Re: [FRnOG] [TECH] Une proposition de loi veut imposer l'IPv6 dans les appareils au 30 juin 2015
fr...@jack.fr.eu.org writes: On 30/07/2014 00:01, Radu-Adrian Feurdean wrote: [...] Mettre un paquet IPv6 sur le cable n'est pas tout. Ouais, t'as aussi ça : - 's/AF_INET/AF_INET6/g', le truc que tout programmeur devrait faire depuis 10 ans - utiliser des FQDN et pas des IP: idem - .. Mais bien sûr, comme si c'était aussi simple. J'aime bien les points de suspension qui cachent les 9.5/10èmes de l'iceberg. Impressionnant comme charge de travail, en effet, cela mérite de prendre la tangente en mettant mettre en place NAT, CGNAT et autres bullshitNAT Face à ce genre de discours mensonger, le décideur pressé il préfère garder son NAT/CGNAT/truc_qui_marche_NAT. -- jca | PGP : 0x1524E7EE / 5135 92C1 AD36 5293 2BDF DDCC 0DFA 74AE 1524 E7EE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Une proposition de loi veut imposer l'IPv6 dans les appareils au 30 juin 2015
fr...@jack.fr.eu.org writes: On 30/07/2014 18:29, Jérémie Courrèges-Anglas wrote: Ouais, t'as aussi ça : - 's/AF_INET/AF_INET6/g', le truc que tout programmeur devrait faire depuis 10 ans - utiliser des FQDN et pas des IP: idem - .. Mais bien sûr, comme si c'était aussi simple. J'aime bien les points de suspension qui cachent les 9.5/10èmes de l'iceberg. Puis-je être méchant ? Si ton application (niveau 7) se soucie du niveau 4, c'est que tu es programmeur de bien piètre qualité. Puis-je être méchant ? *Tu* parles de AF_INET/AF_INET6, des familles d'adresses, puis *tu* parles de niveau 4. Conseil, lis quelques RFC et Stevens avant d'essayer de chambrer publiquement des gens qui en connaissent manifestement plus que toi sur ce rayon. Non seulement ça, mais en plus s/AF_INET/AF_INET6/g est bien quelque chose que l'on *ne doit pas* faire! Ok, encore une affirmation à la rache. C'est culotté de ta part que de dire ça. T'as des arguments ? Pour info, AF_INET ne permet que l'IPv4, alors que AF_INET6 inclue les deux protocoles. On peut donc dire que AF_INET6 inclue AF_INET. Et qui peut le plus, peut le moins. Encore une tentative de simplification qui, énoncée en tant que vérité, n'est qu'un mensonge. cf. la réponse de Simon. Sinon, détail, les sockets ne sont qu'une partie du problème. -- jca | PGP : 0x1524E7EE / 5135 92C1 AD36 5293 2BDF DDCC 0DFA 74AE 1524 E7EE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch L2 48x1GbE + 4x10GbE (SFP+) ?
Stephane steph...@info.univ-angers.fr writes: Bonjour, Pour une infra HPC en ethernet, je recherche des références pour quelques switches L2 1G/SFP+ : - 48 ports 1GbE - 2 à 4 ports SFP+ pour du 10GbE - 1 port de management - Empilables (possible via SFP+ si x4) - VLAN (2 ou 3 max) - LAG LACP - Si possible, Airflow vers face avant Et évidemment, le tout fiable, performant et pas cher ;-) Merci de vos avis éclairés J'aurais un bon retour à faire sur le H3C^WHP S5120-48P-EI. Ça fait ce qu'il y a marqué sur la boîte, et ce depuis ~1 an, même en environnement « hostile ». -- jca | PGP : 0x1524E7EE / 5135 92C1 AD36 5293 2BDF DDCC 0DFA 74AE 1524 E7EE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] La solution à tous les maux ?
