurs de mondes /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] AS/Structure dont les but sont manifestement douteux
Hello, Le 23 sept. 2009 à 00:36, David Bizeul a écrit : Les problématiques de cybercriminalité sont de plus en plus présentes, de plus en plus insidieuses mais également de plus en plus prise en compte. Je n'ai rien contre le principe de la neutralité du net, c'était même un des fondements d'Internet du temps où il fallait interconnecter les réseaux. Mais aujourd'hui, j'ai parfois (souvent) l'impression que les opérateurs usent et abusent de ce principe pour justifier de leur inaction. C'est pas une inaction, c'est juste que pour un gros opérateur ça rajoute des SPOF, ça coûte une blinde et c'est pas scalable. De plus on a parlé ici des peering locaux pour éviter le problème pour aller a lyon je passes par lyon pour aller a paris et revenir a lyon. Le filtrage que tu propose donne ce genre de choses... Au lieu d'attendre et de vous voir imposer par le gouvernement des projets de filtrage absurdes qui ne manqueront pas d'arriver, pourquoi ne prenez vous pas les devants ? La cybercriminalité n'est pas que l'affaire des autres : - Vos clients s'installent (malgré eux) des malwares qui maltraitent leur système et leur connexion Internet -- Ils appellent le support -- C'est un coût pour vous Mauvais OS - tu le changes. - Vos clients s'installent (toujours malgré eux) des bots qui iront générer un DDOS à droite ou à gauche -- Vous serez solliciter pour comprendre et arrêter la chose -- C'est un coût pour vous Mauvais OS - tu le changes. - Vos clients s'installent encore d'autres malwares qui vont modifier leur config DNS -- Appel au support -- Coût Mauvais OS - tu le changes. - Vos clients s'installent des bots dédiés au spam qui mettent à mal vos infrastructures (relai de messagerie / DNS...)-- Coût Mauvais OS - tu le changes. Tu parles principalement des Windowzeries et leurs problèmes. Pourquoi dépenser de l'argent pour filtrer des conneries qui passent par des protocoles standard : mail, web, ... donc monter une usine a gaz qui vas analyser les packets complets... Donc au niveau CPU / Argent / bottleneck / energie électrique balancée par la fenêtre... pour jouer au chat et à la souris Le meilleurs truc c'est que les ISP (les gros hein), poussent microsoft a faire des choses qui soient quand même un peu plus fiables... Je ne pense pas aujourd'hui que les FAI puissent dire : on n'est pas concerné Pourquoi les FAI ne proposent pas à leur client un pack confiance activé par défaut via leur interface de gestion en ligne. Si les clients souscrivent à l'option (moyennant quelques sous), à ce moment là plusieurs actions sont paramétrées sur sa box : - Filtrage de tous les ports serveur entrants classiques (tcp21, tcp25, tcp80, udp53) - Filtrage de plages d'IP/d'AS correspondant à des blacklist (http://maliciousnetworks.org/fire-blocklist.txt, http://www.malwaredomainlist.com/mdl.php, http://www.spamhaus.org/drop/drop.lasso) et mise à jour réglière Tu as ce genre de chose sur ton jolie firewall clica convit sur ton Windows. - Proposition de download d'un antivirus inclus dans le pack Oh mais j'oublie... c'est déjà proposé ça dans pas mal de pack... (enfin sur certains ISP...). J'avoue que je serai curieux d'avoir la réponse de nos différents opérateurs. hum... je sens qu'elle vas être cinglante :p Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Config end of rack Vs top of rack
[...] Pour le câblage je conseille de mettre tes switchs en milieu de baie (un stack?) face vers l'arrière pour limiter la longeur des cables réseaux. Tu les fais tous passer du même coté à l'arrière, et tu achétes des câbles de différentes longueurs (50cm, 1m , 1m50, 2M). Hum ce point, le milieu de baie est une bonne idée, mais le mettre au cul des serveurs est loin d'être la meilleure idée Sauf si ton switch est du type passif sans ventilo. Ca si tu prends du switch un poil sérieux, en général ils ont un bon ventilo des familles qui envoient l'air à l'arrière du switch... Et dans une baie fermée tu prends l'air chaud de tes serveurs et tu l'envoie en façade des serveurs... bref tu fait un bon circuit fermé de recyclage d'air chaud pour ton plus grand plaisir. Bon tu peux quand même utiliser ce genre de chose, si tu fermes toutes entrées d'aire en façade de ta baie (cas par ex des baies HD a TH2, avec couloir froid et chaud...). Dans ce domaine ne pas oublier que l'air est un fluide qui donc prends le chemin le plus facile pour se balader... donc une grille est un facteur qui empêche l'air de sortir naturellement. My 0,02€ Xavier smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] probleme de routage avec free
(je vais faire mon relou du samedi, mais ça fait quelques jours que ça me tente.) La politique de routage et/ou de protection de free, qui est une boite privée, ne regarde que Free. Il est possible que certains trucs ne soient pas joignable parce : - il y a des gens qui sont trop bisounours et qui croient que le monde il est gentil et que tous ce qu'ils reçoivent c'est la vérité vrai et qu'il faut cliquer partout. - c'est moyennant pas bien vu par nous amis les majors et en attendant que l'usine a gaz payée par nos impots soient en place, ils ne veulent pas se payer le luxe d'avoir un procès parce toto ou titi - c'est comme ça ils ont décidé que voila j'en veux pas parce que ça va leur couter un max en SAV et autres conneries a la noix. On vas pas rentrer dans les détails techniques ni même juridique, c'est pas le but de FRnOG, bref, on se fou que 1 gus n'arrive pas a joindre un serveur parce que l'hébergeur choisi a des soucis avec des backsquatter et autres nuisance. Mauvais hébergeur - changer d'hébergeur C'est quand même moins casses pieds que de changer de fournisseur d'ADSL, non? Que Mr ou Mme Michu (ou s/Michu/Bisounours/) regarde cette ml c'est cool, qu'ils postent des trucs ayant relation avec nos métiers c'est bien, mais alimenter un thread comme celui ci. Ce qui serait intéressant de c'est de parler de vrai sujets que nos amis les politiques aiment bien placer partout et qui vont nous casser les pieds (sinon autre choses...), car entre les lois en I, et les autres ils aiment bien réglementer des trucs... Le dernier en cours c'est : la portabilité des mails ... (genre le nouveau merdier qui nous rendrent encore plus dingue...) : http://www.clubic.com/actualite-310150-portabilite-adresse-email-etude.html Voila un *vrai* sujet, le null routing tout le monde sais faire et l'as déjà fais... c'est pas nouveau... Xavier smime.p7s Description: S/MIME cryptographic signature
