Re: [FRnOG] [TECH] UCARP/VRRP avec Debian problème

[Damien Fleuriot]

2017-07-05 17:22 GMT+02:00 Alarig Le Lay :
> On mer.  5 juil. 14:53:24 2017, Sébastien 65 wrote:
>> Bonjour,
>>
>>
>> Je m'arrache les cheveux depuis ce matin sur le fonctionnement de
>> UCARP et/ou Keepalived sur Debian 9...
>>
>>
>> J'explique : Si Debian1 tombe l'IP VIP bascule bien sur Debian2, en
>> revanche lorsque Debian1 est de nouveau UP, il récupère l'IP de
>> Debian2 (je voudrais éviter cette bascule).
>
> Matin,
>
> Tu as mis quel advskew sur chaque machine ? Si Debian1 a un advskew plus
> faible, c’est normal qu’il reprenne le lead vu qu’il est prioritaire.
>
> Si tu veux éviter que ça revienne sur Debian1, il faut avoir le même
> advskew sur les deux machines.
>
> --
> alarig



Si le fonctionnement de uCARP se base sur la même logique que le
protocole CARP d'origine et sauf erreur de ma part, ça n'est pas tout
à fait le principe :)


CARP détermine le mastership comme suit :
- avec preemption : machine qui s'advertise le plus fréquemment = master
- sans preemption : machine qui s'advertise le plus fréquemment =
master, sauf si un master existe déjà


La fréquence d'advertisement est définie comme suit :
- s'annoncer toutes les advbase secondes
- la valeur de advskew permet d'affiner le délai d'annonce


Le délai de bascule est, sauf erreur :
- 3x advbase
ou
- 3x advbase + distortion de advskew
En tout état de cause plus le advbase est élevé et plus le délai de
bascule le sera également.



Ensuite, pour récupérer le mastership après une bascule, c'est géré
par la Preemption.

Scénario 1, sans preemption.
Machine A, advbase 1, advskew 20
Machine B, advbase 1, advskew 40

Machine A tombe, Machine B devient master.
Machine A revient, Machine B reste master.


Scénario 2, avec preemption.
Machine A, advbase 1, advskew 20, preempt
Machine B, advbase 1, advskew 40, preempt (ou pas)

Machine A tombe, Machine B devient master.
Machine A revient, Machine A preempt l'actuel master parce que son
advbase + advskew est plus faible.



Le man de ucarp documente (mal) le flag -P , qui touche à la preemption :
http://manpages.ubuntu.com/manpages/zesty/man8/ucarp.8.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [JOBS] Orange recrute un admin réseau

[Damien Fleuriot]

2017-01-11 22:29 GMT+01:00 Alarig Le Lay <ala...@swordarmor.fr>:
> On Wed Jan 11 20:59:04 2017, Damien Fleuriot wrote:
>> Le salaire est, mécaniquement, fonction de tout un tas de paramètres
>> et notamment les compétences, l'expérience et la maturité du candidat.
>> Par maturité j'entends l'aptitude à s'intégrer rapidement dans un
>> nouvel environnement, la facilité à communiquer, la diction...
>
> Matin,
>
> Qu’est-ce que la diction a à foutre là-dedans ?
>

Si tu préfères avoir des gens incompréhensibles dans ta boîte libre à
toi hein :)

Encore une fois, chacun voit midi à sa porte.

En ce qui me concerne ça fait partie -entre autres- des points bonus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [JOBS] Orange recrute un admin réseau

[Damien Fleuriot]

2017-01-10 11:28 GMT+01:00 Laurent :
> Le 10/01/2017 à 11:19, Olivier Cochard-Labbé a écrit :
>> Si elle vient pour un job uniquement alimentaire, ce n'est peut-être
>> pas le bon job.
>
> On est d'accord.
> Mais cette info fait aussi partie de l'équation.. alors la masquer,
> c'est juste de l’hypocrisie institutionnalisée.
>
> Mais ceci étant dit, je n'avais pas vraiment l'intention d'ouvrir la
> boite de Pandore.. les quelques réponses faites me "suffisent" ;)
>

Libre à toi d'avoir ton point de vue et appeler ça de l'hypocrisie.


Pour ma part j'appelle ça du bon sens.

Le salaire est, mécaniquement, fonction de tout un tas de paramètres
et notamment les compétences, l'expérience et la maturité du candidat.
Par maturité j'entends l'aptitude à s'intégrer rapidement dans un
nouvel environnement, la facilité à communiquer, la diction...

Sans parler des plus; le candidat parle plusieurs langues ?
Parce que les tickets au JTAC y a encore quelques années c'était
exclusivement en anglais, pas sûr que ça ait changé ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [!!Mass Mail][FRnOG] [TECH] Petit routeur pour remplacer netscreen

[Damien Fleuriot]

2015-08-21 11:34 GMT+02:00 Mattieu Baptiste mattie...@gmail.com:

 2015-08-21 10:55 GMT+02:00 Olivier Cochard-Labbé oliv...@cochard.me:

 Salut,

  4860 (4 cœurs, 6 NIC). Et avec un pfSense/opnsense d'installé cela ne
 fait
  pas si root que cela. Par contre
  toutes ces nouvelles plateformes étant multi-cœurs, mettre de l'OpenBSD
  qui n'utilise que 1 cœur pour le routage/filtrage c'est un peu dommage.

 As-tu des stats prouvant cela ? D'après ce que j'ai pu lire à droite à
 gauche, et le retour d'amis, OpenBSD n'a pas à rougir question
 performances sur un APU par rapport à pfsense (ce serait même plutôt
 l'inverse).

 Par ailleurs, un gros boulot est en train d'être fait pour que la pile
 réseau d'OpenBSD (drivers, pile TCP/IP, PF, etc.) tire profit du
 multi-coeurs. C'est donc un bon choix pour l'avenir.



Faut comparer ce qui est comparable.

pfsense basé sur la branche FreeBSD 8.x = pf single threadé + global lock
Passe sur une FreeBSD 10 avec pf multithreadé et on en reparle ;)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Petit routeur pour remplacer netscreen

[Damien Fleuriot]

Si tu veux remplacer un Netscreen, tu peux partir sur du SRX, le successeur
des bons vieux SSG qui sont end of sale.

Gamme Netscreen - SSG - SRX


En plus t'auras même tes zones trust/untrust ;)

2015-08-20 16:07 GMT+02:00 fr...@noend.fr:

 Bonjour à tous,

 Je cherche un Routeur avec au moins 4 RJ, avec un port WAN ( Quand je
 parle de port WAN, je pourrais parler d’une zone untrust ou Internet. Bref
 : là ou il y a souvent une sécu prédéfini) et le reste en LAN), faisant FW
 et permettant de faire du WiFI (pour remplacer un juniper Netscreen-5GT)

 que pourriez-vous me proposer sans aller dans des marques « PME » type
 netgear.

 Cordialement
 --
 Thierry


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Petit routeur pour remplacer netscreen

[Damien Fleuriot]

Ouais non malheureusement, ils font du 3G/4G mais pas de wifi.

Sinon gogo boîtier Soekris avec pfsense.

2015-08-20 17:46 GMT+02:00 Damien Fleuriot m...@my.gd:

 T'as des modèles de SRX qui tiennent du wifi je crois hein ;)

 2015-08-20 16:53 GMT+02:00 fr...@noend.fr:

 mais de wifi  :(

 Le 2015-08-20 16:23, Damien Fleuriot a écrit :

 Si tu veux remplacer un Netscreen, tu peux partir sur du SRX, le
 successeur des bons vieux SSG qui sont end of sale.

 Gamme Netscreen - SSG - SRX


 En plus t'auras même tes zones trust/untrust ;)

 2015-08-20 16:07 GMT+02:00 fr...@noend.fr:

 Bonjour à tous,

 Je cherche un Routeur avec au moins 4 RJ, avec un port WAN ( Quand je
 parle de port WAN, je pourrais parler d'une zone untrust ou Internet. Bref
 : là ou il y a souvent une sécu prédéfini) et le reste en LAN), faisant FW
 et permettant de faire du WiFI (pour remplacer un juniper Netscreen-5GT)

 que pourriez-vous me proposer sans aller dans des marques « PME » type
 netgear.

 Cordialement
 --
 Thierry


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/







---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Petit routeur pour remplacer netscreen

[Damien Fleuriot]

T'as des modèles de SRX qui tiennent du wifi je crois hein ;)

2015-08-20 16:53 GMT+02:00 fr...@noend.fr:

 mais de wifi  :(

 Le 2015-08-20 16:23, Damien Fleuriot a écrit :

 Si tu veux remplacer un Netscreen, tu peux partir sur du SRX, le
 successeur des bons vieux SSG qui sont end of sale.

 Gamme Netscreen - SSG - SRX


 En plus t'auras même tes zones trust/untrust ;)

 2015-08-20 16:07 GMT+02:00 fr...@noend.fr:

 Bonjour à tous,

 Je cherche un Routeur avec au moins 4 RJ, avec un port WAN ( Quand je
 parle de port WAN, je pourrais parler d'une zone untrust ou Internet. Bref
 : là ou il y a souvent une sécu prédéfini) et le reste en LAN), faisant FW
 et permettant de faire du WiFI (pour remplacer un juniper Netscreen-5GT)

 que pourriez-vous me proposer sans aller dans des marques « PME » type
 netgear.

 Cordialement
 --
 Thierry


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-27 4:57 GMT+02:00 Frederic Dhieux frede...@syn.fr:



 Le 26/06/15 19:24, Michel Py a écrit :
  Moi ca fait 15 ans que j'ai commencé et pour l'instant j'ai perdu mon
 temps. En plus, les arguments comme quoi IPv6 va éliminer NAT sont not
 seulement pas étanches, mais carrément faux. Il y a plus de méthodes NAT
 pour V6 que pour v4 : NAT46, NAT64, NAT464, NAT66, et j'en oublie. C'est 2
 fois le travail et 3 fois les emmerdes. En plus de devoir administrer
 double stack, va donc poser la question suivante au blaireau qui est au
 téléphone parce qu'il peut pas accéder www.maboite.com : t'essaies
 d'accéder avec IPv4, ou avec IPv6 ?
  Euuuhhh
 

 Est-ce qu'on est vraiment obligé à un moment de faire un truc batard
 entre v4 et v6 et de translater de l'un à l'autre ? De mon côté j'ai pas
 vraiment trouvé le besoin de faire des ponts entre 2 stacks qui arrivent
 à vivre en parallèle. Après pour le debug c'est potentiellement plus
 chiant, mais à ce jour désactiver IPv6 en cas de problème règle
 rapidement et sans impact le point si on ne veut pas perdre de temps. En
 tout cas ça ne coute pas grand chose de configurer IPv6 à côté d'IPv4
 dans 95% des cas.

 Je suis intéressé d'ailleurs par la raison qui te pousse à vouloir faire
 du NAT entre les 2 du coup ?

  Damien Fleuriot a écrit :
  Concernant le fait que ce soit plus ou moins pénible que du v4,
  c'est tout bête : le v4 c'est déjà en place et maîtrisé ;)
  +1

 C'est marrant de lire ça dans un domaine en perpétuelle évolution. C'est
 un peu notre métier aussi d'appréhender les nouvelles technos et de les
 mettre en place.


Faux, fondamentalement.
C'est notre métier d'appréhender les nouvelles technos et de les *évaluer*
, tant dans les gains techniques et économiques qu'elles présentent, mais
aussi dans les risques.
À moins que tu MEP tout et n'importe quoi au gré des sorties, ce dont je
doute ;)

En ce qui concerne mon employeur et son business, non seulement IPv6
n'apporte aucun avantage, mais ça apporte sont lot d'emmerdes !
(géolocalisation, code métier à revoir en partie, pour ne citer que ça).

C'est aussi simple que ça, en fait.
La technologie a été évaluée, et les bénéfices -nuls- ne justifient ni le
risque, ni le coût de la mise en oeuvre.






  +1 En plus, si quelque chose foire pendant que tu fais tes mises à
  jour, c'est forcément ta faute. Pourquoi t'es allé bidouiller sur le
  réseau de prod qui marchait bien avant que tu foutes tes mains dedans

 Fais moi penser à ne jamais envoyer un CV là où tu bosses :) A ce moment
 là il ne faut jamais mettre à jour tant que ça tourne et il ne faut
 jamais rien faire évoluer...

 C'est évident aussi qu'on colle pas direct le truc sur la prod la plus
 sensible.



Avoir une vision technique c'est bien, avoir également la vision financière
ça permet de relativiser les différents sujets.

Oui, IPv6 c'est probablement bien.
Non, ça sert à rien, mais alors vraiment *strictement* à rien pour mon
employeur.
Du coup, c'est assez vite plié comme discussion...


Vous faites ce que vous voulez sur vos plateformes, mais ici en tout cas
c'est pas d'actualité, pour le moment.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-28 22:18 GMT+02:00 Stephane Bortzmeyer bortzme...@nic.fr:

 On Sat, Jun 27, 2015 at 06:34:10AM +0200,
  Pierre Lagoutte pie...@dratech.com wrote
  a message of 56 lines which said:

  C'est vrai: dual stack = deux fois plus de pb

 Alors, là, je vais faire mon vieux con, et virer Michel Py qui joue
 très mal ce rôle. Quand j'étais ingénieur réseaux (un vrai, pas un qui
 fait des PowerPoint aux réunions FRnog), sur le campus, on avait QUATRE
 protocoles différents. IPX, IPv4, Decnet (phase IV), AppleTalk. Et
 c'était avant qu'arrive Decnet phase V, totalement incompatible avec
 phase IV. Et on trouvait ça normal, et on plaignait nos collègues
 d'autres réseaux qui devaient se taper de l'IBM en prime.

 Et je me souviens d'une présentation par un commercial d'une boîte US
 peu connue qui nous présentait fièrement leur produit, un « routeur
 multi-protocoles ». (On avait avant un routeur par protocole.)

 Les jeunes d'aujourd'hui sont des bras cassés, ils paniquent à l'idée
 de gérer DEUX protocoles très proches.



C'est très paternaliste et réducteur, ce genre de discours.

Peut-être que les jeunes d'aujourd'hui sont plus pragmatiques que leurs
aînés, et refusent de perdre leur temps -en passant pour des cons au
surplus- à convaincre leur employeur d'allouer des ressources pour quelque
chose dont il n'a pas besoin.



Au nic.fr vous avez une réelle valeur ajoutée à déployer de l'IPv6, vous
déployez de l'IPv6.
Chez mon employeur, on n'a aucune valeur ajoutée à déployer de l'IPv6, on
n'en déploie pas.

J'invite les ayatollahs qui estiment que ma boîte fait partie de ceux qui
vont faire durer une supposée transition v4-v6 à :
- venir expliquer à mon employeur tous les gains qu'il va faire avec IPv6
(indice: aucun)
- venir le rassurer sur l'absence totale de problème lors de la prise en
charge d'IPv6 sur les diverses interfaces clients et APIs (des audits de
code gratuits ? venez mes amis, venez, on est preneurs)
- jeter un oeil rapide à X25 et sa phase de transition
- venir faire la mise en place eux-mêmes (gratos hein, on est entre
personnes civilisées que diable)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-29 17:28 GMT+02:00 Samuel PIRON piron.sam...@neoxis.eu:

 Sinon, pendant ce temps là, l'ARIN n'a plus que des miettes d'IPv4 à
 distribuer :


 http://www.reddit.com/r/ipv6/comments/3b5p3i/arin_just_subdivided_their_last_1718192021_and_22/

 Je cite leur blog : (http://teamarin.net/category/ipv4-depletion/)

  It is very likely that we are already processing a request that we will
 be unable to fulfill.



Quitte à jeter un pavé dans la marre, on peut se demander, légitimement, si
IBM, HP, DEC, Ford, Daymler, Apple... ont vraiment besoin de /8s

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-26 14:38 GMT+02:00 Radu-Adrian Feurdean 
fr...@radu-adrian.feurdean.net:

 On Fri, Jun 26, 2015, at 12:40, Damien Fleuriot wrote:
  Avoir des machines en full IPv6 routable, c'est les exposer sur le net,
  et devoir les firewaller une par une.

 Non et NON et *NON* !

  Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en
  coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
  doit être maintenu.

 Tu n'a pas besoin de NAT pour mettre un firewall en coupure.
 Et de memoire sur les firewalls tu peux quand-meme utilises de subnets,
 pas seulement des hosts (en v4 comme en v6 - modulo qu'en v6 utiliser
 des hosts seuls c'est rarement utile).

  Je peux me tromper

 C'est bien le cas ici.

  ce qui me concerne des machines avec des IPv6 directement exposées sans
  NAT/RP c'est un accident qui attend d'arriver.

 Rien ne t'empeche de :
  - ne pas exposer directement des machines ayant une v6 globale (*).
  comme deja preise, tu peux mettre un firewall devant.
  - mettre un RP (en v6) devant des machines toujours en v6

 (*) Faut commencer a assimiler la difference entre une adresse
 publique et une adresse globalement unique. Une adresse globalement
 unique est *generalement* publique, mais ce n'est pas du tout
 obligatoire.



J'entends bien, mais aujourd'hui, pour des raisons qui me sont antérieures,
il n'y a aucun subnet routé par les FW.
Ils assurent le NAT et le RP en v4, mais ils ne routent pas de networks.

Du coup, passer en v6, c'est :
- des changements d'infra
- des risques (erreurs d'implémentation, de manipulation pour le
changement, failles de sécu en v6 (rtadv bonsoir) )
- beaucoup de travail pour finalement pas grand chose (et on en revient
toujours au même problème avec l'ipv6 -.- )

Faudra bien qu'on le fasse un jour hein, mais pour le moment le management
n'y voit aucun intérêt, et honnêtement côté technique non plus; que de
l'inconvénient.


En tout cas, je prends bonne note de la solution privilégiée de router des
subnets via les FW, même si c'est très différent de notre fonctionnement
d'ajd :)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-26 15:11 GMT+02:00 Frederic Dhieux frede...@syn.fr:



 Le 26/06/15 14:52, Samuel Thibault a écrit :
 
  Et en v6, tu peux mettre en place la même infra, juste le NAT en moins
  (mais garder le firewall bien sûr). Il te faut un subnet séparé
  pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé
  RFC1918. Je ne vois aucune difficulté de réflexion.

 Pareil, je capte pas où est le chamboulement, mettre une intero v6
 publique comme il y a l'IP publique v4 et mettre un subnet public routé
 v6 à la place d'un subnet v4 RFC1918 et faire du routage firewallé au
 lieu de faire du routage NATé (le NAT c'est un peu un routeur firewall
 avec des règles de translation d'IP quand même à la base non ?)

 Je suis en train de pleurer du sang à lire encore des histoires qui
 mélangent NAT et sécurité pour justifier de garder une affreuse
 rustine qu'est le NAT et de ne pas mettre IPv6.

