Re: [FRnOG] [TECH] Matcher simplement IP => AS

2017-03-10 Par sujet Mathieu Goessens
Salut,

Le 10/03/2017 à 18:44, Nathan delhaye a écrit :
> Est-ce que l'un d'entre vous connais un soft/script permettant de matcher
> _SIMPLEMENT_ et gratuitement des IP vers un AS number?
> 
> J'ai entre 100 et 200 IP uniques a valider par secondes, ce qui exclus un
> whois lookup.
> 
> Bien entendu, je pourrais me faire mon usine a gaz a base de dump régulier
> de fulltable + agrégation, mais je me doute que je ne suis pas le premier à
> avoir la problématique donc il doit bien exister quelque chose dans le
> genre.
> 
> Je sais qu'il existe la DB ISP de Maxmind, mais payer 25$ par mois pour des
> données publiques, ça me fait chier :)
> 

https://www.team-cymru.org/IP-ASN-mapping.html mais vu le volume il vaut
mieux les prévenir. Et ce sera peut être pas gratuit. Les données ont
beaux être publique, les infras pour les mettre à dispo ont un coût.

-- 
Mathieu Goessens
IT Consultant



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] Re: [ALERT] Flap AWS

2016-10-21 Par sujet Mathieu Goessens

Le 2016-10-21 18:38, Nicolas CORBEL a écrit :

Profitant d'un Tweetdeck qui semble toujours marcher, il y a 20min :

Kevin Beaumont
@GossiTheDog
Dyn is being DDoS'ed on a much bigger scale. I set up monitoring 
earlier,

they've disappeared across countries.
https://twitter.com/GossiTheDog/status/789500989720129536

Kevin Beaumont
@GossiTheDog
Dyn host ~200k domains and Amazon EC2 mgmt API domains, this is going 
to

impact.
https://twitter.com/GossiTheDog/status/789501261930463232



Tu as de la change de l'avoir encore en cache :).

Il y a entre autre twitter et github, dont les NS sont tous chez dyne,
qui sont impactés. En tout cas depuis les 5 6 AS français que j'ai 
testé.


--
Mathieu Goessens
IT consultant.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] Etre anonyme sur l'Internet

2016-02-26 Par sujet Mathieu Goessens

Le 2016-02-26 20:42, Michel Py a écrit :

On savait très bien qu'en plus des utilisations légitimes, il y avait
un grand nombre d'utilisateurs de Tor à des fins illicites.



Source (je ne mets même pas de s) ? Ratio du nombre d'utilisateurs ?
Stats comparatives avec Internet ?

--
Mathieu Goessens


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Boitier de PC en Rack 19" pour baie réseau.

2015-10-29 Par sujet Mathieu Goessens

Le 2015-10-29 18:04, Pierre Colombier a écrit :

Bonjour,

Je cherche un boitier de PC rackable 1U ou 2U (préférence 1U) pour
intégrer un PC dans une baie réseau.
A cause de l'agencement de la baie, (murale avec les cotés non
démontables) Il faut que le boitier ne fasse pas plus de 30cm de
profondeur, qu'il tienne uniquement par la façe avant et que toute 
les

connectiques et boutons soient en façade. (y compris l'alimentation)

[...]

Peut-on me conseiller quelque chose ?



De regarder auprès de vendeurs de matériel son, chez qui c'est un
format standard, et non du spécifique-qui-coute-les-yeux-de-la-tête.

Exemple:
http://www.conrad.fr/ce/fr/product/402310/Rack-19-2-HE-Noir/?ref=detview1=detview1=1

--
Mathieu Goessens
IT consultant.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [BIZ] Mise en place de serveurs en anycast sur différents continents

2015-10-08 Par sujet Mathieu Goessens

Bonjour,

Le 2015-10-08 17:34, Laurent Seror a écrit :


Le trafic IP est routé via Cogent / Zayo / L3 / China Telecom / PCCW
suivant les zones



Pardonnez la question, mais pour que l'anycast soit pleinement
efficace, il ne faut avoir une unicité des transit sur tous les pops ?

Sinon, les localprefs transit

[FRnOG] [MISC] [HS?] Jardin Entropique - 26 28 Juin 2015 à Rennes - Appel à propositions

2015-04-25 Par sujet Mathieu Goessens
 directrice à la Cantine Numérique de Brest.
Mots-clef: #empowerment #free

- RzR
Utilisateur de GNU/Linux depuis 1996, codeur et contributeur, s'occupe
aujourd'hui d'informatique mobile, IoT. Il est intéressé par les
transformations sociales induites par la technologie, l'éthique, la
vie privée, la dé/re/possession, la cohésion sociale qui sont des
inquiétudes sérieuses actuelles et futures. Il supporte les
communautés en aidant la coopération entre différents projets.

- Julien Stainer
Julien s'apprête à défendre sa thèse portant sur les systèmes
distribués asynchrones sujets aux défaillances. Il a préparé cette
thèse à l'IRISA dans l'équipe ASAP sous la supervision de Michel
Raynal et il commence un post-doc à l'EPFL. Il est, depuis plusieurs
années, un défenseur du logiciel libre ainsi qu'un administrateur
système et développeur amateur. Dans une autre vie il a enseigné les
maths et l'informatique. Ses principaux centres d'intérêt sont les
systèmes distribués, les applications réseau, la sécurité, la
cryptographie et la protection de la vie privée.

- Spideralex
Chez Tactical Tech, Alex coordonne le projet Sécuriser les libertés
des femmes, en ligne et hors ligne : expression, vie privée et
intégration numérique.. Elle est sociologue et chercheuse sur le
sujet des TICs pour l'intérêt public. Elle détient un doctorat en
économie sociale. Au cours de la dernière décennie, elle s'est
impliquée dans le développement d'initiatives promouvant la
souveraineté technologique afin de permettre une transformation
sociale et politique des communautés locales, des réseaux de
recherche engagée, des mouvements sociaux ainsi que des groupes
d'immigrants, d'adolescents et de femmes.

- Laurent Toutain
Laurent Toutain est professeur associé dans le département RSM
(réseau, sécurité,  multimédia) à Télécom Bretagne. Il dirige
l'équipe de recherche OCIF (Objets communicants Internet du Futur). Il
a travaillé pendant plusieurs années sur le protocole IPv6
(intégration, auto-configuration…). Il a participé à la création
du groupe G6 qui regroupe depuis 1995 les chercheurs et industriels
autour du protocole IPv6. Il travaille maintenant sur l'Internet des
Objets. Ces recherches concernent principalement les protocoles et les
architectures spécifiques aux besoins de l'IoT. Il a géré de 2011 à
2015 le centre de compétence sur les smart grid commun à Télécom
Bretagne, à Texas Instruments et à ITRON.  Il est l'auteur de
plusieurs ouvrages sur les réseaux.

- Amandine Vandermeir
Médiatrice projets au sein du Jardin Moderne depuis avril 2014,
Amandine accueille et accompagne les associations porteuses d'un projet
culturel et organise les événements propres du Jardin Moderne,
centrés essentiellement sur la scène locale. En 2012, 2013 et 2014,
le Jardin Moderne a organisé trois éditions du Jardin Numérique, un
événement dédié aux pratiques artistiques créatives et aux
initiatives libres.

- Pls
Après du temps passé à travailler en tant qu'ingénieur en
électronique dans le spatial, l'aéronautique, la sécurité des
personnes et la bricole communautaire, il est désormais dans
l'informatique des systèmes distribués. Il s'intéresse depuis des
années à la rétro-ingénierie des systèmes physiques et à la
sécurité des systèmes d'information. A également participé à
ajouter de l'entropie dans différents hackerspaces, et pris part à
l'organisation et la tenue de différents hackmeetings. Formateur à la
sécurité des communications auprès de plusieurs mouvements
(h)ac(k)tivistes, entre deux sessions de lockpicking.

--
Mathieu Goessens
IT consultant.
geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] FRNOG 22.0 - RC1

2014-02-27 Par sujet Mathieu Goessens
On 27/02/2014 13:25, Bruno CAVROS / SKIWEBCENTER wrote:
 Non mais stop quoi..
 
 Si vous n'avez jamais vu un GBIC de votre vie (pourtant vous êtes technicien
 d'après votre adresse mail ?)alors que ça existe depuis 15 ans ça ne sert à
 rien de venir assister aux conférences du frnog, vous allez vous ennuyer car
 vous n'allez rien comprendre aux présentations si vous n'avez pas un minimum
 de niveau technique.
 

On devrait remplacer cette question par une sur IPv6, CIDR, DNSSEC... :)

-- 
Mathieu Goessens,
En avance de quelques heures.




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [MISC] Statistiques sur le trafic global

2013-07-23 Par sujet Mathieu Goessens


Salut,

On Tue, 23 Jul 2013 16:06:12 +0200, Jimmy Thrasibule 
thrasibule.ji...@gmail.com wrote:

Salut,

Existe t-il un site où l'on peut trouver des statistiques concernant 
le

voulmes des données transitant dans les tuyaux par pays ?

Le site du [RIPE][1] fournit de nombreuses informations mais je n'ai
rien trouvé concernant le volume qui transite.

J'imagine bien qu'il est difficile de tout répertorier mais si un
routeur arrive à espioner le trafic, il doit bien pouvoir fournir des
satistiques... oups!



Pour avoir un sous ensemble, tu peux regarder les volumes échangés sur 
les poins d'échanges:

franceix.net
www.sfinx.fr
ams-ix.net
de-cix.net

Cisco a également des stats:
http://www.cisco.com/en/US/netsol/ns827/networking_solutions_sub_solution.html
http://www.cisco.com/web/solutions/sp/vni/vni_forecast_highlights/index.html

Je ne sais pas dans quelle mesure elles sont justes. La méthodologie 
est décrite ici:

http://www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/ns827/white_paper_c11-481360_ns827_Networking_Solutions_White_Paper.html

--
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Routeurs pour small-business

2013-02-06 Par sujet Mathieu Goessens
On 06/02/2013 20:00, Sebastien Lesimple wrote:
 Comme si on avait fait mis PFsense dans des SuperMicro peint en rouge!
 Just kidding  ;)
 

Tu crois pas si bien dire: ça vaut une bouchée de pain sur ebay quand
les gens en ont marre de payer la licence et pfsense se porte comme un
charme dessus, en tout cas sur la gamme X que j'ai eu entre les main, et
avec laquelle la seule différence entre les différents modèles est dans
la licence: même hard partout (de mémoire: x86 1ghz 8 ports fast, 256Mo
de Ram upgradable à 512, compact flash, et même de quoi brancher un IDE
ou du PCI si laisser le boîtier ouvert ne vous gêne pas).

-- 
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] NAT IPv6 dans Linux 3.7

2012-12-14 Par sujet Mathieu Goessens


On Wed, 12 Dec 2012 10:55:37 +0100, Emmanuel Thierry m...@sekil.fr 
wrote:

Y a-t-il une justification particulière pour un NAT stateful ?