Re: Redirection des mail (was: [FRnOG] probleme de routage avec free)
Le 14 nov. 2009 à 18:24, Francois Petillon a écrit : Xavier Beaudouin wrote: Le dernier en cours c'est : la portabilité des mails ... (genre le nouveau merdier qui nous rendrent encore plus dingue...) : http://www.clubic.com/actualite-310150-portabilite-adresse-email-etude.html Voila un *vrai* sujet, le null routing tout le monde sais faire et l'as déjà fais... c'est pas nouveau... C'est pas un vrai sujet, c'est juste une hérésie. Techniquement parlant, le but de ce service va être de rediriger des spams (bah oui, à la base, l'ancien compte est censé recevoir de moins en moins de mails légitimes). Du coup, il faudra s'attendre à des blacklistages répétitifs des serveurs concernés... La dessus je suis d'accord avec. C'est encore une victoire de l'incompréhension des gens qui nous gouvernent... Enfin en parlant de vrai sujet, c'est de parler de la stupidité de ces proposition Et en oubliant la partie spam, le service va être lourd à gerer (il faudra demander une confirmation au destinataire avant de mettre en place la redirection, ajouter dans les entetes un lien pour supprimer à tout moment la redirection) et necessitera d'une manière ou d'une autre de conserver un compte utilisateur (pour que l'ancien propriétaire puisse changer la redirection si necessaire). Après, il reste quelques questions pratiques. Genre que fait-on des mails qui sont refusés par le serveur destinataire ? Que fait-on d'une redirection si le serveur refuse le destinataire ? etc. Clairement, c'est la ou se situe le problème... Est-ce que le nouveau hébergeur de la boite de Mme Bisounours vas accepter le spam de son ancien hébergeur, vas-t'on avoir des blacklistage dans tous les sens (mon petit doigt me dit que oui !), ou vas-t'on avoir des délires type : ISP1 - ISP2 - ISP3 - ISP1 Car en six mois il peux en avoir des conneries Bref, je suis bien content que Free ne soit pas concerné par le probleme... :-) :) Idem pour moi (je suis pas lié a un ISP :p) /Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Deux ordinateurs ne peuvent pas avoir la même a dresse IP :)
Bonjour, Petit thread du lundi, peut-être, pour aider a comprendre que hadopi n'as toujours rien compris (et certain avec les firewall d'openoffice aussi d'ailleurs): Que les numéros IP étant attribués par L’IANA (Internet Assigned Numbers Agency), deux ordinateurs ne peuvent pas avoir la même adresse IP ;, vient d'une jurisprudence : http://www.legalis.net/jurisprudence-decision.php3?id_article=2758 . Intéressant non ? (Merci a Stephane Bortzmeyer pour son superbe post http://www.bortzmeyer.org/loguer-adresse-et-port.html ) D'ailleurs ça revient toujours a la question : qu'est-ce qu'on doit logger en tant que hébergeur de web et mail ?... Question toujours en suspend... non ? Xavier smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] ADSL contention
Hello, Le 24 nov. 2009 à 09:01, Thomas Mangin a écrit : [...] C'est impossible de vendre de l'ADSL a bas prix autrement. Il faudra noter que la contention peut être présenté sans jamais avoir d'impact sur le service. Le problème des FAI c'est Bittorrent qui utilise très agressivement la connexion. Le nouveau protocol Bitrrent sur UDP (uTP) a l'air intéressant car il semble que si il détecte de la congestion entre deux point il ralenti le transfert tout seul. En cela c'est très proche de cette idée (que je trouve bonne - mais qui n'a pas son équivalent en IPv6 - pas de place libre dans le header v6) http://www.peering-forum.eu/assets/Presentations/briscoebtqosinterconnect.pdf En gros, cela dit : un lien pas utilise au maximum est une perte. Un lien trop utilise est un probleme. Fournissons a l'edge une maniere de detecter la congestion dans le réseau en taggant les packets passant par des lien avec congestion afin d'avoir le meilleur rendement possible. (Les slides ne sont pas tres clair) Oula... Si je doutes pas que les systèmes ouverts (le vrai avec de la bière en carburant pour coder) auront le support du re-ecn dans très peut de temps (comme ça avais déjà été fait avec l'ecn), je doute que les OS avec des fenêtres colorées l'aurons et encore moins que le park actuel et futur auront cette option rapidement. Quid des Fenêtres avec l'eXPérience dedans, ou celle de la Vie ou encore celles numéro 7... ? L'idée est bonne mais quand on a vu le délais pour l'ecn soit a peut près déployé partout My 0,02€ Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] ADSL contention