 En gros ce qui change entre IPv4 NAT et IPv6 :
 - Le subnet interne derrière la boiboite est non translaté par le firewall
 - Le blocage des ports entrants par défaut vers le subnet interne

 On est loin d'un truc foufou... Après les mecs qui ont peur de ne pas
 bien firewaller et qui préfèrent un boitier NAT parce que si c'est pas
 bien configuré au moins rien ne fonctionne...

 Frédéric


En ce qui concerne remplacer des intercos v4 par des v6, c'est bien là le
problème, il n'y en a pas des intercos v4 actuellement.

Quant au fait de mélanger le NAT et la sécurité, pas d'amalgame, à aucun
moment je n'ai dit que le NAT était la seule solution.
Néanmoins, affirmer que le NAT ne protège pas est une erreur.

Certes il y a des alternatives -comme utiliser des intercos pour router des
préfixes- , mais le NAT apporte, d'une manière différente, un mécanisme de
protection des serveurs de backend.


J'ai l'impression que vous abordez tous le sujet du simple point de vue
d'un admin réseau, qui veut des choses propres et carrées.
Gardez à l'esprit qu'il faut composer avec l'existant et les contraintes du
métier; en d'autres termes, on n'a pas toujours le choix.

Je peux vendre à mon employeur 15 jours homme pour tot remettre au
propre dans les whatmille projets, ou 0 jours homme pour conserver
l'existant mais pas d'IPv6.
Vous pensez bien que la discussion va aller assez vite... et pas
nécessairement dans mon sens.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-26 15:20 GMT+02:00 Samuel Thibault samuel.thiba...@ens-lyon.org:

 Damien Fleuriot, le Fri 26 Jun 2015 15:13:16 +0200, a écrit :
  Pour le contexte vis-à-vis de l'existant :
 
  [ router ] pub
|
  [ FW ] pub + 1918
|
  [ lb ] 1918
|
  [ web ] 1918

 Et donc:

 [ router ] 2001:db8:0:1::1/64
   |
 [ FW ] 2001:db8:0:1::2/64 + 2001:db8:0:2::2/64
   |
 [ lb ] 2001:db8:0:2::3/64
   |
 [ web ] 2001:db8:0:2::x/64

 Je ne vois pas de difficulté de conception: on fait comme l'existant,
 juste du NAT en moins.


Dans ce scénario et attendu que le firewall se retrouve en effet en point
de coupure, quel est l'intérêt d'avoir des serveurs de backend en v4+v6,
quand ils pourraient être en simple v4 ?

Ça permet d'éviter le NAT, tant valable techniquement, ne sera pas
accepté économiquement, ça représente mécaniquement un coût.
J'entends qu'il s'agit d'un coût faible, mais appliqué à chacun de nos
projets et chacune des machines, ça va chiffrer assez vite.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-26 13:29 GMT+02:00 Samuel Thibault samuel.thiba...@ens-lyon.org:

 Damien Fleuriot, le Fri 26 Jun 2015 13:05:43 +0200, a écrit :
  Parce que pour que le firewall fasse office de point de coupure, encore
  faut-il que les bécannes qui sont derrière ne soient joignables que via
 ce
  dernier ?
 
  Router : 2001::1
  FW : 2001::2
 
  Web1 : 2001::a
  Web2 : 2001::b

 Ah mais tu veux dire que ton réseau Web1/Web2 est branché directement
 sur le routeur, et que c'est juste par chance que le trafic, en v4,
 passe par ton Firewall ? Ben c'est effectivement là qu'est le problème,
 mais c'est un problème de réseau de base, pas de v6 (ou plutôt, c'est
 vraiment très artificiel que NAT te corrige le problème).

  À moins de subnetter, 2001::a est joignable directement via 2001::1 , le
  firewall n'agit pas en point de coupure.

 Heu, ben bien sûr qu'il faut que tu aies des sous-réseaux différents
 entre ce qui est devant ton firewall et ce qui est derrière. Rien de
 nouveau, c'est comme avec le NAT, sauf qu'il n'y a pas de NAT, juste un
 firewall.

  Personnellement ça me semble assez chiant à mettre en place (on en
 revient
  au rapport pénibilité-bénéfice d'ipv6 du coup).

 Je ne vois pas en quoi c'est plus pénible que ce que tu as déjà en
 v4.


Non c'est pas par chance, c'est fait pour, c'est le NAT et le mécanisme de
reverse-proxy qui assurent ça.
En gros ici, on n'a pas de réseau routé par les firewalls.
Ils accueillent une /27 et soit ils NAT, soit ils forward les paquets aux
reverse-proxies qui ont des IPs RFC1918.

Concernant le fait que ce soit plus ou moins pénible que du v4, c'est tout
bête : le v4 c'est déjà en place et maîtrisé ;)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-26 12:49 GMT+02:00 Raphael Mazelier r...@futomaki.net:



 Le 26/06/15 12:40, Damien Fleuriot a écrit :

 Je trouve ça très réducteur, le propos sur le NAT.

 Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et
 devoir les firewaller une par une.
 C'est chiant à maintenir, très chiant.

 Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en
 coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
 doit être maintenu.


 Je peux me tromper, vous avez peut-être des solutions alternatives, mais
 en
 ce qui me concerne des machines avec des IPv6 directement exposées sans
 NAT/RP c'est un accident qui attend d'arriver.


 Comme déjà évoqué, rien ne t’empêche de réserver une plage ipv6 que tu
 n'annonce pas dans la DFZ ou que tu drop en entrée de tes routeurs de
 bordure.

 Le Nat n'a jamais été conçu pour être un mécanisme de sécurité. Cela a
 crée un semblant de sécurité du fait des architectures mise en place pour
 contourner le manque d'ipv4. L'architecture courante étant tout les
 serveurs en rcf1918 derrière un firewall, ip publiques portés par le
 firewall et nat sélectif. Une architecture qui marche jusqu’à un certain
 point.



Une approche qui se défend, mais à ce compte là est-ce qu'il y a vraiment
un intérêt à utiliser des IPv6 sur ses serveurs de backend ?

Dans ce genre de scénario, si je comprends bien, tu dois toujours avoir un
équipement qui fait office de reverse proxy (qui lui est annoncé et
joignable).
Cet équipement pourrait tout aussi bien continuer à parler aux backends en
v4, limitant les modifications d'infra.

On en arrive à un stade hybride où l'équipement doit pouvoir parler en v4
et en v6, mais de toutes façons on sera bien obligés de conserver la
compatibilité v4 temporairement le temps de la transition.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

Je trouve ça très réducteur, le propos sur le NAT.

Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et
devoir les firewaller une par une.
C'est chiant à maintenir, très chiant.

Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en
coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
doit être maintenu.


Je peux me tromper, vous avez peut-être des solutions alternatives, mais en
ce qui me concerne des machines avec des IPv6 directement exposées sans
NAT/RP c'est un accident qui attend d'arriver.


2015-06-25 10:49 GMT+02:00 Nicolas Parpandet n...@1g6.biz:



 Hello,

 Cela existe depuis longtemps, plusieurs groupes français
 ont un bloc interne qui à été retenu avant la RFC1918. (ex: le 126.),
 mais c'est galère, une partie de yahoo est injoignable par exemple !, et
 du routage spécifique à du être mis en place...

 Chez nous on est full ipv6 depuis 2007, mais quand je vois que le nat ipv6
 est en cours d'ajout dans le noyaux linux, ca me fait mal lol...

 Nicolas


 - Mail original -
 De: Stephane Bortzmeyer bortzme...@nic.fr
 À: Simon Morvan gar...@zone84.net
 Cc: frnog@frnog.org
 Envoyé: Jeudi 25 Juin 2015 10:35:27
 Objet: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser
 des adresses déjà allouées

 On Thu, Jun 25, 2015 at 10:23:37AM +0200,
  Simon Morvan gar...@zone84.net wrote
  a message of 33 lines which said:

  C'est pour un usage strictement interne et privé, derrière les IPs
  publiques légalement utilisables, on est bien d'accord ?

 Mais cela empêche toute communication avec les boîtes qui ont
 l'allocation légitime, et cela va faire des cauchemars à déboguer. Les
 cinglés d'IPv4 sont prêts à toutes les horreurs pour éviter la
 solution simple de passer à IPv6 (on n'est pas vendredi ?)


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-26 12:56 GMT+02:00 Simon Morvan gar...@zone84.net:



 Le 26 juin 2015 12:40:54 CEST, Damien Fleuriot m...@my.gd a écrit :
 Je trouve ça très réducteur, le propos sur le NAT.
 
 Avoir des machines en full IPv6 routable, c'est les exposer sur le net,
 et
 devoir les firewaller une par une.
 C'est chiant à maintenir, très chiant.
 
 Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall
 en
 coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
 doit être maintenu.

 Si t'as un firewall en coupure, je vois pas pourquoi tu as besoin de nat
 pour protéger toutes les machines derrière avec un ruleset unique.


Parce que pour que le firewall fasse office de point de coupure, encore
faut-il que les bécannes qui sont derrière ne soient joignables que via ce
dernier ?

Router : 2001::1
FW : 2001::2

Web1 : 2001::a
Web2 : 2001::b

À moins de subnetter, 2001::a est joignable directement via 2001::1 , le
firewall n'agit pas en point de coupure.

Personnellement ça me semble assez chiant à mettre en place (on en revient
au rapport pénibilité-bénéfice d'ipv6 du coup).


Ou alors j'imagine des solutions bien compliquées, et il y a beaucoup plus
simple qui ne me vient pas à l'esprit ;)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

[Damien Fleuriot]

2015-06-26 14:52 GMT+02:00 Samuel Thibault samuel.thiba...@ens-lyon.org:

 Damien Fleuriot, le Fri 26 Jun 2015 14:41:25 +0200, a écrit :
  Non c'est pas par chance, c'est fait pour, c'est le NAT et le mécanisme
 de
  reverse-proxy qui assurent ça.

 Heu, mais si tu envisages de brancher tes Web1 et Web2 directement
 sur le routeur, je suppose que c'est parce qu'ils sont en fait sur le
 même réseau que dehors le firewall ? Et donc que tu as un souci L2
 déjà, et que c'est juste par chance que ça n'est pas percé.

 Sinon, si tu as déjà deux L2 séparés pour en-dehors du firewall
 et en-dedans du firewall, eh bien il faut deux subnets, oui. Rien de
 nouveau, c'est ainsi en v4 depuis le début :)

  En gros ici, on n'a pas de réseau routé par les firewalls.
  Ils accueillent une /27 et soit ils NAT, soit ils forward les paquets aux
  reverse-proxies qui ont des IPs RFC1918.

 En v6 ils peuvent router (et firewaller) plutôt que NATer, je ne vois
 pas la difficulté. Si tu veux vraiment, tu peux NATer en v6, mais je
 n'y vois pas d'intérêt par rapport à un bête firewall.

  Concernant le fait que ce soit plus ou moins pénible que du v4, c'est
 tout bête
  : le v4 c'est déjà en place et maîtrisé ;)

 Et en v6, tu peux mettre en place la même infra, juste le NAT en moins
 (mais garder le firewall bien sûr). Il te faut un subnet séparé
 pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé
 RFC1918. Je ne vois aucune difficulté de réflexion.



Pour le contexte vis-à-vis de l'existant :

[ router ] pub
  |
[ FW ] pub + 1918
  |
[ lb ] 1918
  |
[ web ] 1918


Ici router et FW sont dans la même /27, et sont les seuls à avoir des IPs
publiques.
LB et web ont des IPs RFC1918.

Gardez bien en tête qu'il faut composer avec l'existant.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Routeur pour PME

[Damien Fleuriot]

+1 pour pfsense, et également pour les junip SRX 2x0.

PFSense + facile à appréhender, CLI junip très sympa à l'utilisation.

2015-01-20 13:02 GMT+01:00 Sylvain Busson sbu12...@gmail.com:

 Juniper SRX 2x0 c'est scalable manque plus que le café.
 Et en prime t'as un switch.
 SBU

 - Original Message - From: Guillaume Tournat 
 guilla...@ironie.org
 To: Alexis Lameire alexis.lame...@gmail.com
 Cc: frnog-t...@frnog.org
 Sent: Tuesday, January 20, 2015 12:00 PM
 Subject: Re: [FRnOG] [TECH] Routeur pour PME



 FortiGate (firewall Fortinet) ça le fait.
 Pleins de modèles pour trouver la combinaison nécessaire.


  Le 20 janv. 2015 à 10:59, Alexis Lameire alexis.lame...@gmail.com a
 écrit :

 Bonjour,

 Dans le cadre d'une PME, on cherche à remplacer le routeur principale du
 réseau.

 Celui-ci doit pouvoir faire :
 - Vlan
 - Firewall basique (filtrage par port, NAT et restriction entre VLAN)
 - DHCP
 - Relais DNS (si possible pouvoir gérer les nom interne aussi)
 - FailOver basique (si une ligne tombe internet tombe, switcher sur
 l'autre)
 - PPPoE
 - 3 pattes minimum
 - rackable ou non, peut importe


 Après mon retour d'expérience sur plusieurs équipements, je ne peut
 conseiller OpenWRT, en éffet sur deux matèriel physique différent j'ai
 rencontrer des bugs aléatoire malgré une conf correcte (vlan foireux,
 routing qui déconne, port non détecter, ...)

 Que peut t’ont suggérer dans ce cas là :
 - Cisco ? Juniper and Co ? mais à quel prix ? dans le cadre d'une PME
 ceci n'est pas négligeable
 - PFsense : des gens ont du retex dessus ?
 - TPLINK, DLink Netgear ? des truc orienté PME qui feraient le boulot ?
 - Du matériel d'occasion ?

 Cordialement
 Alexis Lameire


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/



 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le Marais

[Damien Fleuriot]

On 15 Jul 2013, at 17:44, Yann Vercucque yann.vercuc...@gmail.com wrote:

 J'ai saigné des yeux Ma prof de français c'est d'ailleurs éventrée !
 

S'est ...

;)

 Bref Bonne journée !
 
 Yann,
 
 Le 15 juil. 2013 à 15:25, J34n K3v1n j34nk3...@gmail.com a écrit :
 
 Bjr
 
 Dsl si je répon a coter, ms je conpren pas le raport ac le marai, pke le
 marai c pr les homo, non??? Alor cé koi le raport ac le résaeu?? Mdrr
 TT facons la loi est passé, alor les homo sont plu interdi, alor pk vs en
 parlait?? Mn pére aréte pas de geuler sur eux, il dit ke les homo c kom les
 musulman, c tous des arabes. MTR il fé pa la diférence, sa a rien a
 voir lol!!
 
 Lol,vs aussi vs étes en vacance pr postait au temps??
 
 
 Le 15 juillet 2013 14:29, Alain Richard alain.rich...@equation.fr a écrit
 :
 
 Mouais !
 
 
 Avec très peu de recherche :
 
 http://www.placenet.fr/peering
 https://www.peeringdb.com/private/participant_view.php?id=2738
 
 et si ses enregistrements en peeringdb sont à jour, les ressources qu'il
 veut conserver sont :
 
 AS39117
 194.79.48.0/22
 2001:67c:1200::/46
 
 Il semblerait que ni AS39117, ni 194.79.48.0/22 ne soient déclarés dans
 la base RIPE. 194.79.48.0/22 tombe dans une plage du RIPE pour les
 attributions PI, mais aucune réservation n'est faite.
 
 
 Il est tout à fait possible de souscrire un cadre contractuel avec un LIR
 Français pour le maintient de ces ressources pour un budget très
 raisonnable (~200-300€/an), si le RIPE veut bien encore accepter
 d'attribuer ces ressources à placenet.
 
 Quelques remarques :
 
 - cet acteur est en conflit avec le RIPE probablement pour des raisons
 idéologiques et non commercial (le cout de je parle pas anglais, ou ils
 veulent me taxer des milliers d'euros, n'est que de la poudre aux yeux,
 car comme indiqué ci-dessus, il est très simple de contractualiser avec un
 LIR Français et cela ne coûte que quelque centaines d'euros).
 - je suppose que de toute façon ces ressources ne valent pas grand chose
 aux yeux de cet acteur car sinon il ne prendrait pas autant de risque de
 les perdre pour une somme si faible.
 - le lancement de cette discussion, en cachant les données réelle et le
 sujet réel, est donc une simple volonté de troll.
 
 Et si cet un acteur veut repartir vers la vraie liberté, ou tout est
 gratuit (concept plutôt utopique, car la gratuité n'existe pas), il peut
 tout à fait le faire en créant un Internet bis (il pourra alors gérer
 toutes les adresses IPv4 et IPv6 qu'il veut, et même devenir ARIN et RIPE
 pour ses petits copains qui voudrons faire de même).
 
 Internet aujourd'hui est une économie de plusieurs centaines de milliard
 d'euros. C'est un fait.
 
 
 Donc sur le fond, si vous souhaitez taper sur la tête du RIPE, annoncez le
 franchement, et avec le cas échéant des arguments et propositions
 constructives.
 
 Si vous souhaitez conserver des ressources dévolues au RIPE, entrez dans
 la cadre contractuel nécessaire.
 
 Si vous n'êtes pas d'accord avec la régulation existant, participez à sa
 réforme ... ou faites la révolution !
 
 A+
 
 
 
 Le 11 juil. 2013 à 22:38, frederic frede...@placenet.org a écrit :
 
 Le 11/07/2013 21:23, Tristan Mahé a écrit :
 Cela aurait été intéressant d'avoir la classe d'IP en question pour
 savoir d’où elles proviennent et pouvoir te répondre.
 
 En me basant sur celle de ton site internet et de ton MX, je tombe sur
 des ips attribuées à OVH.
 
 Sinon, relis bien le mail de Radu, qui t'as bien expliqué qu'un EndUser
 ( toi ), n'as pas à devenir LIR mais bel et bien souscrire un contrat
 avec un LIR pour la gestion de ses IPs...
 ( tu souscrit un contrat avec LIR qui lui as son contrat avec le RIPE
 pour tes allocations de ressources ).
 
 Ce qui as bien du se passer lorsque tu as reçu ton allocation IP/AS il y
 a des années...
 Il y a une époque , il n'y avait aucun contrat avec le LIR, le LIR avait
 un statuts pour distribuer des Ips et elles n'étaient soumises à aucune
 contrainte contractuelle, surtout les P.I.
 
 le seul qui était lié au RIPE etait le LIR. L' apparition du contrat
 pour les adresses Ips est récente et il y a mainteant des mentions
 obligatoires minimum à mettre en place pour LIR envers le Enduser qui
 n'existaient pas avant.
 
 la chaine contractuelle avant:
 
 RIPE -- LIR.
 maintenant :
 RIPE - LIR - EU. la version RIPE - EU a été présente quelques
 temps mais a été supprimé très rapidement.
 
 RIPE - LIR - EU. ce contrat juridique n'est qu'au profit de L'ICANN et
 uniquement celui-ci.
 
 Quand tu es EU et tu n'as et avait aucun contrat (quelques soient la
 cause de bonne foi), et que tu sais que les contrats ne sont pas dans
 ton intérêt et que tu n'as pas ton mot à dire la dessus sauf celui de
 banquer. Ton seul intérêt est de refuser de signer le contrat qu'on te
 présente pour combler la lacune d' avant de la seule et unique
 responsabilité du RIPE.
 