Au hasard, comment tu implémentes un portail captif sans DNAT ?

--
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] Re: [MISC] Apres la fin du dernier /8 ipv4

2012-10-01 Par sujet Mathieu Goessens
On 01/10/2012 21:39, Aurélien wrote:
 Au passage, si quelqu'un connaît des solutions qui permettent de faire
 un mode VPN SSL supportant IPv6, avec un client portable (linux,
 windows, mac), je suis preneur.

Openvpn ? Supporte très bien l'IPv6 dans le tunnel. Pour le tunnel over
IPv6 c'est encore expérimental mais fonctionne plutôt bien d'après mes
tests.

-- 
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Événement G6 - IPv6 - 11 avril 2012

2012-04-04 Par sujet Mathieu Goessens


On Tue, 27 Mar 2012 20:25:34 +, Frédéric Gabut-Deloraine 
fga...@neotelecoms.com wrote:

Bonsoir,

Le 6 juin 2012 l'ISOC organise le lancement officiel et définitif
d'IPv6 avec le World IPv6 Launch (http://www.worldipv6launch.org/). 
Le

G6 et les grands acteurs de l'Internet français se mobilisent en
organisant une journée de préparation et d'échanges afin que la 
France

ait la place qu'elle mérite dans ce lancement mondial. Si au niveau
des infrastructures, la France se place à un haut niveau (en
particulier grâce à Free qui propose IPv6 à tous ses clients ADSL), 
il

n'en va pas de même aux niveaux des fournisseurs de contenus et de
services.

Le 11 avril 2012 représente une première étape dans la préparation en
France du lancement mondial prévu le 6 juin. Ce sera l'occasion de
réunir pionniers IPv6, constructeurs et acteurs qui se lancent afin 
de
faire le point sur les besoins en matière de déploiement et les 
moyens

existants ou à mettre à disposition pour y parvenir. La journée
comportera notamment des présentations, des témoignages, des débats
sur les solutions et les technologies disponibles pour activer IPv6 à
partir du 6 juin.

[...]

Vous trouverez toutes les informations sur cet événement sur la page
http://g6.asso.fr/launch/


Bonjour,

Il y a t-il un stream ou au moins un enregistrement de prévu pour ceux 
qui ne pourraient pas se déplacer ?


Ce serait chouette :)

--
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] Re: [FRnOG] RespectMyNet : Une plate-forme citoyenne recense les restrictions d'accès au Net

2011-09-26 Par sujet Mathieu Goessens
Bonjour,

On 25/09/2011 15:01, Jérémie Zimmermann wrote:
 RespectMyNet : Une plate-forme citoyenne recense les restrictions
 d'accès au Net

Petit lien au passage, pour ceux qui voudraient tester leur connexion:
http://netalyzr.icsi.berkeley.edu/ (Ne prenez pas garde au langage
utilisé, cet outil est chouette).

-- 
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: Re : [FRnOG] Re: Quagga exemple de conf BGP ?

2011-08-29 Par sujet Mathieu Goessens
On 29/08/2011 16:19, Antoine Durant wrote:
 Personne ne peux me donner un petit exemple de conf quagga BGP 4 et 6 avec 
 deux upstreams ?

http://lmgtfy.com/?q=quagga+example+configuration

Les premières réponses me semblent pertinentes...

-- 
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-01 Par sujet Mathieu Goessens


On Fri, 1 Jul 2011 13:42:43 +0100, Thomas Mangin 
thomas.man...@exa-networks.co.uk wrote:

j'y vois au moins trois inconvénients


Cela casse bien the end to end principle - PAT ou NAT.
http://en.wikipedia.org/wiki/End-to-end_principle


Heu, en quoi cela casse ce principe ?

Tu as lu le RFC ? Ou ne serait ce que les 5 lignes d'intro ? :)

C'est juste une traduction d'adresse 1:1. Il n'y a aucun mécanisme de 
filtrage qui casserait ce principe.


--
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Routeur Haute dispo IPv6

2011-06-30 Par sujet Mathieu Goessens

On 22/05/2011 19:00, Pierre Emeriaud wrote:

Le 22 mai 2011 18:35, Olivier Benghozi
olivier.benghozi+fr...@gmail.com  a écrit :

Pas forcément la peine de faire du FHRP avancé en IPv6: du RA avec un timing 
judicieusement paramétré sur les routeurs peut faire l'affaire, ce sont les hosts 
eux-mêmes qui changeront de route par défaut si le meilleur RA n'est plus reçu.



Dans son article
http://packetlife.net/blog/2011/apr/18/ipv6-neighbor-discovery-high-availability/,
Jeremy stretch montre en effet qu'une bascule en 1seconde est possible
juste avec les RA, sans fhrp.


Bonjour,

Une autre méthode est également possible:
- 2 routeurs qui émettent des RA avec des lifetime classiques
- les hôte utilisent le neighboor discovery pour choisir le routeur: si 
le routeur est dans un état reachable il sera utilisé, sinon, c'est 
l'autre routeur qui sera pris.


Il faut par contre changer sur tous les hôtes, les valeurs de 
configuration utilisés pour le neighboor discovery. Par défaut un hôte 
n'est plus joignable après 30 secondes: 
http://tools.ietf.org/html/rfc4861 , sections 6.3.1 et 10.


Sous linux, un systcl net.ipv6.neigh.eth0.base_reachable_time_ms devrait 
faire le boulot.


Cela évite le flood de RA et permet éventuellement une reprise de 
service plus rapide.


Cdlt,

--
Mathieu Goessens,
IRISA, Campus de Beaulieu, 35042 Rennes cedex, France
Tel: +33 (0) 2 99 84 71 00, Fax: +33 (0) 2 99 84 71 71
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Re: [FRnOG] Soirée Configuration d'ipv6 dans votre reseau / IPv6 REAL Working Group

2011-06-27 Par sujet Mathieu Goessens

On 27/06/2011 13:32, Alain RICHARD wrote:


A priori tous les utilisateurs devraient se voir attribuer des adresses
en /48.



Ou pas

- http://www.ripe.net/ripe/docs/ripe-512
- https://www.arin.net/policy/nrpm.html
- http://www.apnic.net/policy/ipv6-address-policy
Assignment address space size

(No troll here)


Certains ISP peuvent faire le choix de mettre du /64 pour les box ADSL,
ou du /60 voir +.

Je ne vois pas bien l'intérêt de connaitre la taille, sauf
éventuellement de se dire c'est un /64, donc un petit utilisateur,
donc je le blacklist !! C'est un peu discriminatoire non ?

Une RBL ipv6 pose le problème qu'une machine peut changer 2^64 fois
d'adresse avant d'être vraiment blacklistée, mais ce type de
comportement est difficile à cacher sur un serveur rootkité.

Une RBL ipv6 qui bloquerait uniquement une adresse ipv6 (équivalent donc
au comportement ipv4) et qui escaladerait à tout le bloc correspondant
lorsqu'il voit de nombreuses adresses dans le bloc ayant le même
comportement, mais cela est difficile à réaliser car il n'y a pas encore
de façon de connaitre ce bloc quel que soit le RIR, l'ISP ou l'utilisateur.


Tu réponds justement à la question que tu te poses:
Pour éviter qu'un user qui se fait blacklister une IP de son bloc, 
change d'IP, essai à nouveau etc, on peut vouloir blacklister le bloc 
entier, mais dans ce cas, il faut en connaître la taille sinon, tu peux 
te retrouver à blacklister trop court (blacklister le /64 alors que le 
gas à un /48) ou trop large (l'inverse).


--
Mathieu Goessens,
IRISA, Campus de Beaulieu, 35042 Rennes cedex, France
Tel: +33 (0) 2 99 84 71 00, Fax: +33 (0) 2 99 84 71 71
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] RFC 6204: Basic Requirements for IPv6 Customer Edge Routers

2011-05-05 Par sujet Mathieu Goessens

Bonjour,

On 28/04/2011 09:44, Stephane Bortzmeyer wrote:

Pour tous ceux qui livrent à leurs clients des boxes IPv6, voici une
utile check-list pour tester avant :

RFC 6204 : Basic Requirements for IPv6 Customer Edge Routers

http://www.bortzmeyer.org/6204.html



Pour ceux que cela intéressent, les gens d'ipv6ready.org travaillent sur 
une spec de tests et des jeux de tests en préparation pour tester la 
conformité à cette RFC: http://www.ipv6ready.org/?page=public-review-cpe


Cdlt,

--
Mathieu Goessens,
IRISA, Campus de Beaulieu, 35042 Rennes cedex, France
Tel: +33 (0) 2 99 84 71 00, Fax: +33 (0) 2 99 84 71 71
---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d' un administrateur système sur l'IPv6

2010-12-12 Par sujet Mathieu Goessens
On 12/12/2010 14:37, Jérôme Nicolle wrote:
 Il est _possible_ de natter, en l'occurrence en NAT66 1:1, mais c'est
 pas recommandé. Le dualstack est aussi possible, et souhaitable, car bon
 nombre d'applications métier développées sous OS X on une gestion du
 réseau absolument catastrophiques et ne passent pas en v6 (typiquement
 les serveurs de licence Quark ou de vielles versions de 4D)
 

Tu as un lien ? De ce que j'ai vu, ça n'est ni normalisé, ni implémenté
(et pas forcément évident que ça le soit un jour).


-- 
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org
---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6

2010-12-12 Par sujet Mathieu Goessens
On 12/12/2010 18:55, Yoann Gini wrote:
 
 Le 12 déc. 2010 à 17:44, Thomas Mangin a écrit :
 Il n'est jamais announce.
 
 D'après les liens cités précédemment, il est possible de le générer et de 
 l'enregistrer sur une base commune. Comment est-il configuré sur les postes 
 s'il n'est pas annoncé ? (cf http://www.sixxs.net/tools/grh/ula/ )
 
 Encore désolé avec mes questions de débutant sur le sujet, si vous avez une 
 documentation L'IPv6 pour les admin système je suis preneur :-)
 

Il y a un quiproquo de vocabulaire:
Annoncé = annoncé sur internet, donc routable etc. Les ULAs ne sont pas
routables (car elles sont destinées à un usage local uniquement). Donc
pas elles ne sont pas annoncées.

La base commune n'est là que pour se prémunir d'éventuelles collisions
(même si peu probable, si le préfixe choisi est vraiment aléatoire).

Si tu parles de l'allocation des adresses locales, radv ou dhcpv6 feront
très bien le boulot :).

 Bien évidement je n'utilise que du DNS en interne, jamais d'IP ! C'est 
 surtout pour savoir s'il y a un moyen de rendre le changement de préfixe 
 transparent pour le DNS interne. Bien que ça n'arrive pas souvent et qu'il 
 n'y a généralement pas beaucoup d'entrée dans le DNS, j'essaye toujours de 
 prendre la solution qui nécessite le moins d'action de ma part :-)

 Tu peux utiliser les adresses de link-local - pour ca cela fait tres bien 
 l'affaire tant que rien n'est route.
 