Ehlo, Jérôme Nicolle jer...@ceriz.fr writes: [...] C'est d'la faute aux boites noires à base de logiciels privateurs diront certains. Pas forcement faux, quoi que le libre n'apporte aucune garantie (coucou OpenSSL après goto fail; goto fail;), Apple, pas OpenSSL. https://www.imperialviolet.org/2014/02/22/applebug.html juste plus de transparence au cas ou on aie du temps de développeur à cramer pour tout vérifier. [...] -- jca | PGP : 0x1524E7EE / 5135 92C1 AD36 5293 2BDF DDCC 0DFA 74AE 1524 E7EE --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Sponsoring, hackathon OpenBSD à Marrakech mi-avril
Salutations, le projet OpenBSD[1] tiendra un hackathon[2] à Marrakech entre les 17 et 22 avril prochains. L'évènement est gracieusement hébergé par l'université Cadi Ayyad (Semlalia). Le seul point noir à l'horizon est la connectivité qu'il y aura sur site. Il y a eu des efforts menés par le projet pour trouver un opérateur sponsor qui se chargerait à titre gracieux d'amener sur site une desserte réseau performante. Hélas ces efforts ont jusqu'ici fait chou blanc, et les échéances approchent. Pour rappel les hackathons sont un espace privilégié où les développeurs OpenBSD peuvent travailler ensemble et à plein temps pour produire un système plus robuste, performant et innovant*. Ces améliorations sont ensuite reprises par une multitude d'autres projets et entreprises, profitant ainsi à toutes et à tous (exemples : OpenSSH, OpenBGPD, PF, etc). Si vous ou vos connaissances travaillez chez un opérateur potentiellement intéressé par la démarche, n'hésitez pas à me contacter. Que Puffy soit avec vous. :) Merci, * désolé :) [1] http://www.openbsd.org/ [2] http://www.openbsd.org/hackathons.html (En FR) [1] http://www.openbsd.org/fr/ [2] http://www.openbsd.org/fr/hackathons.html -- jca | PGP : 0x1524E7EE / 5135 92C1 AD36 5293 2BDF DDCC 0DFA 74AE 1524 E7EE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] PF d'OpenBSD peut il matcher sur le Traffic class en IPv6 ?
Histoire de déterrer un vieux thread, Christophe t...@stuxnet.org writes: Bonjour, Le 02/02/2014 00:44, Jérémie Courrèges-Anglas a écrit : [...] Pas testé, pas même compilé, use at your own risk : Index: net/pf.c === RCS file: /cvs/src/sys/net/pf.c,v retrieving revision 1.696.2.1 diff -u -p -r1.696.2.1 pf.c --- net/pf.c16 Feb 2011 19:13:21 - 1.696.2.1 +++ net/pf.c1 Feb 2014 23:35:30 - @@ -5958,7 +5958,7 @@ pf_test6(int dir, struct ifnet *ifp, str pd.sidx = (dir == PF_IN) ? 0 : 1; pd.didx = (dir == PF_IN) ? 1 : 0; pd.af = AF_INET6; - pd.tos = 0; + pd.tos = (ntohl(h-ip6_flow) 0x0ff0) 20; pd.tot_len = ntohs(h-ip6_plen) + sizeof(struct ip6_hdr); pd.eh = eh; En effet, ça y ressemble beaucoup :) . Après discussions avec Christophe cela corrige en effet son problème. Modulo le masque utilisé, 0x0fc0, pour ignorer les bits réservés à l'ECN. En tout cas c'est dans -current et ce sera dispo dans OpenBSD 5.6 : http://marc.info/?l=openbsd-cvsm=139447216623408w=2 [...] Merci à Christophe pour le report, et à Vigdis pour me rappeller de clôturer le thread. ;) -- jca | PGP : 0x1524E7EE / 5135 92C1 AD36 5293 2BDF DDCC 0DFA 74AE 1524 E7EE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] PF d'OpenBSD peut il matcher sur le Traffic class en IPv6 ?
tl;dr : non, mais ça devrait être possible facilement.
Christophe t...@stuxnet.org writes:
Bonjour la liste,
Je ne sais pas si c'est tout à fait l'endroit, mais je me lance : Je me
casse les dents sur un petit soucis de config de PF en IPv6.