Le 24 nov. 2009 à 09:25, Thomas Mangin a écrit : Oula... Si je doutes pas que les systèmes ouverts (le vrai avec de la bière en carburant pour coder) auront le support du re-ecn dans très peut de temps (comme ça avais déjà été fait avec l'ecn), je doute que les OS avec des fenêtres colorées l'aurons et encore moins que le park actuel et futur auront cette option rapidement. Quid des Fenêtres avec l'eXPérience dedans, ou celle de la Vie ou encore celles numéro 7... ? Je suis d'accord, je passais les slides car autant que je sache le nouveau protocol BT utilise le même principe avec la latence (il y a eu du buffering - le lien est sature, et packet loss - le buffer est plein et perds des packets) comme moyen de detection (je n'ai pas encore lu les specs du protocole) La grosse différence étant qu'il détecte une congestion existante alors que re-ecn va pouvoir tagger juste avant la congestion. :) L'idée est bonne mais quand on a vu le délais pour l'ecn soit a peut près déployé partout On risque de voir un nombre de firewall qui vont détecter ces packets comme dangereux et les bloquer (qui a dit PIX :p). Je dis pas PIX, mais je dis les firewall pas mis a jour parce oul ça pourrais déconner ou zut j'ai pas d'argent pour le contrat de maintenance de mon super firewall corporate(r)(c)(tm) qu'il faillais mettre toussa... Exemple concret : tcp windows scaling et certains gens que je connais qui ont peur de mettre ça en place parce qu'ils ont eu des problèmes... Bref :) Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] ADSL contention
L'http qui dure plus de qq seoncdes va donc être passé en priorité plus faible, comme bittorrent ? (et ce, meme si ça fait ramer tf1vision ou m6replay ?) J'etais sarcastique . Hum moi aussi je suis sarcastique... Car M6 et TF1 ont explosé Wizzgo sous pretexte que le service étais concurent de leur soit disant services tf1vision et m6replay. L'été dernier j'étais en chine et... j'ai essayé m6replay, qui m'as gentillement dit vous n'etes pas en france, bla, bla Un coup de tunnel ipsec a réglé le problème... CQFD... Comme quoi le service que proposait Wizzgo avais au moins lui une utilité pas celui proposé. Xavier -- Association KAZAR - http://kazar.net/ Non profit hosting for anybody in France --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] ADSL contention
Hello, [...] Mais là où ça devient grand-guignolesque, c'est que même SSH, je l'ai dans l'os. Il est tout simplement impossible que je me connecte à une autre machine en SSH, pourtant basée sur l'île et ne générant pas de trafic sortant (il y a un GIX local) (remarquez, c'est pareil pour une machine en métropole). En revanche, je peux aller sur dailytube et télécharger à 400kbps facile en http. La voip, c'est pareil, ça passe en dernier. Merci qui ? Merci mon FAI ! C'est pas parce que ton FAI remonte tout le traffic en métropole, au hasard ? Alors qu'il pourrais terminer ses sessions L2TP a la réunion et faire un peering local pour pas faire du tromboning ? /Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Phishing ... 1% se font avoir
[...] Et puis si on doit mettre en place des dispositifs d'authentification avec tiers de confiance pour tout les formulaire d'authentification sur Internet, je suis certain que cela plaira pas à tout le monde (problème d'anonymat entre autre). Et puis je vois bien le port clef : - ca c'est le token pour wow - ca c'est celui de ma banque - ca c'est celui d'ebay - ... Alors faudrait se balader avec un eepc et... un valide de 10kg juste pour les tokens... Faut arrêter aussi la Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Green IT et Internet
On Wed, 06 Jan 2010 14:02:19 +0100, Christophe Baegert c.baegert-lis...@lixium.fr wrote: Le 06/01/2010 13:30, Fichant, Yann a écrit : Bonjour à Tous. Je rejoins l'avis de Francois... : il y a bien sur supermicro, tyan ect ...et Intel : http://serverconfigurator.intel.com/ On est bien d'accord, le catalogue de Supermicro est génial, mais les dispos aie aie aie !!! Bah quand on passe avec le bon revendeur de matos supermicro y a pas de pb... /Xavier -- Association KAZAR - http://kazar.net/ Non profit hosting for anybody in France --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Green IT et Internet
Hello, On Wed, 06 Jan 2010 16:08:58 +0100, Laurent CARON lca...@unix-scripts.info wrote: On 06/01/2010 15:04, Christophe Baegert wrote: Tu parles de la garantie ou du support sur site ? La garantie par courier et les pieces qui partent à perpette, et mettent 2 mois à revenir. La garantie sur site est assurée par un VAR, Supermicro à ma connaissance ne propose pas de garantie sur site :( Mais on s'en fou de la garantie sur site... Tu prends un spare ... c'est aussi simple que ca... Evidement si tu as 3000 conf différentes, la tu pleure... mais la garantie sur site de dell et autre c'est juste payer moins cher un spare... Après si tu fais bien les choses, ton spare peut-etre deja racké et il te reste a l'allumer a coup d'apc et bouger tes VM dessus... Xavier -- Association KAZAR - http://kazar.net/ Non profit hosting for anybody in France --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Green IT et Internet
Le 6 janv. 2010 à 19:07, Laurent CARON a écrit : On 06/01/2010 18:54, Christophe Baegert wrote: Non, à 95% du Supermicro avec alim redondantes. Mais quand il s'agit de faire tourner une machine en panne je suis prêt à tout. J'utilisais à une époque (pas si lointaine) du supermicro, mais ... 2 mauvaises expériences m'ont fait abandonner cette idéealors que je n'ai pas grand chose (pour le moment) à reprocher à Dell, HP et consors. A chaque fois, un problème de SAV. 2 cartes mère qui ont mis 2 mois à faire un A/R entre supermicro et moi et revenues non réparées avec pour seule explication pas de défaut et toujours le contrôleur SCSI HS. Mes 0.02€ J'ai de mon coté juste 2 trucs a reprocher a Dell : 1. Les alims ayant un rendement électrique de merde prévu pour le marché US avec 110V 60Hz... Quand on est double alim, la c'est la fête ! 2. Les cartes réseau chipset broadcom, qui sont sur certains OS ... des superbes machines a perdre des packets Je ne dis plus rien par contre vis a vis de l'iLo like qui a été *enfin* intégré sur la carte mère sans bouffer un slot PCI / PCIe... Après c'est vrai c'est pas cher, ça une garantie sur site.. mais faut pas trop leur demander... Le seul truc assez positif : le kit de rackage rapide... Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Green IT et Internet
