Re: [FRnOG] Mobile IPv6
LE problème de mobile IPv6, c'est qu'il a été pensé à une époque ou Internet était symétrique, et ou les terminaux mobiles auraient besoin d'accéder à une myriade de protocoles (FTP, HTTP, RPC ...). Et parfois en mode serveur, avec leurs ports en écoute. Avec le développement des réseaux privés de tout bord, du NAT, et des gros réseaux proxifiés (justement les réseaux mobiles sont derrère des proxy), le réseau est devenu ASYMETRIQUE : le terminal mobile devient demandeur et uniquement demandeur. Pas de port en écoute par exemple, ni d'adresse IP joignable sur le réseau. L'adresse IP vue d'internet n'a rien à voir avec celle du terminal. Donc pouvoir le suivre partout dès le niveau 3 ne sert plus à grand chose dans ce contexte. Ce qui est rassurant d'ailleurs, car comme on paye au débit pour les abonnements mobiles, il vaut mieux que l'on ne paye que pour du trafic qui soit à l'initiative du terminal. Une des idées phares était aussi de maintenir les connexions en changeant de réseau : pour du http, osef car c'est plein de petites connexions TCP. Si une connexion TCP casse à cause du roaming ou même d'un changement d'adresse IP, le navigateur va réessayer de recharger la page (enfin j'éspère!), mais la session générale (par exemple votre session de connexion à Google Mail) est gérée par les cookies et les serveurs Google. Dans ce cas quoi sert mobile ipv6 pour que le client accède à google, facebook, son intranet, ou plus généralement uniquement le protocole HTTP? D'ailleurs, dans mon travail quotidien, HTTP n'est plus une option parmi d'autres, mais un prérequis lorsqu'il s'agit de faire communiquer deux machines. On peut le voir tous les jours, les réseaux mobiles fonctionnent très bien en IPv4, et même les problèmes de performance TCP sur la 3G ont semble-t-il été réglés. Je pense (mais c'est mon avis), que mobile ipv6 correspond à une vision d'internet pré-2000 ou chaque machine était à la fois serveur et client. Depuis, les protocoles comme H.323 (pour la voix sur IP - protocole cauchermardesque pour les firewalls et leurs administrateurs) ou RPC, ont été remplacés par des clones de HTTP (SIP, SOAP...)qui fonctionnent en mode client-serveur pur. Enfin c'est mon avis personnel. M'interessant de près à IPV6, j'éspère que d'autres avis viendront enrichir ce sujet interessant. Guillaume - Mail Original - De: Laurent Fasnacht lf+lists.fr...@o-t.ch À: frnog@frnog.org Envoyé: Jeudi 21 Avril 2011 16h54:22 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: Re: [FRnOG] Mobile IPv6 On Mon, 04 Apr 2011 19:57:28 +0200, Laurent Fasnacht lf+lists.fr...@o-t.ch wrote: [...] Apparement le Mobile IPv6 n'intéresse personne, ou personne n'expérimente. (?) Je suis toutefois surpris de voir que les gens de cette liste préférent discuter politique que technique... Joyeuses Pâques, Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: La muriellade du jour - Neutralité
Attention, de nombreux miroirs reprennent les messages FRnoG qui deviennent accessibles à tous via Google, et archivés pour toujours. Ce message pourrait gravement nuire à votre carrière :) - Mail Original - De: Arnaud Launay a...@launay.org À: frnog@FRnOG.org Envoyé: Jeudi 21 Avril 2011 15h30:02 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: [FRnOG] Re: La muriellade du jour - Neutralité Le Thu, Apr 21, 2011 at 12:28:44PM +0200, Spyou a écrit: http://marland-militello.fr/2011/04/20/la-neutralite-du-net-une-utopie-seduisante/ Cette femme est cintrée. Qui sont les imbéciles qui ont veauté pour elle ? Arnaud. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Article sérieux et opérationnel bien que vendredi
Le chaos arrivera effectivement si l'état donne du crédit à ce genre de personnage, et se permet de faire n'importe quoi dans un réseau qui ne l'a pas attendu pour se développer et fonctionner correctement. Ca me rappelle furieusement l'évolution d'HTTP : au début, beaucoup pensaient qu'ils suffirait de bloquer les protocoles autres que HTTP pour limiter l'usage au seul surf. Les marchands de FW ont gagné plein de sous avec du filtrage de ports. Résultat, touts les protocoles sont encapsulés au dessus d'HTTP, même pour de la VoIP (skype), ou le transfert de fichier (webdav). Du coup, on perd de la visibilité, car pour filtrer, les entreprises doivent désormais utiliser des FW 'avec états'. C'est avec ce genre de filtrage alakon qu'on provoque le chaos, car il oblige toujours les utilisateurs à le contourner pour des usages légitimes. - Mail Original - De: Frédéric frede...@placenet.org À: frnog@FRnOG.org Envoyé: Vendredi 25 Mars 2011 16h03:06 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: Re: [FRnOG] Article sérieux et opérationnel bien que vendredi On Fri, 25 Mar 2011 15:49:39 +0100, frede...@perrod.org wrote: Spyou r...@spyou.org a écrit : Le 25/03/2011 14:42, Stephane Bortzmeyer a écrit : Je suppose que tout le monde ici a des plans pour se préparer à la fin de l'Internet, qui va arriver, comme le montre l'auteur, en 2015 SÉCURITÉ SÉCURITÉ SÉCURITÉ ... ... Et l'amour, bordel ? Ben oui... A quand la création de Sociétés Anonymes à Tendresse Illimitée? :) Fred En vlà une http://www.spa.asso.fr/ a+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Nortel vend ses IP (?)
