Re: [FRnOG] [TECH] UCARP/VRRP avec Debian problème
2017-07-05 17:22 GMT+02:00 Alarig Le Lay: > On mer. 5 juil. 14:53:24 2017, Sébastien 65 wrote: >> Bonjour, >> >> >> Je m'arrache les cheveux depuis ce matin sur le fonctionnement de >> UCARP et/ou Keepalived sur Debian 9... >> >> >> J'explique : Si Debian1 tombe l'IP VIP bascule bien sur Debian2, en >> revanche lorsque Debian1 est de nouveau UP, il récupère l'IP de >> Debian2 (je voudrais éviter cette bascule). > > Matin, > > Tu as mis quel advskew sur chaque machine ? Si Debian1 a un advskew plus > faible, c’est normal qu’il reprenne le lead vu qu’il est prioritaire. > > Si tu veux éviter que ça revienne sur Debian1, il faut avoir le même > advskew sur les deux machines. > > -- > alarig Si le fonctionnement de uCARP se base sur la même logique que le protocole CARP d'origine et sauf erreur de ma part, ça n'est pas tout à fait le principe :) CARP détermine le mastership comme suit : - avec preemption : machine qui s'advertise le plus fréquemment = master - sans preemption : machine qui s'advertise le plus fréquemment = master, sauf si un master existe déjà La fréquence d'advertisement est définie comme suit : - s'annoncer toutes les advbase secondes - la valeur de advskew permet d'affiner le délai d'annonce Le délai de bascule est, sauf erreur : - 3x advbase ou - 3x advbase + distortion de advskew En tout état de cause plus le advbase est élevé et plus le délai de bascule le sera également. Ensuite, pour récupérer le mastership après une bascule, c'est géré par la Preemption. Scénario 1, sans preemption. Machine A, advbase 1, advskew 20 Machine B, advbase 1, advskew 40 Machine A tombe, Machine B devient master. Machine A revient, Machine B reste master. Scénario 2, avec preemption. Machine A, advbase 1, advskew 20, preempt Machine B, advbase 1, advskew 40, preempt (ou pas) Machine A tombe, Machine B devient master. Machine A revient, Machine A preempt l'actuel master parce que son advbase + advskew est plus faible. Le man de ucarp documente (mal) le flag -P , qui touche à la preemption : http://manpages.ubuntu.com/manpages/zesty/man8/ucarp.8.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Orange recrute un admin réseau
2017-01-11 22:29 GMT+01:00 Alarig Le Lay <ala...@swordarmor.fr>: > On Wed Jan 11 20:59:04 2017, Damien Fleuriot wrote: >> Le salaire est, mécaniquement, fonction de tout un tas de paramètres >> et notamment les compétences, l'expérience et la maturité du candidat. >> Par maturité j'entends l'aptitude à s'intégrer rapidement dans un >> nouvel environnement, la facilité à communiquer, la diction... > > Matin, > > Qu’est-ce que la diction a à foutre là-dedans ? > Si tu préfères avoir des gens incompréhensibles dans ta boîte libre à toi hein :) Encore une fois, chacun voit midi à sa porte. En ce qui me concerne ça fait partie -entre autres- des points bonus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Orange recrute un admin réseau
2017-01-10 11:28 GMT+01:00 Laurent: > Le 10/01/2017 à 11:19, Olivier Cochard-Labbé a écrit : >> Si elle vient pour un job uniquement alimentaire, ce n'est peut-être >> pas le bon job. > > On est d'accord. > Mais cette info fait aussi partie de l'équation.. alors la masquer, > c'est juste de l’hypocrisie institutionnalisée. > > Mais ceci étant dit, je n'avais pas vraiment l'intention d'ouvrir la > boite de Pandore.. les quelques réponses faites me "suffisent" ;) > Libre à toi d'avoir ton point de vue et appeler ça de l'hypocrisie. Pour ma part j'appelle ça du bon sens. Le salaire est, mécaniquement, fonction de tout un tas de paramètres et notamment les compétences, l'expérience et la maturité du candidat. Par maturité j'entends l'aptitude à s'intégrer rapidement dans un nouvel environnement, la facilité à communiquer, la diction... Sans parler des plus; le candidat parle plusieurs langues ? Parce que les tickets au JTAC y a encore quelques années c'était exclusivement en anglais, pas sûr que ça ait changé ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [!!Mass Mail][FRnOG] [TECH] Petit routeur pour remplacer netscreen
2015-08-21 11:34 GMT+02:00 Mattieu Baptiste mattie...@gmail.com: 2015-08-21 10:55 GMT+02:00 Olivier Cochard-Labbé oliv...@cochard.me: Salut, 4860 (4 cœurs, 6 NIC). Et avec un pfSense/opnsense d'installé cela ne fait pas si root que cela. Par contre toutes ces nouvelles plateformes étant multi-cœurs, mettre de l'OpenBSD qui n'utilise que 1 cœur pour le routage/filtrage c'est un peu dommage. As-tu des stats prouvant cela ? D'après ce que j'ai pu lire à droite à gauche, et le retour d'amis, OpenBSD n'a pas à rougir question performances sur un APU par rapport à pfsense (ce serait même plutôt l'inverse). Par ailleurs, un gros boulot est en train d'être fait pour que la pile réseau d'OpenBSD (drivers, pile TCP/IP, PF, etc.) tire profit du multi-coeurs. C'est donc un bon choix pour l'avenir. Faut comparer ce qui est comparable. pfsense basé sur la branche FreeBSD 8.x = pf single threadé + global lock Passe sur une FreeBSD 10 avec pf multithreadé et on en reparle ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Petit routeur pour remplacer netscreen
Si tu veux remplacer un Netscreen, tu peux partir sur du SRX, le successeur des bons vieux SSG qui sont end of sale. Gamme Netscreen - SSG - SRX En plus t'auras même tes zones trust/untrust ;) 2015-08-20 16:07 GMT+02:00 fr...@noend.fr: Bonjour à tous, Je cherche un Routeur avec au moins 4 RJ, avec un port WAN ( Quand je parle de port WAN, je pourrais parler d’une zone untrust ou Internet. Bref : là ou il y a souvent une sécu prédéfini) et le reste en LAN), faisant FW et permettant de faire du WiFI (pour remplacer un juniper Netscreen-5GT) que pourriez-vous me proposer sans aller dans des marques « PME » type netgear. Cordialement -- Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Petit routeur pour remplacer netscreen
Ouais non malheureusement, ils font du 3G/4G mais pas de wifi. Sinon gogo boîtier Soekris avec pfsense. 2015-08-20 17:46 GMT+02:00 Damien Fleuriot m...@my.gd: T'as des modèles de SRX qui tiennent du wifi je crois hein ;) 2015-08-20 16:53 GMT+02:00 fr...@noend.fr: mais de wifi :( Le 2015-08-20 16:23, Damien Fleuriot a écrit : Si tu veux remplacer un Netscreen, tu peux partir sur du SRX, le successeur des bons vieux SSG qui sont end of sale. Gamme Netscreen - SSG - SRX En plus t'auras même tes zones trust/untrust ;) 2015-08-20 16:07 GMT+02:00 fr...@noend.fr: Bonjour à tous, Je cherche un Routeur avec au moins 4 RJ, avec un port WAN ( Quand je parle de port WAN, je pourrais parler d'une zone untrust ou Internet. Bref : là ou il y a souvent une sécu prédéfini) et le reste en LAN), faisant FW et permettant de faire du WiFI (pour remplacer un juniper Netscreen-5GT) que pourriez-vous me proposer sans aller dans des marques « PME » type netgear. Cordialement -- Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Petit routeur pour remplacer netscreen
T'as des modèles de SRX qui tiennent du wifi je crois hein ;) 2015-08-20 16:53 GMT+02:00 fr...@noend.fr: mais de wifi :( Le 2015-08-20 16:23, Damien Fleuriot a écrit : Si tu veux remplacer un Netscreen, tu peux partir sur du SRX, le successeur des bons vieux SSG qui sont end of sale. Gamme Netscreen - SSG - SRX En plus t'auras même tes zones trust/untrust ;) 2015-08-20 16:07 GMT+02:00 fr...@noend.fr: Bonjour à tous, Je cherche un Routeur avec au moins 4 RJ, avec un port WAN ( Quand je parle de port WAN, je pourrais parler d'une zone untrust ou Internet. Bref : là ou il y a souvent une sécu prédéfini) et le reste en LAN), faisant FW et permettant de faire du WiFI (pour remplacer un juniper Netscreen-5GT) que pourriez-vous me proposer sans aller dans des marques « PME » type netgear. Cordialement -- Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-27 4:57 GMT+02:00 Frederic Dhieux frede...@syn.fr: Le 26/06/15 19:24, Michel Py a écrit : Moi ca fait 15 ans que j'ai commencé et pour l'instant j'ai perdu mon temps. En plus, les arguments comme quoi IPv6 va éliminer NAT sont not seulement pas étanches, mais carrément faux. Il y a plus de méthodes NAT pour V6 que pour v4 : NAT46, NAT64, NAT464, NAT66, et j'en oublie. C'est 2 fois le travail et 3 fois les emmerdes. En plus de devoir administrer double stack, va donc poser la question suivante au blaireau qui est au téléphone parce qu'il peut pas accéder www.maboite.com : t'essaies d'accéder avec IPv4, ou avec IPv6 ? Euuuhhh Est-ce qu'on est vraiment obligé à un moment de faire un truc batard entre v4 et v6 et de translater de l'un à l'autre ? De mon côté j'ai pas vraiment trouvé le besoin de faire des ponts entre 2 stacks qui arrivent à vivre en parallèle. Après pour le debug c'est potentiellement plus chiant, mais à ce jour désactiver IPv6 en cas de problème règle rapidement et sans impact le point si on ne veut pas perdre de temps. En tout cas ça ne coute pas grand chose de configurer IPv6 à côté d'IPv4 dans 95% des cas. Je suis intéressé d'ailleurs par la raison qui te pousse à vouloir faire du NAT entre les 2 du coup ? Damien Fleuriot a écrit : Concernant le fait que ce soit plus ou moins pénible que du v4, c'est tout bête : le v4 c'est déjà en place et maîtrisé ;) +1 C'est marrant de lire ça dans un domaine en perpétuelle évolution. C'est un peu notre métier aussi d'appréhender les nouvelles technos et de les mettre en place. Faux, fondamentalement. C'est notre métier d'appréhender les nouvelles technos et de les *évaluer* , tant dans les gains techniques et économiques qu'elles présentent, mais aussi dans les risques. À moins que tu MEP tout et n'importe quoi au gré des sorties, ce dont je doute ;) En ce qui concerne mon employeur et son business, non seulement IPv6 n'apporte aucun avantage, mais ça apporte sont lot d'emmerdes ! (géolocalisation, code métier à revoir en partie, pour ne citer que ça). C'est aussi simple que ça, en fait. La technologie a été évaluée, et les bénéfices -nuls- ne justifient ni le risque, ni le coût de la mise en oeuvre. +1 En plus, si quelque chose foire pendant que tu fais tes mises à jour, c'est forcément ta faute. Pourquoi t'es allé bidouiller sur le réseau de prod qui marchait bien avant que tu foutes tes mains dedans Fais moi penser à ne jamais envoyer un CV là où tu bosses :) A ce moment là il ne faut jamais mettre à jour tant que ça tourne et il ne faut jamais rien faire évoluer... C'est évident aussi qu'on colle pas direct le truc sur la prod la plus sensible. Avoir une vision technique c'est bien, avoir également la vision financière ça permet de relativiser les différents sujets. Oui, IPv6 c'est probablement bien. Non, ça sert à rien, mais alors vraiment *strictement* à rien pour mon employeur. Du coup, c'est assez vite plié comme discussion... Vous faites ce que vous voulez sur vos plateformes, mais ici en tout cas c'est pas d'actualité, pour le moment. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-28 22:18 GMT+02:00 Stephane Bortzmeyer bortzme...@nic.fr: On Sat, Jun 27, 2015 at 06:34:10AM +0200, Pierre Lagoutte pie...@dratech.com wrote a message of 56 lines which said: C'est vrai: dual stack = deux fois plus de pb Alors, là, je vais faire mon vieux con, et virer Michel Py qui joue très mal ce rôle. Quand j'étais ingénieur réseaux (un vrai, pas un qui fait des PowerPoint aux réunions FRnog), sur le campus, on avait QUATRE protocoles différents. IPX, IPv4, Decnet (phase IV), AppleTalk. Et c'était avant qu'arrive Decnet phase V, totalement incompatible avec phase IV. Et on trouvait ça normal, et on plaignait nos collègues d'autres réseaux qui devaient se taper de l'IBM en prime. Et je me souviens d'une présentation par un commercial d'une boîte US peu connue qui nous présentait fièrement leur produit, un « routeur multi-protocoles ». (On avait avant un routeur par protocole.) Les jeunes d'aujourd'hui sont des bras cassés, ils paniquent à l'idée de gérer DEUX protocoles très proches. C'est très paternaliste et réducteur, ce genre de discours. Peut-être que les jeunes d'aujourd'hui sont plus pragmatiques que leurs aînés, et refusent de perdre leur temps -en passant pour des cons au surplus- à convaincre leur employeur d'allouer des ressources pour quelque chose dont il n'a pas besoin. Au nic.fr vous avez une réelle valeur ajoutée à déployer de l'IPv6, vous déployez de l'IPv6. Chez mon employeur, on n'a aucune valeur ajoutée à déployer de l'IPv6, on n'en déploie pas. J'invite les ayatollahs qui estiment que ma boîte fait partie de ceux qui vont faire durer une supposée transition v4-v6 à : - venir expliquer à mon employeur tous les gains qu'il va faire avec IPv6 (indice: aucun) - venir le rassurer sur l'absence totale de problème lors de la prise en charge d'IPv6 sur les diverses interfaces clients et APIs (des audits de code gratuits ? venez mes amis, venez, on est preneurs) - jeter un oeil rapide à X25 et sa phase de transition - venir faire la mise en place eux-mêmes (gratos hein, on est entre personnes civilisées que diable) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-29 17:28 GMT+02:00 Samuel PIRON piron.sam...@neoxis.eu: Sinon, pendant ce temps là, l'ARIN n'a plus que des miettes d'IPv4 à distribuer : http://www.reddit.com/r/ipv6/comments/3b5p3i/arin_just_subdivided_their_last_1718192021_and_22/ Je cite leur blog : (http://teamarin.net/category/ipv4-depletion/) It is very likely that we are already processing a request that we will be unable to fulfill. Quitte à jeter un pavé dans la marre, on peut se demander, légitimement, si IBM, HP, DEC, Ford, Daymler, Apple... ont vraiment besoin de /8s --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-26 14:38 GMT+02:00 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net: On Fri, Jun 26, 2015, at 12:40, Damien Fleuriot wrote: Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et devoir les firewaller une par une. Non et NON et *NON* ! Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles doit être maintenu. Tu n'a pas besoin de NAT pour mettre un firewall en coupure. Et de memoire sur les firewalls tu peux quand-meme utilises de subnets, pas seulement des hosts (en v4 comme en v6 - modulo qu'en v6 utiliser des hosts seuls c'est rarement utile). Je peux me tromper C'est bien le cas ici. ce qui me concerne des machines avec des IPv6 directement exposées sans NAT/RP c'est un accident qui attend d'arriver. Rien ne t'empeche de : - ne pas exposer directement des machines ayant une v6 globale (*). comme deja preise, tu peux mettre un firewall devant. - mettre un RP (en v6) devant des machines toujours en v6 (*) Faut commencer a assimiler la difference entre une adresse publique et une adresse globalement unique. Une adresse globalement unique est *generalement* publique, mais ce n'est pas du tout obligatoire. J'entends bien, mais aujourd'hui, pour des raisons qui me sont antérieures, il n'y a aucun subnet routé par les FW. Ils assurent le NAT et le RP en v4, mais ils ne routent pas de networks. Du coup, passer en v6, c'est : - des changements d'infra - des risques (erreurs d'implémentation, de manipulation pour le changement, failles de sécu en v6 (rtadv bonsoir) ) - beaucoup de travail pour finalement pas grand chose (et on en revient toujours au même problème avec l'ipv6 -.- ) Faudra bien qu'on le fasse un jour hein, mais pour le moment le management n'y voit aucun intérêt, et honnêtement côté technique non plus; que de l'inconvénient. En tout cas, je prends bonne note de la solution privilégiée de router des subnets via les FW, même si c'est très différent de notre fonctionnement d'ajd :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-26 15:11 GMT+02:00 Frederic Dhieux frede...@syn.fr: Le 26/06/15 14:52, Samuel Thibault a écrit : Et en v6, tu peux mettre en place la même infra, juste le NAT en moins (mais garder le firewall bien sûr). Il te faut un subnet séparé pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé RFC1918. Je ne vois aucune difficulté de réflexion. Pareil, je capte pas où est le chamboulement, mettre une intero v6 publique comme il y a l'IP publique v4 et mettre un subnet public routé v6 à la place d'un subnet v4 RFC1918 et faire du routage firewallé au lieu de faire du routage NATé (le NAT c'est un peu un routeur firewall avec des règles de translation d'IP quand même à la base non ?) Je suis en train de pleurer du sang à lire encore des histoires qui mélangent NAT et sécurité pour justifier de garder une affreuse rustine qu'est le NAT et de ne pas mettre IPv6. En gros ce qui change entre IPv4 NAT et IPv6 : - Le subnet interne derrière la boiboite est non translaté par le firewall - Le blocage des ports entrants par défaut vers le subnet interne On est loin d'un truc foufou... Après les mecs qui ont peur de ne pas bien firewaller et qui préfèrent un boitier NAT parce que si c'est pas bien configuré au moins rien ne fonctionne... Frédéric En ce qui concerne remplacer des intercos v4 par des v6, c'est bien là le problème, il n'y en a pas des intercos v4 actuellement. Quant au fait de mélanger le NAT et la sécurité, pas d'amalgame, à aucun moment je n'ai dit que le NAT était la seule solution. Néanmoins, affirmer que le NAT ne protège pas est une erreur. Certes il y a des alternatives -comme utiliser des intercos pour router des préfixes- , mais le NAT apporte, d'une manière différente, un mécanisme de protection des serveurs de backend. J'ai l'impression que vous abordez tous le sujet du simple point de vue d'un admin réseau, qui veut des choses propres et carrées. Gardez à l'esprit qu'il faut composer avec l'existant et les contraintes du métier; en d'autres termes, on n'a pas toujours le choix. Je peux vendre à mon employeur 15 jours homme pour tot remettre au propre dans les whatmille projets, ou 0 jours homme pour conserver l'existant mais pas d'IPv6. Vous pensez bien que la discussion va aller assez vite... et pas nécessairement dans mon sens. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-26 15:20 GMT+02:00 Samuel Thibault samuel.thiba...@ens-lyon.org: Damien Fleuriot, le Fri 26 Jun 2015 15:13:16 +0200, a écrit : Pour le contexte vis-à-vis de l'existant : [ router ] pub | [ FW ] pub + 1918 | [ lb ] 1918 | [ web ] 1918 Et donc: [ router ] 2001:db8:0:1::1/64 | [ FW ] 2001:db8:0:1::2/64 + 2001:db8:0:2::2/64 | [ lb ] 2001:db8:0:2::3/64 | [ web ] 2001:db8:0:2::x/64 Je ne vois pas de difficulté de conception: on fait comme l'existant, juste du NAT en moins. Dans ce scénario et attendu que le firewall se retrouve en effet en point de coupure, quel est l'intérêt d'avoir des serveurs de backend en v4+v6, quand ils pourraient être en simple v4 ? Ça permet d'éviter le NAT, tant valable techniquement, ne sera pas accepté économiquement, ça représente mécaniquement un coût. J'entends qu'il s'agit d'un coût faible, mais appliqué à chacun de nos projets et chacune des machines, ça va chiffrer assez vite. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-26 13:29 GMT+02:00 Samuel Thibault samuel.thiba...@ens-lyon.org: Damien Fleuriot, le Fri 26 Jun 2015 13:05:43 +0200, a écrit : Parce que pour que le firewall fasse office de point de coupure, encore faut-il que les bécannes qui sont derrière ne soient joignables que via ce dernier ? Router : 2001::1 FW : 2001::2 Web1 : 2001::a Web2 : 2001::b Ah mais tu veux dire que ton réseau Web1/Web2 est branché directement sur le routeur, et que c'est juste par chance que le trafic, en v4, passe par ton Firewall ? Ben c'est effectivement là qu'est le problème, mais c'est un problème de réseau de base, pas de v6 (ou plutôt, c'est vraiment très artificiel que NAT te corrige le problème). À moins de subnetter, 2001::a est joignable directement via 2001::1 , le firewall n'agit pas en point de coupure. Heu, ben bien sûr qu'il faut que tu aies des sous-réseaux différents entre ce qui est devant ton firewall et ce qui est derrière. Rien de nouveau, c'est comme avec le NAT, sauf qu'il n'y a pas de NAT, juste un firewall. Personnellement ça me semble assez chiant à mettre en place (on en revient au rapport pénibilité-bénéfice d'ipv6 du coup). Je ne vois pas en quoi c'est plus pénible que ce que tu as déjà en v4. Non c'est pas par chance, c'est fait pour, c'est le NAT et le mécanisme de reverse-proxy qui assurent ça. En gros ici, on n'a pas de réseau routé par les firewalls. Ils accueillent une /27 et soit ils NAT, soit ils forward les paquets aux reverse-proxies qui ont des IPs RFC1918. Concernant le fait que ce soit plus ou moins pénible que du v4, c'est tout bête : le v4 c'est déjà en place et maîtrisé ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-26 12:49 GMT+02:00 Raphael Mazelier r...@futomaki.net: Le 26/06/15 12:40, Damien Fleuriot a écrit : Je trouve ça très réducteur, le propos sur le NAT. Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et devoir les firewaller une par une. C'est chiant à maintenir, très chiant. Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles doit être maintenu. Je peux me tromper, vous avez peut-être des solutions alternatives, mais en ce qui me concerne des machines avec des IPv6 directement exposées sans NAT/RP c'est un accident qui attend d'arriver. Comme déjà évoqué, rien ne t’empêche de réserver une plage ipv6 que tu n'annonce pas dans la DFZ ou que tu drop en entrée de tes routeurs de bordure. Le Nat n'a jamais été conçu pour être un mécanisme de sécurité. Cela a crée un semblant de sécurité du fait des architectures mise en place pour contourner le manque d'ipv4. L'architecture courante étant tout les serveurs en rcf1918 derrière un firewall, ip publiques portés par le firewall et nat sélectif. Une architecture qui marche jusqu’à un certain point. Une approche qui se défend, mais à ce compte là est-ce qu'il y a vraiment un intérêt à utiliser des IPv6 sur ses serveurs de backend ? Dans ce genre de scénario, si je comprends bien, tu dois toujours avoir un équipement qui fait office de reverse proxy (qui lui est annoncé et joignable). Cet équipement pourrait tout aussi bien continuer à parler aux backends en v4, limitant les modifications d'infra. On en arrive à un stade hybride où l'équipement doit pouvoir parler en v4 et en v6, mais de toutes façons on sera bien obligés de conserver la compatibilité v4 temporairement le temps de la transition. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Je trouve ça très réducteur, le propos sur le NAT. Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et devoir les firewaller une par une. C'est chiant à maintenir, très chiant. Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles doit être maintenu. Je peux me tromper, vous avez peut-être des solutions alternatives, mais en ce qui me concerne des machines avec des IPv6 directement exposées sans NAT/RP c'est un accident qui attend d'arriver. 2015-06-25 10:49 GMT+02:00 Nicolas Parpandet n...@1g6.biz: Hello, Cela existe depuis longtemps, plusieurs groupes français ont un bloc interne qui à été retenu avant la RFC1918. (ex: le 126.), mais c'est galère, une partie de yahoo est injoignable par exemple !, et du routage spécifique à du être mis en place... Chez nous on est full ipv6 depuis 2007, mais quand je vois que le nat ipv6 est en cours d'ajout dans le noyaux linux, ca me fait mal lol... Nicolas - Mail original - De: Stephane Bortzmeyer bortzme...@nic.fr À: Simon Morvan gar...@zone84.net Cc: frnog@frnog.org Envoyé: Jeudi 25 Juin 2015 10:35:27 Objet: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées On Thu, Jun 25, 2015 at 10:23:37AM +0200, Simon Morvan gar...@zone84.net wrote a message of 33 lines which said: C'est pour un usage strictement interne et privé, derrière les IPs publiques légalement utilisables, on est bien d'accord ? Mais cela empêche toute communication avec les boîtes qui ont l'allocation légitime, et cela va faire des cauchemars à déboguer. Les cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la solution simple de passer à IPv6 (on n'est pas vendredi ?) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-26 12:56 GMT+02:00 Simon Morvan gar...@zone84.net: Le 26 juin 2015 12:40:54 CEST, Damien Fleuriot m...@my.gd a écrit : Je trouve ça très réducteur, le propos sur le NAT. Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et devoir les firewaller une par une. C'est chiant à maintenir, très chiant. Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles doit être maintenu. Si t'as un firewall en coupure, je vois pas pourquoi tu as besoin de nat pour protéger toutes les machines derrière avec un ruleset unique. Parce que pour que le firewall fasse office de point de coupure, encore faut-il que les bécannes qui sont derrière ne soient joignables que via ce dernier ? Router : 2001::1 FW : 2001::2 Web1 : 2001::a Web2 : 2001::b À moins de subnetter, 2001::a est joignable directement via 2001::1 , le firewall n'agit pas en point de coupure. Personnellement ça me semble assez chiant à mettre en place (on en revient au rapport pénibilité-bénéfice d'ipv6 du coup). Ou alors j'imagine des solutions bien compliquées, et il y a beaucoup plus simple qui ne me vient pas à l'esprit ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
2015-06-26 14:52 GMT+02:00 Samuel Thibault samuel.thiba...@ens-lyon.org: Damien Fleuriot, le Fri 26 Jun 2015 14:41:25 +0200, a écrit : Non c'est pas par chance, c'est fait pour, c'est le NAT et le mécanisme de reverse-proxy qui assurent ça. Heu, mais si tu envisages de brancher tes Web1 et Web2 directement sur le routeur, je suppose que c'est parce qu'ils sont en fait sur le même réseau que dehors le firewall ? Et donc que tu as un souci L2 déjà, et que c'est juste par chance que ça n'est pas percé. Sinon, si tu as déjà deux L2 séparés pour en-dehors du firewall et en-dedans du firewall, eh bien il faut deux subnets, oui. Rien de nouveau, c'est ainsi en v4 depuis le début :) En gros ici, on n'a pas de réseau routé par les firewalls. Ils accueillent une /27 et soit ils NAT, soit ils forward les paquets aux reverse-proxies qui ont des IPs RFC1918. En v6 ils peuvent router (et firewaller) plutôt que NATer, je ne vois pas la difficulté. Si tu veux vraiment, tu peux NATer en v6, mais je n'y vois pas d'intérêt par rapport à un bête firewall. Concernant le fait que ce soit plus ou moins pénible que du v4, c'est tout bête : le v4 c'est déjà en place et maîtrisé ;) Et en v6, tu peux mettre en place la même infra, juste le NAT en moins (mais garder le firewall bien sûr). Il te faut un subnet séparé pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé RFC1918. Je ne vois aucune difficulté de réflexion. Pour le contexte vis-à-vis de l'existant : [ router ] pub | [ FW ] pub + 1918 | [ lb ] 1918 | [ web ] 1918 Ici router et FW sont dans la même /27, et sont les seuls à avoir des IPs publiques. LB et web ont des IPs RFC1918. Gardez bien en tête qu'il faut composer avec l'existant. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur pour PME
+1 pour pfsense, et également pour les junip SRX 2x0. PFSense + facile à appréhender, CLI junip très sympa à l'utilisation. 2015-01-20 13:02 GMT+01:00 Sylvain Busson sbu12...@gmail.com: Juniper SRX 2x0 c'est scalable manque plus que le café. Et en prime t'as un switch. SBU - Original Message - From: Guillaume Tournat guilla...@ironie.org To: Alexis Lameire alexis.lame...@gmail.com Cc: frnog-t...@frnog.org Sent: Tuesday, January 20, 2015 12:00 PM Subject: Re: [FRnOG] [TECH] Routeur pour PME FortiGate (firewall Fortinet) ça le fait. Pleins de modèles pour trouver la combinaison nécessaire. Le 20 janv. 2015 à 10:59, Alexis Lameire alexis.lame...@gmail.com a écrit : Bonjour, Dans le cadre d'une PME, on cherche à remplacer le routeur principale du réseau. Celui-ci doit pouvoir faire : - Vlan - Firewall basique (filtrage par port, NAT et restriction entre VLAN) - DHCP - Relais DNS (si possible pouvoir gérer les nom interne aussi) - FailOver basique (si une ligne tombe internet tombe, switcher sur l'autre) - PPPoE - 3 pattes minimum - rackable ou non, peut importe Après mon retour d'expérience sur plusieurs équipements, je ne peut conseiller OpenWRT, en éffet sur deux matèriel physique différent j'ai rencontrer des bugs aléatoire malgré une conf correcte (vlan foireux, routing qui déconne, port non détecter, ...) Que peut t’ont suggérer dans ce cas là : - Cisco ? Juniper and Co ? mais à quel prix ? dans le cadre d'une PME ceci n'est pas négligeable - PFsense : des gens ont du retex dessus ? - TPLINK, DLink Netgear ? des truc orienté PME qui feraient le boulot ? - Du matériel d'occasion ? Cordialement Alexis Lameire --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le Marais
On 15 Jul 2013, at 17:44, Yann Vercucque yann.vercuc...@gmail.com wrote: J'ai saigné des yeux Ma prof de français c'est d'ailleurs éventrée ! S'est ... ;) Bref Bonne journée ! Yann, Le 15 juil. 2013 à 15:25, J34n K3v1n j34nk3...@gmail.com a écrit : Bjr Dsl si je répon a coter, ms je conpren pas le raport ac le marai, pke le marai c pr les homo, non??? Alor cé koi le raport ac le résaeu?? Mdrr TT facons la loi est passé, alor les homo sont plu interdi, alor pk vs en parlait?? Mn pére aréte pas de geuler sur eux, il dit ke les homo c kom les musulman, c tous des arabes. MTR il fé pa la diférence, sa a rien a voir lol!! Lol,vs aussi vs étes en vacance pr postait au temps?? Le 15 juillet 2013 14:29, Alain Richard alain.rich...@equation.fr a écrit : Mouais ! Avec très peu de recherche : http://www.placenet.fr/peering https://www.peeringdb.com/private/participant_view.php?id=2738 et si ses enregistrements en peeringdb sont à jour, les ressources qu'il veut conserver sont : AS39117 194.79.48.0/22 2001:67c:1200::/46 Il semblerait que ni AS39117, ni 194.79.48.0/22 ne soient déclarés dans la base RIPE. 194.79.48.0/22 tombe dans une plage du RIPE pour les attributions PI, mais aucune réservation n'est faite. Il est tout à fait possible de souscrire un cadre contractuel avec un LIR Français pour le maintient de ces ressources pour un budget très raisonnable (~200-300€/an), si le RIPE veut bien encore accepter d'attribuer ces ressources à placenet. Quelques remarques : - cet acteur est en conflit avec le RIPE probablement pour des raisons idéologiques et non commercial (le cout de je parle pas anglais, ou ils veulent me taxer des milliers d'euros, n'est que de la poudre aux yeux, car comme indiqué ci-dessus, il est très simple de contractualiser avec un LIR Français et cela ne coûte que quelque centaines d'euros). - je suppose que de toute façon ces ressources ne valent pas grand chose aux yeux de cet acteur car sinon il ne prendrait pas autant de risque de les perdre pour une somme si faible. - le lancement de cette discussion, en cachant les données réelle et le sujet réel, est donc une simple volonté de troll. Et si cet un acteur veut repartir vers la vraie liberté, ou tout est gratuit (concept plutôt utopique, car la gratuité n'existe pas), il peut tout à fait le faire en créant un Internet bis (il pourra alors gérer toutes les adresses IPv4 et IPv6 qu'il veut, et même devenir ARIN et RIPE pour ses petits copains qui voudrons faire de même). Internet aujourd'hui est une économie de plusieurs centaines de milliard d'euros. C'est un fait. Donc sur le fond, si vous souhaitez taper sur la tête du RIPE, annoncez le franchement, et avec le cas échéant des arguments et propositions constructives. Si vous souhaitez conserver des ressources dévolues au RIPE, entrez dans la cadre contractuel nécessaire. Si vous n'êtes pas d'accord avec la régulation existant, participez à sa réforme ... ou faites la révolution ! A+ Le 11 juil. 2013 à 22:38, frederic frede...@placenet.org a écrit : Le 11/07/2013 21:23, Tristan Mahé a écrit : Cela aurait été intéressant d'avoir la classe d'IP en question pour savoir d’où elles proviennent et pouvoir te répondre. En me basant sur celle de ton site internet et de ton MX, je tombe sur des ips attribuées à OVH. Sinon, relis bien le mail de Radu, qui t'as bien expliqué qu'un EndUser ( toi ), n'as pas à devenir LIR mais bel et bien souscrire un contrat avec un LIR pour la gestion de ses IPs... ( tu souscrit un contrat avec LIR qui lui as son contrat avec le RIPE pour tes allocations de ressources ). Ce qui as bien du se passer lorsque tu as reçu ton allocation IP/AS il y a des années... Il y a une époque , il n'y avait aucun contrat avec le LIR, le LIR avait un statuts pour distribuer des Ips et elles n'étaient soumises à aucune contrainte contractuelle, surtout les P.I. le seul qui était lié au RIPE etait le LIR. L' apparition du contrat pour les adresses Ips est récente et il y a mainteant des mentions obligatoires minimum à mettre en place pour LIR envers le Enduser qui n'existaient pas avant. la chaine contractuelle avant: RIPE -- LIR. maintenant : RIPE - LIR - EU. la version RIPE - EU a été présente quelques temps mais a été supprimé très rapidement. RIPE - LIR - EU. ce contrat juridique n'est qu'au profit de L'ICANN et uniquement celui-ci. Quand tu es EU et tu n'as et avait aucun contrat (quelques soient la cause de bonne foi), et que tu sais que les contrats ne sont pas dans ton intérêt et que tu n'as pas ton mot à dire la dessus sauf celui de banquer. Ton seul intérêt est de refuser de signer le contrat qu'on te présente pour combler la lacune d' avant de la seule et unique responsabilité du RIPE. Le service qui est sous-jacent à ce paiement est: tu peux garder ton bloque IPs (autorité conscensuelle) dont
Re: [FRnOG] [MISC] Le Marais
On 9 Jul 2013, at 19:41, frederic frede...@placenet.org wrote: 1/ en passant par un sponsoring LIR tu auras juste à louer les IPs au sponsoring LIR, pas de signup fee ni de recurring avec le RIPE NCC. Mais un loyer à regler au LIR. 2/ en t'inscrivant en LIR tu ne payes pas 3.8k + 3.35 + 2.9 + 2.45 récurrents, tu payes X, Y, Z ou W en fonction du moment de l'année où tu t'inscrits. Ensuite les 2k initiaux disparaissent, c'était le prix one-shot pour l'inscription oui, j'ai mal repris le tableau. mais c'est de toute façon 1800 euros /an en suivant + un tarif par ressource. 3/ qu'est-ce que tu racontes à propos de l'absence de garanties ? Un service doit avoir un minium de garanti. celui n'a aucune garantie. 4/ pour finir, si tes IPs ne sont pas allouées au RIPE, qu'est-ce que t'es encore en train de parler avec eux ? Dis leur que ça t'a bien fait rigoler mais que maintenant t'as du travail. Perso j'me vois mal me faire menacer par Bouygues de couper ma ligne SFR. c'est ce que j'ai fais dans un premier temps. Mais il revenait à la charge sans cesse et ont envoyé un mail à de nombreux peers nous concernant. Rendant publique une discussion privée. Si tu peux prouver que les IPs te sont bien allouées et qu'elles ne sont allouées ni au RIPE, ni a l'ARIN, ni a aucun autre RIR, t'as plus qu'à envoyer ces documents a tes peers et transits, et le RIPE aura plus qu'à pleurer. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Quelqu'un de chez Online sur la ml ?