Pour faire écho à Vigdis, m...@openbsd.org est aussi un bon endroit pour
de l'aide sur une conf, là c'est un peu plus compliqué et lié à un
problème d'implémentation donc tech@ me paraît plus approprié.
Le but est de router les paquets sur deux passerelles différentes en
fonction de leur classification : TOS en IPv4 et Traffic class en IPv6.
En IPv4 cela fonctionne parfaitement avec les deux règles suivantes :
pass in quick on $int_if inet proto tcp from $lan_nets to !
localnets_v4 port { 80 , 443 } *tos 0x10* route-to ( $ext1_if $gw_ext1
) keep state
pass in quick on $int_if inet proto tcp from $lan_nets to !
localnets_v4 port { 80 , 443 } *tos 0x00* route-to ( $ext2_if $gw_ext2
) keep state
Par contre, je n'ai pas trouvé le moyen de le faire en IPv6 sur ce même
principe : vu de tcpdump l'entête des paquets contient bien la bonne
valeur (entête class et non tos du coup) mais je ne trouve pas la
bonne syntaxe dans PF pour les prendre en compte (malgré un parcours
intensif du man et des documentations relatives que j'ai pu trouver).
Tenté (cas 1), ce qui semblait assez naturel d'un premier abord :
C'est ce qui devrait fonctionner mais qui n'est pas géré.
pass in quick on $int_if inet6 proto tcp from $v6_lan_nets to !
localnets_v6 port { 80,443 } *tos 0x10* route-to ($ext1_if
$v6_host_gwnet1) keep state
pass in quick on $int_if inet6 proto tcp from $v6_lan_nets to !
localnets_v6 port { 80,443 } *tos 0x00* route-to ($ext2_if
$v6_host_gwnet2) keep state
Tenté (cas 2), un peu au pif au vu du résultat de tcpdump (qui indiquait
class plutôt que tos) :
Je sais pas ce que fait / faisait class, mais je doute que ce soit ce
qui t'intéresse.
pass in quick on $int_if inet6 proto tcp from $v6_lan_nets to !
localnets_v6 port { 80,443 } *class 0x10* route-to ($ext1_if
$v6_host_gwnet1) keep state
pass in quick on $int_if inet6 proto tcp from $v6_lan_nets to !
localnets_v6 port { 80,443 } *class 0x00* route-to ($ext2_if
$v6_host_gwnet2) keep state
Aucun des deux cas ne génère d'erreur de syntaxe .
Mais :
Dans le cas 1, seule la deuxième règle matche tous les paquets (quelque
soit la valeur de l'entête class).
PF teste si l'admin a spécifié un tos (différent de zéro) avant de
comparer celui-ci avec le tos du paquet. Donc tos 0x0 est un nop que
tu peux supprimer de ton jeu de règles.
Je pense que tu vas vite voir pourquoi la première règle ne matche pas.
Dans le cas 2, aucune des deux règles ne matche, les paquets sont tout
bonnement jetés par la règle par défaut.
cf. plus haut.
A préciser qu'il s'agit de la version 4.8 d'OpenBSD.
Pas bien !
Auriez vous une idée ?