Salut, On Thu, 21 Jan 2010 14:23:16 +0100, Laurent Laborde kerdez...@gmail.com wrote: 2010/1/21 Cyril cy...@toile-libre.org: Cependant affirmer que le nucléaire n'est pas émetteur de CO2 ignore complètement les différentes étapes de la filière et réduit le problème environnemental aux simples émissions de CO2, alors que le nucléaire posent bien d'autres problèmes et comporte des risques qu'il serait bons d'avoir en tête quand on aborde cette discussion. N'empeche qu'une centrale nucleaire n'emet pas de CO2. C'est faux. Elle emet moins de CO² mais quand tu dois transporter le déchets nucléaires de ta jolie centrale vers le train qui vas le monter à la hague, les stocker (dans le cas ou il sont stockés en france) ou dans le cas ou EDF sous traite en russie, je pense que le bilan energetique d'un déplacement de déchet est pas négligeable. Après une centrale c'est beaucoup de beton (t'as qu'à voir le temps de construction de ces engins la) et faire du béton c'est 50% de CO² rejetté dans l'atmosphère par tonne de beton (si mes souvenirs sont bons). Donc non le bilan CO² d'une centrale nucléaire n'est pas neutre... Après qu'est-ce qu'on préfère ... le CO² ou... les radiations... a vous de choisir... Xavier -- Association KAZAR - http://kazar.net/ Non profit hosting for anybody in France --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Green IT et Internet
On Thu, 21 Jan 2010 16:46:20 +0100, Brinbois stephane.cre...@gmail.com wrote: c'est 50% de CO² rejetté dans l'atmosphère par tonne de beton 50% de quel quantitée ? je t'avoue que la je ne comprend pas bien. Le beton est produit a partir du calcaire, qu'il faut chauffer a très haute température pour produire de la chaux vive, a laquelle on ajoute du ciment qui est lui meme fabriqué a partir de la pierre concassée et cuit a 1450°C. Donc tout ca pour dire qu'il en faut de l'energie pour faire du béton... Quand je dis 50% CO² pour 1 tonne de beton, tu dois avoir 0,5 T de CO²... mais comme je ne suis pas totalement sur des chiffres, ceci donne une idée du cout en CO² de cette industrie... Mais on s'eloigne du sujet... :p -- Association KAZAR - http://kazar.net/ Non profit hosting for anybody in France --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RIP X25
Heu bah moi je m'en fou j'utilise pas X25 /Xavier Le 31 janv. 2010 à 17:36, Pierre Col a écrit : IP m'a tué pourrait dire Transpac... http://www.zdnet.fr/blogs/infra-net/ip-a-finalement-tue-x25-39712627.htm Xavier, une réaction ? :-) -- Pierre - un peu nostalgique --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] problèmes chez Orange ?
troll Bonjour, J'ai également des soucis de connexion avec Orange depuis ce matin… Une galère pas possible pour lire les mails :( Résultat des pings : a...@alex-laptop:~$ ping imap.gmail.com (loss) a...@alex-laptop:~$ ping smtp.gmail.com (pas loss) T'es sur que tu as payé orange pour que tu puisses pas utiliser internet by not orange ? :) /troll Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Hello, Le 16 févr. 2010 à 19:43, Bertrand Yvain a écrit : On Tue, Feb 16, 2010 at 07:21:55PM +0100, Radu-Adrian Feurdean wrote: On Tue, 16 Feb 2010 18:52:18 +0100, Bertrand Yvain p...@ielo.net said: Un reverse DNS n'est pas nécessaire pour envoyer ou recevoir du mail en SMTP. En theorie non, mais en pratique il est hautement recommande, ainsi que plein d'autres conneries qui ne figurent dans aucun RFC. Cela fait partie, en effet, des Bonnes Pratiques. Cependant, exiger qu'un pair SMTP les suive n'est pas raisonnable, amha. Quelques lectures instructives sur le sujet : http://homepage.ntlworld.com/jonathan.deboynepollard/FGA/dns-avoid-double-reverse.html http://homepage.ntlworld.com/jonathan.deboynepollard/FGA/smtp-avoid-helo.html Effectivement je suis d'accord, mais c'est devenu aussi une règle de bonne conduite Car les spammeurs ont souvent monté des serveurs configurés comme des sagouins et donc... ne pas avoir de PTR ou un EHLO correct est devenu synonyme de spammeur. C'est donc l'effet de bord non désiré des spammeurs... Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaque par injections SQL
Salut, Le 27 févr. 2010 à 14:26, Greg a écrit : Bonjour, cette nuit, et ce matin on a subit des attaques par injection SQL depuis une IP au Canada, dans le but de récupérer des informations. Type: WHERE id='.$_GET['val'] qui devient: WHERE id=0/**/or/**/1=1/**/order/**/by/**/1-- Yen a qui vont prendre cher lundi On va porter plainte, et la police va faire son travail... mais j'aimerais prendre les devants et essayer d'obtenir des infos. J'ai déjà fais un scan (nmap -sS -A -T4) qui ne me retourne aucune infos, tout est filtré: je pense donc que c'est vraiment lui derrière, et pas un PC zombie ni un proxy ni un équipement réseau. Est-ce que vous avez des techniques permettant d'en savoir un peu plus sur Kevin ? Déjà faire $toto=$_GET['val']; en php c'est croire qu'il y a que des bisounours dans le monde. J'appelle ce type de code du travail mal fait et surtout fait en dépit du bon sens. Cherches un peu et trouves des exemples de codes pour faire les choses propres... Si ce genre de code se trouve sur le site en .com de ton adresse mail, tu dois avoir assez de pognon pour te payer un vrai codeur php... et du soucis a te faire Autrement cherches, utilises google et demande a des gens qui codent du php et qui rajoutes de la parano a l'intérieur ou autrement prends un autre langage... Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Troll (un peu en avance) sur la s ymétrie d'Internet ?
Le 18 mars 2010 à 21:56, Pierre Col a écrit : Le troll du vendredi est un peu en avance, car je persiste à ne pas être d'accord avec le président de l'ARCEP, et je le dis : à mon sens, sur Internet distinguer amont et aval n'a plus de sens ! http://bit.ly/videoARCEP +1--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Nouveau troll : qui doit payer ?