 Le service qui est sous-jacent à ce paiement est: tu peux garder ton
 bloque IPs (autorité conscensuelle) dont 

Re: [FRnOG] [MISC] Le Marais

[Damien Fleuriot]

On 9 Jul 2013, at 19:41, frederic frede...@placenet.org wrote:

 
 
 1/ en passant par un sponsoring LIR tu auras juste à louer les IPs au 
 sponsoring LIR, pas de signup fee ni de recurring avec le RIPE NCC.
 
 Mais un loyer à regler au LIR.
 
 
 2/ en t'inscrivant en LIR tu ne payes pas 3.8k + 3.35 + 2.9 + 2.45 
 récurrents, tu payes X, Y, Z ou W en fonction du moment de l'année où tu 
 t'inscrits.
 Ensuite les 2k initiaux disparaissent, c'était le prix one-shot pour 
 l'inscription
 oui, j'ai mal repris le tableau. mais c'est de toute façon 1800 euros
 /an en suivant + un tarif par ressource.
 
 
 3/ qu'est-ce que tu racontes à propos de l'absence de garanties ?
 Un service doit avoir un minium de garanti. celui n'a aucune garantie.
 
 
 4/ pour finir, si tes IPs ne sont pas allouées au RIPE, qu'est-ce que t'es 
 encore en train de parler avec eux ?
 Dis leur que ça t'a bien fait rigoler mais que maintenant t'as du travail.
 Perso j'me vois mal me faire menacer par Bouygues de couper ma ligne SFR.
 c'est ce que j'ai fais dans un premier temps.
 Mais il revenait à la charge sans cesse et ont envoyé un mail à de
 nombreux peers nous concernant. Rendant publique une discussion privée.
 

Si tu peux prouver que les IPs te sont bien allouées et qu'elles ne sont 
allouées ni au RIPE, ni a l'ARIN, ni a aucun autre RIR, t'as plus qu'à envoyer 
ces documents a tes peers et transits, et le RIPE aura plus qu'à pleurer.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Quelqu'un de chez Online sur la ml ?

[Damien Fleuriot]

J'ai une idée tu vas trouver ça fou...

Si tu voyais directement avec Online ?

Ils ont un système de ticketting, tu vas a-do-rer.
Ils ont aussi un téléphone et un serveur IRC, si t'es plus années 90.

Y a déjà assez de bruit à filtrer tous les jours ici.
On Jul 1, 2013 10:25 PM, Guillaume Hilt gh...@shadowprojects.org wrote:

 C'est pour du perso, désolé pour les autres.

 Un pote sysadmin a (au moins) 2 serveurs persos chez Online.
 Il a demandé la résiliation d'un des 2 serveurs et les 2 l'ont été.

 Le second étant une machine de backup, il a perdu toutes ses données (pas
 de backup offline :\).
 Le support lui a répondu que tout avait déjà été effacé.

 L'effacement à J+1 me surprend, je pense plutôt que le SC n'a pas envie de
 se prendre la tête.

 --
   Guillaume Hilt


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Auto hébergement

[Damien Fleuriot]

On 30 Jun 2013, at 00:34, alarig ala...@swordarmor.fr wrote:

 Le 29/06/2013 21:05, car...@akposso.com a écrit :
 l’idéal est de te faire  héberger chez OVH ou Iliad pour 155ttc pour
 un lien 1G/s Serveur dédié EG 64G Reloaded
 (OVH):http://www.ovh.com/fr/serveurs_dedies/eg_64g.xml  et dedibox :
 http://www.online.net/fr/serveur-dedie/dedibox-pro.
 Heu non, clairement pas. Ils te coupent ton serveur dès que tu fais un
 truc qu'il ne veulent pas (genre tor, torrent, etc). Et aussi, saviez
 vous que OVH a une clé SSH vers le root sur chacun de leurs serveurs ?
 

Déjà c'est écrit en gros a l'install et ça se décoche.

Ensuite tu peux supprimer leur clé pub.

Et pour finir, tu autorises le rootlogin toi ?


Quant a couper la box pour telle ou telle utilisation, suffit de lire les CGV.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Du monde chez Numéricable

[Damien Fleuriot]

Quand tu vends du coax et de la fibre c'est pas très difficile de te classer en 
moyenne au dessus de fournisseurs dont 98% de la population est en aDSL...

Y a une sorte d'impact... léger hein mais qui finalement se fait ressentir dans 
les graphs.


Autre info flash, plus de 90% des abonnés RTC ne dépasseraient pas les 100mb/s 
de et vers les interwebs.

Également et d'après des sondages tout neufs, 100% des gagnants du loto ont 
tenté leur chance.


--
Captain Obvious

On 17 Jun 2013, at 16:48, Bruno CAVROS / SKIWEBCENTER br...@skiwebcenter.fr 
wrote:

 Mine de rien Numéricâble se classe super bien : 
 
 http://www.google.com/publicdata/explore?ds=e9krd11m38onf_ctype=lstrail=fa
 lsebcs=dnselm=hmet_y=download_throughput_maxscale_y=linind_y=falserdim
 =country_ispidim=country_isp:250_12844:250_16028:250_12322:250_12566:250_16
 276:250_21502ifdim=country_isp:country:250tstart=129530520tend=135846
 360hl=en_USdl=en_USind=falseicfg#!ctype=lstrail=falsebcs=dnselm=h
 met_y=network_limitedscale_y=linind_y=falserdim=country_ispidim=country
 _isp:250_12844:250_16028:250_12322:250_12566:250_16276:250_21502ifdim=count
 ry_isp:country:250tstart=129530520tend=135846360hl=en_USdl=en_US
 ind=false
 
 Je vous laisse deviner le dernier...
 
 
 -Message d'origine-
 De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de
 Gunther Ozerito
 Envoyé : lundi 17 juin 2013 11:56
 À : Jérémy Martin
 Cc : frnog-t...@frnog.org
 Objet : Re: [FRnOG] [TECH] Du monde chez Numéricable
 
 Le 16 juin 2013 23:23, Jérémy Martin li...@freeheberg.com a écrit :
 
 
 Est ce que quelqu'un du NOC Numéricable peut me contacter au sujet d'un
 problème de qualité vers notre AS ?
 Numéricable, problème de qualité ? Coincidence ?
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ethtool et carte Ethernet 1000mbps

[Damien Fleuriot]

Twisted pair = paire torsadée = du câble RJ45


Pour le reste j'ai absolument rien compris à ton mail alors je m'aventure pas à 
répondre.


On 9 Jun 2013, at 01:08, ashemta ochenta ashe...@hotmail.fr wrote:

 Bonjour,
 
 que veut dire le Port: Twisted Pair ?  es un compatible avec le 1Gbps?
 
 comment devenir maître par rapport au switch
 
 Rappel: je n'est pas accès a la machine ni au switch ni au câble qui le 
 relie. uniquement en SSH etc...
 
 ethtool eth0
 Settings for eth0:
Supported ports: [ TP ]
Supported link modes:   10baseT/Half 10baseT/Full
100baseT/Half 100baseT/Full
1000baseT/Full
Supports auto-negotiation: Yes
Advertised link modes:  10baseT/Half 10baseT/Full
100baseT/Half 100baseT/Full
1000baseT/Full
Advertised pause frame use: No
Advertised auto-negotiation: Yes
Speed: 100Mb/s
Duplex: Full
Port: Twisted Pair
PHYAD: 1
Transceiver: internal
Auto-negotiation: on
MDI-X: off
Supports Wake-on: pumbg
Wake-on: g
Current message level: 0x0001 (1)
Link detected: yes
 
 Cordialement,
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 6888: Common requirements for Carrier Grade NATs (CGNs)

[Damien Fleuriot]

On 1 May 2013, at 22:15, erik.lin...@accenture.com wrote:

 les CGN [...] sont d'ores et déjà une réalité douloureuse dans de nombreux 
 pays d'Asie et peut-être demain sur d'autres continents
 La contamination a déjà commencé: j'en ai croisé en prod avec pas mal de 
 clients en Allemagne chez 2 operateurs, et bientôt aux pays bas, suisse et 
 d'autres...
 

Chacun voit les choses comme il veut, moi je vois plus une évolution logique 
pour étendre la durée de vie des v4 face a un déploiement encore trop faible 
des v6...

Comme personne joue le jeu faut bien des palliatifs...


 erik
 -Original Message-
 From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of 
 Stephane Bortzmeyer
 Sent: mercredi 1 mai 2013 11:04
 To: frnog-t...@frnog.org
 Subject: [FRnOG] [TECH] RFC 6888: Common requirements for Carrier Grade NATs 
 (CGNs)
 
 http://www.bortzmeyer.org/6888.html
 
 
 
 Auteur(s) du RFC: S. Perreault (Viagenie), I. Yamagata, S. Miyakawa (NTT 
 Communications), A. Nakagawa (Japan Internet Exchange (JPIX)), H. Ashida (IS 
 Consulting G.K.)
 
 
 
 
 
 Qu'on les approuve (ce qui n'est pas mon cas) ou pas, les CGN, ces gros 
 routeurs NAT installés dans le réseau du FAI et gérant des centaines ou des 
 milliers de clients, sont d'ores et déjà une réalité douloureuse dans de 
 nombreux pays d'Asie et peut-être demain sur d'autres continents. Pour 
 limiter les dégâts qu'ils causent, ce RFC 6888 pose un certain nombre de 
 règles que *devraient* respecter ces CGN.
 
 D'abord, qu'est-ce qu'un CGN ? Fonctionnellement, il ressemble au petit 
 routeur NAT (RFC 2663) que vous avez chez vous. Comme lui, il fait du NAPT 
 (Network Address and Port Translation), c'est-à-dire qu'il traduit 
 dynamiquement des adresses IP du réseau interne vers celles utilisées à 
 l'extérieur (et vice-versa pour les paquets dans l'autre sens). La grosse 
 différence avec le petit routeur ou box chez vous est qu'il travaille pour 
 de nombreux clients du FAI. Au lieu que l'adresse IP externe soit partagée 
 uniquement entre les membres de votre cercle de famille, elle sera partagée 
 avec des centaines d'inconnus.
 
 Avec le CGN, il y a souvent « double NAT », une fois dans le CPE et une fois 
 dans le CGN. Mais ce n'est pas obligatoire. Lorsqu'il y a double NAT, on 
 parle souvent de NAT444 http://www.bortzmeyer.org/nats.html
 (deux traductions, d'IPv4 en IPv4).
 
 Sur cette image, on voit
 du double NAT. Un FAI gère un CGN. Les adresses IP publiques du FAI, allouées 
 par son RIR sont ici 198.51.100.0/25. Ce sont celles qui seront vues, par 
 exemple, par les sites Web où se connectent les clients du FAI. Le FAI n'a 
 pas assez d'adresses IP publiques pour son réseau interne et il utilise donc 
 le 10.0.0.0/8 du RFC 1918. Prenons maintenant le client 1 : son réseau local 
 a des adresses dans la plage 192.168.3.0/24. Les paquets seront donc émis 
 avec ces adresses, NATés une première fois par la machine CPE 2, vers 
 l'adresse 10.0.5.22. Ils seront ensuite NATés une seconde fois par le CGN.
 
 Le CGN a des conséquences, par exemple dans le domaine légal (vous pourrez 
 voir les agents de la HADOPI débarquer chez vous parce qu'un autre 
 utilisateur du même CGN a téléchargé illégalement, cf. RFC 6269).
 Et cela limite sérieusement les activités que vous pourrez avoir sur 
 l'Internet. Par exemple, un moyen courant d'accepter les connexions 
 entrantes, normalement interdites par le NAPT, est de configurer sa box 
 pour rediriger tel numéro de port vers tel service sur le réseau local (par 
 exemple pour faire fonctionner des applications pair-à-pair 
 http://www.bortzmeyer.org/emule-ports-linux.html). Le routeur CGN étant 
 partagé entre de nombreuses personnes qui ne se connaissent pas, cela n'est 
 plus possible. Contrairement au routeur NAT à la maison, le CGN n'est *pas* 
 géré par les abonnés, qui ne peuvent pas modifier sa configuration.
 
 D'autre part, la simple taille du CGN en fait un engin compliqué et fragile, 
 et sa panne affecte bien plus de clients que le redémarrage d'une box. 
 Enfin, ayant moins de ports sources à sa disposition par client, par rapport 
 au routeur de la maison ou du SOHO, il risque plus souvent de tomber à cours, 
 si les clients font beaucoup de connexions sortantes.
 
 Mais, alors, pourquoi met-on des CGN ? Juste pour embêter les clients ?
 En fait, les FAI n'ont pas forcément beaucoup le choix. La pénurie d'adresses 
 IPv4 http://www.bortzmeyer.org/epuisement-adresses-ipv4.html, bien que niée 
 par beaucoup de négationnistes, est réelle depuis de nombreuses années. Par 
 exemple, cela fait longtemps qu'on ne peut plus avoir une adresse IP par 
 machine à la maison. Mais, jusqu'à récemment, on pouvait encore avoir une 
 adresse IP publique par foyer. Désormais, l'espace d'adressage IPv4 
 disponible se resserrant chaque jour, ce n'est même plus le cas. S'il n'y a 
 pas d'adresse IPv4 publique disponible pour chaque 

Re: [FRnOG] [TECH] Coupure de peering entre Free et Numericable ?

[Damien Fleuriot]

On 8 Mar 2013, at 14:27, Michel Luczak mic...@luczak.fr wrote:

 
 On Mar 8, 2013, at 2:20 PM, Sylvain Vallerot sylv...@gixe.net wrote:
 
 C'est quoi cette obligation de résultat (ref needed)  ?
 
 Jurisprudence de 2007 apparemment
 
 
 http://www.droit-technologie.org/actuality-1145/l-acces-internet-une-obligation-de-resultat-pour-les-fai.html
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


Dans le mille ;)

En province sur du dégroupage partiel à 2km du NRA une de mes lignes Free 
plafonne à 60-70ko/s la où 2 ans auparavant on faisait 400-600ko.

Il y a de toute évidence un problème et qu'on ne vienne pas me dire que c'est 
la ligne...

Dans ce genre de cas il est tout à fait possible de mettre l'opérateur en 
demeure de remédier à la situation en évoquant:
- la dégradation incontestable du service
- le décalage entre l'offre telle que présentée, et le résultat obtenu


Notez que je parle ici d'une ligne pour un petit bureau, pas de télé, pas de 
téléphonie, juste la data.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Mieux que l'HADOPI, Free !

[Damien Fleuriot]

On 5 Jan 2013, at 18:41, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote:

 
 Le 5 janv. 2013 à 23:09, Ben Carrier ben.carrie...@gmail.com a écrit :
 
 
 
 2013/1/5 Kavé Salamatian kave.salamat...@univ-savoie.fr
 
 Non. Le client n'à pas explicitement demandé la pub (du moins dans sa 
 requête initiale). C'est le serveur qui au moment de renvoyer le contenu de 
 la page lui passe une URL à télécharger.
 
 
 A ce petit jeu là il faut aussi bloquer les images, les scripts, le flash, 
 bref tout ce qui n’était pas contenu dans la page de la requête initiale. Ça 
 va être beau…
 
 Oui mais les images, et le contenu qui l'intéresse il(l'utilisateur) l'a 
 demandé. Mais certains flashs bling-bling qui consomme du CPU et ne sont pas 
 utile non.
 

Ce n'est pas au fournisseur d'accès de faire la police sur les contenus 
affichés à l'utilisateur.

Son rôle c'est de fournir un accès au réseau.

Sinon ils deviennent fournisseur de contenu, et à partir de la ils deviennent 
*responsables* de ce à quoi les gens accèdent; responsabilité qu'ils font tout 
pour éviter.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le bal est ouvert : c'est parti pour les offres de rachat d'adresses IP

[Damien Fleuriot]

2012/10/24 Laurent CARON lca...@unix-scripts.info:
 On 24/10/2012 14:05, Baptiste Malguy wrote:

 Depuis ce matin, déjà deux méls (un d'origine francophone, l'autre
 anglophone) pour nous racheter des adresses IPv4.

 J'ose à peine imaginer chez les copains.

 A vos calculettes ;-)


 Hello,

 Toi aussi tu as reçu un mail de Vincent.P qui offre 5€/IPv4 ? ;)



Huhu, déjà le prix proposé est ridicule (5e par IP, sans rire), et
ensuite ça sent le mec qui a utilisé la DB du RIPE pour spammer, alors
que c'est interdit...

Ca donne envie de le report pour qu'il se fasse radier et sucrer sa
/21 existante, ça fera de la place pour les autres.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le bal est ouvert : c'est parti pour les offres de rachat d'adresses IP

[Damien Fleuriot]

2012/10/25 Vincent PAGES vinc...@edx-net.fr:
 Le 25/10/2012 15:12, Damien Fleuriot a écrit :
 Huhu, déjà le prix proposé est ridicule (5e par IP, sans rire), et
 ensuite ça sent le mec qui a utilisé la DB du RIPE pour spammer, alors
 que c'est interdit...

 Ca donne envie de le report pour qu'il se fasse radier et sucrer sa
 /21 existante, ça fera de la place pour les autres.


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 Ah merci !!! on y arrive enfin :)

 Le vrai problème caché dans tout ca : le prix proposé qui est trop
 faible :)

 Ca veut donc dire qu'il y en a d'autres qui vendent plus cher ^^ et qui
 ne se manifeste pas (ou peut être que si...).

 Ravi de voir qu'il y en a qui savent déjà combien ils feront payer à
 leurs clients... $
 Je vous rappelle à juste titre que ca ne nous coute rien d'obtenir des
 adresses IP auprès du RIPE (si un peu de temps). On ne paye qu'une
 cotisation annuelle (1800€ en 2013). Que normalement si on a des pools
 non utilisés on est censé les rendre au RIPE.

 Alors il me semble qu'il est un peu (voir très) facile de me jeter la
 pierre parce que TLM loue des IPs qui sont gratuites.

 Et désolé pour le spam hier, j'admets ma boulette. Sauf que ca permet ce
 débat que je pense très intéressant.


Le débat tu aurais très bien pu le lancer directement ici, c'est moyen
de justifier ton spam à coups de c'était pour lancer un débat ...

Ensuite, MS a racheté en 2011 tout un netblock pour $11 l'adresse,
certes c'était des adresses legacy mais ça donne une idée du prix:
http://slashdot.org/story/11/03/24/2047258/microsoft-buys-666000-ip-addresses

Enfin, on sait tous que ça ne coûte rien d'obtenir des IPs auprès du
RIPE, seulement c'est pas distribué à la volée, il faut justifier le
besoin.
De fait, en théorie, peu de gens ont des IPs en rab à transférer.

Conserver les plages inutilisées de sa /21, c'est un investissement
sur l'avenir, ça évite justement de devoir en acheter demain à un
autre LIR.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6

[Damien Fleuriot]

Sans utiliser de fonctions avancées, prends du software, pas une appliance.