 Est-ce que l'adresse de link local peut être fournie par DHCP ou être 
 assignée en statique ? 
 

Non, elle est construite à partir de l'adresse MAC et configurée
automatiquement.

Pour plus d'infos, voir: http://livre.g6.asso.fr/index.php/Main_Page
-- 
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Re: [FRnOG] Détection des botnets et protection des internautes

2010-11-02 Par sujet Mathieu Goessens
On 01/11/2010 01:15, Rémi Bouhl wrote:
 Le 30/10/10, David Bizeuldbiz...@gmail.com a écrit :
 
 
  On est d'accord que le spam unitaire ne relève plus de la
  notification, mais quid de l'envoi d'une campagne de 10 000 mails ou
  l'hébergement de pages de phishing ou de contenu pedo pornographique,
  le tout parce que certains bots permettent de jouer le rôle de serveur
  web ?
 
 Là je demande des détails (une étude serait bienvenue):
 Ce sont les machines de particulier qui font office de serveur Web?
 Quand je vois la galère que c'est pour le faire exprès (attribuer un
 bail DHCP fixe dans la box, rediriger le port, ne pas éteindre la
 machine, prendre un DNS dynamique), l'idée qu'un bot utilise le PC
 d'un abonné ADSL pour héberger du pédoporno ou une page de fisching
 m'étonne grandement.

Et l'homme inventa l'upnp, et mille autres manières d'ouvrir des ports
avec des routeurs foireux en 5 lignes de code (quand il y a bien un
routeur et non pas un simple modem).

 Sans parler du débit: on met quoi comme contenu pédoporno sur une
 ligne à 1Mb/s?

Avec un joli fastflux DNS le problème se pose moins vu que seulement une
infime partie des clients atterrissent sur une ligne donnée.

-- 
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Il a Free, mais il a pas encore tout bien compris... (IPv6)

2010-10-26 Par sujet Mathieu Goessens
Salut,

On 26/10/2010 09:59, Xavier Beaudouin wrote:

 Donc je pris l'option plan B le 6to4... Bon c'est très loin d'être super 
 performant... mais ça marche...


Comme dit plus bas, le 6to4 bof (rouage asymétrique, endpoints parfois
plus ou moins down mais encore annoncés etc).

Le 6in4 marche tout de même un peu mieux, surtout si tu choisi bien ton
fournisseur... he.net ou encore, toi même ... :)

Voir
http://www.getipv6.info/index.php/Linux_or_BSD_6to4_Relays#Running_a_6to4_relay_on_Linux
(pour le 6to4, mais permet de trouver facilement comment créer un relais
6in4 chez soi).

-- 
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Classement des opérateurs Tiers 1

2010-09-05 Par sujet Mathieu Goessens
On 05/09/2010 20:23, Phibee Network Operation Center wrote:
  Bonsoir,
 
 Il y a quelques mois, j'avais vu passer des liens qui concernait
 une sorte de Top 10 des opérateurs Tiers 1 en Transit Internet
 mais impossible de remettre la main dessus.
 
 Quelqu'un aurait conservé les liens ?
 


http://as-rank.caida.org/ ?

http://ranx.frnog.org/ ?

Il en existe quelques autres, que tu dois pouvoir retrouver via
routeviews.org et caida vu qu'ils utilisent leurs données.

-- 
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Brute force SNMP

2010-07-23 Par sujet Mathieu Goessens
On 23/07/2010 12:05, Kevin COUSIN wrote:
 Bonjour la liste,
 
   Avez-vous déjà eu des attaques par brute force SNMP depuis l'adresse 
 194.51.220.194 ?
 

Heu, c'est quoi une attaque par brute force SNMP ? essayez de deviner
des comptes ? essayer de s'auth en SASL ?

Je suis sceptique sur l'interêt du message, si on commence à lister
toutes les IPs qui essaient de bruteforce, on a pas fini... tu veux
égayer notre vendredi ? :p

-- 
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Re: [FRnOG] plan de reprise d'activ ité

2010-07-02 Par sujet Mathieu Goessens
 Le probleme de ce genre de solutions reste tout de meme les
 ttl...certaines applications ne les respectent meme pas et concervent
 les rr en cache meme apres expiration.
 

Certains FAIs surtout, et donc potentiellement tous les clients derrière
leurs résolveurs...

-- 
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Fwd: [PaNAP-Members] PaNAP / France-IX merging announcement

2010-06-26 Par sujet Mathieu Goessens
On 26/06/2010 14:15, Raphael Maunier wrote:
 comprend bien que c'est l'aspect associatif et indépendant de l'IX qui est la 
 voie a suivre afin d'éviter d'être un jour confronté a un changement de 
 stratégie d'un IX 100% commercial.

Et d'ailleurs, on peut voir les statuts ? devenir membre (!= client) ?
voter ? proposer ?

 Antoine Versini - Nerim
 
 Raphael Maunier - Arriviste

--

Mathieu Goessens -  Troll
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Hackito Ergo Sum 2010

2010-03-10 Par sujet Mathieu Goessens
Philippe Bourcier wrote:
 
 Bonjour,
 
 Ci-dessous l'appel à communication d'un évènement Français sur la
 sécurité que FRnOG soutient car tout comme la neutralité (et même la
 quasi-neutralité*) est inhérente à Internet et a été clé de son
 développement, la full-disclosure est inhérente à la sécurité et elle
 est tout aussi menacée.
 
 N'hésitez pas à proposer des sujets réseau (BGP, IPv6, etc.).
 
 
 http://hackitoergosum.org/
 

Bonjour,

Vu que le thread prend vit j'en profite:

Une autre série de conférences sur le même modèle est organisée à rennes
quelques semaines après:

http://breizh-entropy.org/
http://www.breizh-entropy.org/cfp.html

L'axe est un peu moins technique, mais des présentations sur la
neutralité des réseaux, leur décentralisation ( ;) ) etc seront les
bienvenus :-)

Cdlt,

-- 
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] load balancing

2010-02-12 Par sujet Mathieu Goessens
Bedis 9 wrote:
 
 Google et quelques autres veulent pousser pour avoir l'IP du client
 dans la requete DNS.
 Un peu comme du X-Forwarded-For en HTTP.
 
 a+

Bonsoir,

Stephane Bortzmeyer avait fait un mail intéressant sur le sujet:


-- 
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org
---BeginMessage---
Le projet « Client IP information in DNS requests » de Google/Neustar
(http://googlecode.blogspot.com/2010/01/proposal-to-extend-dns-protocol.html
mais aussi l'Internet-Draft
http://tools.ietf.org/id/draft-vandergaast-edns-client-ip) vise à
étendre légèrement le protocole DNS pour transmettre au serveur
faisant autorité l'adresse IP du « vrai » client, i.e. la machine de
l'utilisateur. Dans le DNS actuel, le serveur faisant autorité ne voit
que l'adresse IP du résolveur, typiquement une machine du FAI ou du
service informatique. C'est une gêne pour les systèmes de statistiques
(http://www.dnsmezzo./net/) que cela prive d'une information utile
et c'est une gêne pour les serveurs à autorité qui font de la
géo-location, i.e. qui renvoient des informations différentes selon
l'adresse IP du client (pour répartir la charge intelligement). Cette
pratique d'informations « à la tête du client » est d'ailleurs
contestée mais je passe là dessus.

Pour la géo-location, le fait de ne pas avoir l'adresse IP de la
machine sur le bureau n'est pas un problème lorsque le résolveur est
dans le même bâtiment (cas d'une moyenne entreprise ou d'un campus
universitaire), l'adresse IP du résolveur suffit bien dans ce
cas. Mais pour un gros résolveur mondial comme Google Public DNS,
Neustar DNS advantage ou OpenDNS, la gêne est bien plus considérable :
l'adresse IP que verra le serveur faisant autorité peut alors être
très éloignée de celle du vrai client. Il n'est donc pas étonnant que
ce soient ces organismes qui poussent cette extension.

Du point de vue politique, la plus grosse question que pose cette
extension, et de loin, est celle de la protection de la vie
privée. Les auteurs en sont conscients et multiplient les garde-fous,
comme le fait de tronquer l'adresse IP à N bits significants, ou comme
la définition d'un mécanisme d'opt-out pour le client final (on note
que c'est du opt-out, pas du opt-in, ce qui est bien dans la ligne
habituelle de Google).

Du point de vue technique, la proposition technique est correcte,
sérieuse, et s'appuie sur EDNS, une méthode standard et reconnue. 

Difficile de dire ce que fera l'IETF. La proposition a reçu plus de
critiques que de compliments (Vixie s'y est opposé, notamment sur la
base qu'elle n'était intéressante que pour un petit groupe et qu'on
n'allait pas normaliser juste pour ce groupe). 

Quelques articles :

-
http://arstechnica.com/tech-policy/news/2010/01/google-wants-to-see-client-addresses-in-dns-queries.ars


---End Message---


Re: [FRnOG] Soucis au PaNAP ampleur de l'impact ?

2010-02-05 Par sujet Mathieu Goessens

Raphael Maunier wrote:

Il y a la frnog et le panap.

Ce serait bien de ne pas confondre les deux.

Raphael


En tout cas, leur logo il est chouette.

Cdlt,

--
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org

---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] [Fwd: 1/8 and 27/8 allocated to APNIC]

2010-01-21 Par sujet Mathieu Goessens

Bonjour,

Pour ceux qui ne l'aurais pas (encore) reçu:
Ca va être joyeux pour ceux qui utilisaient le 1er en interne
(je pense par exemple à télé2 mais ça ne doit pas être le seul) .

Cdlt,

 Original Message 
Subject: 1/8 and 27/8 allocated to APNIC
Date: Thu, 21 Jan 2010 15:36:45 -0800
From: Leo Vegoda leo.veg...@icann.org
To: Leo Vegoda leo.veg...@icann.org

Hi,

The IANA IPv4 registry has been updated to reflect the allocation
of two /8 IPv4 blocks to APNIC in January 2010: 1/8 and
27/8. You can find the IANA IPv4 registry at:

http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml
http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml
http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.txt

Please update your filters as appropriate.

The IANA free pool contains 24 unallocated unicast IPv4 /8s.

Regards,

Leo Vegoda
Number Resources Manager, IANA
ICANN


--
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Google DNS

2009-12-03 Par sujet Mathieu Goessens

Pierre Col wrote:

(ce troll du vendredi est légèrement en avance sur l'horaire...)


Un deuxieme:

dig  google.com @8.8.8.8

:-)

--
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] ADSL contention

2009-11-26 Par sujet Mathieu Goessens

anthony Hémond wrote:
Exception des cas où nous avons de la P2PTV est elle ralentie comme le 
téléchargement de fichiers? D'ailleurs VUze offre cette possibilité de 
commencer à regarder un téléchargement en même temps qu'il se fait. 
Mais sommes nous alors dans du streaming en P2P?