J'ai une idée tu vas trouver ça fou... Si tu voyais directement avec Online ? Ils ont un système de ticketting, tu vas a-do-rer. Ils ont aussi un téléphone et un serveur IRC, si t'es plus années 90. Y a déjà assez de bruit à filtrer tous les jours ici. On Jul 1, 2013 10:25 PM, Guillaume Hilt gh...@shadowprojects.org wrote: C'est pour du perso, désolé pour les autres. Un pote sysadmin a (au moins) 2 serveurs persos chez Online. Il a demandé la résiliation d'un des 2 serveurs et les 2 l'ont été. Le second étant une machine de backup, il a perdu toutes ses données (pas de backup offline :\). Le support lui a répondu que tout avait déjà été effacé. L'effacement à J+1 me surprend, je pense plutôt que le SC n'a pas envie de se prendre la tête. -- Guillaume Hilt --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Auto hébergement
On 30 Jun 2013, at 00:34, alarig ala...@swordarmor.fr wrote: Le 29/06/2013 21:05, car...@akposso.com a écrit : l’idéal est de te faire héberger chez OVH ou Iliad pour 155ttc pour un lien 1G/s Serveur dédié EG 64G Reloaded (OVH):http://www.ovh.com/fr/serveurs_dedies/eg_64g.xml et dedibox : http://www.online.net/fr/serveur-dedie/dedibox-pro. Heu non, clairement pas. Ils te coupent ton serveur dès que tu fais un truc qu'il ne veulent pas (genre tor, torrent, etc). Et aussi, saviez vous que OVH a une clé SSH vers le root sur chacun de leurs serveurs ? Déjà c'est écrit en gros a l'install et ça se décoche. Ensuite tu peux supprimer leur clé pub. Et pour finir, tu autorises le rootlogin toi ? Quant a couper la box pour telle ou telle utilisation, suffit de lire les CGV. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Du monde chez Numéricable
Quand tu vends du coax et de la fibre c'est pas très difficile de te classer en moyenne au dessus de fournisseurs dont 98% de la population est en aDSL... Y a une sorte d'impact... léger hein mais qui finalement se fait ressentir dans les graphs. Autre info flash, plus de 90% des abonnés RTC ne dépasseraient pas les 100mb/s de et vers les interwebs. Également et d'après des sondages tout neufs, 100% des gagnants du loto ont tenté leur chance. -- Captain Obvious On 17 Jun 2013, at 16:48, Bruno CAVROS / SKIWEBCENTER br...@skiwebcenter.fr wrote: Mine de rien Numéricâble se classe super bien : http://www.google.com/publicdata/explore?ds=e9krd11m38onf_ctype=lstrail=fa lsebcs=dnselm=hmet_y=download_throughput_maxscale_y=linind_y=falserdim =country_ispidim=country_isp:250_12844:250_16028:250_12322:250_12566:250_16 276:250_21502ifdim=country_isp:country:250tstart=129530520tend=135846 360hl=en_USdl=en_USind=falseicfg#!ctype=lstrail=falsebcs=dnselm=h met_y=network_limitedscale_y=linind_y=falserdim=country_ispidim=country _isp:250_12844:250_16028:250_12322:250_12566:250_16276:250_21502ifdim=count ry_isp:country:250tstart=129530520tend=135846360hl=en_USdl=en_US ind=false Je vous laisse deviner le dernier... -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Gunther Ozerito Envoyé : lundi 17 juin 2013 11:56 À : Jérémy Martin Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Du monde chez Numéricable Le 16 juin 2013 23:23, Jérémy Martin li...@freeheberg.com a écrit : Est ce que quelqu'un du NOC Numéricable peut me contacter au sujet d'un problème de qualité vers notre AS ? Numéricable, problème de qualité ? Coincidence ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ethtool et carte Ethernet 1000mbps
Twisted pair = paire torsadée = du câble RJ45 Pour le reste j'ai absolument rien compris à ton mail alors je m'aventure pas à répondre. On 9 Jun 2013, at 01:08, ashemta ochenta ashe...@hotmail.fr wrote: Bonjour, que veut dire le Port: Twisted Pair ? es un compatible avec le 1Gbps? comment devenir maître par rapport au switch Rappel: je n'est pas accès a la machine ni au switch ni au câble qui le relie. uniquement en SSH etc... ethtool eth0 Settings for eth0: Supported ports: [ TP ] Supported link modes: 10baseT/Half 10baseT/Full 100baseT/Half 100baseT/Full 1000baseT/Full Supports auto-negotiation: Yes Advertised link modes: 10baseT/Half 10baseT/Full 100baseT/Half 100baseT/Full 1000baseT/Full Advertised pause frame use: No Advertised auto-negotiation: Yes Speed: 100Mb/s Duplex: Full Port: Twisted Pair PHYAD: 1 Transceiver: internal Auto-negotiation: on MDI-X: off Supports Wake-on: pumbg Wake-on: g Current message level: 0x0001 (1) Link detected: yes Cordialement, --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] RFC 6888: Common requirements for Carrier Grade NATs (CGNs)
On 1 May 2013, at 22:15, erik.lin...@accenture.com wrote: les CGN [...] sont d'ores et déjà une réalité douloureuse dans de nombreux pays d'Asie et peut-être demain sur d'autres continents La contamination a déjà commencé: j'en ai croisé en prod avec pas mal de clients en Allemagne chez 2 operateurs, et bientôt aux pays bas, suisse et d'autres... Chacun voit les choses comme il veut, moi je vois plus une évolution logique pour étendre la durée de vie des v4 face a un déploiement encore trop faible des v6... Comme personne joue le jeu faut bien des palliatifs... erik -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Stephane Bortzmeyer Sent: mercredi 1 mai 2013 11:04 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] RFC 6888: Common requirements for Carrier Grade NATs (CGNs) http://www.bortzmeyer.org/6888.html Auteur(s) du RFC: S. Perreault (Viagenie), I. Yamagata, S. Miyakawa (NTT Communications), A. Nakagawa (Japan Internet Exchange (JPIX)), H. Ashida (IS Consulting G.K.) Qu'on les approuve (ce qui n'est pas mon cas) ou pas, les CGN, ces gros routeurs NAT installés dans le réseau du FAI et gérant des centaines ou des milliers de clients, sont d'ores et déjà une réalité douloureuse dans de nombreux pays d'Asie et peut-être demain sur d'autres continents. Pour limiter les dégâts qu'ils causent, ce RFC 6888 pose un certain nombre de règles que *devraient* respecter ces CGN. D'abord, qu'est-ce qu'un CGN ? Fonctionnellement, il ressemble au petit routeur NAT (RFC 2663) que vous avez chez vous. Comme lui, il fait du NAPT (Network Address and Port Translation), c'est-à-dire qu'il traduit dynamiquement des adresses IP du réseau interne vers celles utilisées à l'extérieur (et vice-versa pour les paquets dans l'autre sens). La grosse différence avec le petit routeur ou box chez vous est qu'il travaille pour de nombreux clients du FAI. Au lieu que l'adresse IP externe soit partagée uniquement entre les membres de votre cercle de famille, elle sera partagée avec des centaines d'inconnus. Avec le CGN, il y a souvent « double NAT », une fois dans le CPE et une fois dans le CGN. Mais ce n'est pas obligatoire. Lorsqu'il y a double NAT, on parle souvent de NAT444 http://www.bortzmeyer.org/nats.html (deux traductions, d'IPv4 en IPv4). Sur cette image, on voit du double NAT. Un FAI gère un CGN. Les adresses IP publiques du FAI, allouées par son RIR sont ici 198.51.100.0/25. Ce sont celles qui seront vues, par exemple, par les sites Web où se connectent les clients du FAI. Le FAI n'a pas assez d'adresses IP publiques pour son réseau interne et il utilise donc le 10.0.0.0/8 du RFC 1918. Prenons maintenant le client 1 : son réseau local a des adresses dans la plage 192.168.3.0/24. Les paquets seront donc émis avec ces adresses, NATés une première fois par la machine CPE 2, vers l'adresse 10.0.5.22. Ils seront ensuite NATés une seconde fois par le CGN. Le CGN a des conséquences, par exemple dans le domaine légal (vous pourrez voir les agents de la HADOPI débarquer chez vous parce qu'un autre utilisateur du même CGN a téléchargé illégalement, cf. RFC 6269). Et cela limite sérieusement les activités que vous pourrez avoir sur l'Internet. Par exemple, un moyen courant d'accepter les connexions entrantes, normalement interdites par le NAPT, est de configurer sa box pour rediriger tel numéro de port vers tel service sur le réseau local (par exemple pour faire fonctionner des applications pair-à-pair http://www.bortzmeyer.org/emule-ports-linux.html). Le routeur CGN étant partagé entre de nombreuses personnes qui ne se connaissent pas, cela n'est plus possible. Contrairement au routeur NAT à la maison, le CGN n'est *pas* géré par les abonnés, qui ne peuvent pas modifier sa configuration. D'autre part, la simple taille du CGN en fait un engin compliqué et fragile, et sa panne affecte bien plus de clients que le redémarrage d'une box. Enfin, ayant moins de ports sources à sa disposition par client, par rapport au routeur de la maison ou du SOHO, il risque plus souvent de tomber à cours, si les clients font beaucoup de connexions sortantes. Mais, alors, pourquoi met-on des CGN ? Juste pour embêter les clients ? En fait, les FAI n'ont pas forcément beaucoup le choix. La pénurie d'adresses IPv4 http://www.bortzmeyer.org/epuisement-adresses-ipv4.html, bien que niée par beaucoup de négationnistes, est réelle depuis de nombreuses années. Par exemple, cela fait longtemps qu'on ne peut plus avoir une adresse IP par machine à la maison. Mais, jusqu'à récemment, on pouvait encore avoir une adresse IP publique par foyer. Désormais, l'espace d'adressage IPv4 disponible se resserrant chaque jour, ce n'est même plus le cas. S'il n'y a pas d'adresse IPv4 publique disponible pour chaque
Re: [FRnOG] [TECH] Coupure de peering entre Free et Numericable ?
On 8 Mar 2013, at 14:27, Michel Luczak mic...@luczak.fr wrote: On Mar 8, 2013, at 2:20 PM, Sylvain Vallerot sylv...@gixe.net wrote: C'est quoi cette obligation de résultat (ref needed) ? Jurisprudence de 2007 apparemment http://www.droit-technologie.org/actuality-1145/l-acces-internet-une-obligation-de-resultat-pour-les-fai.html --- Liste de diffusion du FRnOG http://www.frnog.org/ Dans le mille ;) En province sur du dégroupage partiel à 2km du NRA une de mes lignes Free plafonne à 60-70ko/s la où 2 ans auparavant on faisait 400-600ko. Il y a de toute évidence un problème et qu'on ne vienne pas me dire que c'est la ligne... Dans ce genre de cas il est tout à fait possible de mettre l'opérateur en demeure de remédier à la situation en évoquant: - la dégradation incontestable du service - le décalage entre l'offre telle que présentée, et le résultat obtenu Notez que je parle ici d'une ligne pour un petit bureau, pas de télé, pas de téléphonie, juste la data. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mieux que l'HADOPI, Free !