2 freebsd avec relayd et/ou haproxy, et une interface CARP pour être en mode 
Master/Slave.

Mieux, tu fais comme j'ai implémenté dans ma boîte, tu crée 2 interfaces CARP 
différentes avec 1 IP publique chacune, et tu mets les poids comme suit:
A1: 50
A2: 100
B1: 100
B2: 50

Comme ça à un instant T tes 2 box sont Master sur une des interfaces et tu as 
un splendide cluster actif-actif avec failover et reprise automagique.



Si plus tard tu as besoin de fonctions plus avancées (cache, SSL, zip) tu peux 
mettre un nginx devant ton HAP (toujours sur les mêmes machines hein :) ).


C'est fonctionnel, c'est stable, c'est robuste, et c'est éprouvé.

On utilise ce genre de setup sur un de nos projets avec 4 FW en actif-actif sur 
2 datacenters, qui LB le trafic vers 16 webs.




On 24 Aug 2012, at 07:44, Christophe HUBERT christophe.hub...@agarik.com 
wrote:

 Merci pour vos reponses, en fait je ne recherche pas de fonctions avancees 
 (pas de niveau 7 ou d'acceleration ssl par exemple). C'est pour des besoins 
 simples dans des architectures ou du materiel mutualise ou virtuel ne peut 
 faire l'affaire. Un mode cluster/ha/master-slave est par contre necessaire. 
 Pour simplifier, un Alteon AD3 ou 2424 (avec un peu plus de peche quand meme) 
 avec le support IPV6 me conviendrait. 
 
 Christophe
 
 
 
 -Message d'origine-
 De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
 Baptiste
 Envoyé : jeudi 23 août 2012 23:58
 À : frnog-t...@frnog.org
 Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
 
 Bonjour,
 
 Merci de citer les LBs d'Exceliance :)
 (j'en dirais pas plus, j'y travaille)
 Note: HAPee est maintenant disponible pour Debian ;)
 Note2: Geg, quand tu veux, je te payes une bière.
 
 
 Concernant les LBs, tout dépend de ton besoin et de ce que tu en
 attends. D'ailleurs, les LBs remontent tellement dans les couches
 qu'on les appelle Application Delivery Controller.
 
 Pour l'IPv6, l'avantage d'HAProxy, c'est qu'il fonctionne en reverse proxy.
 Il n'y a pas de NAT, de ré-écriture, etc
 Les données passent d'un buffer à l'autre, l'un associé à une socket
 V4, l'autre une V6 et le kernel fait le reste... Entre les deux, y'a
 HAProxy qui fait son boulot.
 L'avantage, c'est que toutes les personnes qui ont aujourd'hui un
 HAProxy 1.5 devant leur site web peuvent passer leur site en IPv6 en
 configurant leur stack réeau en V6 et en rajoutant un bind v6 qui va
 bien dans HAProxy. Rien d'autre à faire.
 
 Pour plus d'info sur HAProxy, la ML HAProxy est ouverte sans souscription.
 
 
 Concernant le SSL, j'ai une petite info de toute dernière minute: le
 SSL dans HAProxy est bientôt prêt. Une version béta sera livrée
 courant septembre. Bientôt plus besoin de stunnel ni de stud devant
 son HAProxy :)
 
 Concernant le SSL et les puces hardware, j'ai vu des F5 bigip3900
 plier des boitiers avalanches en bench SSL. Mais bon, le prix de cette
 licence coute plus cher que certains load-balancers du marché à
 capacité niveau 7 équivalente.
 
 
 
 Baptiste
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6

[Damien Fleuriot]

Pour avoir bossé sur du Citrix Netscaler, c'est du très bon matos.

Ils proposent en demo une machine virtuelle.



En software, bien que ça ne soit pas dans tes favoris, relayd (freebsd) et 
haproxy (bsd/Linux) sont très bien.


Après faut voir tes besoins...

Tu veux qu'ils fassent quoi tes LB ?
Persistance de session ? Offload SSL ? Compression gzip, cache, FW niveau 7 ?


On 23 Aug 2012, at 18:15, Christophe HUBERT christophe.hub...@agarik.com 
wrote:

 Bonjour,
 
 J'aimerais avoir un peu de retour d'experience sur des LB qui peuvent faire 
 de l'ipv4 et l'ipv6. Si possible, pas software mais plus des appliances.
 Si des personnes ont déjà mis en place... C'est principalement la partie ipv6 
 qui m'interesse, pour l'ipv4 on a le choix, mais comme c'est preferable 
 d'avoir un equipement pour les deux.
 
 Merci d'avance,
 Christophe
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Damien Fleuriot]

On 27 Jul 2012, at 19:03, Stephane Le Men stephane.le...@anycast-networks.com 
wrote:

 Le 27/07/2012 17:06, Radu-Adrian Feurdean a écrit :
 
 l'Internet c'est*UN SEUL*  domaine de routage.
 
 Je vous ai bien compris. Ne vous en faites pas.
 
 La prochaine étape, c'est 1 seul disque, miroir interdit, et interdiction des 
 clusters aussi, il y a plusieurs machines dans un cluster, la poisse, c'est 
 mieux une seule machine.
 
 Et si on se mettez tous à utiliser un seul neurone, ce serait mieux n'est-ce 
 pas ?
 


Je vais être un peu méchant mais ça devient lourd tes conneries et tes trolls à 
longueur de journée.

Y a littéralement des centaines/milliers de personnes qui lisent cette liste et 
la *grande majorité* ont autre chose à foutre que lire tes bêtises.

Je bosse moi, je suis pas la pour regarder du spam dans des sujets sérieux.


C'est au bas mot la 3ème réponse inepte que tu fais dans ce thread et ça 
commence à peser.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Damien Fleuriot]

On 7/26/12 1:18 PM, Stephane Le Men wrote:
 Sur chaque fraction de son trafic. A priori, rares sont les AS qui
 discutent uniformément en terme de volumétrie avec le reste de la
 planète. Chaque AS a son profil volumétrique.
 Je pense que si 99% de votre trafic ne se fait qu'avec 1 seul autre AS,
 cet AS mérite 99% de votre attention.
 
 Je suis partisan de cette répartition plutôt que d'une répartition qui
 consiste à se préoccuper de toutes les AS, y compris celles avec qui on
 n'a pas ou très peu de trafic.
 


Alors je vais être un peu sec mais c'est une réponse très conne.

Encore heureux que Neo ne nous accorde pas de l'attention qu'en fonction
de notre *trafic* parce que ce qui peut représenter 3% pour eux, pour
nous c'est de la *prod* et notre gagne-pain.


J'attends avec impatience le moment où ta boîte fera 1% de trafic avec
ton upstream et où ce dernier mettra 1 semaine pour faire refonctionner
ta prod qui est intégralement coupée.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[Damien Fleuriot]

On 7/24/12 9:38 AM, Stephane Bortzmeyer wrote:
 Bon, maintenant qu'on a bien rigolé sur les routeurs chinois
 (lorsqu'on se met à parler des catcopters dans une discussion, c'est
 qu'elle a cessé d'être sérieuse), passons aux propositions moins
 spectaculaires et moins médiatiques du rapport Bockel. Qu'est-ce que
 vous pensez de signaler les incidents de sécurité, ne serait-ce que
 pour avoir enfin des statistiques fiables ?
 
 http://www.senat.fr/rap/r11-681/r11-681_mono.html
 
 Recommandation n°17 : Rendre obligatoire une déclaration d'incident à
 l'ANSSI en cas d'attaque importante contre les systèmes d'information
 et encourager les mesures de protection par des mesures incitatives
 

J'arrive un peu tard mais, sauf erreur, il me semble que cette
recommandation ne s'appliquerait qu'aux grandes entreprises non ?
Pas à mme michu comme on a pu le voir dans certaines réponses.

Dans le même esprit que la reco 24 quoi.


 Recommandation n°24 : Rendre obligatoire pour les opérateurs
 d'importance vitale une déclaration d'incident à l'ANSSI dès la
 détection d'un incident informatique susceptible de relever d'une
 attaque contre les systèmes d'information et pouvant porter atteinte
 au patrimoine informationnel ou à l'exercice des métiers de
 l'opérateur, et encourager les mesures de protection par des mesures
 incitatives
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cohabition HSRP + VRRP

[Damien Fleuriot]

On 6/21/12 1:56 PM, Germain Maurice wrote:
 
 Le 21 juin 2012 à 12:27, Damien Fleuriot a écrit :
 
 On 6/21/12 11:36 AM, Germain Maurice wrote:
 Salut tout le monde,

 J'ai une baie avec un transit IP sur un lien actif/passif moyennant 
 l'utilisation de 2 switchs + du HSRP, ça fonctionne bien, pas de souci.
 J'aimerais sur cette infra pouvoir mettre en place du 2 HAproxy avec du 
 VRRP entre les deux.
 Est-ce que la cohabitation des 2 normes est bien possible en sein d'un même 
 réseau ?

 Merci à vous !


 Tu as déjà eu ta réponse plus bas :)


 Tu fais du uCARP entre tes 2 HAP ?

 
 Non, j'utilise ça : 
 http://www.exceliance.fr/fra/haproxy-edition-entreprise-hapee
 

Hmmm connaissais pas.

A titre d'information on est très contents de ucarp + haproxy ici


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cohabition HSRP + VRRP

[Damien Fleuriot]

On 21 Jun 2012, at 21:49, Eric ROLLAND roll...@artefact.fr wrote:

 Le 21/06/12 18:21, Baptiste Malguy a écrit :
 J'ai fait mettre en place du uCARP,., mais c'est
 pas terrible sur Linux
 
 Bonsoir,
 Même constat sur ucarp. Tout dépend comment meure la machine d'à côté.
 Et c'est pas toujours proprement; du coup les bascules ne se font pas,
 ou pas du tout (plus aucun slave ne monte la VIP), ou parfois à tort. Le
 retour en situation initiale n'est pas meilleur et souffre des mêmes
 problèmes.
 Cordialement,
 Eric ROLLAND
 Réseau Artewan AS42929
 ORG-ARTE2-RIPE
 
 *Artefact communication interactive* | Bat. Artechnopole - 3 rue des
 Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33
 SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z |
 TVA Intracom FR87444110936
 
 www.artefact.fr http://www.artefact.fr - Communication interactive
 www.artewan.fr http://www.artewan.fr - Opérateur de réseaux
 
 
 
 
 *Découvrez Artechnopole http://www.artechnopole.fr, un espace IT de
 380 M2, intégrant un Datacenter climatisé, ondulé et secouru. *
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


Sans troller, sérieux.

CARP sous freebsd, c'est géré direct niveau kernel, ça a rien à voir avec un 
vieux ucarp moisi.

Mais bon voilà après faut savoir ce qu'on veut.

Un pseudo UNIX réécrit de merde, ou un vrai OS réputé pour sa stabilité et pas 
forcément sa facilité d'administration.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Bonus / malus technologique

[Damien Fleuriot]

On 6/17/12 11:48 AM, Samuel Thibault wrote:
 Jean-Tiare LE BIGOT, le Sun 17 Jun 2012 11:43:10 +0200, a écrit :
 Dans un petit commerce où le client et le commerçant sont tous les deux là
 physiquement, il est vite évident que l'un des scénario ne marche pas si
 l'on veux survivre. Il est assez difficile de dire au client Tu as pris
 cette marque de sac et il a plus de 5 ans = Tu payes plus cher.
 
 Sauf qu'en général on n'a juste pas le choix parce que c'est le
 marché qui décide que ce n'est plus rentable de produire les pièces
 qui vont bien avec ce vieux sac. Appliquer la même logique aux
 logiciels n'est pas complètement farfelu.
 
 Samuel
 

L'analogie utilisée ici n'est pas bonne.


Si les marchands en ont marre de douiller pour ajuster leur site pour
IE7, ils arrêtent et point barre.

Le site sera moins bien rendu, il affichera un avertissement à base de
Le site est moche ? Changez de navigateur ! et le problème est réglé ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Bonus / malus technologique

[Damien Fleuriot]

Faux problème en Frand en tout cas, où une telle distinction est illicite.

Les propos d'elodie restent valides à mon sens.

Tes estimations sur les visiteurs me semblent légèrement exagérées et/ou 
caricaturales ;)

Quid du particulier qui fait son shopping depuis le travail ?
Il n'a pas les privs admin sur la machine, et le helldesk refuse de MAJ IE car 
ils ont des applis métier toutes pourraves qui ne tourner que sous IE7.

Et la il l'a dans l'os...


Sérieux je trouve la démarche particulièrement abusive et je renvoie à ma 
réponse initiale dans laquelle je mentionne, de manière caricaturale, une taxe 
sur les dialups qui monopolisent sendfile() et un socket + longtemps, les 
browsers marginaux, tout ça...


On 15 Jun 2012, at 23:50, Guillaume Barrot guillaume.bar...@gmail.com wrote:

 C'te blague.
 Parce que la taxe sous pretexte que tu n'ais pas a jour ne le pousse pas a
 aller acheter ailleurs dans ce cas ?
 
 Cas 1 : geek chevelu. Faux cas, il a pas IE.
 Cas 2 : mamie du cantal. Prise de panique devant la faille de securite que
 tu lui annonces, elle appelle derechef son fils pour qu'il lui achete un
 nouvel ordinateur avec un navigateur a jour.
 Cas 3 : papi de Paris ou Kevin de la proche banlieue qui veut pas faire
 evoluer son PC, car il ne subit pas le dictat des sites qui lui propose
 d'upgrader : 3% des cas maximum donc, peu de chances qu'il soit venu sur
 ton site sciemment pour acheter un truc. A priori il s'est perdu sur le
 web, et mourra avant de trouver la sortie, probablement d'une overdose de
 gif animes.
 
 Bref, soit tu estimes qu'il faut réagir face aux clients qui utilise des
 navigateurs moisis, et quoi que tu fasses tu prends le risque qu'ils se
 barrent, soit tu te dis que le client est roi, et tu dépenseras a terme une
 fortune pour satisfaire tous ses desiderata.
 Je prefere le premier cas, perso.
 
 Le 15 juin 2012 22:15, Élodie de FranceServ Hébergement ad...@franceserv.fr
 a écrit :
 
 Le 15/06/2012 21:16, Guillaume Barrot a écrit :
 
 Plutôt que de faire payer une taxe, tu fais juste une page poubelle
 genre
 votre browser est obsolète, ce site ne peut être affiché et les liens
 des
 browsers récents, et fini.
 C'est pas illégal, c'est juste vache, mais ça marche.
 
 
 C'est surtout vache pour soit même qui perdons le client car il vas passer
 commande ailleurs ;)
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 
 -- 
 Cordialement,
 
 Guillaume BARROT
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ICMP / IPv4 / IPv6 / Orange / ...

[Damien Fleuriot]

On 6/15/12 11:57 AM, Jeremy Monnet wrote:
 2012/6/15 Guillaume Barrot guillaume.bar...@gmail.com:
 Comme Orangina rouge : pc que !.
 Et puis dans la vision obscurantiste de la securite, l'ICMP c'est le mal,
 donc voila.
 Ceci dit, ton petit mail va surement leur faire combler un oublis pour
 ICMPv6, qui devrait être filtré comme tout le monde ! (De toutes façons la
 MTU vaut TOUJOURS 1500, non ?)

 Bon trolledi a tous. :D
 
 En ipv6, sans icmpv6, il n'y a plus grand chose qui fonctionne :
 l'équivalent de l'ARP en ipv4 fait partie d'icmpv6 (NDP) par
 exemple... http://en.wikipedia.org/wiki/Neighbor_Discovery_Protocol
 
 Jérémy

Ils peuvent très bien filtrer les echo et laisser passer neighbor adv.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Bonus / malus technologique

[Damien Fleuriot]

On 6/14/12 3:25 PM, Jérôme Nicolle wrote:
 Plop,
 
 Suite au lien posté par XioNoX sur le canal IRC :
 
 http://www.kogan.com/au/blog/new-internet-explorer-7-tax/
 
 Je me dis qu'on est à la bourre sur les bonnes idées.
 
 Maintenir la compatibilité avec des antiquités est coûteux. La charge
 est légitimement imputable. Leur démarche est donc très intéressante, et
 gagnerait à être plus largement suivie.
 
 Dans le même acabit, on pourrait se dire qu'on gagnerait sur le
 long-terme à être incitateurs dans l'adoption des nouvelles technologies.
 
 Je propose donc à tous les commerçants en ligne une initiative conjointe
 et symbolique : Pour qui utilise vos services avec un navigateur récent,
 un OS non troué par définition et surtout en IPv6, proposez donc un
 pourcentage symbolique de réduction !
 
 Chiche ?
 


Je me demande si on ne pourrait pas questionner la légalité en France ;)

On parle ici d'une pratique discriminatoire portant sur le logiciel
utilisé par le client, logiciel dont on peut estimer sans troller et
raisonnablement qu'il a été conçu pour l'usage que l'utilisateur en
fait, à savoir, visiter des sites web.



Dans le même délire, pourquoi ne pas taxer les utilisateurs de dial-up ?
Après tout, ils monopolisent les ressources serveur plus longtemps
puisqu'ils mettent plus longtemps à recevoir les données.

Mieux, on pourrait également taxer les utilisateurs broadband !
C'est à cause de tous ces cons qu'on doit monter des uplinks de 40gbs
avec des optiques qui coûtent une couille et demie !

Comme ça on taxe les rapides, les lents, les mecs avec des navigateurs
antiques, les mecs avec des navigateurs borderline genre chromium ou
konqueror, après tout c'est 3% de part de marché et pourtant faut aussi
que le site s'affiche correctement...

C'est gagnant sur toute la ligne ;)



En dehors de ça, l'idée est marrante, il faut l'accorder.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Bonus / malus technologique

[Damien Fleuriot]

On 6/15/12 4:48 PM, Radu-Adrian Feurdean wrote:
 
 On Fri, 15 Jun 2012 13:23:03 +0200, Damien Fleuriot m...@my.gd said:
 
 Comme ça on taxe les rapides, les lents, les mecs avec des navigateurs
 antiques, les mecs avec des navigateurs borderline genre chromium ou
 konqueror, après tout c'est 3% de part de marché et pourtant faut aussi
 que le site s'affiche correctement...
 
 Tant qu'on y est, augmenter tous les prix de x% directement. Ca doit
 etre la solution la plus simple :)
 
  vendredi ca reste vendredi 

Ouais mais là ça passe moins bien :p


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] ipv6 et yahoo.fr, sla n'marche pas bien ce jour

[Damien Fleuriot]

Flemme, je top-post.


# fetch -6 http://fr.yahoo.com/
fetch: http://fr.yahoo.com/: Not Found


KO depuis 2a02:24a8::/32





On 6/13/12 4:50 PM, Fabien Dedenon wrote:
 Hello la liste,
 
 Mes collègues s’affolent, c'est la panique ... :) . On dirait bien que
 http://fr.yahoo.com en ipv6 n'est pas en forme ce jour, ras par contre
 chez http://uk.yahoo.com
 cf capture: http://i47.tinypic.com/2yjy1c6.jpg
 
 Tous va bien chez vous? Nous constatons cela depuis 2001:4b90:0:9::/64
 
 Des infos quelqu'un?
 
