Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 22/07/2010 15:30, Jérôme Quintard | ACTISENS a écrit : Salut à tous, A titre d'information, utilisez-vous des appliances du type antispam/antivirus et si oui quel retour avez-vous au niveau : - efficacité, - fiabilité au niveau soft/hardware des boîtiers, - facilité d'usage pour l'utilisateur final, - flexibilité d'administration, - etc. On n'utilise pas leur appliance (on installe sur nos propres serveurs), mais on est très contents de la solution CanitDB de roaring Penguin pour l'antispam. C'est basé sur des briques libres (ils sont notamment les auteurs de mimedefang pour ceux qui connaissent). Le seul défaut est un petit manque de flexibilité pour les virus, c'est un peu du tout ou rien à coup de clamav A+ -- Clément Hermann
Re: [FRnOG] Traffic shaping
Frank Bonnet a écrit : Bonjour Je suis a la recherche d'une solution de traffic shaping sur notre lien WAN ( 15 MB/s ) Je prefererais une solution open source si possible ;-) mais toutes les sources d'info sont les bienvenues. On a utilisé avec succès des solutions à base de linux 2.6 (iproute2 + HTB comme algorithme de queuing), et freebsd 6.x/7.x (pf + hsfc comme algorithme de queuing), sur des liens de 10Mbit/s à 1Gbit/s. Il faut simplement faire attention à la montée en charge (nombre de paquets et débit) : à partir d'un certain point les composants (carte réseau / bus / CPU) ont un impact significatif. Mais pour 15Mbit/s le problème ne se pose pas vraiment. :-) A+ -- Clément Hermann --- Liste de diffusion du FRnOG http://www.frnog.org/
Astaro (Was: Re: [FRnOG] Service VPN)
Ronnie Garcia a écrit : Peux tu nous donner des sources indiquant que le produit est open-source ? Parceque la je crois qu'il y a confusion. Certains éléments sont manifestement sous GPL et le code est redistribué : ftp://ftp.astaro.com/pub/GPL_source_code/ -- Clément Hermann --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Question Nagios / Zabbix
Pior Bastida a écrit : Tiens, d'ailleurs je lis souvent des nombres de serveurs monitorés par Nagios très élevé, serait-ce possible de nous dire ce qui est monitoré sur chaque serveur, et à quel fréquence ? C'est très variable... En ce qui concerne la fréquence, c'est un test toutes les 5 minutes et toutes les minutes en cas de problème, sauf SLA spécifique. Au niveau service il y a du NRPE + les services sur lesquels on a un engagement, ça fait une moyenne de 8 ou 10 services par machine. ça sera beaucoup plus sur certaines plateformes, et moins sur d'autres. de même les périodes ne sont pas les même pour tout le monde, l'escalade est assez complexe car elle va avec le système d'astreinte. Il n'y a pas vraiment de règle fixe. Mieux vaut avoir une machine SMP, et un peu de mémoire si on veut monitorer beaucoup de services lents à répondres (je pense à certains moniteurs de base de données par exemple). Un piège à éviter, c'est de ne pas utiliser le backend base de données (qui a d'ailleurs disparu depuis quelques versions). Il était bien plus lent que le backend texte. Evidemment, si on met du centreon + perfmon par dessus, c'est un peu plus gourmand... -- Clément. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
Pierre Gaxatte a écrit : Un seul des deux nœuds possède l'IP virtuelle et elle bascule quand le nœud tombe, non ? Du coup, si c'est le cas, ça veut dire que si on veut que le deuxième nœud s'occupe d'une partie du trafic, il faut faire une sorte de pivot (comme sur les Checkpoint) : le nœud qui a l'adresse virtuelle (et qui est donc la passerelle par défaut) renvoie une partie de son trafic à l'autre nœud pour qu'il s'occupe de filtrer ? Étant donné qu'à partir du moment où netfilter fonctionne, on gère forcément des tables et des sessions conntracks, procéder comme les checkpoints n'a pas vraiment d'intérêt du point de vue répartition de charge, je pense. Par contre, rien n'empêche d'avoir deux ip virtuelles (via 2 instances vrrp par exemple), et chaque nœud soit maître sur l'une des deux, pour répartir la charge tout en conservant de la haute disponibilité. -- Clément Hermann --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