IMHO, on va assister à une course à l'échalotte qui va ressembler à celle des .com il y a quelques années. IPV4 n'est pas mort. Au contraire, il commence à vivre ... commercialement. Cette pseudo pénurie va créer les conditions favorables à un marché juteux pour ceux qui ont des blocks en stock. A quand un Internet Protocol Address Market Exchange à la bourse de New York? - Mail Original - De: Christophe Baegert c.baegert-lis...@lixium.fr Cc: ML FrNOG frnog@frnog.org Envoyé: Jeudi 24 Mars 2011 10h33:29 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: Re: [FRnOG] Nortel vend ses IP (?) Le 24/03/2011 07:31, Nicolas CARTRON a écrit : Info ou intox? http://blog.internetgovernance.org/blog/_archives/2011/3/23/4778509.html Si c'est le cas, alors l'informatique libre est morte, ou ne survivra qu'en IPv6... c'est peut être la chance de l'IPv6 d'ailleurs ! Car Microsoft va acheter toutes les IP avec son trésor de guerre, et n'en louera une qu'à ceux qui sont passés à la caisse... Ou Apple, ou Google... Cordialement, -- Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Encore une loi promulguée dans un monde ou les FAI hébergeraient tout Internet, comme jadis le minitel était hébergé par FT. On commence à être habitués de ces lois débiles. - Mail Original - De: Benjamin Sonntag benja...@octopuce.com À: Liste FRnoG frnog@frnog.org Envoyé: Mercredi 2 Mars 2011 12h37:47 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: Re: [FRnOG] Publication du decret LCEN sur les logs services Internet Bonjour, - Pierre-Henry Muller wall...@morkitu.org a écrit : Comme certains l'ont soulignés sur Twitter, quid des One Time Passwords, de l'openIP sur un serveur à l'étranger, de l'authentification Facebook / Google / ... ou autre entité qui n'aurait même pas de bureaux en France? no idea. après, vous n'avez pas de mot de passe, juste un login, ça doit pouvoir suffire ... Pour ce qui est de la conservation des logs je me rappel une conférence FRNOG il y a quelques années où une discussion était partie sur les coûts de stockage. Et une personne avait fait une excellente remarque que les hôtels tiennent un journal de qui est venu dormir chez eux. Bien souvent cela se fait sur un livre et qu'il était admis que ce livre pouvait disparaitre / bruler / noyé et l'hôtel n'avais pas de sanction. Je ne vois là aussi aucune obligation de maintient d'un système hautement redondé, on prend donc des disques sata on archive dessus, on les débranche et si un jour où nous demande quelque chose et que les disques ne sont plus lisibles tant pis? Ce qui est admis pour un hôtel risque de ne pas l'être pour un FAI/FSI : TRACEROUTE de la loi quivabien : ::1 = ** archive FRNOG parlant de la LCEN ** TTL 1 = ** LCEN ** http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=A907948B8C8CB5C9E8011FD57DCCFC10.tpdjo15v_3?cidTexte=JORFTEXT00801164idArticle=LEGIARTI06421546dateTexte=categorieLien=cid II.-Les personnes mentionnées aux 1 et 2 du I détiennent et conservent les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires. ... Les dispositions des articles 226-17, 226-21 et 226-22 du code pénal sont applicables au traitement de ces données. TTL 2 = ** Code pénal Article 226-17 ** http://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=4A93F19A65ED5AAC59714CD010621E9D.tpdjo10v_1?cidTexte=LEGITEXT06070719idArticle=LEGIARTI06417962dateTexte=categorieLien=cid Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. TTL 3 = ** article 34 de la loi n° 78-17 du 6 janvier 1978 ** http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=4A93F19A65ED5AAC59714CD010621E9D.tpdjo10v_1?cidTexte=JORFTEXT00886460dateTexte=19780107categorieLien=cid#JORFTEXT00886460 Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8. Vous êtes arrivé au lieu du drame ... donc NON : un FAI/FSI peut difficilement dire j'ai mis ça sur un disque en carton et pas en RAID, j'ai tout perdu sans risquer