Salut Jérôme, En fait, l'intérêt de tous les opérateurs réseaux, c'est de permettre l'auto équilibrage naturel du réseau, pas de fixer un statu-quo en inventant des barrières douanières artificielles. Sur le long terme, c'est la seule stratégie gagnante. Le gros problème de gens comme Orange, c'est l'actionnaire / financier qui lui ne voit que a court terme (eg. tous les ans pour le rapport annuel pour nos amis les actionnaires). Conclusion, ils s'en battent les c..s du long terme, mais veulent du cash toute de suite pour pouvoir acheter d'autres boites et leur foutre la pression pour avoir de nouveau du cash l'année d'après... Après tu peux avoir la stratégie de ne pas avoir d'actionnaires et faire la stratégie gagnante du long terme... Orange co n'ont pas cette stratégie... voila donc les raisons, en autres qui fait que le court terme est plus gagnant en pratique... (quand je dis gagnant, je veux dire qu'il est mis en pratique). My 0,02€ Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Nouveau troll : qui doit payer ?
Le 23 mars 2010 à 11:45, Thomas Mangin a écrit : Généralement, quand tu veux brider: tu priorise ce que tu peux analyser, si ce n'est pas analysable, c'est crypte et P2P et tu brides. Pour cela NBAR de cisco ca suffit - je peux même poster une config si tu veux tester :p montre nous comment tu fais cela pour du p2p dans un tunnel ssh svp Ca donne quelque chose comme ca. Maintenant NBAR c'est vraiment la plus simple des solutions DPI, les produit commerciaux spécialisé font beaucoup mieux. Mais tu as l'idee. Sans match protocol ssh le tunnel passe dans la classe default qui comme tu peux le voir n'a pas grand chose (je suis dur ...:p) troll feeding=on match protocol ipsec Avec P2P dans ipsec... ça peux aider a aller plus vite et être hadopi compliant /troll My 0,02€ :)--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Cogent / Orange : on en est où ?
Hello, Le 30 mars 2010 à 14:42, Ghislain a écrit : Le 30/03/2010 11:16, Julien Escario a écrit : Bonjour, Quelqu'un aurait des infos sur le bon vieux problème de peering entre Cogent et Orange ? D'après ce que j'ai pu lire ça et là sur des forums, il n'y a pas eu d'augmentation de lien depuis quelque chose comme 2 ans et ça gueule pas mal chez les Eyeballs Orange pour accéder à Youtube et autres megaupload. même le ssh deviens une horreur vers cogent depuis orange a certaines heures... je viens de repasser sur mon adsl de secour tellement le ssh rame c'est pour vous dire que le problème est plus vivant que jamais. Enfin moi j'dis ca... Orange... Bienvenue dans le web 2.0 hadopi compliant :) Et la constante mauvais fournisseur - changer fournisseur... Ou éventuellement coller un pfsense et router le trafic là ou ça passe le mieux. Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Rappel : le processus de signature de la racine du DNS est presque achevé
Hello, Le 13 avr. 2010 à 18:46, Giles R DeMourot a écrit : Oui, il va falloir acheter plusieurs noms de domaine -bon ce n'est ni majeur ni insurmontable, j'en conviens. Mais pour frapper une url il n'est aucunement besoin de parler l'anglais, ni même de savoir le lire, simplement de savoir déchiffre les caractères. Il n'existe que 26 caractères dans l'alphabet latin simplifié (sans accent). Difficile de faire plus simple. Je n'ai pas d'expérience de la Chine en ce domaine, mais au Japon je n'ai pas rencontré chez les utilisateurs de PC de difficulté à frapper une url en caractères latin. En général en Chine, les clavier sont qwerty et on écrit en pinyin qui permet d'afficher une liste de caractères prendre (évidement c'est normalisé sinon ça serait le foutoir), par Chine - zhongguo - 中国. Donc une url type pouet.com passe sans soucis. Si j'écris www.orange.fr, est-ce de l'Anglais? Du Français? Ce sont des caractères latins, et on peut recopier sans comprendre. Bien sûr beaucoup ne frappent pas d'url, mais alors n'avez jamais vous vu des Français, par exemple, frapper le nom du site dans Google plutôt que l'url dans la barre d'adresse, puis cliquer ensuite sur le lien? Beaucoup trop... Des fois même j'entends de trucs type internet ne marche pas c'est parque le moteur de recherche de votre choix n'est pas accessible pour telle ou telle raison. Le fait d'écrire les url en alphabet latin simplifié a bien sûr une origine historique. Mais c'est en même temps bien simple au vu du nombre de caractères existants (26, je ne parle pas des points, barres obliques, points d'interrogation, etc. Par ailleurs le Chinois est parlé par plus de 1.5 milliard de personnes, mais la plupart se trouvent en Chine ou dans la diaspora chinoise: le Chinois est bien loin d'être une langue internationale, contrairement à l'Anglais, etc. Heu l'Anglais et par standard une langue internationale, par contre si compte le nombre anglophone vs le nb de sinophone dans le monde je suis pas sûr que le rapport est en faveur de l'anglais. Certes le Chinois est un langue compliquée (quoi que?) par son écriture et ses tons... Maintenant pour revenir aux IDN etc... je n'ai rarement vu en chine des noms de domaines avec des caractères chinois... Ils ont tendance a avoir des nom de domaines courts et facilement retenable Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] R e: Rappel : le processus de signature de la racin e du DNS est presque achevé
Plop, Le 13 avr. 2010 à 19:36, Rémi Bouhl a écrit : [...] Diriez-vous la même chose, si Internet était né en Chine et s'il vous fallait saisir orange.fr en caractères chinois, quand bien même il n'y en aurait que 26? Oui parce que les Chinois aiment bien les truc simples ET efficaces... (voir post précédent aussi pour savoir comment marche un clavier chinois). Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Troll du vendredi