Bertrand Yvain a écrit : Clement Hermann a écrit : Étant donné qu'à partir du moment où netfilter fonctionne, on gère forcément des tables et des sessions conntracks On peut tout à fait se passer de conntrack et faire un firewall stateless. Utile sur des machines qui voient passer beaucoup de trafic. Certainement, mais dans ce cas là ce modèle de répartition de charge n'a pas beaucoup d'intérêt non plus :) Et dans le cas d'un firewall stateless, aucun problème de synchronisation des sessions d'un firewall à l'autre, donc on n'a pas besoin de libnfconntrack et des outils présentés ici. -- Clément Hermann
Re: [FRnOG] Firewall actif/actif
Pierre Gaxatte a écrit : Étant donné qu'à partir du moment où netfilter fonctionne, on gère forcément des tables et des sessions conntracks, procéder comme les checkpoints n'a pas vraiment d'intérêt du point de vue répartition de charge, je pense. Par contre, rien n'empêche d'avoir deux ip virtuelles (via 2 instances vrrp par exemple), et chaque nœud soit maître sur l'une des deux, pour répartir la charge tout en conservant de la haute disponibilité. OK mais comment se fait la répartition des charges ? Il faut que je configure les gateways de tous les hôtes avec une IP virtuelle sur deux ??? :o En effet, il n'y a pas vraiment d'autre moyen de procéder à ma connaissance (encore une fois, si quelqu'un a une meilleure méthode ça m'intéresse beaucoup). Cela dit dans une grosse architecture (une qui justifie le load balancing, donc) on a généralement des équipements de routage en aval qui vont pouvoir se charger de la répartition (tel réseau sur tel firewall en priorité, tel autre sur l'autre, etc, sans modification de la configuration des hôtes) : c'est un des avantages de séparer routage et filtrage. -- Clément Hermann --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
Stéphane BUNEL a écrit : Clément Hermann wrote: (...) Le problème avec netfilter, ça va être la synchronisation de l'état. Il (...) http://conntrack-tools.netfilter.org/ The *conntrack-tools* are a set of free software http://www.gnu.org/philosophy/free-sw.html userspace tools for Linux http://www.kernel.org that allow system administrators interact with the Connection Tracking System http://people.netfilter.org/pablo/docs/login.pdf, which is the module that provides stateful packet inspection for iptables http://www.netfilter.org/projects/iptables/index.html. The *conntrack-tools* are the userspace daemon /conntrackd/ and the command line interface /conntrack/. La présentation de Pablo au RMLL2008, Fault tolerant stateful firewalling with GNU/Linux, par Pablo Neira Ayuso: http://free-electrons.com/pub/video/2008/rmll/rmll2008-pablo-neira-ayuso-firewalling.ogg Je pensais bien que ça allait évoluer avec l'apparition de libnfconntrack :) Merci pour l'info, j'avoue que j'ai assez peu suivi les évolutions récentes. -- Clément Hermann --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Prix vs consommation electrique...
Marc Lécuyer a écrit : Bonjour, Bonjour, Je suis a peu près sur que ce type de question fait (ou a déjà fait) l'objet de débats, quel est votre point de vue ? (le point de vue des ISPs m'intéresse tout particulièrement ;-) La problématique des utilisateurs lambda (et donc des ISP qui fournissent un service au grand public) est rarement sur l'économie de quelques watts. Par contre, du point de vue du service hébergé, et au vu des problèmes d'énergie qui se posent dans les datacenter existant, la limitation de consommation électrique est capitale. En effet, ce n'est plus un problème de coût direct, mais de coût indirect : quand on atteint les limites d'une salle, il est souvent difficile et coûteux de prévoir une augmentation de la capacité électrique. De ce point de vue, il n'y a pas de petite économie d'énergie. Chez le particulier, ça représente surtout un élément de communication je pense (on est « green », on économise de l'énergie jusque chez vous). Cordialement, -- Clément Hermann --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Arastra ?