Bonjour,

Pour BT, quelques prototypes sont en cours d'implémentation... quelques 
labos travaillent dessus, l' irisa.fr (inria/cnrs rennes) notamment.

(Je dois pouvoir retrouver les publis si besoin).

Quand ( / si ) ce sera un peu plus finalisé, ça promet ... autant pour 
les users que les opérateurs :)


Cdlt,

--
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Impact du P2P sur le traffic entrant/sortant des ISP

2009-10-06 Par sujet Mathieu Goessens

Laurent GUERBY wrote:

On Tue, 2009-10-06 at 13:45 +0200, Radu-Adrian Feurdean wrote:
  

On Tue, 06 Oct 2009 13:10:57 +0200, Raphaël Jacquot


quelque part, le P2P ca ne génere qu'un traffic symétrique a 1Mbit par
client. le reste des dailytube et youmotion est toujours tout autant
assymétrique
  

D'un cote tu as du 0.5-1 Mbps sortant en permanence (presque 24/24) due
au P2P et/ou botnet
D'un autre cote tu as plusieurs MBps entrants pendant 1-3 heures - le
traffic legitime.

Multiplie par 1 million d'abbones, ce peut eventuellement donner
quelque-chose d'assez symetrique. [...]



Je n'ai pas decortiqué les algos des logiciels P2P mais s'il y a
un peu de jugeotte sur un echange de fichier (choisir des IPs proches ou
constater un meilleur debit vers une IP donnee) le traffic
entrant/sortant d'un ISP donné ne devrait pas suivre nb_participant * 1
Mbit/s mais plutot rester a quelques Mbit/s car le reste devrait se
faire en interne entre les abonnés de l'ISP avec juste un fraction des
clients qui vont chercher/fournir des données a l'exterieur de l'ISP.

Techniquement (pour faire polémique) pénaliser juste un peu le traffic
P2P entrant/sortant d'un ISP vers le reste du net devrait suffire a
faire choisir en premier d'autres clients de l'ISP et donc faire
un maximum de traffic interne, non ? Sinon pousser la communauté
des developpeurs de logiciels P2P a integrer cette problématique
d'une maniere ou d'une autre (publier des tables, des heuristiques sur
les IPs, etc...).

Je me trompe completement ? 
  
Pas tant que ça, il n'y a pas vraiment de jugeotte à l'heure actuelle 
mais quelques projets dans ce sens.
http://www.openp4p.net/ par exemple, qui table plutôt sur la coopération 
isp=p2p. Mais bon, il faudrait
que les isp le veuillent... De plus, intégrer ce genre de fonctionnalité 
entre 2 votes des lois en I ... heu...

Quelle est la situation actuelle telle que vecue par les ISP vis a vis
de cette problematique ?

Laurent
http://guerby.org/blog



---
Liste de diffusion du FRnOG
http://www.frnog.org/

  

--
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Net neutrality

2009-09-14 Par sujet Mathieu Goessens



ipv6 (où ce genre de problèmes ne se poseront plus).



Ben voyons. Le bon vieux troll IPv6 qui résout tous les problèmes de v4 il est 
un peu usé tu devrais arrêter de le sortir; c'est une liste de FAI ici, pas de 
droides du marketing et des ventes.
  


C'est sûr, les gens serieux n'utilisent pas ipv6, qui, de toute façon ne 
résoud pas les problèmes liés à l'exhaustion des adresses comme la 
nécessité croissante de faire des NATs
et est de toute façon un jouet pour la cabale universitaire récemment 
reconvertie dans le marketing. ;)



Cdlt,
Mathieu
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Net neutrality

2009-09-12 Par sujet Mathieu Goessens

Jerome Benoit wrote:

Axiome 1 : Tout équipement IP a droit à un accès de plein pied (Pas de
NAT, ni de double NAT, etc.

Axiome 3 : Les RFCs ou les bonnes pratiques tu respecteras et
idolâtreras ;-)
  


Sauf qu'en l'occurence, certains drafts de RFCs suggère de faire
des gros NAT pour l'ipv4 à partir par exemple de 240.0.0.0/4
pour faciliter la transition ipv6 (où ce genre de problèmes ne se
poseront plus).

--
Mathieu
---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] [HS] opensmtpd debuging session or using frnog as an entropy generator

2009-09-11 Par sujet Mathieu Goessens

Bonjour,

Mes excuses par avance pour le hors sujet.

Je reçois cette liste sur un serveur tournant sur opensmtpd,
le daemon mail d'openbsd encore en test/developpement.

On (le dev du projet et moi) avons reperé un bug étrange
qui n'apparait que sur les messages reçus par cette liste  :(  .

En particuliers ceux provenants de :
* AT phibee.net, guillaume AT ironie.org, nicollet AT jeru.org,
cedric AT polomack.com, zero AT toile-libre.org, sxpert AT sxpert.org,
jp AT nexedi.com, d.rousseau AT nnx.com, bbillon AT splio.fr,
frnog AT republique.org, carxwol AT hexecho.net

Donc, pour aider le dev a debugguer, une réponse à ce mail serait
plus que bienvenue, en particlier de la part de ces comptes/domaines,
mais pas seulement (il doit y avoir pas mal de monde dans la majorité
silencieuse dont le reply serait intéréssant)

Les derniers vendredi ont été plutôt calmes, donc, pour ceux que
cela generait de flooder la liste avec une réponse vide on peut
en profiter pour parler d'openbsd, de pf, de son implem bgp, de
retours d'utilisations sur ceux ci, de ses perfs smp, de son
(not so)ffs, ou de son daemon mail pas encore frnog-proof etc  ;) 


Merci d'avance pour vos réponses,

Cdlt,
Mathieu Goessens

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] [HS] opensmtpd debuging session or using frnog as an entropy generator

2009-09-11 Par sujet Mathieu Goessens

Pascal PETIT wrote:

Bonjour,

  

Donc, pour aider le dev a debugguer, une réponse à ce mail serait
plus que bienvenue, en particlier de la part de ces comptes/domaines,
mais pas seulement (il doit y avoir pas mal de monde dans la majorité
silencieuse dont le reply serait intéréssant)



je suis enseignant et j'utilise la liste pour de la veille
technologiqe.

Une question pour éviter le courrier vide : des solutions à base de
logiciels comme quagga,OpenBGPD, OSPFD, ... tournant sur des
ordinateurs sont-ils utilisés en exploitation ? dans quel contexte ?

Mon idée d'origine était que mis à part dans le cas de très petites
structures, on utilise plutôt des routeurs matériels pour faire du BGP
ou de l'OSPF dans la vraie vie. J'ai l'impression que la réalité est
plus nuancée.

  


Bonjour,

Question intéréssante :)

Il y a en effet quelques structures qui utilisent ce genre de config.
Essentielement des petites structures comme gitoyen qui ne s'en cache pas,
mais sans doute quelques autres aussi, qui , bizarement ne communiquent
pas trop sur ce point ;)

Après on peut effectivement s'interroger sur la question de l'IOS buggé
vs quagga dont il n'existe pas de version dite stable (les 0.99.x intégrées
dans les distributions actuelles correspondent à la branche de 
developement),

autant du point de vue performance que stabilité, montée en charge et
surtout sur l'impact de tels choix...

Cdlt,
Mathieu Goessens
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] [HS] opensmtpd debuging session or using frnog as an entropy generator

2009-09-11 Par sujet Mathieu Goessens

Bonjour,

Tout dépend des questions... je trouvais celle de Pascal très ... 
pertinente :)

Des questions sur openbgpd, les perfs de routage d'openbsd, ou les choix
architecturaux et l'interet d'opensmtpd pour d'éventuels intéréssés ont
pour moi toute leur place ici (Gilles se fera sans doute un plaisir d'y 
répondre

d'ailleurs).

Mes excuses quand même: le but etait de générer un peu de bruit pour ce bug
visiblement tout sauf évident à tracer et assez génant, mais en effet, 
si le bruit

devenait constructif/utile cela serait d'autant mieux :)

Cdtl,
Mathieu

Antoine Musso wrote:

Mathieu Goessens a écrit :
snip

Les derniers vendredi ont été plutôt calmes, donc, pour ceux que
cela generait de flooder la liste avec une réponse vide on peut
en profiter pour parler d'openbsd, de pf, de son implem bgp, de
retours d'utilisations sur ceux ci, de ses perfs smp, de son
(not so)ffs, ou de son daemon mail pas encore frnog-proof etc  ;) 


Bonjour,

Vraiment, je désapprouve ce genre de post. Je ne pense pas que les 
inscrits apprécient particulièrement de se faire flooder. Est-ce qu'on 
ne pourrait pas apprécier le calme que nous procure cette liste en 
début de rentrée ?


Quand au reste, ce n'est effectivement pas le sujet de la liste, il 
faudrait peut-être en trouver une autre pour parler de ces logiciels.


cheers =)



Post-scriptum La Poste

Ce message est confidentiel. Sous réserve de tout accord conclu par
écrit entre vous et La Poste, son contenu ne représente en aucun cas un
engagement de la part de La Poste. Toute publication, utilisation ou
diffusion, même partielle, doit être autorisée préalablement. Si vous
n'êtes pas destinataire de ce message, merci d'en avertir immédiatement
l'expéditeur.


  


---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] [HS] opensmtpd debuging session or using frnog as an entropy generator

2009-09-11 Par sujet Mathieu Goessens

Gilles Chehade wrote:

Mathieu Goessens a écrit :

Bonjour,

Tout dépend des questions... je trouvais celle de Pascal très ... 
pertinente :)

Des questions sur openbgpd, les perfs de routage d'openbsd, ou les choix
architecturaux et l'interet d'opensmtpd pour d'éventuels intéréssés ont
pour moi toute leur place ici (Gilles se fera sans doute un plaisir 
d'y répondre

d'ailleurs).

Anefe ;-)

Mes excuses quand même: le but etait de générer un peu de bruit pour 
ce bug
visiblement tout sauf évident à tracer et assez génant, mais en 
effet, si le bruit

devenait constructif/utile cela serait d'autant mieux :)

Vi, je pense que cote bruit j'aurai ce qu'il faut d'ici quelques mails,
mais je serai pas contre une discussion interessante en plus :p

Gilles


Bon alors, vu qu'on parle d'openbsd et de mails: Au vu des 
problématiques liées au
spam actuelement (volume, coût, impact sur les utilisateurs, faux 
positifs etc)

certains ont ils évalués/déployer du spamd ?

(Le spamd d'openbsd qui est en gros un proxy smtp, pas celui de 
spamassasin.)


Celui ci, utilisé judicieusement pourrait sans doute remplacer 
avantageusement
quelques machineries faites maisons parfois lourde dans leur gestion (ou 
dont

les concéquences font l'objet de messages récurents ici ;) ).