 ++
 
 FD
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] SDSL SFR

[Damien Fleuriot]

On 5/31/12 5:59 PM, Jérôme Nicolle wrote:
 Le 31/05/12 17:56, Frédéric Gabut-Deloraine a écrit :
 Parce que ce ne sont pas des préfixes globalement routables et donc 
 devraient être restreints à des VRF privées par exemple ?
 
 On a pas tous besoin d'un luxueux réseau MPLS et donc pas les
 role^Wreflexes qui vont avec :O
 

Quel rapport avec le MPLS ?

Ne pas router les réseaux privés c'est quand même la base du début du B.A.BA

Ici on a un petit réseau, sans customers derrière, et on leak pas
10.0.0.0/8 sur le net ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] MegaUpload

[Damien Fleuriot]

On 1/22/12 12:33 AM, Michel Py wrote:
 [ Oops, désolé pour le bruit le message précédent :-( ]
 
 
 Michel Py a écrit :
 c'est en partie à cause d'eux que SOPA et PIPA ont vu le jour.
 C'est à cause de ce genre de profiteurs que les législateurs
 nous pondent HADOPI et autres cochonneries qui n'ont aucun sens
 technique et vont à l'encontre de la liberté d'expression.
 
 Raphaël Gertz a écrit:
 Pas d'accord, c'est justement a cause de DADVSI et HADOPI que
 les internautes ne font plus de mule/torrent et sont passes
 sur les sites de DDL/Streaming.
 
 Pas d'accord. C'est peut être la perception en France, mais ici SOPA et PIPA 
 sont quelque chose de relativement récent, et les Internautes avaient déjà 
 changé leurs habitudes avant que ça surface.
  
 Les utilisateurs qui ont changé avaient les moyens de payer MU, et ils le 
 faisaient parce que la mule et le torrent ne pouvaient pas garantir de bande 
 passante. Avec une connexion 20mbit, le torrent délivre rarement ça et donc 
 les gens qui pouvaient se l'offrir allaient chez MU pour télécharger à fond 
 la caisse au lieu d'attendre.
 


Pour couper court au débat, je préfèrerais donner 15e/mois à mon ISP
pour une licence globale, qu'à un MU-like ou un fournisseur de newsgroups...

Des études ont montré qu'une licence globale serait rentable à partir de
5 euros par mois, moi je veux bien en lâcher 10 ou 15, qu'on ne vienne
pas dire que les gens refusent de payer...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Boitiers de compression de traffic WAN

[Damien Fleuriot]

On 3/7/12 11:10 AM, Mathieu Paonessa wrote:
 Salut!
 
 On 3/7/12 10:57 AM, Dominique Rousseau wrote:
 Le Wed, Mar 07, 2012 at 10:42:24AM +0100, Mathieu Paonessa [ma...@vayu.net] 
 a écrit:
 Salut!

 Je suis à la recherche de solutions de compression de traffic sur des
 liens WAN (en gros une boiboite de chaque coté qui compresse en temps
 réel) sur du traffic type eyeball et avec des débits non compressés
 de l'ordre de 500Mbps ou plus.

 Tu en attends combien ?
 Parceque bon, entre la compression du html/js/... qui est (pas assez,
 oui) souvent faite directement entre le serveur web et le navigateur, et
 les trucs qui recompresseront pas (mp3, vidéo), je vois pas trop ce
 qu'on peut espérer comme efficacité.
 
 On teste un produit (dont je ne souhaite pas communiquer le nom pour
 l'instant) qui réalise une compression de l'ordre de 35% du traffic.
 
 Mathieu
 

Tu as regardé du côté de Juniper ?

Ils ont racheté Peribit il y a quelques années, dont les boîtiers WXC
permettaient d'atteindre du +100%.

http://www.juniper.net/us/en/products-services/application-acceleration/wxc-series/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Boitiers de compression de traffic WAN

[Damien Fleuriot]

On 3/7/12 12:02 PM, Mathieu Paonessa wrote:
 Salut!
 
 On 3/7/12 11:53 AM, Damien Fleuriot wrote:
 Tu as regardé du côté de Juniper ?

 Ils ont racheté Peribit il y a quelques années, dont les boîtiers WXC
 permettaient d'atteindre du +100%.

 http://www.juniper.net/us/en/products-services/application-acceleration/wxc-series/
 
 Le problème des boitiers WXC est que, même en stack, ils sont limités à
 155Mbps de capa. Il me faut une solution capable de faire la même chose
 mais à plus de 500Mbps.
 
 Mathieu
 

Et du MACH5 de chez bluecoat ?

Tu as le SG9000-30 qui fait 600mb, le 9000-40 qui fait du 1gb.

Après ça dépend des flux que tu veux optimiser, ces boîtiers là leur but
c'est surtout de cacher le contenu en local.


Tu voulais compresser quoi comme flux ?
eyeball ça me parle pas ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Boitiers de compression de traffic WAN

[Damien Fleuriot]

On 3/7/12 12:21 PM, Mathieu Paonessa wrote:
 On 3/7/12 12:08 PM, Damien Fleuriot wrote:

 Et du MACH5 de chez bluecoat ?

 Tu as le SG9000-30 qui fait 600mb, le 9000-40 qui fait du 1gb.
 
 C'est une des pistes que je gratte actuellement :)
 Si quelqu'un à un retour d'expérience d'ailleurs.
 
 
 Après ça dépend des flux que tu veux optimiser, ces boîtiers là leur but
 c'est surtout de cacher le contenu en local.

 Tu voulais compresser quoi comme flux ?
 eyeball ça me parle pas ;)
 
 Le eyeball c'est les utilisateurs d'un fournisseur d'accès internet
 classique: pas mal de HTTP (facebook, google  co), de mail et bien
 sur de P2P...
 
 Mathieu


Tu as au moins 3 problématiques différentes ici IMHO:

1/ le shapping de trafic
- p2p, et longs downloads

Pour ce qui est des longs downloads, le but est de laisser l'utilisateur
télécharger au taquet les premiers mb d'un fichier, puis limiter la
bande passante pour le reste.

Ca permet d'afficher à vitesse normale, quasi-instantannée les images
d'un site.

Par contre une ISO de 600mb commencera vite, et finira par être limitée
à 200kbs par exemple.


2/ le caching de contenu
- images (facebook et co)
- scripts js (facebook et co)

-- utilisation d'un système de proxies transparents ou d'un bluecoat
pour faire la même chose

3/ la compression applicative
- IMAP
- POP
- SMTP

-- bluecoat, WXC; autres constructeurs ?





Ce qui serait intéressant pour toi c'est déjà d'établir les proportions
du trafic des différents protocoles:

- mail (smtp, imap, pop, imaps, pop3s, smtps) , sachant que tout le
SSL/TLS tu ne pourras pas l'accélérer
- web
- p2p
- autres


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Re: recherche châssis rack 2 ou 3u avec 10 slots HDD SAS/SATA

[Damien Fleuriot]

On 3/1/12 6:44 PM, Damien Fleuriot wrote:
 On 3/1/12 5:47 PM, Damien Fleuriot wrote:
 Hello list,



 Je galère un peu à trouver un châssis 2 ou 3u à un prix abordable.

 J'ai un magnifique nas à la maison avec 9 disques SATA 3.5 et 1 SSD
 2.5 pour l'OS, dans une (grande) tour.
 La carte mère uATX de 10x10 semble largement tenir dans ce genre de
 châssis.
 Je veux bouger tout ça dans un châssis 2u ou 3u mais je tombe sur des
 boîtiers à 900-1000 euros avec l'alim.



 Est-ce que vous avez une adresse à conseiller ?


 
 
 Merci pour toutes les réponses on et off-list, je continue mes
 recherches et je tiens au courant des offres intéressantes que je trouve :)



A priori, il y en a des pas trop chers de chez Norco.

$330, 4U, 20 hot swap en façade:
http://www.newegg.com/Product/Product.aspx?Item=N82E16811219033

Bon, 4U c'est trop gros pour moi, mais celui-ci semble pas mal non plus:
$270, 2U, 12 hot swap en façade:
http://www.newegg.com/Product/Product.aspx?Item=N82E16811219040


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] recherche châssis rack 2 ou 3u avec 10 slots HDD SAS/SATA

[Damien Fleuriot]

Hello list,



Je galère un peu à trouver un châssis 2 ou 3u à un prix abordable.

J'ai un magnifique nas à la maison avec 9 disques SATA 3.5 et 1 SSD
2.5 pour l'OS, dans une (grande) tour.
La carte mère uATX de 10x10 semble largement tenir dans ce genre de
châssis.
Je veux bouger tout ça dans un châssis 2u ou 3u mais je tombe sur des
boîtiers à 900-1000 euros avec l'alim.



Est-ce que vous avez une adresse à conseiller ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] recherche châssis rack 2 ou 3u avec 10 slots HDD SAS/SATA

[Damien Fleuriot]

On 3/1/12 6:29 PM, Manuel Guesdon wrote:
 Hello,
 
 
 On Thu, 01 Mar 2012 17:47:15 +0100
 Damien Fleuriot m...@my.gd wrote:
 | Je galère un peu à trouver un châssis 2 ou 3u à un prix abordable.
 | 
 | J'ai un magnifique nas à la maison avec 9 disques SATA 3.5 et 1 SSD
 | 2.5 pour l'OS, dans une (grande) tour.
 | La carte mère uATX de 10x10 semble largement tenir dans ce genre de
 | châssis.
 | Je veux bouger tout ça dans un châssis 2u ou 3u mais je tombe sur des
 | boîtiers à 900-1000 euros avec l'alim.
 | 
 | 
 | 
 | Est-ce que vous avez une adresse à conseiller ?
 
 Supermicro a des chassis pour ca.
 http://www.supermicro.nl/storage/
 
 Un exemple de prix:
 http://www.actualis.biz/pro/acheter/power-store-3u/actualis-power-store-r3htpiv216/FicheConfiguration/SACTCFG_R3HTPIV2-16
 
 Manuel
 


Hmm par contre ils proposent d'office avec du matos dedans ? (MB, CPU...)

Parce que ça alourdit considérablement la facture alors que j'ai déjà le
matériel, mais dans la tour :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Re: recherche châssis rack 2 ou 3u avec 10 slots HDD SAS/SATA

[Damien Fleuriot]

On 3/1/12 5:47 PM, Damien Fleuriot wrote:
 Hello list,
 
 
 
 Je galère un peu à trouver un châssis 2 ou 3u à un prix abordable.
 
 J'ai un magnifique nas à la maison avec 9 disques SATA 3.5 et 1 SSD
 2.5 pour l'OS, dans une (grande) tour.
 La carte mère uATX de 10x10 semble largement tenir dans ce genre de
 châssis.
 Je veux bouger tout ça dans un châssis 2u ou 3u mais je tombe sur des
 boîtiers à 900-1000 euros avec l'alim.
 
 
 
 Est-ce que vous avez une adresse à conseiller ?
 
 


Merci pour toutes les réponses on et off-list, je continue mes
recherches et je tiens au courant des offres intéressantes que je trouve :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Damien Fleuriot]

On 2/17/12 10:14 AM, Stephane Bortzmeyer wrote:
 Vous le savez certainement, l'Internet s'arrête le 31 mars.
 
 j'ai rassemblé ici quelques informations et une opinion :
 
 http://seenthis.net/messages/57473
 


Pour info, Anonymous dément sur twitter:

http://www.theregister.co.uk/2012/02/22/anon_disowns_dns_takedown_plan/
https://twitter.com/#!/anonops/status/171942749359181824


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Damien Fleuriot]

On 17 Feb 2012, at 10:14, Stephane Bortzmeyer bortzme...@nic.fr wrote:

 Vous le savez certainement, l'Internet s'arrête le 31 mars.
 
 j'ai rassemblé ici quelques informations et une opinion :
 
 http://seenthis.net/messages/57473
 

aucune attaque n'a jamais réussi faut voir, aux alentours de 2005 y en a 
combien qui étaient tombés des root ?

Quelqu'un se rappelle ?


Bon depuis ça a été considérablement revu et l'idée même de cette attaque me 
fait rire...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] DNS root zone slaving (was: Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés)

[Damien Fleuriot]

On 2/17/12 10:14 AM, Stephane Bortzmeyer wrote:
 Vous le savez certainement, l'Internet s'arrête le 31 mars.
 
 j'ai rassemblé ici quelques informations et une opinion :
 
 http://seenthis.net/messages/57473
 


Tiens désolé, j'en profite pour hijacker un peu le thread.

Par curiosité, combien d'entre vous utilisent le nouveau mécanisme de
BIND qui consiste à slaver la root zone, plutôt que l'avoir dans le
fichier hint ?

Si vous ne le faites pas, pourquoi ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] DNS root zone slaving

[Damien Fleuriot]

On 2/17/12 1:20 PM, Stephane Bortzmeyer wrote:
 On Fri, Feb 17, 2012 at 12:09:30PM +0100,
  Damien Fleuriot m...@my.gd wrote 
  a message of 21 lines which said:
 
 combien d'entre vous utilisent le nouveau mécanisme de BIND qui
 consiste à slaver la root zone, plutôt que l'avoir dans le fichier
 hint ?
 
 Pourquoi « nouveau » ? BIND peut être serveur esclave depuis très
 longtemps.
 

J'entends bien, mais historiquement, dans la conf, il y avait juste la
zone . vers le fichier hint.

Maintenant, dans la conf, il y a soit ça par défaut, soit en dessous,
commenté, du slaving de .

Je copie l'extrait de la conf à la fin.



 Si vous ne le faites pas, pourquoi ?
 
 La question serait plutôt « pourquoi le faire » ? En tout cas, c'est
 une mauvaise idée. 
 
 https://lists.dns-oarc.net/pipermail/dns-operations/2007-July/001803.html
 (fil très long)
 
 http://lists.freebsd.org/pipermail/freebsd-current/2007-August/075895.html

Bah eux ont l'air de penser que c'est une bonne idée en tout cas:


// The traditional root hints mechanism. Use this, OR the slave zones below.
zone . { type hint; file /etc/namedb/named.root; };

/*  Slaving the following zones from the root name servers has some
significant advantages:
1. Faster local resolution for your users
2. No spurious traffic will be sent from your network to the roots
3. Greater resilience to any potential root server failure/DDoS

On the other hand, this method requires more monitoring than the
hints file to be sure that an unexpected failure mode has not
incapacitated your server.  Name servers that are serving a lot
of clients will benefit more from this approach than individual
hosts.  Use with caution.

To use this mechanism, uncomment the entries below, and comment
the hint zone above.

As documented at http://dns.icann.org/services/axfr/ these zones:
. (the root), ARPA, IN-ADDR.ARPA, IP6.ARPA, and ROOT-SERVERS.NET
are availble for AXFR from these servers on IPv4 and IPv6:
xfr.lax.dns.icann.org, xfr.cjr.dns.icann.org
*/
/*
zone . {
type slave;
file /etc/namedb/slave/root.slave;
masters {
192.5.5.241;// F.ROOT-SERVERS.NET.
};
notify no;
};
zone arpa {
type slave;
file /etc/namedb/slave/arpa.slave;
masters {
192.5.5.241;// F.ROOT-SERVERS.NET.
};
notify no;
};
*/



Du coup, en ce qui me concerne, on la slave.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/13/12 4:48 PM, Guillaume Esnault wrote:
 Bonjour à tous,
 
 Nous aussi (Digicube) sommes régulièrement la cible de diverses
 tentatives de déni de service. Nous accueillons d'ailleurs pas mal de
 réfugiés d'hébergeurs qui préfères couper le service de leurs clients
 attaqués plutôt que de gérer le problème. Cela nous a couté beaucoup
 d'investissements et nous coute encore en surveillance développement
 mitigation etc...
 
 OVH en est la principale source car c'est simplement le plus gros
 hébergeur d'Europe avec plus de 100K serveurs hébergé. 
 
 La solution la plus simple ne serait elle pas de limiter le nombre de
 pps par serveur ? Sachant que, par exemple, un serveur connecté à 100
 Mbps ou même à 1G ne devrait pas dépasser les 30 Kpps. 
 
 Il n'est pas si difficile non plus d'aller plus loin et de surveiller et
 de faire des statistiques sur l'état des flux. Ex: plus de 3000
 connexions simultanées d'un serveur sur une cible en attente de réponses
 est à coup sûr une tentative de déni de service.
 

Le problème avec ce genre de pratique basée sur de l'analyse
discriminatoire, c'est les faux positifs...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/14/12 10:25 AM, Stephane Bortzmeyer wrote:
 On Mon, Feb 13, 2012 at 09:58:30AM -0800,
  Michel Py mic...@arneill-py.sacramento.ca.us wrote 
  a message of 44 lines which said:
 
 1. Se débarrasser des clients qui sont des aimants à emmerdes; 
 
 C'est pile le sujet de la discussion. Faire cela, c'est une violation
 directe de la neutralité du réseau, c'est l'opérateur qui décide de
 qui il sert et qui il ne sert pas. Un cafetier ferait cela, il aurait
 un procès (j'attends qu'Alex nous cite l'article du Code qui dit
 cela). De quel droit un opérateur réseau pourrait le faire ?


http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI06292153


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/14/12 10:41 AM, Alexandre Archambault wrote:
 Le 14 févr. 2012 à 10:32, Damien Fleuriot a écrit :
 
 http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI06292153
 
 Euh, le code de la consommation à l'appui d'un différend entre deux 
 professionnels ? De mieux en mieux !
 
 --
 Alec,
 


Bah IANAL hein ;)

Est-ce qu'il y a un équivalent entre professionels ?

Genre subordonner la vente d'un service à un autre, ça doit bien
s'appliquer entre pros aussi non ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/14/12 10:44 AM, Thomas Mangin wrote:
 
 On 14 Feb 2012, at 09:25, Stephane Bortzmeyer wrote:
 
 On Mon, Feb 13, 2012 at 09:58:30AM -0800,
 Michel Py mic...@arneill-py.sacramento.ca.us wrote 
 a message of 44 lines which said:

 1. Se débarrasser des clients qui sont des aimants à emmerdes; 

 C'est pile le sujet de la discussion. Faire cela, c'est une violation
 directe de la neutralité du réseau, c'est l'opérateur qui décide de
 qui il sert et qui il ne sert pas. Un cafetier ferait cela, il aurait
 un procès (j'attends qu'Alex nous cite l'article du Code qui dit
 cela). De quel droit un opérateur réseau pourrait le faire ?
 
 Si un client va dans son cafe local et a chaque fois, se bat et casse une 
 chaise tu crois qu'il sera toujours le bienvenu ?