Snarf a écrit : Le jeudi 27 mars 2008 à 16:11, Frédéric Gander écrivait: euh quand ta quelques centaines de milliers de clients derriere tu aimerais bien avoir un switch avec 100 port 10g. Pour un opérateur, oui ! ou est ce qu'on signe ? Mais quand je vois Google (essayer de) sortir des switchs 48x 10Gig, je ne pense pas qu'ils ne ciblent *QUE* des opérateurs. Bon, moins cher que Cisco ils peuvent le faire (1 Nexus 700 + 1 Sup + 2 Alim + 32x10 = $127000 le bout) mais quel est le marché à par les gros nopérateurs ? Comme le dit Fred, tous le monde n'as pas quelques centaines de milliers de clients On peut avoir l'usage d'une telle bande passante simplement en faisant de l'ISCSI par exemple. Les I/O ça coûte cher... Avec l'essort de la virtualisation c'est une application qui tend à devenir de plus en plus courante, pas seulement chez les hébergeurs et les opérateurs. Évidemment, je reconnais qu'il ne s'agit pas de l'épicerie du coin ou d'un particulier ;) -- Clément Hermann (nodens) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Prestataire et hébergeur Exchang e
Trecourt Nicolas a écrit : [ Friday 27 July 2007, 17h52, mahboub ] Bonjour, Bonjour, Je suis à la recherche d'un prestataire sérieux et compétent pour mettre en place un système de messagerie Exchange pour une entreprise de taille moyenne, l'héberger (datacenter ou pas) et gérer les problématiques de sauvegarde. Pour l'instant, le choix sur le type d'hébergement (dédié ou mutualisé) n'est pas fixé. Je ne pense pas que quiconque puisse fournir de l'hébergement MS Exchange mutualisé. Ce n'est clairement pas fait pour. La notion de domaine multiple est particulièrement ardue à mettre en place, notamment du fait que c'est extrêmement lié à Active Directory. D'ailleurs, Exchange externalisé sans externaliser l'annuaire Active Directory en même temps, c'est en soi étrange, car le gros point fort d'Exchange reste son intégration avec Active Directory... Comme l'a dit Nicolas Trecourt, des solutions alternatives plus ou moins libres (par exemple propriétaires avec des briques libres) existent, tout dépend du cahier des charges, je pense que ça vaut le coup de contacter quelques SSLL pour avoir une idée de ce qu'ils peuvent proposer. Cordialement, -- Clément Hermann BDI - Eolas - http://www.eolas.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Wanadoo / Orange SMTP
Benjamin Malynovytch wrote: l'absence de solution pour bypasser ce verouillage Pourquoi ne mettez-vous pas en place une redirection de port sur vos serveurs SMTP ? Rien, ne vous empêche de laisser le 25 ouvert normalement et de rediriger le 8025 par exemple vers le 25 local. Du coup, vous n'êtes plus affectés par les restrictions des ISP. Une autre solution intelligente (et plus propre à mon sens, bien que plus coûteuse pour le prestataire de service) est de systématiser le SSMTP (donc sur le port 465). Le coût supplémentaire est surtout un impact sur les performances, en terme de coût de mise en place ça a généralement peu d'impact en dehors du coût du certificat... De cette manière, on ne peut plus faire de SMTP (ni d'ailleurs de SMTP+TLS) quand le port 25 est bloqué, mais on conserve la possibilité d'envoyer des mails en SSMTP. Cependant, cela n'enlève rien à la problématique du manque de communication d'orange là dessus... Et il est difficile de fournir du SSMTP à tous les clients du jour au lendemain ! Cordialement, -- Clément Hermann --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Acces ADSL garanti
[EMAIL PROTECTED] a écrit : Bonjour Dans le cadre d'un projet pour monter un tout petit datacenter, je suis à la recherche d'informations sur ce qui se fait en ADSL professionel. Mes contraintes: - Certaine qualité de service - Si possible des garanties sur cette qualité - Ipv6 Mes recherches se sont pour l'instant portées vers une ligne Nerim Trust. Savez vous si il existe quelquechose de plus ou équivalent en terme de qualité mais aussi de tarifs (les frais d'installation ne sont pas moindre)? En ce qui me concerne, je ne connais pas d'accès ADSL pro, l'essentielle des offres seront du SDSL (ce qui revient peu ou prou au même avec un upload identique au download). Je ne sais pas si d'autres fournisseurs que Nerim fournissent de l'ipv6 (même si il commence à se répandre sur les backbones à ce qu'on m'a dit) mais une chose est sûre, très peu proposeront des débits garantis sur des liens SDSL, puisque la techno s'y prête mal. Au niveau des tarifs, je n'ai guère eu affaire qu'à Orange / Transpac / Oléane (je travaille chez un hébergeur et non un opérateur) mais les frais de setup sont en effet assez élevés... Cordialement, -- Clément Hermann --- Liste de diffusion du FRnOG http://www.frnog.org/