Hello, Le 16 avr. 2010 à 16:21, Sébastien Namèche a écrit : Le 16 avr. 2010 à 16:07, Anne-Gaelle Lunot a écrit : Alexandre Legrix a écrit : au passage, merci a clamav pour cette journée de m Idem ici ! Pareil ! Bonjour, je m'appelle Sébastien et moi aussi je suis clamalcoolique. Pourtant, c'était annoncé depuis le 5 octobre 2009 que la version 0.94 serait obsolète le 15 avril 2010. Mais maintenant, j'ai arrêté d'utiliser des logiciels sans m'abonner aux listes/feeds adéquats. Hum... Bah surtout quand il s'agit d'un logiciel de sécu aussi sensible que ça. Etant mainteneur d'un des miroirs de signatures de clamav... quand on voit les versions qui demandent des signatures ... genre clamav 0.6*... on se demande si franchement y a un admin derrière le serveur de mail D'un autre coté c'est bien de faire du nettoyage par le vide... Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Troll du vendredi
Salut, Le 17 avr. 2010 à 14:56, Laurent Caron a écrit : Le 17 avr. 2010 à 13:31, Rémi Bouhl remibo...@gmail.com a écrit : Faut se renseigner, c'est tout. Vu que t'as plus de différence entre une Debian et une Ubuntu, qu'entre une carte réseau Intel et une carte réseau Broadcom, quand t'achètes du matos tu veilles à prendre du matos qui est compatible avec tout 'out-of-the-box'. C'est plus logique de choisir le hard que le soft, surtout quand c'est partout plus ou moins la même chose: une carte Giga reste une carte Giga. Ah, une carte giga realtek, Intel, broadcom,...c'est la même chose? On parles de vrai cartes... Choisir le hard en fonction du soft me ferait prendre du supermicro. Le fait est que leur support et les garanties sont minables donc très peu pour moi. Minables? Ah il n'y as pas de garantie sur site... :) Enfin quand on a site critique, on a du spare en local... Ca coûte moins cher qu'un contrat gold chez Dell... Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb OVH
Hello, Le 28 avr. 2010 à 13:37, Denis Alligand a écrit : Le 28 avril 2010 13:33, Jérôme Nicolle jer...@ceriz.fr a écrit : Le 28/04/10 13:23, Sébastien Mortier a écrit : Bonjour, A priori, OVH vient de limiter le trafic (limiter = interdire..??) ICMP Internet vers OVH. http://travaux.ovh.net/?do=detailsid=4140 A suivre... Cordialement, Filtrage de l'ICMP sur un réseau d'hébergeur, je suis le seul à trouver ça tendancieux ? Ne devraient ils pas plutôt inviter les administrateurs à configurer leurs firewalls ? Bon courage à tout ceux qui monitorent leurs serveurs chez OVH depuis un autre réseau... Je confirme, sapin de Noel sous nagios pour les qques serveurs que j ai sur OVH, packet loss 70%, ca va etre pratique pour le monitoring :) C'est un peu ce que je pensais... Bon... Bah, il suffit d'aller ailleurs pour les serveurs :) Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] le FR-IX est ouvert
Salut Youssef, Le 18 mai 2010 à 11:19, Youssef Bengelloun-Zahr a écrit : Hello Sylvain, Je rebondis sur ce thread. Ça fait un moment que j'attendais cela mais je dois avouer que je suis un perturbé. Sur le site WEB officiel, ce sont les autres POPs qui sont annoncés déjà dispos : http://france-ix.fr/fr/a-propos-de-france-ix/notre-reseau/ fr-ix != france-ix En ce qui concerne le fr-ix et aussi pour france-ix, il manque un truc sur le site : qui compte se connecter? (liste des membres potentiels ou pas?), car clairement et je pense qu'il y a pas mal de monde içi qui le pense, je vais pas balancer du cash par la fenêtre si personne n'as pas envie de se connecter. Pour le france-ix, on attends tjrs les tarifs... et même chose que fr-ix : qui est dessus? Le site est le même depuis le frnog... on sais pas quel sont les gens déjà connectés, si il vont vraiment peerer (je réitère ce que j'ai dit sur FRnOG, c'est bien d'être sur un IX, mais si on peere pas parce dr rotule ou autre ca sert à rien), et les responsables des ix vont pousser ces gens a peerer... pour le mêmes raisons que au début : car sert a rien de jeter par la fenêtre des pour rien. Qui détient la vérité donc ? Raphaël, Franck : une communication est-elle prévue au prochain FrNOG ? ### DÉBUT DE TROLL (UN PEU EN AVANCE) : ON VA LA BOIRE OU LA BIÈRE APRÈS ? BIÈRE = ÉLÉMENT VITALE A LA SURVIE DANS CE MÉTIER ;-) ### Y. Le 14 mai 2010 18:13, Sylvain Vallerot sylv...@gixe.net a écrit : Bonjour, J'ai le plaisir de vous annoncer l'ouverture du FR-IX, depuis quelques jours déjà. Je vous rappelle les grandes lignes : - objectifs built-in que sont indépendance (autofinancement) et neutralité (projet porté par un opérateur d'opérateur sous forme de société coopérative et sans activité IP) - multi pop (déjà 3 bientôt 6) - tarification selon les besoins de chacun (port, 95ème centile et volume), donc du peering rentable pour tous et tout de suite sans avoir à jour la carte du faux gratuit - services++ (voir les services associés à opdop) et interconnexions de GIX (déjà c'est en cours avec Lyonix) Les POPs déjà ouverts sont Telecity Courbevoie (aka Redbus) Telehouse 2, et Kheops. Très vite Telecity Aubervilliers, Netcenter LD et Equinix. A l'étude Vitry, Interxion 1, et L3 Nanterre. Plus d'info sur le site http://fr-ix.fr Et bon WE à tous Sylvain --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Youssef BENGELLOUN-ZAHR …… Ingénieur Réseaux et Télécoms Technopole de l'Aube en Champagne - BP 601 - 10901 TROYES Cedex 9 Agence Paris : 6, rue Charles Floquet - 92120 MONTROUGE Tel +33 (0) 825 000 720 Tel. direct +33 (0) 1 77 35 59 14 Tel. portable +33 (0) 6 22 42 63 80 Emaily...@720.fr …….www.720.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] le FR-IX est ouvert