On 5 Jan 2013, at 18:41, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Le 5 janv. 2013 à 23:09, Ben Carrier ben.carrie...@gmail.com a écrit : 2013/1/5 Kavé Salamatian kave.salamat...@univ-savoie.fr Non. Le client n'à pas explicitement demandé la pub (du moins dans sa requête initiale). C'est le serveur qui au moment de renvoyer le contenu de la page lui passe une URL à télécharger. A ce petit jeu là il faut aussi bloquer les images, les scripts, le flash, bref tout ce qui n’était pas contenu dans la page de la requête initiale. Ça va être beau… Oui mais les images, et le contenu qui l'intéresse il(l'utilisateur) l'a demandé. Mais certains flashs bling-bling qui consomme du CPU et ne sont pas utile non. Ce n'est pas au fournisseur d'accès de faire la police sur les contenus affichés à l'utilisateur. Son rôle c'est de fournir un accès au réseau. Sinon ils deviennent fournisseur de contenu, et à partir de la ils deviennent *responsables* de ce à quoi les gens accèdent; responsabilité qu'ils font tout pour éviter. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le bal est ouvert : c'est parti pour les offres de rachat d'adresses IP
2012/10/24 Laurent CARON lca...@unix-scripts.info: On 24/10/2012 14:05, Baptiste Malguy wrote: Depuis ce matin, déjà deux méls (un d'origine francophone, l'autre anglophone) pour nous racheter des adresses IPv4. J'ose à peine imaginer chez les copains. A vos calculettes ;-) Hello, Toi aussi tu as reçu un mail de Vincent.P qui offre 5€/IPv4 ? ;) Huhu, déjà le prix proposé est ridicule (5e par IP, sans rire), et ensuite ça sent le mec qui a utilisé la DB du RIPE pour spammer, alors que c'est interdit... Ca donne envie de le report pour qu'il se fasse radier et sucrer sa /21 existante, ça fera de la place pour les autres. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le bal est ouvert : c'est parti pour les offres de rachat d'adresses IP
2012/10/25 Vincent PAGES vinc...@edx-net.fr: Le 25/10/2012 15:12, Damien Fleuriot a écrit : Huhu, déjà le prix proposé est ridicule (5e par IP, sans rire), et ensuite ça sent le mec qui a utilisé la DB du RIPE pour spammer, alors que c'est interdit... Ca donne envie de le report pour qu'il se fasse radier et sucrer sa /21 existante, ça fera de la place pour les autres. --- Liste de diffusion du FRnOG http://www.frnog.org/ Ah merci !!! on y arrive enfin :) Le vrai problème caché dans tout ca : le prix proposé qui est trop faible :) Ca veut donc dire qu'il y en a d'autres qui vendent plus cher ^^ et qui ne se manifeste pas (ou peut être que si...). Ravi de voir qu'il y en a qui savent déjà combien ils feront payer à leurs clients... $ Je vous rappelle à juste titre que ca ne nous coute rien d'obtenir des adresses IP auprès du RIPE (si un peu de temps). On ne paye qu'une cotisation annuelle (1800€ en 2013). Que normalement si on a des pools non utilisés on est censé les rendre au RIPE. Alors il me semble qu'il est un peu (voir très) facile de me jeter la pierre parce que TLM loue des IPs qui sont gratuites. Et désolé pour le spam hier, j'admets ma boulette. Sauf que ca permet ce débat que je pense très intéressant. Le débat tu aurais très bien pu le lancer directement ici, c'est moyen de justifier ton spam à coups de c'était pour lancer un débat ... Ensuite, MS a racheté en 2011 tout un netblock pour $11 l'adresse, certes c'était des adresses legacy mais ça donne une idée du prix: http://slashdot.org/story/11/03/24/2047258/microsoft-buys-666000-ip-addresses Enfin, on sait tous que ça ne coûte rien d'obtenir des IPs auprès du RIPE, seulement c'est pas distribué à la volée, il faut justifier le besoin. De fait, en théorie, peu de gens ont des IPs en rab à transférer. Conserver les plages inutilisées de sa /21, c'est un investissement sur l'avenir, ça évite justement de devoir en acheter demain à un autre LIR. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Sans utiliser de fonctions avancées, prends du software, pas une appliance. 2 freebsd avec relayd et/ou haproxy, et une interface CARP pour être en mode Master/Slave. Mieux, tu fais comme j'ai implémenté dans ma boîte, tu crée 2 interfaces CARP différentes avec 1 IP publique chacune, et tu mets les poids comme suit: A1: 50 A2: 100 B1: 100 B2: 50 Comme ça à un instant T tes 2 box sont Master sur une des interfaces et tu as un splendide cluster actif-actif avec failover et reprise automagique. Si plus tard tu as besoin de fonctions plus avancées (cache, SSL, zip) tu peux mettre un nginx devant ton HAP (toujours sur les mêmes machines hein :) ). C'est fonctionnel, c'est stable, c'est robuste, et c'est éprouvé. On utilise ce genre de setup sur un de nos projets avec 4 FW en actif-actif sur 2 datacenters, qui LB le trafic vers 16 webs. On 24 Aug 2012, at 07:44, Christophe HUBERT christophe.hub...@agarik.com wrote: Merci pour vos reponses, en fait je ne recherche pas de fonctions avancees (pas de niveau 7 ou d'acceleration ssl par exemple). C'est pour des besoins simples dans des architectures ou du materiel mutualise ou virtuel ne peut faire l'affaire. Un mode cluster/ha/master-slave est par contre necessaire. Pour simplifier, un Alteon AD3 ou 2424 (avec un peu plus de peche quand meme) avec le support IPV6 me conviendrait. Christophe -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Baptiste Envoyé : jeudi 23 août 2012 23:58 À : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Bonjour, Merci de citer les LBs d'Exceliance :) (j'en dirais pas plus, j'y travaille) Note: HAPee est maintenant disponible pour Debian ;) Note2: Geg, quand tu veux, je te payes une bière. Concernant les LBs, tout dépend de ton besoin et de ce que tu en attends. D'ailleurs, les LBs remontent tellement dans les couches qu'on les appelle Application Delivery Controller. Pour l'IPv6, l'avantage d'HAProxy, c'est qu'il fonctionne en reverse proxy. Il n'y a pas de NAT, de ré-écriture, etc Les données passent d'un buffer à l'autre, l'un associé à une socket V4, l'autre une V6 et le kernel fait le reste... Entre les deux, y'a HAProxy qui fait son boulot. L'avantage, c'est que toutes les personnes qui ont aujourd'hui un HAProxy 1.5 devant leur site web peuvent passer leur site en IPv6 en configurant leur stack réeau en V6 et en rajoutant un bind v6 qui va bien dans HAProxy. Rien d'autre à faire. Pour plus d'info sur HAProxy, la ML HAProxy est ouverte sans souscription. Concernant le SSL, j'ai une petite info de toute dernière minute: le SSL dans HAProxy est bientôt prêt. Une version béta sera livrée courant septembre. Bientôt plus besoin de stunnel ni de stud devant son HAProxy :) Concernant le SSL et les puces hardware, j'ai vu des F5 bigip3900 plier des boitiers avalanches en bench SSL. Mais bon, le prix de cette licence coute plus cher que certains load-balancers du marché à capacité niveau 7 équivalente. Baptiste --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Pour avoir bossé sur du Citrix Netscaler, c'est du très bon matos. Ils proposent en demo une machine virtuelle. En software, bien que ça ne soit pas dans tes favoris, relayd (freebsd) et haproxy (bsd/Linux) sont très bien. Après faut voir tes besoins... Tu veux qu'ils fassent quoi tes LB ? Persistance de session ? Offload SSL ? Compression gzip, cache, FW niveau 7 ? On 23 Aug 2012, at 18:15, Christophe HUBERT christophe.hub...@agarik.com wrote: Bonjour, J'aimerais avoir un peu de retour d'experience sur des LB qui peuvent faire de l'ipv4 et l'ipv6. Si possible, pas software mais plus des appliances. Si des personnes ont déjà mis en place... C'est principalement la partie ipv6 qui m'interesse, pour l'ipv4 on a le choix, mais comme c'est preferable d'avoir un equipement pour les deux. Merci d'avance, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
On 27 Jul 2012, at 19:03, Stephane Le Men stephane.le...@anycast-networks.com wrote: Le 27/07/2012 17:06, Radu-Adrian Feurdean a écrit : l'Internet c'est*UN SEUL* domaine de routage. Je vous ai bien compris. Ne vous en faites pas. La prochaine étape, c'est 1 seul disque, miroir interdit, et interdiction des clusters aussi, il y a plusieurs machines dans un cluster, la poisse, c'est mieux une seule machine. Et si on se mettez tous à utiliser un seul neurone, ce serait mieux n'est-ce pas ? Je vais être un peu méchant mais ça devient lourd tes conneries et tes trolls à longueur de journée. Y a littéralement des centaines/milliers de personnes qui lisent cette liste et la *grande majorité* ont autre chose à foutre que lire tes bêtises. Je bosse moi, je suis pas la pour regarder du spam dans des sujets sérieux. C'est au bas mot la 3ème réponse inepte que tu fais dans ce thread et ça commence à peser. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
On 7/26/12 1:18 PM, Stephane Le Men wrote: Sur chaque fraction de son trafic. A priori, rares sont les AS qui discutent uniformément en terme de volumétrie avec le reste de la planète. Chaque AS a son profil volumétrique. Je pense que si 99% de votre trafic ne se fait qu'avec 1 seul autre AS, cet AS mérite 99% de votre attention. Je suis partisan de cette répartition plutôt que d'une répartition qui consiste à se préoccuper de toutes les AS, y compris celles avec qui on n'a pas ou très peu de trafic. Alors je vais être un peu sec mais c'est une réponse très conne. Encore heureux que Neo ne nous accorde pas de l'attention qu'en fonction de notre *trafic* parce que ce qui peut représenter 3% pour eux, pour nous c'est de la *prod* et notre gagne-pain. J'attends avec impatience le moment où ta boîte fera 1% de trafic avec ton upstream et où ce dernier mettra 1 semaine pour faire refonctionner ta prod qui est intégralement coupée. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité
On 7/24/12 9:38 AM, Stephane Bortzmeyer wrote: Bon, maintenant qu'on a bien rigolé sur les routeurs chinois (lorsqu'on se met à parler des catcopters dans une discussion, c'est qu'elle a cessé d'être sérieuse), passons aux propositions moins spectaculaires et moins médiatiques du rapport Bockel. Qu'est-ce que vous pensez de signaler les incidents de sécurité, ne serait-ce que pour avoir enfin des statistiques fiables ? http://www.senat.fr/rap/r11-681/r11-681_mono.html Recommandation n°17 : Rendre obligatoire une déclaration d'incident à l'ANSSI en cas d'attaque importante contre les systèmes d'information et encourager les mesures de protection par des mesures incitatives J'arrive un peu tard mais, sauf erreur, il me semble que cette recommandation ne s'appliquerait qu'aux grandes entreprises non ? Pas à mme michu comme on a pu le voir dans certaines réponses. Dans le même esprit que la reco 24 quoi. Recommandation n°24 : Rendre obligatoire pour les opérateurs d'importance vitale une déclaration d'incident à l'ANSSI dès la détection d'un incident informatique susceptible de relever d'une attaque contre les systèmes d'information et pouvant porter atteinte au patrimoine informationnel ou à l'exercice des métiers de l'opérateur, et encourager les mesures de protection par des mesures incitatives --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cohabition HSRP + VRRP
On 6/21/12 1:56 PM, Germain Maurice wrote: Le 21 juin 2012 à 12:27, Damien Fleuriot a écrit : On 6/21/12 11:36 AM, Germain Maurice wrote: Salut tout le monde, J'ai une baie avec un transit IP sur un lien actif/passif moyennant l'utilisation de 2 switchs + du HSRP, ça fonctionne bien, pas de souci. J'aimerais sur cette infra pouvoir mettre en place du 2 HAproxy avec du VRRP entre les deux. Est-ce que la cohabitation des 2 normes est bien possible en sein d'un même réseau ? Merci à vous ! Tu as déjà eu ta réponse plus bas :) Tu fais du uCARP entre tes 2 HAP ? Non, j'utilise ça : http://www.exceliance.fr/fra/haproxy-edition-entreprise-hapee Hmmm connaissais pas. A titre d'information on est très contents de ucarp + haproxy ici --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cohabition HSRP + VRRP
On 21 Jun 2012, at 21:49, Eric ROLLAND roll...@artefact.fr wrote: Le 21/06/12 18:21, Baptiste Malguy a écrit : J'ai fait mettre en place du uCARP,., mais c'est pas terrible sur Linux Bonsoir, Même constat sur ucarp. Tout dépend comment meure la machine d'à côté. Et c'est pas toujours proprement; du coup les bascules ne se font pas, ou pas du tout (plus aucun slave ne monte la VIP), ou parfois à tort. Le retour en situation initiale n'est pas meilleur et souffre des mêmes problèmes. Cordialement, Eric ROLLAND Réseau Artewan AS42929 ORG-ARTE2-RIPE *Artefact communication interactive* | Bat. Artechnopole - 3 rue des Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33 SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z | TVA Intracom FR87444110936 www.artefact.fr http://www.artefact.fr - Communication interactive www.artewan.fr http://www.artewan.fr - Opérateur de réseaux *Découvrez Artechnopole http://www.artechnopole.fr, un espace IT de 380 M2, intégrant un Datacenter climatisé, ondulé et secouru. * --- Liste de diffusion du FRnOG http://www.frnog.org/ Sans troller, sérieux. CARP sous freebsd, c'est géré direct niveau kernel, ça a rien à voir avec un vieux ucarp moisi. Mais bon voilà après faut savoir ce qu'on veut. Un pseudo UNIX réécrit de merde, ou un vrai OS réputé pour sa stabilité et pas forcément sa facilité d'administration. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Bonus / malus technologique
On 6/17/12 11:48 AM, Samuel Thibault wrote: Jean-Tiare LE BIGOT, le Sun 17 Jun 2012 11:43:10 +0200, a écrit : Dans un petit commerce où le client et le commerçant sont tous les deux là physiquement, il est vite évident que l'un des scénario ne marche pas si l'on veux survivre. Il est assez difficile de dire au client Tu as pris cette marque de sac et il a plus de 5 ans = Tu payes plus cher. Sauf qu'en général on n'a juste pas le choix parce que c'est le marché qui décide que ce n'est plus rentable de produire les pièces qui vont bien avec ce vieux sac. Appliquer la même logique aux logiciels n'est pas complètement farfelu. Samuel L'analogie utilisée ici n'est pas bonne. Si les marchands en ont marre de douiller pour ajuster leur site pour IE7, ils arrêtent et point barre. Le site sera moins bien rendu, il affichera un avertissement à base de Le site est moche ? Changez de navigateur ! et le problème est réglé ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Bonus / malus technologique
Faux problème en Frand en tout cas, où une telle distinction est illicite. Les propos d'elodie restent valides à mon sens. Tes estimations sur les visiteurs me semblent légèrement exagérées et/ou caricaturales ;) Quid du particulier qui fait son shopping depuis le travail ? Il n'a pas les privs admin sur la machine, et le helldesk refuse de MAJ IE car ils ont des applis métier toutes pourraves qui ne tourner que sous IE7. Et la il l'a dans l'os... Sérieux je trouve la démarche particulièrement abusive et je renvoie à ma réponse initiale dans laquelle je mentionne, de manière caricaturale, une taxe sur les dialups qui monopolisent sendfile() et un socket + longtemps, les browsers marginaux, tout ça... On 15 Jun 2012, at 23:50, Guillaume Barrot guillaume.bar...@gmail.com wrote: C'te blague. Parce que la taxe sous pretexte que tu n'ais pas a jour ne le pousse pas a aller acheter ailleurs dans ce cas ? Cas 1 : geek chevelu. Faux cas, il a pas IE. Cas 2 : mamie du cantal. Prise de panique devant la faille de securite que tu lui annonces, elle appelle derechef son fils pour qu'il lui achete un nouvel ordinateur avec un navigateur a jour. Cas 3 : papi de Paris ou Kevin de la proche banlieue qui veut pas faire evoluer son PC, car il ne subit pas le dictat des sites qui lui propose d'upgrader : 3% des cas maximum donc, peu de chances qu'il soit venu sur ton site sciemment pour acheter un truc. A priori il s'est perdu sur le web, et mourra avant de trouver la sortie, probablement d'une overdose de gif animes. Bref, soit tu estimes qu'il faut réagir face aux clients qui utilise des navigateurs moisis, et quoi que tu fasses tu prends le risque qu'ils se barrent, soit tu te dis que le client est roi, et tu dépenseras a terme une fortune pour satisfaire tous ses desiderata. Je prefere le premier cas, perso. Le 15 juin 2012 22:15, Élodie de FranceServ Hébergement ad...@franceserv.fr a écrit : Le 15/06/2012 21:16, Guillaume Barrot a écrit : Plutôt que de faire payer une taxe, tu fais juste une page poubelle genre votre browser est obsolète, ce site ne peut être affiché et les liens des browsers récents, et fini. C'est pas illégal, c'est juste vache, mais ça marche. C'est surtout vache pour soit même qui perdons le client car il vas passer commande ailleurs ;) --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ICMP / IPv4 / IPv6 / Orange / ...