Dans le cas présent, le client se fait tabasser par des skinheads, ça
va quand même pas être sa faute ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/14/12 11:11 AM, Thomas Mangin wrote:
 Si un client va dans son cafe local et a chaque fois, se bat et casse une 
 chaise tu crois qu'il sera toujours le bienvenu ?


 Dans le cas présent, le client se fait tabasser par des skinheads, ça
 va quand même pas être sa faute ?
 
 On sort du sujet. Débattre des analogies n'est pas très constructifs. Tu as 
 compris mon point.
 
 Thomas

Nan mais justement, ici encore une fois on pose la victime en coupable,
il se prend une attaque donc:
1/ il l'a bien cherché
2/ bien fait pour sa gueule
3/ on coupe

C'est l'approche standard des hébergeurs.

Encore heureux que ça se passe pas comme ça dans la vraie vie !


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/14/12 2:33 PM, sxpert wrote:
 une bonne solution est de ne pas avoir de plateformes Windows a ton
 catalogue, ca t'evite la plupart des serveurs de jeux / forums qui sont
 généralement la cause de la transformation des machines en aimants a
 emmerdes... et ca ne viole pas le code du commerce, quand t'as pas le
 produit, tu peux pas etre taxé de refus de vente
 

Tu fais référence à quelles technos sous windows ?

Parce que des camfrogs, minecraft, world of warcraft, teamspeak... t'en
as sous bsd et nux.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/13/12 9:33 AM, Julien Richer wrote:
 Le 13 février 2012 09:13, Stephane Bortzmeyer bortzme...@nic.fr a écrit :

 On Mon, Feb 13, 2012 at 12:54:39AM +0100,
  Gilou contact+fr...@gilouweb.com wrote
  a message of 40 lines which said:

 tu fais quoi sur ton réseau ?

 Euh, cela ne regarde pas OVH. Demander à une victime d'attaque DoS
 « que fais-tu sur ton réseau ? », c'est comme demander à la victime
 d'une agression « que diable faisiez-vous dehors à cette heure ? »
 
 Pourtant c'est un peu ce qui se passe en face par exemple (en face
 d'ovh = dedibox) quand on se fait couper un serveur pour cause de DDOS
 entrant.
 
 Petite fiction qui se déroulerait sur un support semi-officiel (IRC) :
 client : ma dédibox a été coupée ??
 support : oui, vous etes la cible d'un DDOS, pour ne pas pénaliser les
 autres clients, kouik
 client : mais ce n'est pas ma faute !
 support : serveur minecraft ?
 client : oui et ? (rien d'illégal !)
 support : source à emmerde, on y peut rien.
 
 Donc sur ce type d'activité, il faut soit avoir les moyens (rajout de
 CISCO ASA en amont par exemple, mais impossible chez dedibox), soit
 s'abstenir.
 Au niveau d'un client dedibox ce n'est pas déjà drôle, mais au niveau
 d'un petit hébergeur ça doit être encore plus frustrant
 


Soit je n'ai pas compris ton propos, soit ça ne répond absolument pas à
la problématique.

L'ASA va filtrer le trafic, sauf que ce filtrage est fait *après* que le
trafic soit arrivé chez ton opérateur, donc:

1/ ton uplink avec l'opérateur est quand même saturé jusqu'à arriver sur
l'ASA

2/ tu payes la bande passante


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/13/12 1:49 PM, Gurvan Rottier-Ripoche wrote:
 J'aurais surement la même pensée si j'avais 2 à 3Gbits, 2 opérateurs etc.
 Seulement, pour le moment, ce n'est pas le cas. Mon installation est très
 récente, (-2 mois), et une série d’évènements ont fait que le déménagement
 devait se passer en urgence.
 On va avoir une seconde fibre, un second opérateur, un routeur potable.
 Mais pas avant quelques mois.
 En attendant j'encaisse et je paye en silence ?
 
 Pour moi ce n'est pas acceptable et la solution qui a été mise en place
 pour solutionner mon problème encore moins.
 Je n'ai le problème qu'avec un seul réseau.



En droit français, auquel OVH est soumis, celui qui cause un tort à un
tiers lui doit réparation.

Attendu qu'OVH t'occasionne une surfacturation importante de transit, tu
serais en mesure de les assigner au tribunal pour qu'ils payent le surplus.

Tu pourrais, de plus, obtenir la suppression du filtre qui a été mis en
place, au motif que ça nuit fortement à ton activité.



Te positionnant en tant que plaignant, tu aurais la charge de la preuve.

Pour le transit c'est assez facile à prouver pour peu que ton
fournisseur de transit joue le jeu et te fournisse les graphs qui vont bien:
- graph de trafic en temps normal
- graph correspondant à une attaque
- tu fais le delta entre les 2 et tu obtiens la dépense que tu as dû
supporter à cause d'OVH

Pour le blocage pur, simple et abusif, c'est plus difficile de prouver
que ça impacte ton activité, et chiffrer les dommages.



Dans tous les cas, il s'agit de batailles juridiques longues, coûteuses,
mais également potentiellement risquées.




Alternativement tu peux essayer de contacter l'ARCEP et leur demander
leurs recommendations.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/13/12 3:48 PM, Thomas Mangin wrote:
 
 On 13 Feb 2012, at 14:28, Damien Fleuriot wrote:
 
 En droit français, auquel OVH est soumis, celui qui cause un tort à un
 tiers lui doit réparation.
 
 Absolument, le client d'OVH, la personne qui commence ces DDOS est 
 responsable pour un surcout de bande passante par son acte (criminel ?).
 
 Attendu qu'OVH t'occasionne une surfacturation importante de transit, tu
 serais en mesure de les assigner au tribunal pour qu'ils payent le surplus.
 
 Ca, j'en doute fortement mais IMNAL.
 
 Tu pourrais, de plus, obtenir la suppression du filtre qui a été mis en
 place, au motif que ça nuit fortement à ton activité.
 
 Ca surement.
 
 Te positionnant en tant que plaignant, tu aurais la charge de la preuve.

 Pour le transit c'est assez facile à prouver pour peu que ton
 fournisseur de transit joue le jeu et te fournisse les graphs qui vont bien:
 - graph de trafic en temps normal
 - graph correspondant à une attaque
 - tu fais le delta entre les 2 et tu obtiens la dépense que tu as dû
 supporter à cause d'OVH
 
 Mais je ne suis pas d'accord pour les mêmes raisons, mais si ta suggestion 
 marche je vais facturer Daily Motion.
 Ses serveurs attaquent mes clients tous les jours :D :D
 
 Encore une fois, ce n'est pas OVH qui attaque..
 

De mon point de vue, OVH vend un service, et c'est via leur service que
le dommage est occasionné.




 Pour le blocage pur, simple et abusif, c'est plus difficile de prouver
 que ça impacte ton activité, et chiffrer les dommages.
 
 Je ne vois pas pourquoi.
 

Bah c'est jamais trop évident quand même, d'estimer le nombre de clients
d'OVH qui ne peuvent accéder au service de Gurvan, et le dommage
résultant ;)


 Dans tous les cas, il s'agit de batailles juridiques longues, coûteuses,
 mais également potentiellement risquées.
 
 +1
 
 Alternativement tu peux essayer de contacter l'ARCEP et leur demander
 leurs recommendations.
 
 En Angleterre, l' ISPA a un code de conduite pour la resolution des disputes 
 entre FAI, n'y a-t-il pas la meme chose de ce cote de la Manche ?
 
 Thomas
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/13/12 3:49 PM, Antoine Drochon wrote:
 Hello,
 
 On 2/13/12 3:28 PM, Damien Fleuriot m...@my.gd wrote:
 
 Alternativement tu peux essayer de contacter l'ARCEP et leur demander
 leurs recommendations.
 
 AMHA, ça serait plus adapté de frapper aux portes de l'ANSSI ?
 
 Antoine
 

Bonne suggestion :)

Dans tous les cas, je me demande si Stéphane ne serait pas + apte à nous
renseigner sur ce genre de point...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/13/12 4:46 PM, MM wrote:
 Le 13 févr. 2012 à 16:34, Damien Fleuriot a écrit :
 Mais je ne suis pas d'accord pour les mêmes raisons, mais si ta suggestion 
 marche je vais facturer Daily Motion.
 Ses serveurs attaquent mes clients tous les jours :D :D

 Encore une fois, ce n'est pas OVH qui attaque..


 De mon point de vue, OVH vend un service, et c'est via leur service que
 le dommage est occasionné.
 
 Et ?
 Moi je vends des arcs pour faire du tir à l'arc ... si tu dégommes quelqu'un 
 avec, ce n'est pas mon problème (mais bien le tien).
 
 
 Mathieu

Dans le cas présent c'est le réseau d'OVH qui véhicule l'attaque alors
c'est discutable.


Prennons le cas d'une voiture.

1/ tu achètes une voiture, tu crée un accident, tu es responsable.

2/ tu achètes à une société un service de location voiture+chauffeur,
s'ensuit un accident, c'est la société de service qui est responsable.

Dans le cas d'OVH, je pense qu'on se rapproche plus du second cas.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/13/12 3:40 PM, Gurvan Rottier-Ripoche wrote:
 ---
 @ Damien Fleuriot m...@my.gd via frnog.org
 
 
 Pour le fait d'aller jusqu'au tribunal, j'espère tout de même que j'y suis
 encore loin, voir très loin :).
 


Go go exposer le problème à maître eolas ;)

Ca pourrait être intéressant d'avoir son avis la dessus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] URGENT : ingé cisco

[Damien Fleuriot]

On 1/27/12 8:55 PM, Renaud RAKOTOMALALA wrote:
 Le 27/01/2012 20:52, Jérémy Martin a écrit :
 Merci à tous pour vos réponses publiques / privées.
 Après tests effectué avec l'aide de quelqu'un, il se trouve que ce ne
 sont pas les switch qui sont merdiques, mais le routeur qui ne suit pas
 (hardware).

 On va changer les cartes et voir ce que ça donne.

 @arnaud : Tu n'étais pas si loin de la vérité, on va peut être acheter
 un vrai routeur :)
 
 pense a superviser au minimum la mémoire, la charge CPU et les erreurs
 sur tes routeurs/switchs ces sont des indicateurs minimums ...
 
 Après tu as le droit d'avoir des équipements proportionnels à ton
 besoin, l'équilibre financier n'est pas non plus une mauvaise chose ;)
 
 My 2 cents


Pour continuer sur les 2 cents de Renaud, tu peux installer Observium
qui est particulièrement pratique.

Il te graphe tes ports, centralise syslog, et je crois même l'avoir vu
remonter des alarmes sur les équipements.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Dos depuis Online / Dedibox

[Damien Fleuriot]

On 1/10/12 11:56 PM, Texier, Matthieu wrote:
 Bonjour à tous,
 
 Un nouvel échange sur un de nos sujets préférés ! J'en profite !
 
 Pour les amateurs de statistique et de comparaison, je vous propose de jeter 
 un oeil sur notre site Atlas. Ce site donne une vue de la menace Internet sur 
 un modulo 24h.
 
 Ces données viennent essentiellement de nos clients qui partagent des 
 statistiques avec nous mais aussi d'un réseau géré par nos soins.
 (nous couvrons 90% des Tiers 1 et 60-70% des Tiers 2).
 
 https://atlas.arbor.net/
  
 Sur le dash board global, on remarque que nous sommes plutôt en bonne 
 position: 7 eme Pays au monde sources d'attaques… c'est un résultat honnête 
 mais … peut mieux faire (j'ai parfois vu de plus belle journée ou notre 
 French touch s'exprimait avec plus de vigeur)!
 
 On notera que les TOP ASN source d'attaque… nous avons qques représentants 
 tricolores qui se défendent bien aussi !
 
 https://atlas.arbor.net/summary/dos
 
 Si on regarde juste le DDoS, argh, on est juste au pied du podium pour 
 aujourd'hui ! Juste derrière la Corée.
 
 Sur les tops ASN's… no comment, j'exerce mon droit de réserve ! 
 
 https://atlas.arbor.net/cc/FR
 
 Voici pour les statistiques purement françaises, vous avez ainsi le 
 classement officiel. Pour la source de botnet, je pense qu'il n'y a pas 
 photo, on connait le podium !
 
 Bonne nuit,
 Matthieu.
 
 Matthieu Texier
 Arbor Networks
 Consulting engineer EMEA
 mtex...@arbor.net
 +33 6 85 83 66 89
 


Méthodologie: comparer une société qui fournit à la fois de l'aDSL à 4.8
millions d'abonnés et de l'hébergement, via une filiale, sur le même AS
, à une autre société qui ne fait virtuellement que de l'hébergement,
avec 10.000 abonnés aDSL grand max.


A mon humble avis, il faut comparer ce qui est comparable !


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [JOBS] Offre ingénieur réseau à consonance système

[Damien Fleuriot]

On 1/10/12 12:57 AM, Cyril Bouthors wrote:
 On  9 Jan 2012, julien.mange...@rentabiliweb.com wrote:
 
 Julien Mangeard
 Rentabiliweb
 Directeur Technique Groupe
 
 troll Un CTO qui top-post avec Outlook, je crois que ça en dit long sur
 l'environnement de travail/
 
 ;-)

Et que dire d'un tech qui reboot une machine de prod en journée, au lieu
de redémarrer un service sur la préprod ?
/etc/init.d/* restart

Après je dis ça je dis rien.

Pour te citer, ;-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Offre ingénieur réseau à consonance système

[Damien Fleuriot]

On 1/10/12 5:49 PM, Raphael Mazelier wrote:
 

 Sauf que l'ingé compétent, même de culture libriste et linuxienne, a une
 hiérarchie, et travaille dans une entreprise.
 Et lorsqu'on lui donne un portable Win7/Office, il l'utilise. Ce qui ne
 l'empêche pas, pour ses mails persos, de préférer Thunderbird.

 Je ne vois donc pas le lien entre l'outil utilisé pour la messagerie et
 la compétence en systèmes/réseaux...

 
 
 Personnellement j'ai toujours refusé de travailler avec Outlook car cela
 me fait perdre trop de temps. J'ai parfois été seul résistant avec de
 longue discussions à la clé avec mes managers de l’époque.
 Respecter sa hiérarchie oui, se faire imposer un outil de manière
 dogmatique non. Après effectivement j'ai moi même mis en place tout les
 outils afin d'être inter-opérable avec le reste de la société.
 
 Avoir les bons outils pour travailler fait pour moi parti du métier.
 
 

D'aucuns pourraient arguer que tu as perdu + de temps à la mise en place
de ces outils d'interop, que tu n'en as gagné.

Après, faut voir le temps que tu y as passé...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Offre ingénieur réseau à consonance système

[Damien Fleuriot]

On 1/10/12 5:52 PM, Jeremy Monnet wrote:
 2012/1/10 Michel Py mic...@arneill-py.sacramento.ca.us:
 Jérôme Nicolle a écrit:
 de façon plus pragmatique, Outlook est un vrai problème.

 Mouais et bien moi j'utilise Outlook par choix et je trouve que ceux qui 
 disent que c'est un problème ils feraient mieux de balayer devant leur 
 porte, parce que les quotes de porc, le top post, le HTML, les trolls non 
 tagués, les signatures au kilomètre, etc j'en vois autant avec le logiciel 
 libre. Mettez un bémol, les mecs. Si Exchange / Outlook est le standard en 
 Entreprise, il y a une raison.

 
 C'est cher donc c'est bien ?
 
 Librement,
 
 Jérémy
 

C'est pas du tout son propos.

Son propos c'est: ça marche donc c'est bien.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Offre ingénieur réseau à consonance système

[Damien Fleuriot]

On 1/10/12 6:05 PM, Raphael Mazelier wrote:
 
 Si Exchange / Outlook est le standard en Entreprise, il y a une raison.

 
 C'est ton droit d'utiliser ces outils. Fonctionnelement il est vrai que
 c'est très complet. De la à dire qu'Outlook et surtout Exchange sont de
 bons produits il y a un pas que je ne franchirais pas. Exchange est
 juste affreux pour l'administrateur.
 


Et zimbra ça l'est pas peut être ? On a pas la même expérience de zimbra ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Offre ingénieur réseau à consonance système

[Damien Fleuriot]

On 1/10/12 7:04 PM, Arnaud Landry wrote:
 On 10 janv. 2012, at 18:52, Damien Fleuriot wrote:
 


 On 1/10/12 6:05 PM, Raphael Mazelier wrote:

 Si Exchange / Outlook est le standard en Entreprise, il y a une raison.


 C'est ton droit d'utiliser ces outils. Fonctionnelement il est vrai que
 c'est très complet. De la à dire qu'Outlook et surtout Exchange sont de
 bons produits il y a un pas que je ne franchirais pas. Exchange est
 juste affreux pour l'administrateur.



 Et zimbra ça l'est pas peut être ? On a pas la même expérience de zimbra ;)


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 créer un compte avec mot de passe (besoin de base en exploitation sur un 
 groupware non ?)
 
 Zimbra ; http://wiki.zimbra.com/wiki/Zmprov_Examples
 zmprov ca us...@domain.com test123  
 
 Exchange : http://technet.microsoft.com/en-us/library/aa997663.aspx
 New-Mailbox -UserPrincipalName conf...@contoso.com -Alias confmbx -Name 
 ConfRoomMailbox -Database Mailbox Database 1 -OrganizationalUnit Users 
 -Room -ResetPasswordOnNextLogon $true
 
 puis une commande pour le mdp AD ;) (- google)
 
 
 perso , je trouve le premier plus simple et mémorisable ;)
 

L'intégration n'est pas la même.

Faire fonctionner du calendrier partagé sur zimbra avec android, ios,
outlook, ça relève de l'exploit.

Le temps que tu gagnes à créer ton compte, tu le perds à te battre avec
le calendrier de l'utilisateur...


Quant à pouvoir mémoriser la commande, est-ce vraiment bien utile ?
Suffit de l'avoir dans sa doc interne, copier/coller, gagné.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] recherche de fournisseur transit IP statique et peering bgp sur Paris

[Damien Fleuriot]

On 1/3/12 12:34 AM, jameboulie wrote:
 Bonjour
 
 j'ai fait déjà une requête, mais je relance avec plus de précision sur mes 
 besoins:
 * une interconnexion sur equinix
 * transit IP en statique pour commencer
 * transit IP en peering bgp ensuite avec le prestataire retenu.
 
 Merci
 
 
 
 jameboulie
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


Salut,


Pour notre part, nous utilisons Neo Telecoms comme fournisseur de
transit, sur Global Switch, EQX et DRT et en sommes particulièrement
contents.

L'équipe est agréable, compétente et réactive.