Après est il adapté autant en terme de performances (haha), d'impact 
utilisateur

(faux positif etc), ou de part son (trop?) grand lien avec openbsd/pf ?

Cdlt,
Mathieu Goessens




Antoine Musso wrote:

Mathieu Goessens a écrit :
snip

Les derniers vendredi ont été plutôt calmes, donc, pour ceux que
cela generait de flooder la liste avec une réponse vide on peut
en profiter pour parler d'openbsd, de pf, de son implem bgp, de
retours d'utilisations sur ceux ci, de ses perfs smp, de son
(not so)ffs, ou de son daemon mail pas encore frnog-proof etc  ;) 


Bonjour,

Vraiment, je désapprouve ce genre de post. Je ne pense pas que les 
inscrits apprécient particulièrement de se faire flooder. Est-ce 
qu'on ne pourrait pas apprécier le calme que nous procure cette 
liste en début de rentrée ?


Quand au reste, ce n'est effectivement pas le sujet de la liste, il 
faudrait peut-être en trouver une autre pour parler de ces logiciels.


cheers =)

 



Post-scriptum La Poste

Ce message est confidentiel. Sous réserve de tout accord conclu par
écrit entre vous et La Poste, son contenu ne représente en aucun cas un
engagement de la part de La Poste. Toute publication, utilisation ou
diffusion, même partielle, doit être autorisée préalablement. Si vous
n'êtes pas destinataire de ce message, merci d'en avertir immédiatement
l'expéditeur.


  


---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Lim itation des maillings sauvag es en mutualisé

2009-08-14 Par sujet Mathieu Goessens

gu!llaume wrote:

Le 14/8/2009, Julien Escario esca...@azylog.net a écrit:

  

En fait, même si la solution est plutôt bonne, je n'aime pas trop le principe :
il suffira au mec de faire du classique (Python, Perl, Ruby, Shell même ..)
pour contourner le problème.
Une solution au niveau de postfix me plairait davantage.




pour ma part, j'utilise la solution du sendmail wrapper dans php,
associée avec une désactivation dans php.ini des fonctions fsockopen
et compagnie (pour éviter le contournement en smtp direct)


gu!llaume
---
Liste de diffusion du FRnOG
http://www.frnog.org/

  

Bonjour,

C'est, je pense, la meilleure solution. Filtrer le plus en aval possible 
évite de charger
les serveurs inutilement. Aussi, plus tu es proche de l'applicatif 
émetteur, plus il sera
possible de faire un contrôle fin (par utilisateur etc), ce qui n'est 
pour moi pas possible

sur le serveur smtp (ou pas facilement).

Les autres solutions évoquées me laissent perplexes, dans le sens ou ce 
sont pour
moi des limites en réception. Cela peut marcher si tu utilises un relai, 
voir, peut être
si tu fais boucler postfix sur lui même (un peu comme on le fait avec 
amavis), mais

je ne crois pas que cela marchera en émission tel quel.

Pour perl etc, tu peux sans doute envisager de patcher les quelques 
modules permettant
l'envoi de mail. Enfin, il est peut être possible de déplacer le binaire 
sendmail pour le
remplacer par ton wrapper, si tu veux être sûr que ce binaire ne sera 
pas appelé

directement, tu peux sans doute le faire avec les droits et une règle sudo.
(Après postfix marchera t-il correctement ? de mémoire, oui, mais si 
j'ai peut être tord).


Guillaume, est il possible d'avoir un peu plus d'infos sur ce que tu 
utilises ? En privé si cela

t'arrange.

++
Mathieu


---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: [FRnOG] Limitation des mailli ngs sauvages en mutualisé

2009-08-12 Par sujet Mathieu Goessens

Julien Escario wrote:

Bonjour à tous,
J'hésite depuis quelques jours, me demandant si je ne frise pas le 
hors sujet. Pardon donc si c'est le cas mais je viens de passer quatre 
heures à googler sans succès.


Voici ma question : dans les hébergeurs parmi vous, est-ce que vous 
avez des solutions pour limiter les mailings sauvages depuis des 
applis toutes moches qui font du mail() en php ?
Là, j'ai un client qui se fait pourrir un serveur parce qu'un de ses 
clients (à lui) a acheté une base à pas-beaucoup € et se fait 
plaisir sans gérer les NPAI.
Free l'a déjà bloqué à cause du ratio de mails envoyés sur des 
adresses inexistantes.


C'est assez facile de tomber sur le dos du client et de lui dire 
d'arrêter mais ce que l'on voudrait surtout, c'est que ca ne se 
reproduise plus.
Le client utilise postfix comme MTA et son Apache est en suphp/suexec. 
L'idéal étant d'avoir une solution qui limite le nombre de mails 
envoyés par heure et par userid.

(supprimer la fonction mail() de php n'est pas envisageable).

Une idée ?

Merci d'avance et bonne journée,
Julien
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Bonjour,

Ce genre de choses peut être fait assez facilement, en effet PHP
fait par défaut appel à sendmail pour envoyer les mails, comportement
que tu peux changer via la directive sendmail_path du php.ini
(ou autre mécanisme , php_admin_value etc).

Tu peux donc facilement écrire un petit wrapper perl se chargera
d'envoyer les mails vers sendmail en appliquant des limitations dessus.
Par exemple en lui donnant un crédit de $x envois, remis à jour 
régulièrement

via cron.

Tu trouvera dans les sources d'alternc ( alternc.org ), un exemple
de script de ce genre: celui ci ne fait que rajouter un header correspondant
au site/membre ($userid), mais il peut faire une bonne base pour comprendre
et developper un outil du genre.

PS: n'hésites pas à me tenir au courant de la solution trouvée: écrire un
petit outil du genre fait parti des (trop) nombreuses choses de ma ~/TODO)

Cdlt,
Mathieu

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Des DNS menteurs chez SFR

2009-08-11 Par sujet Mathieu Goessens

Bonjour,


Des boites qui ont essayé de nous refourguer ça, j'en ai vu passer
un paquet depuis 3 ans. Ils ont un discours et une technique bien  
rodés:

ils vont identifier un obscur commercial/manager dans la boite et lui
promettent 'millions of euros of revenues per month sir' avec de beaux
slides.
  

Ca rapporte vraiment, hélas...



Grosso-modo, non. Au doigt mouillé, si je me souviens des vrais chiffres
de ce que rapportaient les DNS menteurs que j'ai exterminés, c'est de l'ordre
de d'un centime d'euros par abonné et par mois.

  

Je vais encore parler de ce que je connais pas (bien) mais il semble
qu' opendns.com en vive pourtant (ou veuille en vivre).

Ils ont l'avantage de présenter ça intelligemment ( ça corrige les
fautes de frappes dans les urls, ça se désactive avec un compte ... ),
mais, ça reste du DNS menteur.

++
Mathieu



---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Des DNS menteurs chez SFR

2009-08-11 Par sujet Mathieu Goessens

Pierre Col wrote:
 je ne pense pas que l'intêret pécunier soit la raison de ce DNS 
menteur. Je
 pense plutot que le but voulu par les dirigeants de chez SFR est 
d'aider Mme
 michu quand elle se trompe dans l'URL qu'elle a tapé... 
Il suffirait alors que cette fonctionnalité soit désactivable par les 
utilisateurs expérimentés, est-ce le cas ?


--
Pierre

Comme l'antispam orange ? :p

--
Mathieu

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Collecte IPADSL SFR/Neuf

2009-08-07 Par sujet Mathieu Goessens

Bonjour,

http://lmgtfy.com/?q=collecte+ADSL

De rien :)

Mathieu

marc celier wrote:


pardonnez moi d'etre un ignard, mais c'est quoi une collecte ADSL ???


- Original Message -

From: Clement Cavadore

Sent: 08/07/09 03:57 pm

To: Raphael Mazelier

Subject: Re: [FRnOG] Collecte IPADSL SFR/Neuf

 


Bonjour,

Chez SFR, généralement, ils sont fermés pour de nouveaux clients
collecte. A moins que vous ayiez plusieurs (dizaine de?) milliers de
lignes à leur proposer, à court terme.

Tournez-vous plutôt vers ceux qui seraient capables de vous revendre de
la collecte, si cela n'est pas une réelle contrainte pour vous. Je sais
que Nerim fait ce genre de prestations (en tout cas, je l'ai pour ma
société, et cela fonctionne parfaitement).

La realm des logins serait par contre de la forme @quelquechose.nerim,
et ce n'est à ma connaissance pas possible de faire autrement.

On Fri, 2009-08-07 at 16:45 +0200, Raphael Mazelier wrote:
 Effectivement nous avons nous aussi beaucoup de mal a joindre qui ce
 soit chez neuf pour faire évoluer nos différentes collectes.
 Si tu trouves des contacts je suis preneur.

 Le 07/08/2009 16:43, daren ferreira a écrit :
  Bonjour,
 
  Je suis à la recherche de contacts chez SFR pour de la collecte
  ADSL, pas de la revente.
 
  Tous mes contacts ont disparu, et impossible d'obtenir le moindre
  contact adéquat pour ce genre de demande...
 
  Je précise que je ne cherche pas à revendre des SFR/Neuf box mais
  juste de la collecte de trafic ADSL.
 
 
  Merci d'avance !
 
  Daren
 
 
  
  Partagez vos souvenirs sur le Web avec les personnes de votre choix
  les personnes de votre choix.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


 







Re: [FRnOG] Megavideo innaccessible depuis la France

2009-07-01 Par sujet Mathieu Goessens

Bonjour,

Tu peux facilement bricoller cette version.
(Voir: http://www.cymru.com/Documents/secure-bind-template.html )
Après, je ne sais pas si c'est le cas ici.

Cdlt,
Mathieu

Guillaume Delacour wrote:

Moi ce qui me choque, c'est:

$ for i in `host -t NS megavideo.com 212.27.40.240|awk '{print $4}'`; \
do host -t txt -c chaos version.bind $i; done 


Using domain server:
Name: ns9.megavideo.com.
Address: 69.5.88.247#53
Aliases: 


version.bind descriptive text BIND 4.8.3
Using domain server:
Name: ns12.megavideo.com.
Address: 209.222.128.239#53
Aliases: 


version.bind descriptive text BIND 4.8.3
Using domain server:
Name: ns6.megavideo.com.
Address: 87.255.33.129#53
Aliases: 


version.bind descriptive text BIND 4.8.3
Using domain server:
Name: ns7.megavideo.com.
Address: 69.5.88.70#53
Aliases: 


version.bind descriptive text BIND 4.8.3
Using domain server:
Name: ns11.megavideo.com.
Address: 95.211.94.234#53
Aliases: 


version.bind descriptive text BIND 4.8.3
Using domain server:
Name: ns10.megavideo.com.
Address: 85.17.190.1#53
Aliases: 


version.bind descriptive text 9.5.1-P2
Using domain server:
Name: ns13.megavideo.com.
Address: 87.255.33.129#53
Aliases: 


version.bind descriptive text BIND 4.8.3

Je pense pas que ce soit vraiment des versions 4.x.x, ça semble dater
de 1992...