On 6/15/12 11:57 AM, Jeremy Monnet wrote: 2012/6/15 Guillaume Barrot guillaume.bar...@gmail.com: Comme Orangina rouge : pc que !. Et puis dans la vision obscurantiste de la securite, l'ICMP c'est le mal, donc voila. Ceci dit, ton petit mail va surement leur faire combler un oublis pour ICMPv6, qui devrait être filtré comme tout le monde ! (De toutes façons la MTU vaut TOUJOURS 1500, non ?) Bon trolledi a tous. :D En ipv6, sans icmpv6, il n'y a plus grand chose qui fonctionne : l'équivalent de l'ARP en ipv4 fait partie d'icmpv6 (NDP) par exemple... http://en.wikipedia.org/wiki/Neighbor_Discovery_Protocol Jérémy Ils peuvent très bien filtrer les echo et laisser passer neighbor adv. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Bonus / malus technologique
On 6/14/12 3:25 PM, Jérôme Nicolle wrote: Plop, Suite au lien posté par XioNoX sur le canal IRC : http://www.kogan.com/au/blog/new-internet-explorer-7-tax/ Je me dis qu'on est à la bourre sur les bonnes idées. Maintenir la compatibilité avec des antiquités est coûteux. La charge est légitimement imputable. Leur démarche est donc très intéressante, et gagnerait à être plus largement suivie. Dans le même acabit, on pourrait se dire qu'on gagnerait sur le long-terme à être incitateurs dans l'adoption des nouvelles technologies. Je propose donc à tous les commerçants en ligne une initiative conjointe et symbolique : Pour qui utilise vos services avec un navigateur récent, un OS non troué par définition et surtout en IPv6, proposez donc un pourcentage symbolique de réduction ! Chiche ? Je me demande si on ne pourrait pas questionner la légalité en France ;) On parle ici d'une pratique discriminatoire portant sur le logiciel utilisé par le client, logiciel dont on peut estimer sans troller et raisonnablement qu'il a été conçu pour l'usage que l'utilisateur en fait, à savoir, visiter des sites web. Dans le même délire, pourquoi ne pas taxer les utilisateurs de dial-up ? Après tout, ils monopolisent les ressources serveur plus longtemps puisqu'ils mettent plus longtemps à recevoir les données. Mieux, on pourrait également taxer les utilisateurs broadband ! C'est à cause de tous ces cons qu'on doit monter des uplinks de 40gbs avec des optiques qui coûtent une couille et demie ! Comme ça on taxe les rapides, les lents, les mecs avec des navigateurs antiques, les mecs avec des navigateurs borderline genre chromium ou konqueror, après tout c'est 3% de part de marché et pourtant faut aussi que le site s'affiche correctement... C'est gagnant sur toute la ligne ;) En dehors de ça, l'idée est marrante, il faut l'accorder. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Bonus / malus technologique
On 6/15/12 4:48 PM, Radu-Adrian Feurdean wrote: On Fri, 15 Jun 2012 13:23:03 +0200, Damien Fleuriot m...@my.gd said: Comme ça on taxe les rapides, les lents, les mecs avec des navigateurs antiques, les mecs avec des navigateurs borderline genre chromium ou konqueror, après tout c'est 3% de part de marché et pourtant faut aussi que le site s'affiche correctement... Tant qu'on y est, augmenter tous les prix de x% directement. Ca doit etre la solution la plus simple :) vendredi ca reste vendredi Ouais mais là ça passe moins bien :p --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] ipv6 et yahoo.fr, sla n'marche pas bien ce jour
Flemme, je top-post. # fetch -6 http://fr.yahoo.com/ fetch: http://fr.yahoo.com/: Not Found KO depuis 2a02:24a8::/32 On 6/13/12 4:50 PM, Fabien Dedenon wrote: Hello la liste, Mes collègues s’affolent, c'est la panique ... :) . On dirait bien que http://fr.yahoo.com en ipv6 n'est pas en forme ce jour, ras par contre chez http://uk.yahoo.com cf capture: http://i47.tinypic.com/2yjy1c6.jpg Tous va bien chez vous? Nous constatons cela depuis 2001:4b90:0:9::/64 Des infos quelqu'un? ++ FD --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] SDSL SFR
On 5/31/12 5:59 PM, Jérôme Nicolle wrote: Le 31/05/12 17:56, Frédéric Gabut-Deloraine a écrit : Parce que ce ne sont pas des préfixes globalement routables et donc devraient être restreints à des VRF privées par exemple ? On a pas tous besoin d'un luxueux réseau MPLS et donc pas les role^Wreflexes qui vont avec :O Quel rapport avec le MPLS ? Ne pas router les réseaux privés c'est quand même la base du début du B.A.BA Ici on a un petit réseau, sans customers derrière, et on leak pas 10.0.0.0/8 sur le net ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] MegaUpload
On 1/22/12 12:33 AM, Michel Py wrote: [ Oops, désolé pour le bruit le message précédent :-( ] Michel Py a écrit : c'est en partie à cause d'eux que SOPA et PIPA ont vu le jour. C'est à cause de ce genre de profiteurs que les législateurs nous pondent HADOPI et autres cochonneries qui n'ont aucun sens technique et vont à l'encontre de la liberté d'expression. Raphaël Gertz a écrit: Pas d'accord, c'est justement a cause de DADVSI et HADOPI que les internautes ne font plus de mule/torrent et sont passes sur les sites de DDL/Streaming. Pas d'accord. C'est peut être la perception en France, mais ici SOPA et PIPA sont quelque chose de relativement récent, et les Internautes avaient déjà changé leurs habitudes avant que ça surface. Les utilisateurs qui ont changé avaient les moyens de payer MU, et ils le faisaient parce que la mule et le torrent ne pouvaient pas garantir de bande passante. Avec une connexion 20mbit, le torrent délivre rarement ça et donc les gens qui pouvaient se l'offrir allaient chez MU pour télécharger à fond la caisse au lieu d'attendre. Pour couper court au débat, je préfèrerais donner 15e/mois à mon ISP pour une licence globale, qu'à un MU-like ou un fournisseur de newsgroups... Des études ont montré qu'une licence globale serait rentable à partir de 5 euros par mois, moi je veux bien en lâcher 10 ou 15, qu'on ne vienne pas dire que les gens refusent de payer... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Boitiers de compression de traffic WAN
On 3/7/12 11:10 AM, Mathieu Paonessa wrote: Salut! On 3/7/12 10:57 AM, Dominique Rousseau wrote: Le Wed, Mar 07, 2012 at 10:42:24AM +0100, Mathieu Paonessa [ma...@vayu.net] a écrit: Salut! Je suis à la recherche de solutions de compression de traffic sur des liens WAN (en gros une boiboite de chaque coté qui compresse en temps réel) sur du traffic type eyeball et avec des débits non compressés de l'ordre de 500Mbps ou plus. Tu en attends combien ? Parceque bon, entre la compression du html/js/... qui est (pas assez, oui) souvent faite directement entre le serveur web et le navigateur, et les trucs qui recompresseront pas (mp3, vidéo), je vois pas trop ce qu'on peut espérer comme efficacité. On teste un produit (dont je ne souhaite pas communiquer le nom pour l'instant) qui réalise une compression de l'ordre de 35% du traffic. Mathieu Tu as regardé du côté de Juniper ? Ils ont racheté Peribit il y a quelques années, dont les boîtiers WXC permettaient d'atteindre du +100%. http://www.juniper.net/us/en/products-services/application-acceleration/wxc-series/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Boitiers de compression de traffic WAN
On 3/7/12 12:02 PM, Mathieu Paonessa wrote: Salut! On 3/7/12 11:53 AM, Damien Fleuriot wrote: Tu as regardé du côté de Juniper ? Ils ont racheté Peribit il y a quelques années, dont les boîtiers WXC permettaient d'atteindre du +100%. http://www.juniper.net/us/en/products-services/application-acceleration/wxc-series/ Le problème des boitiers WXC est que, même en stack, ils sont limités à 155Mbps de capa. Il me faut une solution capable de faire la même chose mais à plus de 500Mbps. Mathieu Et du MACH5 de chez bluecoat ? Tu as le SG9000-30 qui fait 600mb, le 9000-40 qui fait du 1gb. Après ça dépend des flux que tu veux optimiser, ces boîtiers là leur but c'est surtout de cacher le contenu en local. Tu voulais compresser quoi comme flux ? eyeball ça me parle pas ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Boitiers de compression de traffic WAN
On 3/7/12 12:21 PM, Mathieu Paonessa wrote: On 3/7/12 12:08 PM, Damien Fleuriot wrote: Et du MACH5 de chez bluecoat ? Tu as le SG9000-30 qui fait 600mb, le 9000-40 qui fait du 1gb. C'est une des pistes que je gratte actuellement :) Si quelqu'un à un retour d'expérience d'ailleurs. Après ça dépend des flux que tu veux optimiser, ces boîtiers là leur but c'est surtout de cacher le contenu en local. Tu voulais compresser quoi comme flux ? eyeball ça me parle pas ;) Le eyeball c'est les utilisateurs d'un fournisseur d'accès internet classique: pas mal de HTTP (facebook, google co), de mail et bien sur de P2P... Mathieu Tu as au moins 3 problématiques différentes ici IMHO: 1/ le shapping de trafic - p2p, et longs downloads Pour ce qui est des longs downloads, le but est de laisser l'utilisateur télécharger au taquet les premiers mb d'un fichier, puis limiter la bande passante pour le reste. Ca permet d'afficher à vitesse normale, quasi-instantannée les images d'un site. Par contre une ISO de 600mb commencera vite, et finira par être limitée à 200kbs par exemple. 2/ le caching de contenu - images (facebook et co) - scripts js (facebook et co) -- utilisation d'un système de proxies transparents ou d'un bluecoat pour faire la même chose 3/ la compression applicative - IMAP - POP - SMTP -- bluecoat, WXC; autres constructeurs ? Ce qui serait intéressant pour toi c'est déjà d'établir les proportions du trafic des différents protocoles: - mail (smtp, imap, pop, imaps, pop3s, smtps) , sachant que tout le SSL/TLS tu ne pourras pas l'accélérer - web - p2p - autres --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Re: recherche châssis rack 2 ou 3u avec 10 slots HDD SAS/SATA
On 3/1/12 6:44 PM, Damien Fleuriot wrote: On 3/1/12 5:47 PM, Damien Fleuriot wrote: Hello list, Je galère un peu à trouver un châssis 2 ou 3u à un prix abordable. J'ai un magnifique nas à la maison avec 9 disques SATA 3.5 et 1 SSD 2.5 pour l'OS, dans une (grande) tour. La carte mère uATX de 10x10 semble largement tenir dans ce genre de châssis. Je veux bouger tout ça dans un châssis 2u ou 3u mais je tombe sur des boîtiers à 900-1000 euros avec l'alim. Est-ce que vous avez une adresse à conseiller ? Merci pour toutes les réponses on et off-list, je continue mes recherches et je tiens au courant des offres intéressantes que je trouve :) A priori, il y en a des pas trop chers de chez Norco. $330, 4U, 20 hot swap en façade: http://www.newegg.com/Product/Product.aspx?Item=N82E16811219033 Bon, 4U c'est trop gros pour moi, mais celui-ci semble pas mal non plus: $270, 2U, 12 hot swap en façade: http://www.newegg.com/Product/Product.aspx?Item=N82E16811219040 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] recherche châssis rack 2 ou 3u avec 10 slots HDD SAS/SATA
Hello list, Je galère un peu à trouver un châssis 2 ou 3u à un prix abordable. J'ai un magnifique nas à la maison avec 9 disques SATA 3.5 et 1 SSD 2.5 pour l'OS, dans une (grande) tour. La carte mère uATX de 10x10 semble largement tenir dans ce genre de châssis. Je veux bouger tout ça dans un châssis 2u ou 3u mais je tombe sur des boîtiers à 900-1000 euros avec l'alim. Est-ce que vous avez une adresse à conseiller ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] recherche châssis rack 2 ou 3u avec 10 slots HDD SAS/SATA
On 3/1/12 6:29 PM, Manuel Guesdon wrote: Hello, On Thu, 01 Mar 2012 17:47:15 +0100 Damien Fleuriot m...@my.gd wrote: | Je galère un peu à trouver un châssis 2 ou 3u à un prix abordable. | | J'ai un magnifique nas à la maison avec 9 disques SATA 3.5 et 1 SSD | 2.5 pour l'OS, dans une (grande) tour. | La carte mère uATX de 10x10 semble largement tenir dans ce genre de | châssis. | Je veux bouger tout ça dans un châssis 2u ou 3u mais je tombe sur des | boîtiers à 900-1000 euros avec l'alim. | | | | Est-ce que vous avez une adresse à conseiller ? Supermicro a des chassis pour ca. http://www.supermicro.nl/storage/ Un exemple de prix: http://www.actualis.biz/pro/acheter/power-store-3u/actualis-power-store-r3htpiv216/FicheConfiguration/SACTCFG_R3HTPIV2-16 Manuel Hmm par contre ils proposent d'office avec du matos dedans ? (MB, CPU...) Parce que ça alourdit considérablement la facture alors que j'ai déjà le matériel, mais dans la tour :) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Re: recherche châssis rack 2 ou 3u avec 10 slots HDD SAS/SATA
On 3/1/12 5:47 PM, Damien Fleuriot wrote: Hello list, Je galère un peu à trouver un châssis 2 ou 3u à un prix abordable. J'ai un magnifique nas à la maison avec 9 disques SATA 3.5 et 1 SSD 2.5 pour l'OS, dans une (grande) tour. La carte mère uATX de 10x10 semble largement tenir dans ce genre de châssis. Je veux bouger tout ça dans un châssis 2u ou 3u mais je tombe sur des boîtiers à 900-1000 euros avec l'alim. Est-ce que vous avez une adresse à conseiller ? Merci pour toutes les réponses on et off-list, je continue mes recherches et je tiens au courant des offres intéressantes que je trouve :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés
On 2/17/12 10:14 AM, Stephane Bortzmeyer wrote: Vous le savez certainement, l'Internet s'arrête le 31 mars. j'ai rassemblé ici quelques informations et une opinion : http://seenthis.net/messages/57473 Pour info, Anonymous dément sur twitter: http://www.theregister.co.uk/2012/02/22/anon_disowns_dns_takedown_plan/ https://twitter.com/#!/anonops/status/171942749359181824 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés
On 17 Feb 2012, at 10:14, Stephane Bortzmeyer bortzme...@nic.fr wrote: Vous le savez certainement, l'Internet s'arrête le 31 mars. j'ai rassemblé ici quelques informations et une opinion : http://seenthis.net/messages/57473 aucune attaque n'a jamais réussi faut voir, aux alentours de 2005 y en a combien qui étaient tombés des root ? Quelqu'un se rappelle ? Bon depuis ça a été considérablement revu et l'idée même de cette attaque me fait rire... --- Liste de diffusion du FRnOG http://www.frnog.org/
[TECH] DNS root zone slaving (was: Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés)
On 2/17/12 10:14 AM, Stephane Bortzmeyer wrote: Vous le savez certainement, l'Internet s'arrête le 31 mars. j'ai rassemblé ici quelques informations et une opinion : http://seenthis.net/messages/57473 Tiens désolé, j'en profite pour hijacker un peu le thread. Par curiosité, combien d'entre vous utilisent le nouveau mécanisme de BIND qui consiste à slaver la root zone, plutôt que l'avoir dans le fichier hint ? Si vous ne le faites pas, pourquoi ? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] DNS root zone slaving
On 2/17/12 1:20 PM, Stephane Bortzmeyer wrote: On Fri, Feb 17, 2012 at 12:09:30PM +0100, Damien Fleuriot m...@my.gd wrote a message of 21 lines which said: combien d'entre vous utilisent le nouveau mécanisme de BIND qui consiste à slaver la root zone, plutôt que l'avoir dans le fichier hint ? Pourquoi « nouveau » ? BIND peut être serveur esclave depuis très longtemps. J'entends bien, mais historiquement, dans la conf, il y avait juste la zone . vers le fichier hint. Maintenant, dans la conf, il y a soit ça par défaut, soit en dessous, commenté, du slaving de . Je copie l'extrait de la conf à la fin. Si vous ne le faites pas, pourquoi ? La question serait plutôt « pourquoi le faire » ? En tout cas, c'est une mauvaise idée. https://lists.dns-oarc.net/pipermail/dns-operations/2007-July/001803.html (fil très long) http://lists.freebsd.org/pipermail/freebsd-current/2007-August/075895.html Bah eux ont l'air de penser que c'est une bonne idée en tout cas: // The traditional root hints mechanism. Use this, OR the slave zones below. zone . { type hint; file /etc/namedb/named.root; }; /* Slaving the following zones from the root name servers has some significant advantages: 1. Faster local resolution for your users 2. No spurious traffic will be sent from your network to the roots 3. Greater resilience to any potential root server failure/DDoS On the other hand, this method requires more monitoring than the hints file to be sure that an unexpected failure mode has not incapacitated your server. Name servers that are serving a lot of clients will benefit more from this approach than individual hosts. Use with caution. To use this mechanism, uncomment the entries below, and comment the hint zone above. As documented at http://dns.icann.org/services/axfr/ these zones: . (the root), ARPA, IN-ADDR.ARPA, IP6.ARPA, and ROOT-SERVERS.NET are availble for AXFR from these servers on IPv4 and IPv6: xfr.lax.dns.icann.org, xfr.cjr.dns.icann.org */ /* zone . { type slave; file /etc/namedb/slave/root.slave; masters { 192.5.5.241;// F.ROOT-SERVERS.NET. }; notify no; }; zone arpa { type slave; file /etc/namedb/slave/arpa.slave; masters { 192.5.5.241;// F.ROOT-SERVERS.NET. }; notify no; }; */ Du coup, en ce qui me concerne, on la slave. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 2/13/12 4:48 PM, Guillaume Esnault wrote: Bonjour à tous, Nous aussi (Digicube) sommes régulièrement la cible de diverses tentatives de déni de service. Nous accueillons d'ailleurs pas mal de réfugiés d'hébergeurs qui préfères couper le service de leurs clients attaqués plutôt que de gérer le problème. Cela nous a couté beaucoup d'investissements et nous coute encore en surveillance développement mitigation etc... OVH en est la principale source car c'est simplement le plus gros hébergeur d'Europe avec plus de 100K serveurs hébergé. La solution la plus simple ne serait elle pas de limiter le nombre de pps par serveur ? Sachant que, par exemple, un serveur connecté à 100 Mbps ou même à 1G ne devrait pas dépasser les 30 Kpps. Il n'est pas si difficile non plus d'aller plus loin et de surveiller et de faire des statistiques sur l'état des flux. Ex: plus de 3000 connexions simultanées d'un serveur sur une cible en attente de réponses est à coup sûr une tentative de déni de service. Le problème avec ce genre de pratique basée sur de l'analyse discriminatoire, c'est les faux positifs... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH
On 2/14/12 10:25 AM, Stephane Bortzmeyer wrote: On Mon, Feb 13, 2012 at 09:58:30AM -0800, Michel Py mic...@arneill-py.sacramento.ca.us wrote a message of 44 lines which said: 1. Se débarrasser des clients qui sont des aimants à emmerdes; C'est pile le sujet de la discussion. Faire cela, c'est une violation directe de la neutralité du réseau, c'est l'opérateur qui décide de qui il sert et qui il ne sert pas. Un cafetier ferait cela, il aurait un procès (j'attends qu'Alex nous cite l'article du Code qui dit cela). De quel droit un opérateur réseau pourrait le faire ? http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI06292153 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH
On 2/14/12 10:41 AM, Alexandre Archambault wrote: Le 14 févr. 2012 à 10:32, Damien Fleuriot a écrit : http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI06292153 Euh, le code de la consommation à l'appui d'un différend entre deux professionnels ? De mieux en mieux ! -- Alec, Bah IANAL hein ;) Est-ce qu'il y a un équivalent entre professionels ? Genre subordonner la vente d'un service à un autre, ça doit bien s'appliquer entre pros aussi non ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH
On 2/14/12 10:44 AM, Thomas Mangin wrote: On 14 Feb 2012, at 09:25, Stephane Bortzmeyer wrote: On Mon, Feb 13, 2012 at 09:58:30AM -0800, Michel Py mic...@arneill-py.sacramento.ca.us wrote a message of 44 lines which said: 1. Se débarrasser des clients qui sont des aimants à emmerdes; C'est pile le sujet de la discussion. Faire cela, c'est une violation directe de la neutralité du réseau, c'est l'opérateur qui décide de qui il sert et qui il ne sert pas. Un cafetier ferait cela, il aurait un procès (j'attends qu'Alex nous cite l'article du Code qui dit cela). De quel droit un opérateur réseau pourrait le faire ? Si un client va dans son cafe local et a chaque fois, se bat et casse une chaise tu crois qu'il sera toujours le bienvenu ? Dans le cas présent, le client se fait tabasser par des skinheads, ça va quand même pas être sa faute ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 2/14/12 11:11 AM, Thomas Mangin wrote: Si un client va dans son cafe local et a chaque fois, se bat et casse une chaise tu crois qu'il sera toujours le bienvenu ? Dans le cas présent, le client se fait tabasser par des skinheads, ça va quand même pas être sa faute ? On sort du sujet. Débattre des analogies n'est pas très constructifs. Tu as compris mon point. Thomas Nan mais justement, ici encore une fois on pose la victime en coupable, il se prend une attaque donc: 1/ il l'a bien cherché 2/ bien fait pour sa gueule 3/ on coupe C'est l'approche standard des hébergeurs. Encore heureux que ça se passe pas comme ça dans la vraie vie ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH
On 2/14/12 2:33 PM, sxpert wrote: une bonne solution est de ne pas avoir de plateformes Windows a ton catalogue, ca t'evite la plupart des serveurs de jeux / forums qui sont généralement la cause de la transformation des machines en aimants a emmerdes... et ca ne viole pas le code du commerce, quand t'as pas le produit, tu peux pas etre taxé de refus de vente Tu fais référence à quelles technos sous windows ? Parce que des camfrogs, minecraft, world of warcraft, teamspeak... t'en as sous bsd et nux. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH
On 2/13/12 9:33 AM, Julien Richer wrote: Le 13 février 2012 09:13, Stephane Bortzmeyer bortzme...@nic.fr a écrit : On Mon, Feb 13, 2012 at 12:54:39AM +0100, Gilou contact+fr...@gilouweb.com wrote a message of 40 lines which said: tu fais quoi sur ton réseau ? Euh, cela ne regarde pas OVH. Demander à une victime d'attaque DoS « que fais-tu sur ton réseau ? », c'est comme demander à la victime d'une agression « que diable faisiez-vous dehors à cette heure ? » Pourtant c'est un peu ce qui se passe en face par exemple (en face d'ovh = dedibox) quand on se fait couper un serveur pour cause de DDOS entrant. Petite fiction qui se déroulerait sur un support semi-officiel (IRC) : client : ma dédibox a été coupée ?? support : oui, vous etes la cible d'un DDOS, pour ne pas pénaliser les autres clients, kouik client : mais ce n'est pas ma faute ! support : serveur minecraft ? client : oui et ? (rien d'illégal !) support : source à emmerde, on y peut rien. Donc sur ce type d'activité, il faut soit avoir les moyens (rajout de CISCO ASA en amont par exemple, mais impossible chez dedibox), soit s'abstenir. Au niveau d'un client dedibox ce n'est pas déjà drôle, mais au niveau d'un petit hébergeur ça doit être encore plus frustrant Soit je n'ai pas compris ton propos, soit ça ne répond absolument pas à la problématique. L'ASA va filtrer le trafic, sauf que ce filtrage est fait *après* que le trafic soit arrivé chez ton opérateur, donc: 1/ ton uplink avec l'opérateur est quand même saturé jusqu'à arriver sur l'ASA 2/ tu payes la bande passante --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 2/13/12 1:49 PM, Gurvan Rottier-Ripoche wrote: J'aurais surement la même pensée si j'avais 2 à 3Gbits, 2 opérateurs etc. Seulement, pour le moment, ce n'est pas le cas. Mon installation est très récente, (-2 mois), et une série d’évènements ont fait que le déménagement devait se passer en urgence. On va avoir une seconde fibre, un second opérateur, un routeur potable. Mais pas avant quelques mois. En attendant j'encaisse et je paye en silence ? Pour moi ce n'est pas acceptable et la solution qui a été mise en place pour solutionner mon problème encore moins. Je n'ai le problème qu'avec un seul réseau. En droit français, auquel OVH est soumis, celui qui cause un tort à un tiers lui doit réparation. Attendu qu'OVH t'occasionne une surfacturation importante de transit, tu serais en mesure de les assigner au tribunal pour qu'ils payent le surplus. Tu pourrais, de plus, obtenir la suppression du filtre qui a été mis en place, au motif que ça nuit fortement à ton activité. Te positionnant en tant que plaignant, tu aurais la charge de la preuve. Pour le transit c'est assez facile à prouver pour peu que ton fournisseur de transit joue le jeu et te fournisse les graphs qui vont bien: - graph de trafic en temps normal - graph correspondant à une attaque - tu fais le delta entre les 2 et tu obtiens la dépense que tu as dû supporter à cause d'OVH Pour le blocage pur, simple et abusif, c'est plus difficile de prouver que ça impacte ton activité, et chiffrer les dommages. Dans tous les cas, il s'agit de batailles juridiques longues, coûteuses, mais également potentiellement risquées. Alternativement tu peux essayer de contacter l'ARCEP et leur demander leurs recommendations. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 2/13/12 3:48 PM, Thomas Mangin wrote: On 13 Feb 2012, at 14:28, Damien Fleuriot wrote: En droit français, auquel OVH est soumis, celui qui cause un tort à un tiers lui doit réparation. Absolument, le client d'OVH, la personne qui commence ces DDOS est responsable pour un surcout de bande passante par son acte (criminel ?). Attendu qu'OVH t'occasionne une surfacturation importante de transit, tu serais en mesure de les assigner au tribunal pour qu'ils payent le surplus. Ca, j'en doute fortement mais IMNAL. Tu pourrais, de plus, obtenir la suppression du filtre qui a été mis en place, au motif que ça nuit fortement à ton activité. Ca surement. Te positionnant en tant que plaignant, tu aurais la charge de la preuve. Pour le transit c'est assez facile à prouver pour peu que ton fournisseur de transit joue le jeu et te fournisse les graphs qui vont bien: - graph de trafic en temps normal - graph correspondant à une attaque - tu fais le delta entre les 2 et tu obtiens la dépense que tu as dû supporter à cause d'OVH Mais je ne suis pas d'accord pour les mêmes raisons, mais si ta suggestion marche je vais facturer Daily Motion. Ses serveurs attaquent mes clients tous les jours :D :D Encore une fois, ce n'est pas OVH qui attaque.. De mon point de vue, OVH vend un service, et c'est via leur service que le dommage est occasionné. Pour le blocage pur, simple et abusif, c'est plus difficile de prouver que ça impacte ton activité, et chiffrer les dommages. Je ne vois pas pourquoi. Bah c'est jamais trop évident quand même, d'estimer le nombre de clients d'OVH qui ne peuvent accéder au service de Gurvan, et le dommage résultant ;) Dans tous les cas, il s'agit de batailles juridiques longues, coûteuses, mais également potentiellement risquées. +1 Alternativement tu peux essayer de contacter l'ARCEP et leur demander leurs recommendations. En Angleterre, l' ISPA a un code de conduite pour la resolution des disputes entre FAI, n'y a-t-il pas la meme chose de ce cote de la Manche ? Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 2/13/12 3:49 PM, Antoine Drochon wrote: Hello, On 2/13/12 3:28 PM, Damien Fleuriot m...@my.gd wrote: Alternativement tu peux essayer de contacter l'ARCEP et leur demander leurs recommendations. AMHA, ça serait plus adapté de frapper aux portes de l'ANSSI ? Antoine Bonne suggestion :) Dans tous les cas, je me demande si Stéphane ne serait pas + apte à nous renseigner sur ce genre de point... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 2/13/12 4:46 PM, MM wrote: Le 13 févr. 2012 à 16:34, Damien Fleuriot a écrit : Mais je ne suis pas d'accord pour les mêmes raisons, mais si ta suggestion marche je vais facturer Daily Motion. Ses serveurs attaquent mes clients tous les jours :D :D Encore une fois, ce n'est pas OVH qui attaque.. De mon point de vue, OVH vend un service, et c'est via leur service que le dommage est occasionné. Et ? Moi je vends des arcs pour faire du tir à l'arc ... si tu dégommes quelqu'un avec, ce n'est pas mon problème (mais bien le tien). Mathieu Dans le cas présent c'est le réseau d'OVH qui véhicule l'attaque alors c'est discutable. Prennons le cas d'une voiture. 1/ tu achètes une voiture, tu crée un accident, tu es responsable. 2/ tu achètes à une société un service de location voiture+chauffeur, s'ensuit un accident, c'est la société de service qui est responsable. Dans le cas d'OVH, je pense qu'on se rapproche plus du second cas. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
On 2/13/12 3:40 PM, Gurvan Rottier-Ripoche wrote: --- @ Damien Fleuriot m...@my.gd via frnog.org Pour le fait d'aller jusqu'au tribunal, j'espère tout de même que j'y suis encore loin, voir très loin :). Go go exposer le problème à maître eolas ;) Ca pourrait être intéressant d'avoir son avis la dessus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] URGENT : ingé cisco
On 1/27/12 8:55 PM, Renaud RAKOTOMALALA wrote: Le 27/01/2012 20:52, Jérémy Martin a écrit : Merci à tous pour vos réponses publiques / privées. Après tests effectué avec l'aide de quelqu'un, il se trouve que ce ne sont pas les switch qui sont merdiques, mais le routeur qui ne suit pas (hardware). On va changer les cartes et voir ce que ça donne. @arnaud : Tu n'étais pas si loin de la vérité, on va peut être acheter un vrai routeur :) pense a superviser au minimum la mémoire, la charge CPU et les erreurs sur tes routeurs/switchs ces sont des indicateurs minimums ... Après tu as le droit d'avoir des équipements proportionnels à ton besoin, l'équilibre financier n'est pas non plus une mauvaise chose ;) My 2 cents Pour continuer sur les 2 cents de Renaud, tu peux installer Observium qui est particulièrement pratique. Il te graphe tes ports, centralise syslog, et je crois même l'avoir vu remonter des alarmes sur les équipements. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Dos depuis Online / Dedibox
On 1/10/12 11:56 PM, Texier, Matthieu wrote: Bonjour à tous, Un nouvel échange sur un de nos sujets préférés ! J'en profite ! Pour les amateurs de statistique et de comparaison, je vous propose de jeter un oeil sur notre site Atlas. Ce site donne une vue de la menace Internet sur un modulo 24h. Ces données viennent essentiellement de nos clients qui partagent des statistiques avec nous mais aussi d'un réseau géré par nos soins. (nous couvrons 90% des Tiers 1 et 60-70% des Tiers 2). https://atlas.arbor.net/ Sur le dash board global, on remarque que nous sommes plutôt en bonne position: 7 eme Pays au monde sources d'attaques… c'est un résultat honnête mais … peut mieux faire (j'ai parfois vu de plus belle journée ou notre French touch s'exprimait avec plus de vigeur)! On notera que les TOP ASN source d'attaque… nous avons qques représentants tricolores qui se défendent bien aussi ! https://atlas.arbor.net/summary/dos Si on regarde juste le DDoS, argh, on est juste au pied du podium pour aujourd'hui ! Juste derrière la Corée. Sur les tops ASN's… no comment, j'exerce mon droit de réserve ! https://atlas.arbor.net/cc/FR Voici pour les statistiques purement françaises, vous avez ainsi le classement officiel. Pour la source de botnet, je pense qu'il n'y a pas photo, on connait le podium ! Bonne nuit, Matthieu. Matthieu Texier Arbor Networks Consulting engineer EMEA mtex...@arbor.net +33 6 85 83 66 89 Méthodologie: comparer une société qui fournit à la fois de l'aDSL à 4.8 millions d'abonnés et de l'hébergement, via une filiale, sur le même AS , à une autre société qui ne fait virtuellement que de l'hébergement, avec 10.000 abonnés aDSL grand max. A mon humble avis, il faut comparer ce qui est comparable ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Offre ingénieur réseau à consonance système
On 1/10/12 12:57 AM, Cyril Bouthors wrote: On 9 Jan 2012, julien.mange...@rentabiliweb.com wrote: Julien Mangeard Rentabiliweb Directeur Technique Groupe troll Un CTO qui top-post avec Outlook, je crois que ça en dit long sur l'environnement de travail/ ;-) Et que dire d'un tech qui reboot une machine de prod en journée, au lieu de redémarrer un service sur la préprod ? /etc/init.d/* restart Après je dis ça je dis rien. Pour te citer, ;-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Offre ingénieur réseau à consonance système
On 1/10/12 5:49 PM, Raphael Mazelier wrote: Sauf que l'ingé compétent, même de culture libriste et linuxienne, a une hiérarchie, et travaille dans une entreprise. Et lorsqu'on lui donne un portable Win7/Office, il l'utilise. Ce qui ne l'empêche pas, pour ses mails persos, de préférer Thunderbird. Je ne vois donc pas le lien entre l'outil utilisé pour la messagerie et la compétence en systèmes/réseaux... Personnellement j'ai toujours refusé de travailler avec Outlook car cela me fait perdre trop de temps. J'ai parfois été seul résistant avec de longue discussions à la clé avec mes managers de l’époque. Respecter sa hiérarchie oui, se faire imposer un outil de manière dogmatique non. Après effectivement j'ai moi même mis en place tout les outils afin d'être inter-opérable avec le reste de la société. Avoir les bons outils pour travailler fait pour moi parti du métier. D'aucuns pourraient arguer que tu as perdu + de temps à la mise en place de ces outils d'interop, que tu n'en as gagné. Après, faut voir le temps que tu y as passé... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Offre ingénieur réseau à consonance système
On 1/10/12 5:52 PM, Jeremy Monnet wrote: 2012/1/10 Michel Py mic...@arneill-py.sacramento.ca.us: Jérôme Nicolle a écrit: de façon plus pragmatique, Outlook est un vrai problème. Mouais et bien moi j'utilise Outlook par choix et je trouve que ceux qui disent que c'est un problème ils feraient mieux de balayer devant leur porte, parce que les quotes de porc, le top post, le HTML, les trolls non tagués, les signatures au kilomètre, etc j'en vois autant avec le logiciel libre. Mettez un bémol, les mecs. Si Exchange / Outlook est le standard en Entreprise, il y a une raison. C'est cher donc c'est bien ? Librement, Jérémy C'est pas du tout son propos. Son propos c'est: ça marche donc c'est bien. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Offre ingénieur réseau à consonance système
On 1/10/12 6:05 PM, Raphael Mazelier wrote: Si Exchange / Outlook est le standard en Entreprise, il y a une raison. C'est ton droit d'utiliser ces outils. Fonctionnelement il est vrai que c'est très complet. De la à dire qu'Outlook et surtout Exchange sont de bons produits il y a un pas que je ne franchirais pas. Exchange est juste affreux pour l'administrateur. Et zimbra ça l'est pas peut être ? On a pas la même expérience de zimbra ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Offre ingénieur réseau à consonance système