Pas testé, pas même compilé, use at your own risk :
Index: net/pf.c
===
RCS file: /cvs/src/sys/net/pf.c,v
retrieving revision 1.696.2.1
diff -u -p -r1.696.2.1 pf.c
--- net/pf.c16 Feb 2011 19:13:21 - 1.696.2.1
+++ net/pf.c1 Feb 2014 23:35:30 -
@@ -5958,7 +5958,7 @@ pf_test6(int dir, struct ifnet *ifp, str
pd.sidx = (dir == PF_IN) ? 0 : 1;
pd.didx = (dir == PF_IN) ? 1 : 0;
pd.af = AF_INET6;
- pd.tos = 0;
+ pd.tos = (ntohl(h-ip6_flow) 0x0ff0) 20;
pd.tot_len = ntohs(h-ip6_plen) + sizeof(struct ip6_hdr);
pd.eh = eh;
--
jca | PGP : 0x1524E7EE / 5135 92C1 AD36 5293 2BDF DDCC 0DFA 74AE 1524 E7EE
(auparavant 0x06A11494 / 61DB D9A0 00A4 67CF 2A90 8961 6191 8FBF 06A1 1494)
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
[BIZ] ? Thxer | Admin cont...@labo-logo.com writes: [...] Pour profiter du sujet, un dump de la ram lorsque Keepasx est ouvert permet-il de récuprer le mot de passe maître et/ou des mots de passe contenus dans l'archive ? J'ai du mal à voir ce qu'est un dump de la ram, mais il est certain que tu auras un / plusieurs mots de passe en clair dans la ram à un instant t. Je ne vois pas d'appel à XGrabKeyboard dans la 0.4.3, et pas de mesure (bit setgid) pour éviter un ptrace de la part d'un processus tournant avec le même uid. Ça serait pas plus mal si c'était un peu plus strict ou à défaut si ces choix étaient explicités et justifiés. -- Jérémie Courrèges-Anglas Empreinte PGP : 61DB D9A0 00A4 67CF 2A90 8961 6191 8FBF 06A1 1494 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] L2L SFR, Le vortex spatio-temporel
Jérémy Martin li...@freeheberg.com writes: Bonjour à tous, Salutations, [...] On a également un problème de débit. La MTU contractuelle est de 1500 octets. Mais on arrive sans problème à faire passer des packets de 65 000 octets.Bien sur,sur des packets standard à 1500 octets, on atteint pas 25 Mb/s. SFR fait ses tests sans limite de MTU et nous indique donc que le 1 Gb/s est bien présent de bout à bout à 65 000 octets. Vous les faites comment, vos tests de MTU ? Parce que sans bit 'DF' (Don't fragment), on peut monter assez haut… [...] -- Jérémie Courrèges-Anglas Empreinte PGP : 61DB D9A0 00A4 67CF 2A90 8961 6191 8FBF 06A1 1494 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Agregation de liens internet
Fernando Alves fernando.al...@sameswireless.fr writes: On 24/01/2013 14:14, Raphael Mazelier wrote: ça ressemble pas mal à la solution sur laquelle je bosse depuis un ans (quand je trouve du temps). http://git.sameswireless.fr/l2tpns.git Ça a l'air cool comme projet. J'ai deux / trois questions. Il s'agit d'une implémentation Lns software pour linux. - Comment cela se positionne par rapport à openl2tp par exemple ? Je n'ai jamais testé openl2tp. On a testé openl2tpd chez feu Alpine Data Network ainsi que chez Faimaison, c'est du Linux only mais ça fait autant lac que lns. l2tpns ne gère que la partie lns. - Combien de sessions au max sur un serveur linux récent ? Dans le code il y une limitation a 60 000 sessions et 500 tunnels. Aujourd'hui cette version (sans la partie serveur pppoe) tourne sur un serveur debian (CPU 32bit mono core, Celeron 2,4GHz, 512 Mo RAM) avec 200 sessions local et 5 sessions en Remote LNS et une utilisation CPU faible (en moyen 5%). - Est ce qu'un portage sous *bsd est envisageable ? il suffit de trouver quelqu'un pour s'en occuper :-) J'ai déjà jeté un œil (OpenBSD), et c'est pas l'affaire de 2-3 petites modifs, mais rien d'impossible à mon avis. Pour autant que je sache, pas d'avancée sur les autres distros. - Est ce que cela gère déjà le mlppp coté serveur ? Oui Fernando -- Jérémie Courrèges-Anglas Empreinte GPG : 61DB D9A0 00A4 67CF 2A90 8961 6191 8FBF 06A1 1494 pgpBC01D1BipC.pgp Description: PGP signature
Re: [FRnOG] Dennis Ritchie is dead ... who care's ?
[...] Alors que pour la mort de drm, nada. [...] s/drm/dmr Non mais... --- Liste de diffusion du FRnOG http://www.frnog.org/