Tu devrais peut être préciser le volume de transit dont tu aurais besoin.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] AS51207 : two recent IPv4 allocation - please update your filters

[Damien Fleuriot]

On 12/30/11 12:55 PM, Nicolas STEFANI wrote:
 Bonjour,
 
 Afin de ne pas perturber un prochain lancement de service merci de
 mettre à jour rapidement vos filtres pour les préfixes suivants:
 
 AS51207
 - 37.1.232.0/21
 - 37.8.160.0/19
 
 PS : C'est déjà vendredi... ;-)
 
 Bonnes fêtes,
 ---
 Nicolas STEFANI
 

Pour info, tes préfixes ne font pas partie de la liste des bogons de la
team cymru:

http://www.team-cymru.org/Services/Bogons/fullbogons-ipv4.txt

A priori ils ne sont pas supposés être filtrés donc.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: RE : Re: [FRnOG] [TECH] AS51207 : two recent IPv4 allocation - please update your filters

[Damien Fleuriot]

Bah la preuve ;)


La full list contient les préfixes qui ont été donnés aux RIRs mais pas
encore alloués.


On 12/30/11 2:33 PM, Raphaël Jacquot wrote:
 il reste encore quelque chose dans cette liste ? ;-)
 
 
  Original message 
 Subject: Re: [FRnOG] [TECH] AS51207 : two recent IPv4 allocation -
 please update your filters
 From: Damien Fleuriot m...@my.gd
 To: frnog@frnog.org
 CC:
 
 
 
 
 On 12/30/11 12:55 PM, Nicolas STEFANI wrote:
 Bonjour,

 Afin de ne pas perturber un prochain lancement de service merci de
 mettre à jour rapidement vos filtres pour les préfixes suivants:

 AS51207
 - 37.1.232.0/21
 - 37.8.160.0/19

 PS : C'est déjà vendredi... ;-)

 Bonnes fêtes,
 ---
 Nicolas STEFANI

 
 Pour info, tes préfixes ne font pas partie de la liste des bogons de la
 team cymru:
 
 http://www.team-cymru.org/Services/Bogons/fullbogons-ipv4.txt
 
 A priori ils ne sont pas supposés être filtrés donc.
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pertes et latence importantes

[Damien Fleuriot]

On 12/28/11 1:27 PM, Grégoire Leroy wrote:
 Bonjour à tous,
 
 Je suis étudiant à TELECOM Lille1, et j'ai repris le réseau d'une certaine 
 résidence de 150 utilisateurs derrière 2 lignes ADSL et une ligne SDSL (chez 
 Orange).
 
 Étant donné que nous avons régulièrement des pertes et une latence très 
 importante, j'ai effectué quelques tests et contacté Orange Business Services.
 
 Test : http://bpaste.net/show/21180/
 
 Un seul utilisateur était connecté et téléchargeait 2 ou 3 fichiers par 
 torrents, atteignant 1.4 méga.
 
 Des tests ont été effectués, en bridant notre QoS à 1.080 méga, pour le même 
 résultat.
 Il est apparu qu'à environ 800kbit/s, nous n'avions plus de problèmes.
 
 Le débit maximal mesuré, lui, allait jusqu'à environ 1.75 méga
 
 Le support d'OBS m'a tenu ce raisonnement :
 -La ligne est une ligne 2 mégas - l'overhead ATM = 1.6 méga
 -Il faut y retrancher 200 kbit/s utilisés pour la téléphonie, soit 1.4 méga
 -Il faut minorer ce débit pour laisser passer les ack TCP.
 

600kbs d'ACKs TCP ?

Il s'est foutu de ta gueule.



 J'aurais donc 2 questions :
 1) De combien est-il habituel de réduire le débit dans ce genre de cas ? Lors 
 de la mise en place de la QoS, j'avais lu entre 5 et 10%. Passer de 1.4 méga 
 à 
 800kbit, c'est plutôt de l'ordre de 40%...
 2) Quand on regarde le MTR, on s'aperçoit que la latence ne vient pas de la 
 ligne elle-même, mais du troisième routeur chez Orange. OBS m'a dit que 
 c'était normal (tous nos routeurs ne vont pas à la même vitesse) Est-ce que 
 ce comportement est réellement justifié, ou est ce que c'est de la mauvaise 
 foi de leur part ? Pourquoi la latence n'apparaitrait qu'une fois dans 
 l'infra 
 Orange ?
 

A ta question pourquoi ? je réponds parce qu'ils sont mauvais.



 PS : ce problème n'a _rien_ à voir avec le fait que nous soyons 150, les 
 tests 
 ont été menés avec un seul utilisateur.
 
 Merci d'avance pour vos réponses,
 Cordialement,
 Grégoire Leroy
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question mise à jour DNS pour les internautes numericable

[Damien Fleuriot]

On 12/28/11 5:43 PM, David B. wrote:
 Bonsoir,
 
 Depuis quelques jours, je suis confronté à un soucis de DNS vraiment
 étrange avec les internautes qui utilisent numericable.
 Une zone DNS a été mise à jour (dans les règles) il y a de cela plus
 d'une semaine.
 Le TTL de la zone était bien de une journée.
 
 A priori tous les internautes ont bien vu la mise à jour, SAUF ceux de
 numericable.
 
 Je pensais au début que c'était les DNS de l'opérateur qui étaient pas à
 jour.
 
 Mais dig me dit le contraire :

Si tu dig le SOA tu as bien le bon numéro de série pour ta zone ?

Ton idée de cache DNS sur la box a du mérite, il conviendrait de faire
redémarrer sa box à un de tes sujets de test, puis ré-essayer.

Ca peut, éventuellement, également venir de l'OS.


Tous les internautes de NC sont concernés ou seulement certains ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pertes et latence importantes

[Damien Fleuriot]

On 12/28/11 6:00 PM, Fabien VINCENT wrote:
 2011/12/28 Thomas Mangin thomas.man...@exa-networks.co.uk
 

[snip]

 Ah !! Et moi qui croyais que tu voulais faire de la magie noire :D
 Augmenter un peu les prix pour financer le service ?

 
 On a essayé en demandant aux résidents = échec
 

Abordons le problème autrement.

La sDSL est là pour répondre à quel besoin, qui n'est à priori pas
satisfait par les aDSL ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pertes et latence importantes

[Damien Fleuriot]

On 28 Dec 2011, at 18:18, Fabien VINCENT fabvinc...@gmail.com wrote:

 
  Ah !! Et moi qui croyais que tu voulais faire de la magie noire :D
  Augmenter un peu les prix pour financer le service ?
 
 
  On a essayé en demandant aux résidents = échec
 
 
 Abordons le problème autrement.
 
 La sDSL est là pour répondre à quel besoin, qui n'est à priori pas
 satisfait par les aDSL ?
 
 C'était plus en terme de nombre de connexions que nous voulions avancer 
 (+ToIP pour l'admin de la résidence, ce qui as fait qu'ils ont pris un truc 
 mousse mousse pro, mais qui n'est pas plus satisfaisant qu'un ADSL bien 
 blindé).


Définis ton besoin en terme de
nombre de connexions.

Est-ce qu'il s'agit de flux qui pourraient être concentrés sur un forward proxy 
?

Tu pourrais avoir une approche qui serait de faire passer le browsing + mail + 
p2p sur les aDSL, et la voip sur sDSL.

Je déconseille de faire passer le ssh dans la sDSL, les scp de 8gb vont violer 
ta ligne.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard

[Damien Fleuriot]

On 12/27/11 2:38 PM, Rémi Bouhl wrote:
 Le 27/12/2011 13:20, Jérôme Nicolle a écrit :
 
 Le 27 décembre 2011 12:59, Damien Fleuriotm...@my.gd  a écrit :
 Refer my réponse, à l'instant, à Jérôme, dans laquelle je me pose la
 question de pourquoi tout le monde assume que nos serveurs sont sous
 windows ;)

 En effet dans le cadre d'un LAN user, se protéger de manière proactive
 est tout à fait justifiée.

 Ben oui mais c'est précisément de ça qu'on parle, pourquoi assumais tu
 qu'on se limitait aux serveurs ?

 Quand on parle de réseau, client ou serveur, c'est bien la même chose...


 
 
 
 Tiens, ça me fait me poser une question: Damien Fleuriot, vos serveurs
 ont-ils besoin d'accéder à Internet, en tant que clients (par exemple,
 pour du rebond, des updates, du VPN, du backup..)?
 
 Si oui, le feront/font-ils en IPv4 ou en IPv6 (dans le cas où IPv6
 serait disponible)?
 
 Rémi.
 


Nos serveurs ont effectivement besoin d'accéder à internet pour les
mises à jour.

Nous avons un miroir debian en interne, aussi seule cette machine a
réellement besoin de connectivité.

Cette machine aura donc également besoin, à terme, de connectivité ip6.

Pour le moment, comme les miroirs sur lesquels nous la synchronisons
sont toujours disponibles en v4, elle reste en v4 :)



En ce qui concerne les VPNs, ceux-ci sont terminés sur les firewalls,
qui auront directement des IPv6.

Pour les backups, c'est de la connectivité interne, ça peut donc rester
en v4 historique.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spoof UDP

[Damien Fleuriot]

On 12/27/11 12:10 AM, Guillaume Barrot wrote:

 - la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos
 amis de la lutte contre la cybercriminalite de maintenir ce genre de listes
 d'attaques en cours, et de synchroniser les actions de contre mesures via
 un système type flowspec (qui nous a gentillement été présente au dernier
 Frnog justement dans un use case équivalent) ?
 

Et cette liste serait maintenue par qui ?

On va se retrouver avec une instance politique chargée de maintenir
cette liste, ce qui amènera forcément à un système de censure arbitraire
et des abus :/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard

[Damien Fleuriot]

On 12/27/11 12:04 PM, Radu-Adrian Feurdean wrote:
 
 On Tue, 27 Dec 2011 11:38:26 +0100, Damien Fleuriot m...@my.gd said:
 
 Nous avons déjà *beaucoup* de VLANs, et donc de subnets, tous déployés
 et en prod en v4.
 
 Il te reste donc *beaucoup* de travail avant de crier en public Je suis
 passe sur IPv6 !!!.
 Tu en as pour quelques annees probablement, donc pense a commencer
 rapidement.
 

Tu commences légèrement à m'ennuyer, pour rester correct.

Je ne compte pas crier je suis passé sur ipv6 !!, je compte rendre le
service disponible pour mes clients.

Et pour la dernière fois, rendre ce service disponible à mes clients ne
passe *pas* par la case faire parler toutes les machines du LAN entre
elles en ip6.

Occupe toi donc de tes propres infras au lieu de me donner des leçons,
on a de toute évidence des approches différentes alors on ne s'entendra pas.


 Si nous devions les passer en v6 (ou en dual-stack) ça serait un travail
 titanesque pour un gain, je le répète, *nul* .
 
 Il y avait d'autres a pretendre le meme chose sur les reseaux
 Netware/IPX. C'etait il y a ~15 ans...
 

Je t'ai demandé plusieurs fois d'argumenter et de présenter le gain
apporté par un passage, dans le cadre du LAN intra-serveurs, de v4 vers v6.

Tu n'as jamais pu/voulu apporter une réponse hormis ton sacro-saint
l'ipv6 c'est bien, il faut en mettre partout.

Ca fait 10 messages qu'on tourne en rond.


 Le gain est nul car on arriverait à la même situation qu'actuellement:
 les machines peuvent communiquer entre elles.

 Les éventuelles autres features, genre l'autoconfiguration, on n'en a
 pas besoin dans notre environnement.
 
 Comme je le disais, c'est pas avec des gens comme toi qu'on aura un jour
 du IPv6 deploye globalement. 
 Avec des gens comme toi, l'IPv6 sera juste une etiquette marketing
 sans interet technique (exactement ce que tu fais aujourd'hui). Si c'est
 pour arriver a ca, merci, je prefere le CGN et autres improvisations...
 

Est-ce que tu tannes aussi les gens pour upgrader leurs liens de 1 à
10gb alors qu'ils consomment 20mbps ?

Si je demande c'est parce que la comparaison me semble particulièrement
pertinente dans le cas présent.


 Le problème c'est le rapport coût/bénéfice d'une telle opération, il
 nous faudrait acheter du matos et passer beaucoup de temps homme sur un
 tel projet.
 
 Aujourd'hui Dec 2011, ca peut se faire avec des couts proches de zero,
 surtout pour les upgrades, nouveaux deploiements.

Nous avons déjà abordé le sujet des remplacements de matériel, tes
fournisseurs t'offrent peut être 100 switchs sachant traiter de l'ip6 en
hardware vs software, pas les miens.


 Le plus grand investissement (pas forcement financier) c'est en
 *EDUCATION*. Y compris celle des admins...

Tout investisseent comporte une composante financière, faire suivre une
formation à un collaborateur, c'est coûteux également en temps homme.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard

[Damien Fleuriot]

On 12/26/11 9:19 PM, Radu-Adrian Feurdean wrote:
 
 On Mon, 26 Dec 2011 16:35:04 +0100, Damien Fleuriot m...@my.gd said:
 
 De plus, on a, fort heureusement, les environnements de dev, préprod et
 recette pour ça ;)

 Après est-ce que ça sera testé correctement par le métier, c'est une
 autre histoire...
 
 Surtout quand l'IPv6 tu l'as que sur tes frontaux..


Que l'ip6 soit disponible seulement sur les frontaux, ou pour les comms
LAN intra-machines, ça ne change absolument rien à la problématique de
le client se présente avec une IP *publique* v6.

Mais bon ça fait environ 10 messages que tu t'entêtes alors je vais
arrêter de perdre mon temps.

Continue ta croisade pour l'ipv6 100% full, y compris dans un LAN qui
n'en a pas besoin, de ton côté.

Pendant ce temps, dans la vraie vie, je vais répondre au besoin de mes
clients au mieux, à la fois pour eux et pour mon employeur.

Sans rancune.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard

[Damien Fleuriot]

On 12/27/11 5:23 PM, Rémi Bouhl wrote:
 
 Le 27/12/2011 15:03, Damien Fleuriot a écrit :
 
 
 Dans mon esprit il s'agit de 2 problématiques tout à fait différentes.


 Ne serait-ce que parce que nos serveurs sont en datacenter dans des
 VLANs bien précis, alors que les utilisateurs sont ici dans nos locaux,
 dans des VLANs qui ne sont propagés nulle part ailleurs.

 Il s'agit, en essence, de 2 réseaux tout à fait distincts et gérés
 différemment.

 De fait, pour proposer aux clients de la société d'accéder à nos
 services en ip6, je n'ai pas besoin de faire de modifications dans le
 réseau utilisateur.

 Donner accès à mes utilisateurs à des ressources en ipv6, c'est un sujet
 que je traiterais à part ;)
 
 Si vos utilisateurs ont des raisons d'accéder aux serveurs et
 d'intervenir dessus, ça peut être utile de leur fournir IPv6.
 
 Dit autrement, je n'ose pas imaginer un service de support qui dispose
 d'un LAN IPv4 only et doit résoudre des tickets relatifs à IPv6..
 
 Chez moi ça marche pas!
 - chezmoiçamarche... pasnonplus©
 
 Rémi.
 


Hehe, non ils n'ont pas vocation à accéder aux serveurs ;)

Par utilisateurs on entend les services commercial, compta, juridique...


En ce qui concerne les serveurs eux-mêmes, c'est l'équipe exploitation
qui intervient dessus en montant un VPN sur ip4.

Le VPN est + là pour répondre à des considérations de sécurité et
d'audit qu'à la pénurie d'ip4.

Après, si un jour le besoin s'en fait sentir, on fera aussi écouter le
VPN sur de l'ip6, et via ce VPN on continuera à joindre les machines sur
leurs ip4 internes.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard

[Damien Fleuriot]

On 12/27/11 12:26 PM, Jérôme Nicolle wrote:
 Damien,
 
 Le 27 décembre 2011 12:15, Damien Fleuriot m...@my.gd a écrit :
 Ca fait 10 messages qu'on tourne en rond.
 
 A qui la faute ?
 
 Petit rappel, histoire que ce soit bien clair et que tu arrêtes
 d'alimenter le hors sujet :

Le message qui a relancé le débat a été posté sous forme de troll le
26/12/2011 à 21h19.

Je te laisse le rechercher.


 - IPv6 existe, des gens vont le déployer, alors si tu veux passer pour
 un dinosaure dans quelques années et perdre toute employabilité, tu es
 sur la bonne voie.

Ca n'a rien à voir avec le sujet abordé, à savoir rendre un service
public joignable via une ipv6 publique.

Les communications internes entre serveurs sont un tout autre débat.


 - Que tu déploies ou pas, tes équipements et OS vont se mettre à le
 parler. Donc sans t'en servir, tu devras quand même être capable de le
 contrôler pour sécuriser ton réseau.

Ils ne le parleront que s'ils y sont autorisés.

Les OS que nous utilisons en prod nous permettent d'activer ou pas l'ip6.

Si l'on désactive l'ip6, tu peux bien essayer toutes les attaques du monde.


 - Du coup, de l'intérêt de déployer partout ou sur des frontaux, peu
 importe, il faut que TOUS tes équipements soient compatibles, sans
 quoi tu ne verras pas le coup venir *QUAND* tu te feras trouer le cul
 par une attaque basée sur quelque anomalie d'implémentation d'IPv6.
 

A partir du moment où seuls mes frontaux parlent ipv6 je suis
relativement tranquille, ces machines proposent des fonctionnalités
assez sympa, notamment celle de refuser les RA.


 Pour en revenir au sujet donc, à l'exception d'un support pour dans
 pas longtemps sur les 3750-X, 3560-X et 2960-S chez Cisco, personne
 n'a d'information claire quand au support de la RFC-6105 sur les
 switchs d'accès. Du coup, la seule solution semble être de poser du L3
 avec des ACL sur ICMPv6 et/ou un monitoring un peu travaillé avec
 ARPWatch et NDPmon.
 

Même discours chez juniper où ils annoncent la feature pour junos 12.x
qui est pour l'an prochain


Il existe néanmoins une manip sur cisco pour obtenir un équivalent du RA
guard:

---
ipv6 access-list drop-ra
deny icmp any any router-advertisement
permit ipv6 any any

int range g0/1 - 48
ipv6 traffic-filter drop-ra in
---


Sur juniper c'est malheureusement plus délicat, certains ont essayé des
access-list dans le même genre à base de filter (stateless fwing) mais
ça ne s'applique qu'à l'ip4 apparemment.


 Mais si un équipementier passe par ici avec la moindre information à
 ce sujet, ne serait ce que des dates de livraison, ça pourra leur
 éviter de passer une fois de plus pour des boulets perpétuellement en
 retard.
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard

[Damien Fleuriot]

On 12/27/11 11:30 AM, Raphaël Jacquot wrote:
 On 12/27/2011 11:22 AM, Damien Fleuriot wrote:
 Que l'ip6 soit disponible seulement sur les frontaux, ou pour les comms
 LAN intra-machines, ça ne change absolument rien à la problématique de
 le client se présente avec une IP*publique*  v6.
 
 tu peux utiliser des adresses ipv6 unique local (a priori, RFC 4193
 est la derniere en date à ce sujet) si ca te chantes hein...
 l'idée est de ne plus utiliser ipv4 a terme
 


Justement, comme ça a été débattu plus haut, l'intérêt est très limité.

Nous avons déjà *beaucoup* de VLANs, et donc de subnets, tous déployés
et en prod en v4.