On 1/10/12 7:04 PM, Arnaud Landry wrote: On 10 janv. 2012, at 18:52, Damien Fleuriot wrote: On 1/10/12 6:05 PM, Raphael Mazelier wrote: Si Exchange / Outlook est le standard en Entreprise, il y a une raison. C'est ton droit d'utiliser ces outils. Fonctionnelement il est vrai que c'est très complet. De la à dire qu'Outlook et surtout Exchange sont de bons produits il y a un pas que je ne franchirais pas. Exchange est juste affreux pour l'administrateur. Et zimbra ça l'est pas peut être ? On a pas la même expérience de zimbra ;) --- Liste de diffusion du FRnOG http://www.frnog.org/ créer un compte avec mot de passe (besoin de base en exploitation sur un groupware non ?) Zimbra ; http://wiki.zimbra.com/wiki/Zmprov_Examples zmprov ca us...@domain.com test123 Exchange : http://technet.microsoft.com/en-us/library/aa997663.aspx New-Mailbox -UserPrincipalName conf...@contoso.com -Alias confmbx -Name ConfRoomMailbox -Database Mailbox Database 1 -OrganizationalUnit Users -Room -ResetPasswordOnNextLogon $true puis une commande pour le mdp AD ;) (- google) perso , je trouve le premier plus simple et mémorisable ;) L'intégration n'est pas la même. Faire fonctionner du calendrier partagé sur zimbra avec android, ios, outlook, ça relève de l'exploit. Le temps que tu gagnes à créer ton compte, tu le perds à te battre avec le calendrier de l'utilisateur... Quant à pouvoir mémoriser la commande, est-ce vraiment bien utile ? Suffit de l'avoir dans sa doc interne, copier/coller, gagné. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] recherche de fournisseur transit IP statique et peering bgp sur Paris
On 1/3/12 12:34 AM, jameboulie wrote: Bonjour j'ai fait déjà une requête, mais je relance avec plus de précision sur mes besoins: * une interconnexion sur equinix * transit IP en statique pour commencer * transit IP en peering bgp ensuite avec le prestataire retenu. Merci jameboulie --- Liste de diffusion du FRnOG http://www.frnog.org/ Salut, Pour notre part, nous utilisons Neo Telecoms comme fournisseur de transit, sur Global Switch, EQX et DRT et en sommes particulièrement contents. L'équipe est agréable, compétente et réactive. Tu devrais peut être préciser le volume de transit dont tu aurais besoin. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] AS51207 : two recent IPv4 allocation - please update your filters
On 12/30/11 12:55 PM, Nicolas STEFANI wrote: Bonjour, Afin de ne pas perturber un prochain lancement de service merci de mettre à jour rapidement vos filtres pour les préfixes suivants: AS51207 - 37.1.232.0/21 - 37.8.160.0/19 PS : C'est déjà vendredi... ;-) Bonnes fêtes, --- Nicolas STEFANI Pour info, tes préfixes ne font pas partie de la liste des bogons de la team cymru: http://www.team-cymru.org/Services/Bogons/fullbogons-ipv4.txt A priori ils ne sont pas supposés être filtrés donc. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: RE : Re: [FRnOG] [TECH] AS51207 : two recent IPv4 allocation - please update your filters
Bah la preuve ;) La full list contient les préfixes qui ont été donnés aux RIRs mais pas encore alloués. On 12/30/11 2:33 PM, Raphaël Jacquot wrote: il reste encore quelque chose dans cette liste ? ;-) Original message Subject: Re: [FRnOG] [TECH] AS51207 : two recent IPv4 allocation - please update your filters From: Damien Fleuriot m...@my.gd To: frnog@frnog.org CC: On 12/30/11 12:55 PM, Nicolas STEFANI wrote: Bonjour, Afin de ne pas perturber un prochain lancement de service merci de mettre à jour rapidement vos filtres pour les préfixes suivants: AS51207 - 37.1.232.0/21 - 37.8.160.0/19 PS : C'est déjà vendredi... ;-) Bonnes fêtes, --- Nicolas STEFANI Pour info, tes préfixes ne font pas partie de la liste des bogons de la team cymru: http://www.team-cymru.org/Services/Bogons/fullbogons-ipv4.txt A priori ils ne sont pas supposés être filtrés donc. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Pertes et latence importantes
On 12/28/11 1:27 PM, Grégoire Leroy wrote: Bonjour à tous, Je suis étudiant à TELECOM Lille1, et j'ai repris le réseau d'une certaine résidence de 150 utilisateurs derrière 2 lignes ADSL et une ligne SDSL (chez Orange). Étant donné que nous avons régulièrement des pertes et une latence très importante, j'ai effectué quelques tests et contacté Orange Business Services. Test : http://bpaste.net/show/21180/ Un seul utilisateur était connecté et téléchargeait 2 ou 3 fichiers par torrents, atteignant 1.4 méga. Des tests ont été effectués, en bridant notre QoS à 1.080 méga, pour le même résultat. Il est apparu qu'à environ 800kbit/s, nous n'avions plus de problèmes. Le débit maximal mesuré, lui, allait jusqu'à environ 1.75 méga Le support d'OBS m'a tenu ce raisonnement : -La ligne est une ligne 2 mégas - l'overhead ATM = 1.6 méga -Il faut y retrancher 200 kbit/s utilisés pour la téléphonie, soit 1.4 méga -Il faut minorer ce débit pour laisser passer les ack TCP. 600kbs d'ACKs TCP ? Il s'est foutu de ta gueule. J'aurais donc 2 questions : 1) De combien est-il habituel de réduire le débit dans ce genre de cas ? Lors de la mise en place de la QoS, j'avais lu entre 5 et 10%. Passer de 1.4 méga à 800kbit, c'est plutôt de l'ordre de 40%... 2) Quand on regarde le MTR, on s'aperçoit que la latence ne vient pas de la ligne elle-même, mais du troisième routeur chez Orange. OBS m'a dit que c'était normal (tous nos routeurs ne vont pas à la même vitesse) Est-ce que ce comportement est réellement justifié, ou est ce que c'est de la mauvaise foi de leur part ? Pourquoi la latence n'apparaitrait qu'une fois dans l'infra Orange ? A ta question pourquoi ? je réponds parce qu'ils sont mauvais. PS : ce problème n'a _rien_ à voir avec le fait que nous soyons 150, les tests ont été menés avec un seul utilisateur. Merci d'avance pour vos réponses, Cordialement, Grégoire Leroy --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Question mise à jour DNS pour les internautes numericable
On 12/28/11 5:43 PM, David B. wrote: Bonsoir, Depuis quelques jours, je suis confronté à un soucis de DNS vraiment étrange avec les internautes qui utilisent numericable. Une zone DNS a été mise à jour (dans les règles) il y a de cela plus d'une semaine. Le TTL de la zone était bien de une journée. A priori tous les internautes ont bien vu la mise à jour, SAUF ceux de numericable. Je pensais au début que c'était les DNS de l'opérateur qui étaient pas à jour. Mais dig me dit le contraire : Si tu dig le SOA tu as bien le bon numéro de série pour ta zone ? Ton idée de cache DNS sur la box a du mérite, il conviendrait de faire redémarrer sa box à un de tes sujets de test, puis ré-essayer. Ca peut, éventuellement, également venir de l'OS. Tous les internautes de NC sont concernés ou seulement certains ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Pertes et latence importantes
On 12/28/11 6:00 PM, Fabien VINCENT wrote: 2011/12/28 Thomas Mangin thomas.man...@exa-networks.co.uk [snip] Ah !! Et moi qui croyais que tu voulais faire de la magie noire :D Augmenter un peu les prix pour financer le service ? On a essayé en demandant aux résidents = échec Abordons le problème autrement. La sDSL est là pour répondre à quel besoin, qui n'est à priori pas satisfait par les aDSL ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Pertes et latence importantes
On 28 Dec 2011, at 18:18, Fabien VINCENT fabvinc...@gmail.com wrote: Ah !! Et moi qui croyais que tu voulais faire de la magie noire :D Augmenter un peu les prix pour financer le service ? On a essayé en demandant aux résidents = échec Abordons le problème autrement. La sDSL est là pour répondre à quel besoin, qui n'est à priori pas satisfait par les aDSL ? C'était plus en terme de nombre de connexions que nous voulions avancer (+ToIP pour l'admin de la résidence, ce qui as fait qu'ils ont pris un truc mousse mousse pro, mais qui n'est pas plus satisfaisant qu'un ADSL bien blindé). Définis ton besoin en terme de nombre de connexions. Est-ce qu'il s'agit de flux qui pourraient être concentrés sur un forward proxy ? Tu pourrais avoir une approche qui serait de faire passer le browsing + mail + p2p sur les aDSL, et la voip sur sDSL. Je déconseille de faire passer le ssh dans la sDSL, les scp de 8gb vont violer ta ligne. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/11 2:38 PM, Rémi Bouhl wrote: Le 27/12/2011 13:20, Jérôme Nicolle a écrit : Le 27 décembre 2011 12:59, Damien Fleuriotm...@my.gd a écrit : Refer my réponse, à l'instant, à Jérôme, dans laquelle je me pose la question de pourquoi tout le monde assume que nos serveurs sont sous windows ;) En effet dans le cadre d'un LAN user, se protéger de manière proactive est tout à fait justifiée. Ben oui mais c'est précisément de ça qu'on parle, pourquoi assumais tu qu'on se limitait aux serveurs ? Quand on parle de réseau, client ou serveur, c'est bien la même chose... Tiens, ça me fait me poser une question: Damien Fleuriot, vos serveurs ont-ils besoin d'accéder à Internet, en tant que clients (par exemple, pour du rebond, des updates, du VPN, du backup..)? Si oui, le feront/font-ils en IPv4 ou en IPv6 (dans le cas où IPv6 serait disponible)? Rémi. Nos serveurs ont effectivement besoin d'accéder à internet pour les mises à jour. Nous avons un miroir debian en interne, aussi seule cette machine a réellement besoin de connectivité. Cette machine aura donc également besoin, à terme, de connectivité ip6. Pour le moment, comme les miroirs sur lesquels nous la synchronisons sont toujours disponibles en v4, elle reste en v4 :) En ce qui concerne les VPNs, ceux-ci sont terminés sur les firewalls, qui auront directement des IPv6. Pour les backups, c'est de la connectivité interne, ça peut donc rester en v4 historique. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
On 12/27/11 12:10 AM, Guillaume Barrot wrote: - la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos amis de la lutte contre la cybercriminalite de maintenir ce genre de listes d'attaques en cours, et de synchroniser les actions de contre mesures via un système type flowspec (qui nous a gentillement été présente au dernier Frnog justement dans un use case équivalent) ? Et cette liste serait maintenue par qui ? On va se retrouver avec une instance politique chargée de maintenir cette liste, ce qui amènera forcément à un système de censure arbitraire et des abus :/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/11 12:04 PM, Radu-Adrian Feurdean wrote: On Tue, 27 Dec 2011 11:38:26 +0100, Damien Fleuriot m...@my.gd said: Nous avons déjà *beaucoup* de VLANs, et donc de subnets, tous déployés et en prod en v4. Il te reste donc *beaucoup* de travail avant de crier en public Je suis passe sur IPv6 !!!. Tu en as pour quelques annees probablement, donc pense a commencer rapidement. Tu commences légèrement à m'ennuyer, pour rester correct. Je ne compte pas crier je suis passé sur ipv6 !!, je compte rendre le service disponible pour mes clients. Et pour la dernière fois, rendre ce service disponible à mes clients ne passe *pas* par la case faire parler toutes les machines du LAN entre elles en ip6. Occupe toi donc de tes propres infras au lieu de me donner des leçons, on a de toute évidence des approches différentes alors on ne s'entendra pas. Si nous devions les passer en v6 (ou en dual-stack) ça serait un travail titanesque pour un gain, je le répète, *nul* . Il y avait d'autres a pretendre le meme chose sur les reseaux Netware/IPX. C'etait il y a ~15 ans... Je t'ai demandé plusieurs fois d'argumenter et de présenter le gain apporté par un passage, dans le cadre du LAN intra-serveurs, de v4 vers v6. Tu n'as jamais pu/voulu apporter une réponse hormis ton sacro-saint l'ipv6 c'est bien, il faut en mettre partout. Ca fait 10 messages qu'on tourne en rond. Le gain est nul car on arriverait à la même situation qu'actuellement: les machines peuvent communiquer entre elles. Les éventuelles autres features, genre l'autoconfiguration, on n'en a pas besoin dans notre environnement. Comme je le disais, c'est pas avec des gens comme toi qu'on aura un jour du IPv6 deploye globalement. Avec des gens comme toi, l'IPv6 sera juste une etiquette marketing sans interet technique (exactement ce que tu fais aujourd'hui). Si c'est pour arriver a ca, merci, je prefere le CGN et autres improvisations... Est-ce que tu tannes aussi les gens pour upgrader leurs liens de 1 à 10gb alors qu'ils consomment 20mbps ? Si je demande c'est parce que la comparaison me semble particulièrement pertinente dans le cas présent. Le problème c'est le rapport coût/bénéfice d'une telle opération, il nous faudrait acheter du matos et passer beaucoup de temps homme sur un tel projet. Aujourd'hui Dec 2011, ca peut se faire avec des couts proches de zero, surtout pour les upgrades, nouveaux deploiements. Nous avons déjà abordé le sujet des remplacements de matériel, tes fournisseurs t'offrent peut être 100 switchs sachant traiter de l'ip6 en hardware vs software, pas les miens. Le plus grand investissement (pas forcement financier) c'est en *EDUCATION*. Y compris celle des admins... Tout investisseent comporte une composante financière, faire suivre une formation à un collaborateur, c'est coûteux également en temps homme. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/26/11 9:19 PM, Radu-Adrian Feurdean wrote: On Mon, 26 Dec 2011 16:35:04 +0100, Damien Fleuriot m...@my.gd said: De plus, on a, fort heureusement, les environnements de dev, préprod et recette pour ça ;) Après est-ce que ça sera testé correctement par le métier, c'est une autre histoire... Surtout quand l'IPv6 tu l'as que sur tes frontaux.. Que l'ip6 soit disponible seulement sur les frontaux, ou pour les comms LAN intra-machines, ça ne change absolument rien à la problématique de le client se présente avec une IP *publique* v6. Mais bon ça fait environ 10 messages que tu t'entêtes alors je vais arrêter de perdre mon temps. Continue ta croisade pour l'ipv6 100% full, y compris dans un LAN qui n'en a pas besoin, de ton côté. Pendant ce temps, dans la vraie vie, je vais répondre au besoin de mes clients au mieux, à la fois pour eux et pour mon employeur. Sans rancune. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/11 5:23 PM, Rémi Bouhl wrote: Le 27/12/2011 15:03, Damien Fleuriot a écrit : Dans mon esprit il s'agit de 2 problématiques tout à fait différentes. Ne serait-ce que parce que nos serveurs sont en datacenter dans des VLANs bien précis, alors que les utilisateurs sont ici dans nos locaux, dans des VLANs qui ne sont propagés nulle part ailleurs. Il s'agit, en essence, de 2 réseaux tout à fait distincts et gérés différemment. De fait, pour proposer aux clients de la société d'accéder à nos services en ip6, je n'ai pas besoin de faire de modifications dans le réseau utilisateur. Donner accès à mes utilisateurs à des ressources en ipv6, c'est un sujet que je traiterais à part ;) Si vos utilisateurs ont des raisons d'accéder aux serveurs et d'intervenir dessus, ça peut être utile de leur fournir IPv6. Dit autrement, je n'ose pas imaginer un service de support qui dispose d'un LAN IPv4 only et doit résoudre des tickets relatifs à IPv6.. Chez moi ça marche pas! - chezmoiçamarche... pasnonplus© Rémi. Hehe, non ils n'ont pas vocation à accéder aux serveurs ;) Par utilisateurs on entend les services commercial, compta, juridique... En ce qui concerne les serveurs eux-mêmes, c'est l'équipe exploitation qui intervient dessus en montant un VPN sur ip4. Le VPN est + là pour répondre à des considérations de sécurité et d'audit qu'à la pénurie d'ip4. Après, si un jour le besoin s'en fait sentir, on fera aussi écouter le VPN sur de l'ip6, et via ce VPN on continuera à joindre les machines sur leurs ip4 internes. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/11 12:26 PM, Jérôme Nicolle wrote: Damien, Le 27 décembre 2011 12:15, Damien Fleuriot m...@my.gd a écrit : Ca fait 10 messages qu'on tourne en rond. A qui la faute ? Petit rappel, histoire que ce soit bien clair et que tu arrêtes d'alimenter le hors sujet : Le message qui a relancé le débat a été posté sous forme de troll le 26/12/2011 à 21h19. Je te laisse le rechercher. - IPv6 existe, des gens vont le déployer, alors si tu veux passer pour un dinosaure dans quelques années et perdre toute employabilité, tu es sur la bonne voie. Ca n'a rien à voir avec le sujet abordé, à savoir rendre un service public joignable via une ipv6 publique. Les communications internes entre serveurs sont un tout autre débat. - Que tu déploies ou pas, tes équipements et OS vont se mettre à le parler. Donc sans t'en servir, tu devras quand même être capable de le contrôler pour sécuriser ton réseau. Ils ne le parleront que s'ils y sont autorisés. Les OS que nous utilisons en prod nous permettent d'activer ou pas l'ip6. Si l'on désactive l'ip6, tu peux bien essayer toutes les attaques du monde. - Du coup, de l'intérêt de déployer partout ou sur des frontaux, peu importe, il faut que TOUS tes équipements soient compatibles, sans quoi tu ne verras pas le coup venir *QUAND* tu te feras trouer le cul par une attaque basée sur quelque anomalie d'implémentation d'IPv6. A partir du moment où seuls mes frontaux parlent ipv6 je suis relativement tranquille, ces machines proposent des fonctionnalités assez sympa, notamment celle de refuser les RA. Pour en revenir au sujet donc, à l'exception d'un support pour dans pas longtemps sur les 3750-X, 3560-X et 2960-S chez Cisco, personne n'a d'information claire quand au support de la RFC-6105 sur les switchs d'accès. Du coup, la seule solution semble être de poser du L3 avec des ACL sur ICMPv6 et/ou un monitoring un peu travaillé avec ARPWatch et NDPmon. Même discours chez juniper où ils annoncent la feature pour junos 12.x qui est pour l'an prochain Il existe néanmoins une manip sur cisco pour obtenir un équivalent du RA guard: --- ipv6 access-list drop-ra deny icmp any any router-advertisement permit ipv6 any any int range g0/1 - 48 ipv6 traffic-filter drop-ra in --- Sur juniper c'est malheureusement plus délicat, certains ont essayé des access-list dans le même genre à base de filter (stateless fwing) mais ça ne s'applique qu'à l'ip4 apparemment. Mais si un équipementier passe par ici avec la moindre information à ce sujet, ne serait ce que des dates de livraison, ça pourra leur éviter de passer une fois de plus pour des boulets perpétuellement en retard. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/11 11:30 AM, Raphaël Jacquot wrote: On 12/27/2011 11:22 AM, Damien Fleuriot wrote: Que l'ip6 soit disponible seulement sur les frontaux, ou pour les comms LAN intra-machines, ça ne change absolument rien à la problématique de le client se présente avec une IP*publique* v6. tu peux utiliser des adresses ipv6 unique local (a priori, RFC 4193 est la derniere en date à ce sujet) si ca te chantes hein... l'idée est de ne plus utiliser ipv4 a terme Justement, comme ça a été débattu plus haut, l'intérêt est très limité. Nous avons déjà *beaucoup* de VLANs, et donc de subnets, tous déployés et en prod en v4. Si nous devions les passer en v6 (ou en dual-stack) ça serait un travail titanesque pour un gain, je le répète, *nul* . Le gain est nul car on arriverait à la même situation qu'actuellement: les machines peuvent communiquer entre elles. Les éventuelles autres features, genre l'autoconfiguration, on n'en a pas besoin dans notre environnement. Le problème c'est le rapport coût/bénéfice d'une telle opération, il nous faudrait acheter du matos et passer beaucoup de temps homme sur un tel projet. Ca ne passera jamais, et à juste titre :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/11 1:20 PM, Jérôme Nicolle wrote: Le 27 décembre 2011 12:59, Damien Fleuriot m...@my.gd a écrit : Refer my réponse, à l'instant, à Jérôme, dans laquelle je me pose la question de pourquoi tout le monde assume que nos serveurs sont sous windows ;) En effet dans le cadre d'un LAN user, se protéger de manière proactive est tout à fait justifiée. Ben oui mais c'est précisément de ça qu'on parle, pourquoi assumais tu qu'on se limitait aux serveurs ? Quand on parle de réseau, client ou serveur, c'est bien la même chose... Dans mon esprit il s'agit de 2 problématiques tout à fait différentes. Ne serait-ce que parce que nos serveurs sont en datacenter dans des VLANs bien précis, alors que les utilisateurs sont ici dans nos locaux, dans des VLANs qui ne sont propagés nulle part ailleurs. Il s'agit, en essence, de 2 réseaux tout à fait distincts et gérés différemment. De fait, pour proposer aux clients de la société d'accéder à nos services en ip6, je n'ai pas besoin de faire de modifications dans le réseau utilisateur. Donner accès à mes utilisateurs à des ressources en ipv6, c'est un sujet que je traiterais à part ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/11 12:54 PM, Raphaël Jacquot wrote: On 12/27/2011 12:41 PM, Damien Fleuriot wrote: Si l'on désactive l'ip6, tu peux bien essayer toutes les attaques du monde. comme ca ? http://technet.microsoft.com/en-us/security/bulletin/ms11-083 This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if an attacker sends a continuous flow of specially crafted UDP packets to a *closed* port on a target system. Refer my réponse, à l'instant, à Jérôme, dans laquelle je me pose la question de pourquoi tout le monde assume que nos serveurs sont sous windows ;) En effet dans le cadre d'un LAN user, se protéger de manière proactive est tout à fait justifiée. Dans le cadre de serveurs joignables par le public, la donne change complètement. Si nous ne compilons pas l'INET6 dans le kernel, elles ne peuvent pas être vulnérables à des attaques contre l'ipv6. Prennons l'analogie suivante: une vulnérabilité dans mod_ldap sur apache, si tu ne le compiles/charges pas, on ne peut pas l'exploiter. Alors oui, on peut imaginer le cas d'une personne qui root ta machine, compile/charge mod_ldap, et ensuite te pwn via cette faille. Mais bon, il ne s'agit plus d'une attaque contre mod_ldap si ta machine a déjà été rootée avant ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
On 12/27/11 2:29 PM, Radu-Adrian Feurdean wrote: On Tue, 27 Dec 2011 13:42:17 +0100, Ambroise Terrier cont...@ambroiseterrier.fr said: Si l'on se base que sur des rapports venant de l'ANSSI, de l'office de lutte contre la cybercriminalité ainsi que d'organisme de ce genre, les faux positifs seront quasi néant, surtout si on met en place le filtre de la modération des admins indépendants. En sécurité, on m'a toujours appris qu'il faut mieux couper et analyser ensuite que de laisser faire. Cote business, c'est plus souvent le contraire (qu'on aime ou pas). Entièrement d'accord. Si l'état veut faire une liste de ce type sous surveillance d'un (véritable) comité de surveillance (composé d'admin indépendants), on ne pourrait que les encourager à le faire surtout lorsque l'on voit le nombre grandissant de site vérolé. J'ai quand-meme un probleme a mettre au meme endroit des vrais gens independants et une entite etatique. Il me semble qu'un des independants preferes du gouvernement c'est Michel Riguidel... Encore une fois entièrement d'accord. Refer les histoires de commission HADOPI, pour laquelle des experts *indépendants* (lol) ont été mandatés. Quelque-chose totalement independant (sans intervention etatique), pourquoi pas. Mais je suppose que si ca n'existe pas encore, il doit y avoir un raison economique (trop cher a faire vivre ou manque d'interet). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
On 12/27/11 1:00 PM, Ambroise Terrier wrote: Le 27/12/2011 12:05, Damien Fleuriot a écrit : On 12/27/11 12:10 AM, Guillaume Barrot wrote: - la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos amis de la lutte contre la cybercriminalite de maintenir ce genre de listes d'attaques en cours, et de synchroniser les actions de contre mesures via un système type flowspec (qui nous a gentillement été présente au dernier Frnog justement dans un use case équivalent) ? Et cette liste serait maintenue par qui ? On va se retrouver avec une instance politique chargée de maintenir cette liste, ce qui amènera forcément à un système de censure arbitraire et des abus :/ Le mieux ne serait il pas d'avoir des rapports envoyés rapidement à une équipe de modération de la liste qui traiterait rapidement chaque demande et serait composée d'administrateurs réputés indépendants et qualifiés à juger le bienfondés de chaque rapport ? Le problème c'est que tu auras toujours des gens pour contester et/ou des faux positifs. Prends par exemple tous les problèmes rencontrés par spamhaus, qui se sont retrouvés assignés en justice plusieurs fois. Mais en effet, une liste coordonnée, maintenue par des administrateurs indépendants, serait une réponse, un peu dans la même lignée que les bogons maintenus par la Team Cymru. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/27/11 12:48 PM, Jérôme Nicolle wrote: Le 27 décembre 2011 12:41, Damien Fleuriot m...@my.gd a écrit : Ca n'a rien à voir avec le sujet abordé, à savoir rendre un service public joignable via une ipv6 publique. Non, le sujet, c'est le RA-Guard sur les switchs. Si l'on désactive l'ip6, tu peux bien essayer toutes les attaques du monde. Jusqu'à ce que ton admin-stagiaire oublie de desactiver terredo sur le master avec lequel tu deploies tes WS, ou qu'un worm le réactive. Mais je sais pas d'où vous sortez tous la présomption que nos serveurs soient sous windows ? IMHO la probabilité qu'un worm vienne recompiler le kernel de freebsd pour activer INET6, l'installer, rebooter la machine puis lancer un exploit sur ip6 est assez faible. Après, si on considère (et ce n'est pas mon cas) un LAN de postes utilisateurs, sous windows, là effectivement le danger est bien réel et le besoin de se protéger tout à fait justifié. A partir du moment où seuls mes frontaux parlent ipv6 je suis relativement tranquille, ces machines proposent des fonctionnalités assez sympa, notamment celle de refuser les RA. Les RA ne peuvent être qu'à destination de fe80::/64 et ff02::1, il me semble. Donc pas routables, donc tes FW frontaux ne sont même pas sensés en voir passer. Même discours chez juniper où ils annoncent la feature pour junos 12.x qui est pour l'an prochain Oui, mais j'ai pas encore eu de réponse officielle à ce sujet, j'attends que quelqu'un de chez juniper se manifeste... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Attaque en déni de service en cours
On 12/26/11 12:04 PM, Charles Delorme wrote: Bonjour, Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de service depuis dimanche matin 7h heure locale. La très grosse majorité des paquets est en udp/80 à destination de nos deux liens, completel (213.30.147.224/27) et global crossing (217.156.140.224/27) et aussi un peu en udp/53. Nous tentons d'établir une liste d'adresses sources mais vous vous doutez qu'elle varie beaucoup. S'agissant d'UDP les IPs source sont très probablement spoofées. Je ne vois aucun intérêt à de l'UDP port 80 alors déjà tout ça vous pouvez dropper direct. Ensuite, pour du TCP vous pouvez activer sur vos firewalls du SYN Proxy, ça évitera à vos serveurs de backend d'essayer d'établir des sessions TCP avec des IPs spoofées qui ne répondront jamais à SYN_ACK. Les supports des deux opérateurs sont bien sûr prévenus. Si en plus certains d'entre vous ont la possibilité de bloquer au moins le traffic en udp/80 qui passerait par vos réseaux vers chez nous, ceci nous pemettrait de respirer un peu. Tout avis en la matière sera le bienvenu. Je passe par cette adresse mail perso car pour l'instant nos accès sont saturés. Merci beaucoup et joyeux Noël à tous :-) Charles Delorme --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Attaque en déni de service en cours
S'agissant très probablement d'IPs spoofées, je le vois mal blackholer 200k /32 générées aléatoirement ? Nan parce qu'au bout d'un moment le routeur upstream va en avoir marre, déjà, et ensuite au bout d'un moment ça va bloquer des vrais clients légitimes qui auront eu la malchance que leur IP soit générée :o On 12/26/11 12:27 PM, Alexis Savin wrote: Bonjour, Un grand classique, surement déjà vécu par beaucoup ici. Et malheureusement peu d'options efficaces. Quelques techniques sont pourtant intéressantes à étudier, la plus intéressante étant celle du remote triggered black-hole pour peu que l'opérateur le supporte (http://tools.ietf.org/html/rfc5635). Cela peut permettre de désengorger ses liens et de ne pas impacter toute une plateforme. Bon courage. 2011/12/26 Charles Delorme fr...@suricat.net Bonjour, Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de service depuis dimanche matin 7h heure locale. La très grosse majorité des paquets est en udp/80 à destination de nos deux liens, completel ( 213.30.147.224/27) et global crossing (217.156.140.224/27) et aussi un peu en udp/53. Nous tentons d'établir une liste d'adresses sources mais vous vous doutez qu'elle varie beaucoup. Les supports des deux opérateurs sont bien sûr prévenus. Si en plus certains d'entre vous ont la possibilité de bloquer au moins le traffic en udp/80 qui passerait par vos réseaux vers chez nous, ceci nous pemettrait de respirer un peu. Tout avis en la matière sera le bienvenu. Je passe par cette adresse mail perso car pour l'instant nos accès sont saturés. Merci beaucoup et joyeux Noël à tous :-) Charles Delorme --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Alexis Savin Ingénieur Systèmes/Réseaux/Sécurité --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Attaque en déni de service en cours
IMHO, pour dropper 80/udp, le mieux que tu puisses faire c'est te rapprocher des NOCs de tes upstreams (completel / GBLX) et leur demander de le dropper à destination de tes supernets/subnets. On 12/26/11 12:47 PM, Charles Delorme wrote: Merci pour vos suggestions. Ma priorité est effectivement de bloquer le traffic udp/80 en amont de mes liens. Les équipements en tête de réseau supportent bien la charge mais ce sont les liens qui saturent. Damien Fleuriot m...@my.gd a écrit : Bah oui mais du coup il va se couper le service tout seul, certes seulement vers l'IP cible mais l'attaque aura réussi. Vu que la plupart du trafic semble être de l'UDP 80, est-ce qu'il aurait pas plus rapide de dropper ça par ses upstreams ? On 12/26/11 12:33 PM, Alexis Savin wrote: Il ne s'agit pas de bloquer les sources, mais le trafic à destination de l'ip attaquée, le temps que l'attaque cesse. La priorité lors d'une attaque comme celle-ci est de désengorger ses tuyaux pour rétablir le plus de services possible. 2011/12/26 Damien Fleuriot m...@my.gd mailto:m...@my.gd S'agissant très probablement d'IPs spoofées, je le vois mal blackholer 200k /32 générées aléatoirement ? Nan parce qu'au bout d'un moment le routeur upstream va en avoir marre, déjà, et ensuite au bout d'un moment ça va bloquer des vrais clients légitimes qui auront eu la malchance que leur IP soit générée :o On 12/26/11 12:27 PM, Alexis Savin wrote: Bonjour, Un grand classique, surement déjà vécu par beaucoup ici. Et malheureusement peu d'options efficaces. Quelques techniques sont pourtant intéressantes à étudier, la plus intéressante étant celle du remote triggered black-hole pour peu que l'opérateur le supporte (http://tools.ietf.org/html/rfc5635). Cela peut permettre de désengorger ses liens et de ne pas impacter toute une plateforme. Bon courage. 2011/12/26 Charles Delorme fr...@suricat.net mailto:fr...@suricat.net Bonjour, Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de service depuis dimanche matin 7h heure locale. La très grosse majorité des paquets est en udp/80 à destination de nos deux liens, completel ( 213.30.147.224/27 http://213.30.147.224/27;) et global crossing (217.156.140.224/27 http://217.156.140.224/27;) et aussi un peu en udp/53. Nous tentons d'établir une liste d'adresses sources mais vous vous doutez qu'elle varie beaucoup. Les supports des deux opérateurs sont bien sûr prévenus. Si en plus certains d'entre vous ont la possibilité de bloquer au moins le traffic en udp/80 qui passerait par vos réseaux vers chez nous, ceci nous pemettrait de respirer un peu. Tout avis en la matière sera le bienvenu. Je passe par cette adresse mail perso car pour l'instant nos accès sont saturés. Merci beaucoup et joyeux Noël à tous :-) Charles Delorme --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Alexis Savin Ingénieur Systèmes/Réseaux/Sécurité --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- -=HADESIS=- Alexis Savin Ingénieur Systèmes/Réseaux/Sécurité EPITA 2010 / Integra --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard
On 12/26/11 2:51 PM, Xavier Beaudouin wrote: Hello, Le 24 déc. 2011 à 01:03, Damien Fleuriot a écrit : Et c'est très bien. Tu as un besoin: te connecter en ssh sur une machine sans monter de VPN Tu as une réponse: rendre cette machine joignable en ip6. Très bien. Maintenant, *moi* j'ai un autre besoin, et une autre réponse, également adaptée: Mon besoin: que mes clients puissent joindre mes services en ip6 Ma réponse: des frontaux qui parlent ip6. Je n'ai absolument pas besoin de changer l'adressage interne pour ça, notre boîte à nous a encore plein de place avec les adresses privées ;) Exact, mais pour pas passer pour un idiot quand le client te dis hey ton truc sur le frontaux en ipv6 ça merdoie, avoir d'ipv6 en interne permet accessoirement de tester les emmerdes avant qu'elle arrivent sur ton interface de ticketing... My 0,02€... Xavier En effet, mais c'est un autre débat ;) De plus, on a, fort heureusement, les environnements de dev, préprod et recette pour ça ;) Après est-ce que ça sera testé correctement par le métier, c'est une autre histoire... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Attaque en déni de service en cours
On 12/26/11 12:04 PM, Charles Delorme wrote: Bonjour, Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de service depuis dimanche matin 7h heure locale. La très grosse majorité des paquets est en udp/80 à destination de nos deux liens, completel (213.30.147.224/27) et global crossing (217.156.140.224/27) et aussi un peu en udp/53. Nous tentons d'établir une liste d'adresses sources mais vous vous doutez qu'elle varie beaucoup. Les supports des deux opérateurs sont bien sûr prévenus. Si en plus certains d'entre vous ont la possibilité de bloquer au moins le traffic en udp/80 qui passerait par vos réseaux vers chez nous, ceci nous pemettrait de respirer un peu. Tout avis en la matière sera le bienvenu. Je passe par cette adresse mail perso car pour l'instant nos accès sont saturés. Merci beaucoup et joyeux Noël à tous :-) Charles Delorme http://www.leparisien.fr/flash-actualite-politique/loi-sur-les-genocide-les-menaces-contre-la-deputee-boyer-suscitent-l-indignation-26-12-2011-1784329.php --- Le site de la députée restait inactif lundi. Quant à celui du Sénat, il était régulièrement inaccessible depuis dimanche à cause d'une opération de saturation du site orchestrée par des éléments extérieurs, pour l'heure non identifiés, selon le service de communication de la Haute assemblée. --- On parle de vous tiens. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] [TECH] Spoof UDP
On 12/26/11 5:46 PM, Pierre Emeriaud wrote: 2011/12/26 Surya ARBY arbysu...@yahoo.fr Unicast reverse path forwarding est dédié à cet effet et est principalement déployé chez les providers. corrigez-moi si je me trompe, mais pour moi urpf ne permet de bloquer le traffic en entrée uniquement si les @ ne sont pas routables par l'interface ingress. On peut donc très bien spoofer en prenant l'adresse ip du voisin dans le subnet / subnet voisin non ? Mon next hop est 1.1.1.1. j'ai pour @ip attribuée 1.1.1.3/24. Si j'envoie les paquets udp avec une source forgée à 1.1.1.4, ce n'est pas l'urpf sur 1.1.1.1 qui les empêchera de passer. Correct ? -Pierre. Correct, mais ça permet d'écrémer très fortement quand même ;) --- Liste de diffusion du FRnOG http://www.frnog.org/