Sat, 27 Jun 2009 00:31:41 -0700
Michel Py mic...@arneill-py.sacramento.ca.us a écrit:

  

Intéressant de regarder le load-balancing sur cet animal d'ailleurs,
www.megavideo.com et megavideo.com ne donnant pas le même résultat...

Michel.


From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf
Of Fabien Germain Sent: Saturday, June 27, 2009 12:23 AM
To: Mailing List French Netw Operators Group
Subject: Re: [FRnOG] Megavideo innaccessible depuis la France

Bonjour,
2009/6/27 Vivien GUEANT viv...@gueant.org
CitéFibre (petit FAI FTTH sur le réseau Axione) serait-il le seul FAI
français à ne pas bloquer le DNS de megavideo.com ?

Non non, depuis une ADSL Orange ça passe :

$ dig +short @80.10.246.2 megavideo.com
69.5.88.230
69.5.88.231
69.5.88.225
69.5.88.226
69.5.88.227
69.5.88.228
69.5.88.229
$ dig +short @80.10.246.129 megavideo.com
69.5.88.231
69.5.88.225
69.5.88.226
69.5.88.227
69.5.88.228
69.5.88.229
69.5.88.230

Fabien
---
Liste de diffusion du FRnOG
http://www.frnog.org/





  


---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] wiki frnog ?

2009-06-29 Par sujet Mathieu Goessens

Bonjour,

Certaines questions sur cette liste sont récurentes. Typiquement:
Quel logiciel/architecture recommenderiez vous pour tel usage ?
Quelqu un à t'il un contact technique/commercial chez untel ?
J'ai un soucis avec telle configuration (typique)
etc

Personne n'a envigagé la création d'un wiki associé à la liste,
oû les réponses à ces questions pourrait être documentés de
manière plus agréable (accessibles, synthétiques...) que dans
les archives, complétés/modifiés etc au cours du temps ?

Cdlt,
Mathieu


---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Re: [FRnOG] Serveur privé VPS . uk

2009-06-28 Par sujet Mathieu Goessens

Bonjour,

o...@ovh.net wrote:

Puisque tu le demandes :) c'est tellement facile de corriger quelqu'un
qui n'a même pas pris la peine de voir notre site pour voir ce qu'on
propose réellement ni de comprendre ce qu'on propose technologiquement
parlant.



Redimensionnement. Les données sont sur un iSCSI. Faire booter une carte
mere ou une autre carte avec ces données c'est ça la techno. Et donc 
demarrer sur l'Atom puis passer en 4 cores (un VPS en 4 cores ça n'existe
pas par définition, le VPS c'est est un process sur un serveur et un process 
ne peut pas s'executer sur plusieurs cores en même temps)
  


Heu... cela dépend un peu de la techno.
Vserver / openvz / virtuozzo ne fonctionnent pas sur ce modèle et n'ont 
pas ce type de limitations.

Pour Xen/Kvm, je ne pense pas non plus.

Cdlt,
Mathieu
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Serveur privé VPS .uk

2009-06-28 Par sujet Mathieu Goessens

James Tapping wrote:

Bonjour,

Est-ce quelqu'un sur la liste a deja de l'experience avec ce genre de
serveur virtual, bon marché mais en .uk ?

http://www.amen.fr/static/serveur_prive.html  (ce genre de chose mais en .uk)

On regardant un peu sur le web , pour commencer il me semble que c'est
plus cher ...

Merci d'avance
---
Liste de diffusion du FRnOG
http://www.frnog.org/

  

Bonjour,

Il faut tout de même prendre en compte quelques points
importants avec ce type de technologies.

En effet, le plus souvent, il s'agit de machines virtuelles xen/kvm ou,
vserver/openvz/virtuozzo. Les 2 ont leurs limitations.

Les premières  ne sont pas toujours franchement rapides dans la
gestion des entrées sorties et des accès disques.

Les secondes  ne te permette pas toujours d'installer la distribution
de ton choix , et à cause du fait que les systèmes virtualisés partagent
le même noyau, tu as pas mal de limitations. Typiquement, tu ne
peux pas toujours modifier les paramètres réseaux, la configuration
sysctl, monter toi même des disques externes etc.

Enfin, une chose à prendre en compte dans le choix de ton fournisseur:
Certains ont tendances à surcharger un peu leurs machines avec ce type
de techno typiquement en vendant 20 parts sur une machine qui ne devrait
en heberger que 10, donc, je doute qu'aller vers le fournisseur le moins 
cher

pour économiser 2€/mois soit une super idée.

Cdlt,
Mathieu
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Traffic shaping

2009-06-19 Par sujet Mathieu Goessens

Bonjour,

Pour des besoins simples et/ou un accès à la configuration pour les 
utilisateurs

monowall/pfsense font en effet très bien le boulôt.

Pour lartc, il en existe une traduction (qui est de plus plus à jour que 
l'originale)

à  http://www.linux-france.org/prj/inetdoc/ .

Cdlt,
Mathieu

Sébastien FOUTREL wrote:

Bonjour,

C'est pour du end-user ou pour un BOFH barbu ?
Pour les end-users des choses comme monowall integrent du shapping.
Pour les BOFH Barbu, tu as tc : cli, tres tres puissant, granularité
jusqu'au port tcp graçe au marquage de paquets avec iptables. (lartc.org +
le man + café + café + redbull ).

trollsinon a la place du firewall tu as un filtrage totalitaire façon
great firewall of France qui te permettra de t'absoudre rapidement des gros
consommateurs de bande passante./troll

Bonne chance, c'est vendredi.

-Message d'origine-
De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de
Frank Bonnet
Envoyé : vendredi 19 juin 2009 09:17
À : Liste FRnoG
Objet : [FRnOG] Traffic shaping

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Bonjour

Je suis a la recherche d'une solution de traffic shaping
sur notre lien WAN ( 15 MB/s )

Je prefererais une solution open source si possible ;-)
mais toutes les sources d'info sont les bienvenues.

Oublions les questions de budget pour l'instant je suis
dans la phase de recherche.

Merci d'avance de vos avis.


-BEGIN PGP SIGNATURE-
Version: GnuPG v2.0.11 (FreeBSD)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iEYEARECAAYFAko7O3YACgkQ6f7UMO5oSsUuxACgnce+gokKfeWtczGHVdt8bRRb
vswAnRSFDunPh1H6VVEuVyhkCajk0/s5
=3sW4
-END PGP SIGNATURE-
---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

  


---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Traffic shaping

2009-06-19 Par sujet Mathieu Goessens

Bonjour,

Sur du linux tu as aussi http://l7-filter.sourceforge.net/ à utiliser 
avec iptables -j MARK + tc.
Par contre il est un petit peu plus lourd qu'un iptables classique 
basé sur les ports etc.


Cdlt,
Mathieu

Thomas Mangin wrote:

Salut,

Si ton router est un cisco 1841 (ou mieux), NBAR est une option pour 
ce niveau de traffic. Si tu veux bloquer les application P2P - ou 
faire du filtrage au niveau applicatif, le mieux est de classifer 
positivement tous les flux reconnus (HTTP, FTP, VOIP, SMTP, POP, IMAP, 
etc.) et de limiter ce qui n'est pas reconnu.


Mon collegue Richard a ecrit une presentation sur le sujet (avec un 
example quasi complet de configuration pour VOIP)

https://www.linx.net/archive/linx65/pdf/LINX65-Halfpenny-VOIP-QoS.pdf

Une copie sur mon site car je pense que le PDF n'est accessible qu'au 
membres de LINX.

http://thomas.mangin.com/data/pdf/LINX65-Halfpenny-VOIP-QoS.pdf

Regards,

Thomas Mangin
Technical Director
--
Exa Networks Limited - http://www.exa-networks.co.uk/
Company No. 04922037 - VAT no. 829 1565 09
27-29 Mill Field Road, BD16 1PY, UK
Phone: +44 (0) 845 145 1234 - Fax: +44 (0) 1274 567646

On 19 Jun 2009, at 08:17, Frank Bonnet wrote:



-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Bonjour

Je suis a la recherche d'une solution de traffic shaping
sur notre lien WAN ( 15 MB/s )

Je prefererais une solution open source si possible ;-)
mais toutes les sources d'info sont les bienvenues.

Oublions les questions de budget pour l'instant je suis
dans la phase de recherche.

Merci d'avance de vos avis.


-BEGIN PGP SIGNATURE-
Version: GnuPG v2.0.11 (FreeBSD)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iEYEARECAAYFAko7O3YACgkQ6f7UMO5oSsUuxACgnce+gokKfeWtczGHVdt8bRRb
vswAnRSFDunPh1H6VVEuVyhkCajk0/s5
=3sW4
-END PGP SIGNATURE-
---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] BGP sous OpenBSD: OpenBGP+OpenOSPF vs. Quagga

2009-06-11 Par sujet Mathieu Goessens

Bonjour,

2Mpps/core sur un PC, ca fait rever. Ca fait 1Gbps pour des pquets de 64
octets, 8Gbps pour 512 octets, et presque 24 Gbps pour du full-size
(1500 octets). Exit les 7200/7300/ASR :)

Mais bon, a ce niveau-la vaut mieux passer sur routage hardware.
  
A ce propos, un avis sur netfpga.org ? Des gens ont ils testé ? Des 
retours ?

Le lien sur les macs minis (haha) parle également des FPGAs en ouverture.
Sur le papier ça à l'air bien, mais quid de la pratique ?

Merci d'avance :)

--
Mathieu
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] des conseils pour un KVM IP ?

2009-06-06 Par sujet Mathieu Goessens

Bonjour,

Ca n'est pas vraiment un Kvm IP en tant que tel mais, tu peux faire des 
merveilles avec:

- une soekris et une carte serie avec pas mal de ports, coté matériel.
- pour le logiciel, l'os de ton choix, ssh , minicom/screen.

évidamment tu n'auras le support du PS/2 et du VGA (donc pour de l'unix 
seulement)
mais cela permet d'avoir quelquechose de vraiment souple (typiquement si 
tu veux

avoir des schemas d'authentification un peu complexes) et à faible coût.

--
Mathieu

eberkut wrote:

Bonjour,

Je suis en train de déménager et de refondre un (tout petit) data 
center et un des éléments intéressants que j'aurai voulu rajouter 
serait un KVM IP.


J'ai pas d'expérience avec ce genre d'équipement et je me demandais si 
certains sur cette liste seraient assez aimables pour partager leurs 
retours d'expérience.