Plop, Le France-IX sera certainement très attractif pour une certaine catégorie d'opérateurs, grand bien leur en fasse. C'est juste pas les priorités du FR-IX. Ca ne changera hélas pas la politique des gros opé, et n'arrangera donc rien à la situation des petits sur ce plan. Petits qui aujourd'hui sont face à des GIX d'opé IP qui juste - pas marchent - pas sont maintenus - pas sont ouverts - pas sont le vrai travail de leur propriétaire qui dont s'en fouttent - pas sont présents (pas forcément tout à la fois, le Sfinx s'en sort pas mal) :) Humm... +1 Donc je pense qu'il y a de la place pour deux GIX très multi-pop et qui présentent les qualités d'indépendance et de neutralité requises. Peut-être l'un un peu plus tourné vers les gros, et l'autre vers les petits, plus ou moins, et tout peut évoluer. Avec des logiques d'interconnexion de GIX en plus, pour être complémentaires, on peut vraiment être optimistes. C'est pourquoi FR-IX a initié une réflection sur le sujet et proposé le concept de Dual-GIX (disons que c'est un draft, mais un draft pour la réfléction publique). J'avoue que ton concept dual-gix (ou x-gix) perso m'intéresses... C'est trop con d'avoir a tirer un interlan pour peerer jusqu'a lyon / rennes etc Le mérite est que c'est une bonne idée... Après reste a voir quel(s) gix(es) vont être intéressés... :p Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtre antispam
Plop, Le 23 mai 2010 à 22:41, Spyou a écrit : Le 23/05/2010 20:25, Giles R DeMourot a écrit : Il y aura en fin de compte des suites judiciaires bien méritées à l'encontre de Free, suite à la saisine de la justice fédérale américaine par le département d'Etat. Entretemps ce même département d'Etat ayant enfin décidé de ne m'envoyer que des mails signés numériquement, et parfois cryptés, le problème s'est trouvé résolu - ce qui n'arrêtera pas l'action judiciaire pour le passé. Et concrètement, qu'espère obtenir la justice américaine contre un FAI français à propos d'un supposé délit commis sur le sol français ? Une extradition de l'anti spam pour être jugé sur le sol Américain ? :) Clairement +1, si un FAI français se voit inquiété par une entitée non américaine, ça sera la fin des haricots :p Je trouve extraordinaire qu'on se moque éperdument de la provenance des mails bloqués par un filtre anti-spam, une fois ceci signalé. Bien sûr, avant d'adresser ces lettres recommandées j'avais saisis téléphoniquement puis par mail les services de Free. Je trouve toujours extraordinaire que les gens s'imaginent qu'a 30 euro par mois ils vont avoir la lune. +1 Mauvais FAI, changer FAI. Disons que là tous les eyeballs ont le même problème. Ils ont jamais voulu forcer que mail from soit authentifiés et interdire des senders forgés, ils payent le prix fort. Perso SMTP Auth + TLS sur un port non 25 sur un serveur dans un AS autre que free / neuf / numericable/completel / orange et on arrive a avoir du mail sans passer par des délires... C'est vrai que des fois il y a des dommages colatéraux, mais c'est la faute aux drones bots et aux centaines de millier de PC infectés par des saloperies... A terme, une action globalisée contre le vendeur aux fenêtres colorées serait a faire... mais bon je rêve :p Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtre antispam
Plop, Le 23 mai 2010 à 23:36, Rémi Bouhl a écrit : Le 23/05/10, Spyour...@spyou.org a écrit : [...] Je trouve toujours extraordinaire que les gens s'imaginent qu'a 30 euro par mois ils vont avoir la lune. Mauvais FAI, changer FAI. --- Ce qui est extraordinaire, alors, c'est qu'on prétendre proposer Internet (et tout compris, en plus) à 30€/mois. Question subsidiaire: comment se fait-il qu'à 30€/mois on ne puisse pas recevoir ses mails correctement, alors que ça coûte moins cher de faire des mails qui marchent, que de faire des mails avec antispam? Pour moi l'Internet c'est TCP/IP pas les services annexe et inutiles qui sont proposés a savoir : - la tv - l'email - les news J'ai ca ailleurs... pas besoin de demander a mon isp de me fournir cela. (En plus au moins avec un mail fournis ailleurs, on est plus sûr quand on connais avec qui on travail, qu'on a pas n'importe qui ou n'importe quoi de fais avec les mails... on a les logs... bref, on est libre de SA politique d'anti spam). Naïvement, j'aurais cru l'inverse: 30€/mois: Internet avec boîte mail sans anti-spam, Plus cher: Internet avec boîte mail et un antispam onéreux. Rien ne t'empêches de prendre un domaine chez Y ou X et faire un MX chez toi. Internet c'est ça. Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtre antispam
Le 24 mai 2010 à 00:28, Giles R DeMourot a écrit : Une action judiciaire contraindra peut-être Free à lire les lettres recommandées qu'elle reçoit et à intervenir en cas d'anomalie flagrante et répétée plutôt qu'à ne même pas s'intéresser au sujet. Je ne m'attendais pas à ce que je trouve parfaitement normal -plainte contre interception répétée de courrier gouvernemental- fasse polémique. troll Moi j'hallucine qu'un agent du gouvernement américain utilises un boite mail grand public. Après on s'étonne des problèmes de communication... Si c'est si important les correspondances, pourquoi passer par quelque chose qui est du même niveau que Yahoo, Hotmail ou Gmail ? /troll Je ne pense pas que le ministère des Affaires étrangères français resterait les bras croisés devant l'interception systématique de courrier officiel à un citoyen français résidant aux Etats-Unis, malgré des interventions répétées auprès des services d'un FAI américain. Perso je crois que lettres AR envoyées a Verizon pour des problèmes de ce type seraient restés lettres mortes. Ayant travaillé dans un FAI, on leur aurais juste fait comprends que si le mail est sérieux et stratégiquement important, on ne peux pas garantir qu'il n'y ai pas de mail perdus, car sur 1 ou 2 millions de comptes de mail, tu as moins 60 à 80% de junk en entrée... Donc pour la viabilité du système complet on est *obligé* de filtrer. /Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtre antispam