Si nous devions les passer en v6 (ou en dual-stack) ça serait un travail
titanesque pour un gain, je le répète, *nul* .

Le gain est nul car on arriverait à la même situation qu'actuellement:
les machines peuvent communiquer entre elles.

Les éventuelles autres features, genre l'autoconfiguration, on n'en a
pas besoin dans notre environnement.



Le problème c'est le rapport coût/bénéfice d'une telle opération, il
nous faudrait acheter du matos et passer beaucoup de temps homme sur un
tel projet.

Ca ne passera jamais, et à juste titre :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard

[Damien Fleuriot]

On 12/27/11 1:20 PM, Jérôme Nicolle wrote:
 Le 27 décembre 2011 12:59, Damien Fleuriot m...@my.gd a écrit :
 Refer my réponse, à l'instant, à Jérôme, dans laquelle je me pose la
 question de pourquoi tout le monde assume que nos serveurs sont sous
 windows ;)

 En effet dans le cadre d'un LAN user, se protéger de manière proactive
 est tout à fait justifiée.
 
 Ben oui mais c'est précisément de ça qu'on parle, pourquoi assumais tu
 qu'on se limitait aux serveurs ?
 
 Quand on parle de réseau, client ou serveur, c'est bien la même chose...
 


Dans mon esprit il s'agit de 2 problématiques tout à fait différentes.


Ne serait-ce que parce que nos serveurs sont en datacenter dans des
VLANs bien précis, alors que les utilisateurs sont ici dans nos locaux,
dans des VLANs qui ne sont propagés nulle part ailleurs.

Il s'agit, en essence, de 2 réseaux tout à fait distincts et gérés
différemment.

De fait, pour proposer aux clients de la société d'accéder à nos
services en ip6, je n'ai pas besoin de faire de modifications dans le
réseau utilisateur.

Donner accès à mes utilisateurs à des ressources en ipv6, c'est un sujet
que je traiterais à part ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard

[Damien Fleuriot]

On 12/27/11 12:54 PM, Raphaël Jacquot wrote:
 On 12/27/2011 12:41 PM, Damien Fleuriot wrote:
 
 Si l'on désactive l'ip6, tu peux bien essayer toutes les attaques du
 monde.
 
 comme ca ?
 
 http://technet.microsoft.com/en-us/security/bulletin/ms11-083
 
 This security update resolves a privately reported vulnerability in
 Microsoft Windows. The vulnerability could allow remote code execution
 if an attacker sends a continuous flow of specially crafted UDP packets
 to a *closed* port on a target system.
 


Refer my réponse, à l'instant, à Jérôme, dans laquelle je me pose la
question de pourquoi tout le monde assume que nos serveurs sont sous
windows ;)

En effet dans le cadre d'un LAN user, se protéger de manière proactive
est tout à fait justifiée.


Dans le cadre de serveurs joignables par le public, la donne change
complètement.

Si nous ne compilons pas l'INET6 dans le kernel, elles ne peuvent pas
être vulnérables à des attaques contre l'ipv6.


Prennons l'analogie suivante: une vulnérabilité dans mod_ldap sur
apache, si tu ne le compiles/charges pas, on ne peut pas l'exploiter.

Alors oui, on peut imaginer le cas d'une personne qui root ta machine,
compile/charge mod_ldap, et ensuite te pwn via cette faille.

Mais bon, il ne s'agit plus d'une attaque contre mod_ldap si ta machine
a déjà été rootée avant ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spoof UDP

[Damien Fleuriot]

On 12/27/11 2:29 PM, Radu-Adrian Feurdean wrote:
 
 On Tue, 27 Dec 2011 13:42:17 +0100, Ambroise Terrier
 cont...@ambroiseterrier.fr said:
 
 Si l'on se base que sur des rapports venant de l'ANSSI, de l'office de 
 lutte contre la cybercriminalité ainsi que d'organisme de ce genre, les 
 faux positifs seront quasi néant, surtout si on met en place le filtre 
 de la modération des admins indépendants. En sécurité, on m'a toujours 
 appris qu'il faut mieux couper et analyser ensuite que de laisser faire.
 
 Cote business, c'est plus souvent le contraire (qu'on aime ou pas).
 

Entièrement d'accord.


 Si l'état veut faire une liste de ce type sous surveillance d'un 
 (véritable) comité de surveillance (composé d'admin indépendants), on 
 ne pourrait que les encourager à le faire surtout lorsque l'on voit le 
 nombre grandissant de site vérolé.
 
 J'ai quand-meme un probleme a mettre au meme endroit des vrais gens
 independants et une entite etatique. Il me semble qu'un des independants
 preferes du gouvernement c'est Michel Riguidel...
 

Encore une fois entièrement d'accord.

Refer les histoires de commission HADOPI, pour laquelle des experts
*indépendants* (lol) ont été mandatés.


 Quelque-chose totalement independant (sans intervention etatique),
 pourquoi pas. Mais je suppose que si ca n'existe pas encore, il doit y
 avoir un raison economique (trop cher a faire vivre ou manque
 d'interet).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spoof UDP

[Damien Fleuriot]

On 12/27/11 1:00 PM, Ambroise Terrier wrote:
 Le 27/12/2011 12:05, Damien Fleuriot a écrit :

 On 12/27/11 12:10 AM, Guillaume Barrot wrote:
 - la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos
 amis de la lutte contre la cybercriminalite de maintenir ce genre de
 listes
 d'attaques en cours, et de synchroniser les actions de contre mesures
 via
 un système type flowspec (qui nous a gentillement été présente au
 dernier
 Frnog justement dans un use case équivalent) ?

 Et cette liste serait maintenue par qui ?

 On va se retrouver avec une instance politique chargée de maintenir
 cette liste, ce qui amènera forcément à un système de censure arbitraire
 et des abus :/

 Le mieux ne serait il pas d'avoir des rapports envoyés rapidement à une
 équipe de modération de la liste qui traiterait rapidement chaque
 demande et serait composée d'administrateurs réputés indépendants et
 qualifiés à juger le bienfondés de chaque rapport ?

Le problème c'est que tu auras toujours des gens pour contester et/ou
des faux positifs.

Prends par exemple tous les problèmes rencontrés par spamhaus, qui se
sont retrouvés assignés en justice plusieurs fois.


Mais en effet, une liste coordonnée, maintenue par des administrateurs
indépendants, serait une réponse, un peu dans la même lignée que les
bogons maintenus par la Team Cymru.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard

[Damien Fleuriot]

On 12/27/11 12:48 PM, Jérôme Nicolle wrote:
 Le 27 décembre 2011 12:41, Damien Fleuriot m...@my.gd a écrit :
 
 Ca n'a rien à voir avec le sujet abordé, à savoir rendre un service
 public joignable via une ipv6 publique.
 
 Non, le sujet, c'est le RA-Guard sur les switchs.
 
 Si l'on désactive l'ip6, tu peux bien essayer toutes les attaques du monde.
 
 Jusqu'à ce que ton admin-stagiaire oublie de desactiver terredo sur le
 master avec lequel tu deploies tes WS, ou qu'un worm le réactive.
 

Mais je sais pas d'où vous sortez tous la présomption que nos serveurs
soient sous windows ?

IMHO la probabilité qu'un worm vienne recompiler le kernel de freebsd
pour activer INET6, l'installer, rebooter la machine puis lancer un
exploit sur ip6 est assez faible.



Après, si on considère (et ce n'est pas mon cas) un LAN de postes
utilisateurs, sous windows, là effectivement le danger est bien réel et
le besoin de se protéger tout à fait justifié.


 A partir du moment où seuls mes frontaux parlent ipv6 je suis
 relativement tranquille, ces machines proposent des fonctionnalités
 assez sympa, notamment celle de refuser les RA.
 
 Les RA ne peuvent être qu'à destination de fe80::/64 et ff02::1, il me
 semble. Donc pas routables, donc tes FW frontaux ne sont même pas
 sensés en voir passer.
 
 Même discours chez juniper où ils annoncent la feature pour junos 12.x
 qui est pour l'an prochain
 
 Oui, mais j'ai pas encore eu de réponse officielle à ce sujet,
 j'attends que quelqu'un de chez juniper se manifeste...
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Attaque en déni de service en cours

[Damien Fleuriot]

On 12/26/11 12:04 PM, Charles Delorme wrote:
 Bonjour, 
 
 Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de 
 service depuis dimanche matin 7h heure locale. La très grosse majorité des 
 paquets est en udp/80 à destination de nos deux liens, completel 
 (213.30.147.224/27) et global crossing (217.156.140.224/27) et aussi un peu 
 en udp/53. Nous tentons d'établir une liste d'adresses sources mais vous vous 
 doutez qu'elle varie beaucoup. 
 

S'agissant d'UDP les IPs source sont très probablement spoofées.

Je ne vois aucun intérêt à de l'UDP port 80 alors déjà tout ça vous
pouvez dropper direct.

Ensuite, pour du TCP vous pouvez activer sur vos firewalls du SYN Proxy,
ça évitera à vos serveurs de backend d'essayer d'établir des sessions
TCP avec des IPs spoofées qui ne répondront jamais à SYN_ACK.


 Les supports des deux opérateurs sont bien sûr prévenus.
 
 Si en plus certains d'entre vous ont la possibilité de bloquer au moins le 
 traffic en udp/80 qui passerait par vos réseaux vers chez nous, ceci nous 
 pemettrait de respirer un peu.
 
 Tout avis en la matière sera le bienvenu. Je passe par cette adresse mail 
 perso car pour l'instant nos accès sont saturés. 
 
 Merci beaucoup et joyeux Noël à tous :-) 
 
 Charles Delorme
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Attaque en déni de service en cours

[Damien Fleuriot]

S'agissant très probablement d'IPs spoofées, je le vois mal blackholer
200k /32 générées aléatoirement ?

Nan parce qu'au bout d'un moment le routeur upstream va en avoir marre,
déjà, et ensuite au bout d'un moment ça va bloquer des vrais clients
légitimes qui auront eu la malchance que leur IP soit générée :o


On 12/26/11 12:27 PM, Alexis Savin wrote:
 Bonjour,
 
 Un grand classique, surement déjà vécu par beaucoup ici.
 
 Et malheureusement peu d'options efficaces.
 
 Quelques techniques sont pourtant intéressantes à étudier, la plus
 intéressante étant celle du remote triggered black-hole pour peu que
 l'opérateur le supporte (http://tools.ietf.org/html/rfc5635).
 
 Cela peut permettre de désengorger ses liens et de ne pas impacter toute
 une plateforme.
 
 Bon courage.
 
 2011/12/26 Charles Delorme fr...@suricat.net
 
 Bonjour,

 Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni
 de service depuis dimanche matin 7h heure locale. La très grosse majorité
 des paquets est en udp/80 à destination de nos deux liens, completel (
 213.30.147.224/27) et global crossing (217.156.140.224/27) et aussi un
 peu en udp/53. Nous tentons d'établir une liste d'adresses sources mais
 vous vous doutez qu'elle varie beaucoup.

 Les supports des deux opérateurs sont bien sûr prévenus.

 Si en plus certains d'entre vous ont la possibilité de bloquer au moins le
 traffic en udp/80 qui passerait par vos réseaux vers chez nous, ceci nous
 pemettrait de respirer un peu.

 Tout avis en la matière sera le bienvenu. Je passe par cette adresse mail
 perso car pour l'instant nos accès sont saturés.

 Merci beaucoup et joyeux Noël à tous :-)

 Charles Delorme
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

 
 --
 Alexis Savin
 Ingénieur Systèmes/Réseaux/Sécurité
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Attaque en déni de service en cours

[Damien Fleuriot]

IMHO, pour dropper 80/udp, le mieux que tu puisses faire c'est te
rapprocher des NOCs de tes upstreams (completel / GBLX) et leur demander
de le dropper à destination de tes supernets/subnets.


On 12/26/11 12:47 PM, Charles Delorme wrote:
 Merci pour vos suggestions. 
 
 Ma priorité est effectivement de bloquer le traffic udp/80 en amont de mes 
 liens. Les équipements en tête de réseau supportent bien la charge mais ce 
 sont les liens qui saturent. 
 
 
 Damien Fleuriot m...@my.gd a écrit :
 
 Bah oui mais du coup il va se couper le service tout seul, certes
 seulement vers l'IP cible mais l'attaque aura réussi.
 
 Vu que la plupart du trafic semble être de l'UDP 80, est-ce qu'il aurait
 pas plus rapide de dropper ça par ses upstreams ?
 
 
 On 12/26/11 12:33 PM, Alexis Savin wrote:
 Il ne s'agit pas de bloquer les sources, mais le trafic à destination de
 l'ip attaquée, le temps que l'attaque cesse.

 La priorité lors d'une attaque comme celle-ci est de désengorger ses
 tuyaux pour rétablir le plus de services possible.

 2011/12/26 Damien Fleuriot m...@my.gd mailto:m...@my.gd

 S'agissant très probablement d'IPs spoofées, je le vois mal blackholer
 200k /32 générées aléatoirement ?

 Nan parce qu'au bout d'un moment le routeur upstream va en avoir marre,
 déjà, et ensuite au bout d'un moment ça va bloquer des vrais clients
 légitimes qui auront eu la malchance que leur IP soit générée :o


 On 12/26/11 12:27 PM, Alexis Savin wrote:
 Bonjour,

 Un grand classique, surement déjà vécu par beaucoup ici.

 Et malheureusement peu d'options efficaces.

 Quelques techniques sont pourtant intéressantes à étudier, la plus
 intéressante étant celle du remote triggered black-hole pour peu que
 l'opérateur le supporte (http://tools.ietf.org/html/rfc5635).

 Cela peut permettre de désengorger ses liens et de ne pas impacter
 toute
 une plateforme.

 Bon courage.

 2011/12/26 Charles Delorme fr...@suricat.net
 mailto:fr...@suricat.net

 Bonjour,

 Le père Noël nous a gâté et nous subissons au Sénat une attaque
 par déni
 de service depuis dimanche matin 7h heure locale. La très grosse
 majorité
 des paquets est en udp/80 à destination de nos deux liens,
 completel (
 213.30.147.224/27 http://213.30.147.224/27;) et global crossing
 (217.156.140.224/27 http://217.156.140.224/27;) et aussi un
 peu en udp/53. Nous tentons d'établir une liste d'adresses
 sources mais
 vous vous doutez qu'elle varie beaucoup.

 Les supports des deux opérateurs sont bien sûr prévenus.

 Si en plus certains d'entre vous ont la possibilité de bloquer au
 moins le
 traffic en udp/80 qui passerait par vos réseaux vers chez nous,
 ceci nous
 pemettrait de respirer un peu.

 Tout avis en la matière sera le bienvenu. Je passe par cette
 adresse mail
 perso car pour l'instant nos accès sont saturés.

 Merci beaucoup et joyeux Noël à tous :-)

 Charles Delorme
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


 --
 Alexis Savin
 Ingénieur Systèmes/Réseaux/Sécurité

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/




 -- 
 -=HADESIS=-

 Alexis Savin
 Ingénieur Systèmes/Réseaux/Sécurité
 EPITA 2010 / Integra

 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: Recherche switch L2 supportant RA-guard

[Damien Fleuriot]

On 12/26/11 2:51 PM, Xavier Beaudouin wrote:
 Hello,
 
 Le 24 déc. 2011 à 01:03, Damien Fleuriot a écrit :
 
 Et c'est très bien.

 Tu as un besoin: te connecter en ssh sur une machine sans monter de VPN
 Tu as une réponse: rendre cette machine joignable en ip6.

 Très bien.



 Maintenant, *moi* j'ai un autre besoin, et une autre réponse, également 
 adaptée:
 Mon besoin: que mes clients puissent joindre mes services en ip6
 Ma réponse: des frontaux qui parlent ip6.

 Je n'ai absolument pas besoin de changer l'adressage interne pour ça,
 notre boîte à nous a encore plein de place avec les adresses privées
 ;)

 
 
 Exact, mais pour pas passer pour un idiot quand le client te dis hey ton 
 truc sur le frontaux en ipv6 ça merdoie, avoir d'ipv6 en interne permet 
 accessoirement de tester les emmerdes avant qu'elle arrivent sur ton 
 interface de ticketing...
 
 My 0,02€...
 
 Xavier
 

En effet, mais c'est un autre débat ;)

De plus, on a, fort heureusement, les environnements de dev, préprod et
recette pour ça ;)

Après est-ce que ça sera testé correctement par le métier, c'est une
autre histoire...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Attaque en déni de service en cours

[Damien Fleuriot]

On 12/26/11 12:04 PM, Charles Delorme wrote:
 Bonjour, 
 
 Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de 
 service depuis dimanche matin 7h heure locale. La très grosse majorité des 
 paquets est en udp/80 à destination de nos deux liens, completel 
 (213.30.147.224/27) et global crossing (217.156.140.224/27) et aussi un peu 
 en udp/53. Nous tentons d'établir une liste d'adresses sources mais vous vous 
 doutez qu'elle varie beaucoup. 
 
 Les supports des deux opérateurs sont bien sûr prévenus.
 
 Si en plus certains d'entre vous ont la possibilité de bloquer au moins le 
 traffic en udp/80 qui passerait par vos réseaux vers chez nous, ceci nous 
 pemettrait de respirer un peu.
 
 Tout avis en la matière sera le bienvenu. Je passe par cette adresse mail 
 perso car pour l'instant nos accès sont saturés. 
 
 Merci beaucoup et joyeux Noël à tous :-) 
 
 Charles Delorme


http://www.leparisien.fr/flash-actualite-politique/loi-sur-les-genocide-les-menaces-contre-la-deputee-boyer-suscitent-l-indignation-26-12-2011-1784329.php

---
Le site de la députée restait inactif lundi. Quant à celui du Sénat,
il était régulièrement inaccessible depuis dimanche à cause d'une
opération de saturation du site orchestrée par des éléments
extérieurs, pour l'heure non identifiés, selon le service de
communication de la Haute assemblée.
---

On parle de vous tiens.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re : [FRnOG] [TECH] Spoof UDP

[Damien Fleuriot]

On 12/26/11 5:46 PM, Pierre Emeriaud wrote:
 2011/12/26 Surya ARBY arbysu...@yahoo.fr

 Unicast reverse path forwarding est dédié à cet effet et est principalement 
 déployé chez les providers.

 
 corrigez-moi si je me trompe, mais pour moi urpf ne permet de bloquer
 le traffic en entrée uniquement si les @ ne sont pas routables par
 l'interface ingress. On peut donc très bien spoofer en prenant
 l'adresse ip du voisin dans le subnet / subnet voisin non ?
 
 
 Mon next hop est 1.1.1.1. j'ai pour @ip attribuée 1.1.1.3/24. Si
 j'envoie les paquets udp avec une source forgée à 1.1.1.4, ce n'est
 pas l'urpf sur 1.1.1.1 qui les empêchera de passer.
 Correct ?
 
 -Pierre.
 

Correct, mais ça permet d'écrémer très fortement quand même ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/