Je cherche quelque chose avec les fonctionnalités suivantes :
- accès distant clientless chiffré
- possibilité de monter sur les serveurs des périphériques de stockage 
relié au client

- possibilité d'authentifier l'accès sur du LDAP et/ou du RADIUS
- en terme de serveur je suis assez homogène par contre niveau client 
faudrait quelque chose qui marche pas que depuis Windows

- quelque chose qui passe bien les firewalls, VPN ou NAT

Pour le moment on m'a recommandé Raritan qui a des modèles très 
intéressants dans la gamme Dominion KX II. J'aimerai bien voir 
ailleurs pour comparer.


Cordialement,

--
Vincent Morel---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Vendredi ;-)

2009-05-25 Par sujet Mathieu Goessens

Bonjour,

Je ne sais si c'est toujours le cas, mais il fut un temps où les médecins
ne pouvaient pas trop choisir leur FAI à cause de la gestion de la carte
vitale qui imposait un fournisseur donné (je vous laisse deviner lequel).
Reste que c'était sensé être un forfait pro qui était imposé, mais il y a
forfait pro et forfait pro comme on dit :)

Mathieu



Spyou wrote:

Rani Assaf a écrit :
9) Ne venez pas me parler de services pour les TPE/PME car si Free un 
jour
   se décide de se lancer de près ou de loin là-dedans, vous serez 
lespremiers à venir pleurer en nous ressortant le discours sur la

   destruction de valeurs parce que j'aurais rajouté le support des
   VPN L2/L3 et le Centrex avec gestion par une interface web pour 
30€/mois.



D'ailleurs, a ce propos, faudra que Free (et les 2 autres) pensent un 
jour a communiquer clairement pour dire bien fort que c'est pour 
jouer, l'ADSL qu'ils vendent.


Je suis encore tombé sur un médecin de garde dont la ligne d'astreinte 
était une ligne de machinbox en carafe l'autre jour ...


Peut être une future proposition de loi ? :p
---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Vendredi ;-)

2009-05-23 Par sujet Mathieu Goessens

Bonjour,

Michel Py wrote:

Des fois je les fais escorter dans le bureau des RH ou, avant de leur donner 
leur solde de tout compte, on leur relira la partie du code de conduite 
Internet/email qui précise que si on perd du business parce ce que quelqu'un 
n'a pas suivi par téléphone quand un email important n'est pas arrivé, c'est 
une bonne raison pour se faire virer. Et si c'est important le correspondant 
aurait du être whitelisté...

Quand ce genre de chose arrive on va généralement fouiller dans leur PC aussi 
et on trouve toujours un tas de petits trucs genre playboy.com dans 
l'historique de IE, discussions à rallonge à propos de faire la peau à X ou Y, 
shopping online etc... Etre con comme beaucoup de choses c'est pas interdit, ce 
qui est interdit c'est de se faire piquer
En France c'est interdit, dés lors que les fichiers sont clairement 
identifiés comme personnels.
La jurisprudence est claire la dessus, tout ceux qui ont éssayé de virer 
des salariés en se basant

sur de telles recherches, et qui ont été au prud hommes ont perdus.
Il n'y a rien d'équivalent aux US ? (j'en doute mais bon...)

Mathieu
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Mumericable et timeout

2009-05-17 Par sujet Mathieu Goessens

Bonjour,

Ssh ne se prête pas trop à cet usage: l'impact du chiffrement n'est pas 
négligeable,
et du TCP over TCP ça n'est pas forcément très optimisé non plus. De 
plus openvpn
remonte assez bien après d'éventuelles déconnexions (les sessions TCP 
sont le plus
souvent maintenues). Je ne rencontre aucun problème avec celui ci et 
encore moins

du type que celui que tu évoque.

Je sors également via le réseau ovh et j'ai dans l'ensemble une 
meilleure qualité
de service que via orange: meilleur ping, meilleures routes (je ne vais 
plus chercher

f.root-server.org à palo alto) etc..

Si tu reviens sur ta décision de laisser tomber l'idée il serait donc 
dommage de limiter
l'usage du vpn à quelques services. De plus l'intérêt dans ton cas est 
principalement
que ton routeur ne verra qu'une connexion NAT et ne sera pas obligé de 
dropper toutes

les sessions.

PS: le script vpn.sh que j'ai posté n'est pas d'une grande beauté. Je ne 
saurais que trop
vous conseiller de ne pas l'utiliser à par pour un éventuel test rapide 
(openvpn sait très
bien gérer l'ajout des routes tout seul pour peut qu'il soit configurer 
correctement, tout

comme network-manager)

Mathieu


jrobert wrote:
effectivement avec un rebond ssh sur une de mes machines ovh, ca 
marche ! par contre ma navigation http est tronquée
je vais télécharger sur le site d'apple iwork demo à 450 Mo pour 
tester ma bande passante, avec le rebond, la page s'affiche mais pas 
le bouton télécharger alors qu'en acces direct, tout fonctionne


il faudrait que je paramètre le tunnel ssh uniquement pour imap et ftp 
(du coup, plus besoin de imap-ssl et FTPES car sur la même machine qui 
me sert a faire le rebond) et un acces en direct pour les requêtes 
web, bref fin de l'histoire, j'abandonne car combien d'autres services 
vont être bancales.


merci à tous

Le 17 mai 09 à 14:00, Mathieu Goessens a écrit :


Bonjour,

Si j'ai bien compris ce dont il est question:

il te faut,
- de quoi gérer un tunnel: openvpn ou autre.
- une machine distante qui sera utilisée comme point de sortie
- quelques regles de firewall.

Une version simplifiée de ce que j'utilise est disponible la:
http://gebura.eu.org/private/frnog/

Cdlt,
Mathieu

jrobert wrote:

je vais leur poser la question !

ce que j'ai du mal à saisir, c'est :

-que c'est volontaire et que c'est du HADOPI avant l'heure ?
ou
-que ce n'est pas maîtrisé sur un plan technique ?

si c'est 1/ pas d'amélioration en vue
ca ne s'achète pas dans le commerce  un cpe simple, tout simple
quel est l'intérêt de ne pas accepter la desactivation du NAT

enfin au risque d'abuser meme si ce n'est pas un forum d'aide mais 
de réflexions
part monter un tunnel par dessus comment qu'ont fait ? 1 lien en 
magasin qui explique ça ?


bien à vous

Le 17 mai 09 à 13:29, Jérôme Nicolle a écrit :


Tous les terminaux fournis par NC sont plombés pour avoir ce
comportement, que ce soit le netgear ou le castlenet. Si tu arrives à
avoir un simple modem, ça peut régler le problème, mais en théorie ils
n'en fournissent plus.

Pour rappel, le problème est toujours le même sur les routeurs NAT mal
foutus : ils droppent les sessions TCP pour faire de la place dans la
table d'état NAT. Pas assez de RAM, kernel vxworks foireux, peu
importe, ça ne marche pas.

Et comme ces *...@% de chez NC ont interdit la désactivation du NAT, on
ne peut rien faire de ces CPE à part monter un tunnel par dessus (ou
bricoler les keepalive)

J'en profite pour renouveler ma demande d'il y a quelque mois, si une
personne de chez NC lis la liste et a un minimum d'éthique et de
compétence, on aimerait BEAUCOUP avoir un firmware potable pour ces
Castlenet et Netgear... Genre pouvoir couper le routage ET le Wi-Fi de
façon définitive et AU MOINS pouvoir changer la plage d'IP du LAN. Le
bloquer est inadmissible !

--
Jérôme Nicolle


---
Liste de diffusion du FRnOG
http://www.frnog.org/






---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Outil netflow

2009-05-16 Par sujet Mathieu Goessens

Bonjour,

Bien que je ne l'ai jamais utilisé pour cet usage ntop (www.ntop.org) à 
un support du Netflow,
et permet de générer pas mal de stats différentes. Il existe également 
un outils nProbe (payant

et sur lequel je n'ai aucun retour).

Cdlt,
Mathieu

Jean-Edouard Babin wrote:

Le 16 mai 09 à 10:06, Eric a écrit :


Bonjour à tous,

Dans le cadre du déploiement pour un gros client, j'ai besoin de 
mettre à
disposition un accès à des stats Netflow, la volumétrie des sondes 
est de

l'ordre de 50.
Pour anticiper, la question : je ne peux pas utiliser mes PE car ils 
sont
mutualisés pour des autres clients sauf si le produit peux gérer des 
acls

par sous interface (et non interface comme crannog).

L'outil Whatsup est sympa (il me permettrait d'inclure les latentes et
conso)  mais est très couteux, avez-vous des retours d'expérience sur ce
sujet ?


En continuant dans les soft payant il y a 
http://www.manageengine.com/products/netflow/
Tu peux faire des groupes par IP ce qui peut potentiellement résoudre 
ton problème d'interface mutualité.
Sinon des soft NetFlow y'en a pas mal, après ca depend quel type de 
stats tu veux.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] RE: [FRnOG] RE: Botnet : ça tr oue la fouille

2009-04-27 Par sujet Mathieu Goessens

Bonsoir,

Je ne vois aucun moyen crédible de contrôle gouvernemental
auquel nous-même accepterions de nous soumettre.



Tout à fait d'accord.
  

Pas forcément:

La télédéclaration arrive. Cela ne serait pas illogique d'en profiter
pour une faire vérification de base ne serait ce que pour éviter que
quelqu'un déclare depuis un ordi tout vérolé.

L'enfer est pavé de bonnes intentions, comme on dit.

--
Mathieu

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] TaBox

2009-04-26 Par sujet Mathieu Goessens

Bonjour,

Je réponds un peu en vrac:

A mon avis le problème n'est également pas du coté du hard.Il y a des
dizaines de machines plus ou moins grand publiques à même de faire ça
tout en respectant ces contraintes (faible consommation, faible coût...).

L'idée de la machine virtuelle n'est pour moi pas totalement idiote. En tout
cas, donner le choix d'utiliser une configuration de ce type n'est pas une
mauvaise idée. (En fournissant une image iso de livecd, wmare ou
équivalent... etc)

Pour moi le problème est bien plus du coté du logiciel. Et des choix à faire
concernant ceux ci:

A mon avis certaines choses sont à écarter. L'antispam bayesien est souvent
trop compliqué et couteux en terme de ressources.

Fournir du mail et du dns ne me semble par contre pas plus compliqué que
cela dans la mesure où les choix fait sont raisonnables.

Pour la redirection des ports:
- http://en.wikipedia.org/wiki/Upnp
- ou des scripts perl pouvants ouvrir ça sur les X modèles de boxes les 
plus connus.


Pour moi, utiliser une distribution portable au maximum est important:
On trouve pas mal de NAS sur autre chose que du x86 qui pourrait très 
bien faire

le travail.

Pour la configuration facilitée. Il existe quand même pas mal de chose:
- Debian en fait un petit peu (dpkg-reconfigure) y compris pour les 
applis web.