Hop, Le 24 mai 2010 à 11:46, Rémi Bouhl a écrit : Le 24/05/10, Xavier Beaudouink...@oav.net a écrit : C'est vrai que des fois il y a des dommages colatéraux, mais c'est la faute aux drones bots et aux centaines de millier de PC infectés par des saloperies... A terme, une action globalisée contre le vendeur aux fenêtres colorées serait a faire... mais bon je rêve :p Plutôt contre les responsables de ces machines infectées, non? L'éditeur a le droit de proposer un OS mal sécurisé, les responsables sont ceux qui décident d'installer cet OS sur une machine connectée à Internet, sans s'assurer de la bonne administration de cette machine. Vas te battre contre Mr ou Mme Michu qui ont acheté un PC chez Auchan comme un baril de lessive qui lave plus blanc que blanc... D'ailleurs c'est que les lois en 'i' essayent de faire... mais ça marcheras pas... Mauvais OS - Changer OS :p Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtre antispam
Hello, Le 26 mai 2010 à 17:59, Benjamin BILLON a écrit : Haha. Il faut que je resorte mes statistiques sur les extensions de pays d'où viennent les spams, c'était assez explicite et en dehors du .com, pas mal de pays avec lesquels je n'ai pas la moindre raison de communiquer. Ha si t'as ça sous la main je suis grave preneur. Ca se base sur le From: ? +1 :) Quant à la neutralité, il est temps de ranger la sulfateuse: Internet doit être neutre, mais sûrement pas mon serveur mail. Aucun serveur mail ayant des filtres ne peut être qualifié de neutre. Ton serveur perso, tes règles perso. Le jour où tu gères le serveur des tes clients, tu arrêtes assez vite de jouer au cowboy ... +1 aussi :) Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] le FR-IX est ouvert
Hello, Le 28 mai 2010 à 09:22, Spyou a écrit : Antoine Musso a écrit : Bonjour, Je confirme. Au moins nous avons des SLA et pas besoin de nous embêter. Au vu du trafic qui serait échangé, je ne suis pas sûr de voir l'ombre d'un ROI à l'établissement du peering. Je suis toujours preneur d'arguments mais le transit çà me suffi :b Le ROI n'est pas à chercher dans l'économie immédiate ou même future mais dans la stabilité. A force de courtermisme et de vue purement financière, le net est entrain de passer d'un modèle maillé à un modèle pyramidal. Et que se passe-t-il, dans un modèle pyramidal, quand le sommet se vautre comme une otarie bourrée à la bière ? Exemple qui est arrivé souvent avec des clients de certains AS qui vendent de la BP pas chère et qui commence par C :) Enfin c'est aussi valable pour les client de notre spécialité francaise... (non je donnes pas de nom, mais c'est une idée). Le ROI sur du peering n'est pas ou peu visible, mais comme Spyou dit, quand ton transitaire fait passer tes packets par tombouctou pour arriver a ton voisin a coté de chez toi parce qu'il a des pb de production, la tu de dis que peut-être le p'tit gars qui derrière son AS de boulangerie qui a justement le partenaire du client chiant au téléphone car il arrive pas a communiquer avec lui, le ROI, serait de juste être zen... Enfin chacun sa boulangerie hein ? :p Alors soit, si le sommet en question détient une grosse partie des eyeballs et/ou des contenus, on s'en cogne pas mal, en vérité, d'avoir un peering avec le petit AS d'à coté ... Mais au moins on a une base technique pour construire quelque chose au lieu d'avoir à repartir de rien. :) Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtre antispam
Bonjour, Le 14 juin 2010 à 21:23, Giles R DeMourot a écrit : Bonsoir. Le mail est bien énuméré comme service inclus. Oui, je pourrais faire cela (ouvrir un compte mail outr'atlantique), je vais sans doute finir par le faire... Mais je ne trouve pas cela normal: lorsque l'on réside en France, on devrait pouvoir bénéficier d'un service mail digne de ce nom chez un des grands FAI. Notez bien que je ne mets pas Free en cause plus qu'un autre. Un de mes collègues n'a pas mieux chez Orange. Le problème c'est que les mails en france ça coute un max. Je connais un FAI qui a été racheté récemment qui ne s'embarrassais pas avec les spool et autres. Il y a içi pas mal de gens qui peuvent te fournir un vrai mail sans anti-spam voire même d'antivirus et zéro protection paranoïaques pour pas grand chose. Pourquoi s'acharner a utiliser un service qui ne corresponds pas à tes besoins ? /Xavier -Original Message- From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of Nicolas CARTRON Sent: Monday, June 14, 2010 8:47 PM To: frnog@FRnOG.org Subject: Re: [FRnOG] Filtre antispam Spyou said the following on 6/14/10 8:42 PM: Le 14/06/2010 19:57, Giles R DeMourot a écrit : Dans tous les cas, même pour 29.99 euros par mois on devrait disposer d'un service pop3 dont le filtre antispam ne fait pas n'importe quoi. Dois je souscrire à un second service uniquement pour les mails? Qu'en pensez-vous? Le mail chez Free ne fait pas parti de l'abonnement à 29.99 par mois. Mauvais service, changer service. C'est la version la plus courte et concise que j'ai trouvé quand mes clients me posent la question :) Une question me brule les lèvres: si tu reçois des mails des états-unis et de l'ONU, pourquoi ne pas prendre une adresse mail de l'autre côté de l'Atlantique (au hasard du gmail) plutôt qu'une adresse free.fr ? -- Nico --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/