(apt-get install wordpress)
- Ubuntu, le fait (je crois) de manière un petit peu plus poussée avec 
ces paquets

type postfix-dovecot.
- les appliances quelconques.
- quid de webmin (oui c'est une vrai question!)


Par contre, je vais créer une levée de bouclier mais tant pi:
D'après ce que j'ai vu autour de moi. L'utilisateur même un peu technophile
se moque totalement de ce type de configuration. Je le sais pour en 
avoir proposé
plus d'une fois. Msn est gratuit, facebook est gratuit, les hébergeurs 
ne sont pas

chers voir gratuits, ça va ramer etc...
Donc au delà du problème technique, cerner les intérêts et avoir un très 
bon plan
de communication me semble aussi très important, primordial même sinon 
ce sera

un flop.


--
Mathieu



_...@cybunk.com wrote:

Bonjour,

Il y a quelques temps j'ai écouté un bonhomme pas con dans une video nommée 
minitel.avi souligner les problèmes de “minitelisation” de l'internet. Depuis 
je suis avec attention les discussions de FrnOG et en humble mais ô combien 
curieux bidouilleur Linux je ne comprends pas tout, bien evidemment, mais les 
lignes de débats sont visible et ça rocks ! Donc en bon premier post, mes 
salutations à la communauté.

Une idée ma passe par la tête et je n'ai pas vu dans de projet dans ce sens, 
donc soit elle est débile soit elle vaut la peine d'être dite... En fait l'idée 
est de regrouper les services servit dans le 
nuage-minitel-statistiques-a-but-lucratif dans un host local, et plus... 
Pourquoi ne pas faire alors une “taBox” avec les services mail, irc, apache, 
blog, forum, wiki, eyeOS, etc... tout le monde peux faire ça en quelques 
demi-heures sur une distro linux qui tient la route, le seul but étant alors de 
couper les config au couteau, je veux dire faire des choix généraux et coherent 
de configuration avancée – choix des soft, config principales, … -  et 
permettre une config via interface web pour le bobo de l'internet, avec des 
jolis boutons... le tout en opensource pour permettre une bonne évolution et 
surtout une alternative. So... un (sic.) problème subsiste, celui de savoir si 
il est possible d'imaginer un hw home-made prendre la place des StateBox en 
place et se connecté directemment à cet étrange gros fil blanc... est-ce 
imaginable ? y a t'il déja des projets dans ce sens ? ça me parait pas 
impossible étant donné que l'hypothétique communauté FOSS qui se formerait 
autour beneficirait du fait que son projet est attacher à un hardware, et donc 
à des sous...

Si ceci est un trollage, toute mes excuses,

++

Antoine
---
Liste de diffusion du FRnOG
http://www.frnog.org/


  



---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] TaBox

2009-04-26 Par sujet Mathieu Goessens

Michel Py wrote:

Mathieu Goessens écrit:
A mon avis le problème n'est également pas du coté du hard.
Il y a des dizaines de machines plus ou moins grand publiques
à même de faire ça tout en respectant ces contraintes
(faible consommation, faible coût...)



Exactement. Par exemple: Acer Aspire One. C'est vendu $300 (€228) à l'unité 
complet avec un SSD de 16GB, si tu enlèves le clavier, l'écran couleur et la 
batterie ça te laisse avec une bécane tout à fait convenable pour pas cher. Ce 
n'est même pas fabriqué par Acer c'est fabriqué par Quanta Computer à Taiwan. 
En posant 1M€ sur la table ils te mettent la carte dans une jolie boiboite en 
plastique ou même en bambou (+$20) avec ton nom dessus et ta distro en flash. 
Pourquoi réinventer la roue.

  

Par contre, je vais créer une levée de bouclier mais tant pi:



Moi je suis d'accord avec ce que tu écris.

  

D'après ce que j'ai vu autour de moi. L'utilisateur même un
peu technophile se moque totalement de ce type de configuration.
Je le sais pour en avoir propose plus d'une fois. Msn est gratuit,
facebook est gratuit, les hébergeurs ne sont pas chers voir
gratuits, ça va ramer etc...



...on peut pas bidouiller dedans, l'alim est une merde, pour €0 j'ai les pièces 
pour faire une bécane de la même puissance même si elle bouffe 50W, et...


  

Donc au delà du problème technique, cerner les intérêts et avoir
un très bon plan de communication me semble aussi très important,
primordial même sinon ce sera un flop.



Encore d'accord.

Michel.

.+-yם���*'v�Q�ᡶ��0~�肊�/===


Totalement HS mais on dirait que la liste n'aime pas les mails encodés:
Elle rajoute quand même la signature, qui du coup, n'apparait pas sur
certains clients (mutt) ou se transforme en caractères étranges sur
d'autres (thunderbird).
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Documentation sur les datacenters/reseaux/..

2009-04-21 Par sujet Mathieu Goessens


Bonjour,


Tout lien serait bienvenu. :)



Si j'ai bien compris, la question est comment marche internet ?.
  


Je me jette à l'eau:

http://www.commentcamarche.net/contents/internet/internet.php3


(Pardon)
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Minitel 2.0 : la toile continue de se tisser

2009-04-17 Par sujet Mathieu Goessens

Bonjour,

Merci pour ces réponses. Ne connaissant le domaine que d'assez loin je 
n'avais pas pensé à tout ça.


Par contre j'aurais du préciser que le réseau que je prenais en exemple 
dépend de renater qui ne doit pas annoncer qu'un /24 :)


Aussi, je doute que ce soit le seul exemple dans ce cas. Même dans une 
filière informatique (où il est sans doute normal de vouloir
éviter les bricolages genre NAT) je trouve un peu curieux de voir des 
postes de salles de TP sous windows avec une IP publique :)


Cdlt,
Mathieu


Michel Py wrote:

Mathieu Goessens écrit:
La pénurie des adresses approchant tout de même, va t'on revoir
à la baisse certaines allocations ?



Probablement pas, IMHO.
[Si j'écris des conneries, que quelqu'un me corrige, merci; j'essaie
de ne pas franchir la ligne qui sépare l'avocat du diable du troll]

Le problème des allocations au compte-goutte, c'est qu'elles n'ont pas empêché 
les gens de jouer à l'épicier, avec l'effet pas kisscool de fragmenter la table 
de routage (voir plus bas)

  

Si je pose la question c'est que je suppose que dans certains cas,
l'utilisation de ces plages d'adresses n'est ni complête ni encore
moins optimale. A titre d'exemple, j'étudiais dans un établissement
qui avait un beau /24 et n'utilisais que 2 ou 3 adresses.



Ce n'est pas nouveau, comme phénomène; et pas forcément si terrible. Portable, 
pas portable? Multihomé, pas multihomé? Attention à ne pas généraliser trop 
vite. Un /24 portable multihomé qui n'utilise que 3 adresses, ce n'est 
malheureusement pas une hérésie: les micro-allocations n'ont pas convaincu tout 
le monde. Bien des gens qui lisent cette liste ont un jour ou un autre 
configuré une route-map pour filtrer les préfixes plus longs que /24.

En clair: un /28 multihomé à annoncer dans la table globale, c'est très sympa. 
Sauf que quand c'est le tien, le premier truc que tu fais c'est d'obtenir un 
/24, au lieu d'essayer d'expliquer au monde entier qu'il ne faut pas filtrer ta 
route.


  

Radu-Adrian Feurdean écrit:
C'est plus rentable (mais politiquement moins interessant)
de s'attaquer aux grands bouffeurs de /8 qui ne les annoncent
meme pas dans la table globale.



C'est beaucoup trop tard pour ça. BEAUCOUP.
Un /8 qui se libère aujourd'hui, ça recule la date fatidique d'environ 1 mois. 
En étant réaliste sur le nombre de /8 qui pourraient (noter l'usage du 
conditionnel) être libérés avant la fin du monde, ça ne fait pas avancer le 
schmilblick IPv6. Trop tard.


  

US DOD est le meilleur example (9 x /8 alloues avec aucune
route dans la table globale).



troll
Ce n'est pas forcément prudent d'essayer d'enlever un /8 gratuit à une 
organisation qui 1. n'a généralement rien à foutre de ce tu penses  2. possède 
l'arme atomique et  3. a prouvé dans le passé qu'elle avait la volonté de s'en 
servir.

Radu à DOD: rends-nous les /8 dont tu ne te sers pas.
DOD à Radu: Va te faire empapaouter. Si tu n'es pas content, on te bombarde ou 
on t'envahit.
Radu à DOD: {euh tu fais quoi maintenant là}

Ecrit par: Michel, porte-parole du Pentagone.
/troll

Bon j'ai pitié, je garde le troll DOD/IPv6 pour vendredi prochain; ne me 
provoquez pas, celui-là je l'élève au biberon depuis qu'il est tout petit.

Sérieusement, 9x? Tu n'exagères pas un peu là (il est de Marseille, Radu?). 
J'ai du en oublier. 11, 55, 214, 215 et puis? Le 7 a été libéré si mes 
souvenirs sont bons.


  

Dominique Lacroix écrit:
Oui, s'il n'y avait que l'Europe et la France. Mais il y a aussi
des traités internationaux :
http://www.adminet.ca/Cawailleurs/archives/825/traite-copyright-acta-acces-documents
Vous comprenez ce que trame le gouvernement US, vous ?



A suivre...

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


  


---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Minitel 2.0 : la toile continue de se tisser

2009-04-15 Par sujet Mathieu Goessens

Bonjour,

C'est un peu hors sujet, mais je profite du post precedent pour poser 
une question que j'ai depuis longtemps en tête.
La pénurie des adresses approchant tout de même, va t'on revoir à la 
baisse certaines allocations ?


Si je pose la question c'est que je suppose que dans certains cas, 
l'utilisation de ces plages d'adresses n'est ni complête ni encore moins 
optimale.
A titre d'exemple, j'étudiais dans un établissement qui avait un beau 
/24 et n'utilisais que 2 ou 3 adresses.


Désolé si je lance un troll en avance ou si la réponse à ma question est 
documentée quelquepart (auquel cas un lien suffira).


Cdlt,
MG


Michel Py wrote:

Bon puisque maintenant on peut lancer des trolls le mercredi

  

Jean-Michel Planche
http://tinyurl.com/def9d5



Moi je ne vois pas pourquoi il faudrait se décarcasser à exploiter les failles 
DNS et BGP, alors qu'il n'y à qu'a attendre. Le 12 Octobre 2012, l'Internet va 
s'arrêter, c'est bien connu. Plus que 798 jours, même pas assez pour publier 
les décrets d'application d'Hadopi et développer l'usine à gaz. Pourquoi s'en 
faire.

Bon faut que je vous laisse, en prévision de la fin du monde imminente j'ai 3 
palettes de cassoulet en boite à empiler dans ma cave. Personne n'a une bonne 
affaire sur les munitions? Depuis l'élection d'Obama les prix ont monté en 
flèche ici.

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/


  


---
Liste de diffusion du FRnOG
http://www.frnog.org/