de se prendre une balle ... parce que déformées ou endommagées ... Par ailleurs, IANAL [1] ;) @+ Benjamin Sonntag AS39389 Octopuce / La Quadrature du Net [1] : I Am Not A Lawyer, expression consacrée signifiant, tel Pilate, prénom Ponce, que ce que je dis n'engage que celui qui m'écoute et que n'étant pas avocat, cela a de grande chance d'être faux. (notez que si j'étais avocat, cela pourrait tout autant être faux mais j'en serais théoriquement responsable, (après essayez d'attaquer un avocat pour avoir dit quelque chose de faux, bon courage, lui il a l'habitude de se défendre (mais bon, je m'égare ... ;-D ) ) ) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Une idée rigolote pour prévenir les utilisateurs infectés
Je pense que c'est une bonne chose... que dans le cas décrit dans l'article. Je cite : équipement de load-balancing est utilisé pour séparer le trafic HTTP du reste (même s'il tourne sur le port 80) et pour n'aiguiller vers le relais Squid que les clients listés comme suspects. L La tentation pourrait être grande de faire passer tout le 80 par un proxy transparent. De même, il faut faire attention, car ce genre de méthode trompe les gens, qui finissent par penser que c'est le fournisseur d'accès Internet qui héberge tout le web, un peu comme au temps du minitel. S'ils peuvent modifier les pages, alors ils peuvent faire disparaitre les liens torrent (industrie musicale), ils peuvent alterer le contenu de wikileaks (gouvernement) etc... Il faut absolument conserver le caractère p2p du net, même pour le WEB. Dans le fond, je serais plus pour un portail captif, dont la page apparait tous les n clics, gênant l'utilisateur mais ne modifiant pas les pages. Quand je vois autour de moi le nombre d'ordinateurs qui sont des zoos à virus et bots et dont les gens s'en contrefoutent, je me dis qu'il faut agir sans tarder. Il faut responsabiliser un minimum les gens concernant la sécurité de leurs machines. - Mail Original - De: Rémi Bouhl remibo...@gmail.com À: frnog@FRnOG.org Envoyé: Jeudi 24 Février 2011 12h42:57 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: Re: [FRnOG] Une idée rigolote pour prévenir les utilisateurs infectés Bonjour, Le 24/02/2011 09:43, Stephane Bortzmeyer a écrit : Il existe bien sûr d'autres méthodes, comme de couper purement et simplement la connexion Internet dudit client. Cette méthode est régulièrement réclamée par certains éradicateurs. Outre qu'elle n'est pas dans l'intérêt financier du FAI (le client arrêterait de payer s'il était coupé), elle n'est pas envisageable dans un État de droit (en France, le Conseil Constitutionnel avait cassé une version de la loi Hadopi car elle prévoyait une coupure de l'accès Internet sans jugement). Ah bon? Les clauses, chez tous les FAI, qui disent Si vous faites des bêtises on coupe, sont donc illégales et réputées non écrites? Étant donné qu'un zombie sur le réseau d'un FAI peut amener au blacklistage d'une partie ou de la totalité des clients, y compris propres, de ce FAI, ne peut-il pas arguer qu'il s'agit d'une mesure préventive à caractère urgent, nécessaire pour préserver ses autres clients? En France, en tout cas, il arrive que des FAI décident de couper un client en cas d'abus interdit par le contrat: revente de la connexion à un nombre importants d'utilisateurs, par exemple.. C'est vrai que mis en rapport avec la décision du CC, c'est très questionnable comme riposte. L'approche de Comcast est donc de profiter du fait que la plupart des utilisateurs passent beaucoup de temps à regarder des pages Web. Il « suffit » de détourner les pages HTML, d'y insérer le message et bingo ! Le message apparaîtra à l'écran. Voici une copie d'écran de http://www.example.com/, avec l'exemple de modification que donne le RFC en section 8. Cette modification consiste simplement en l'ajout d'un peu de JavaScript Ça suppose que les utilisateurs de Noscript ne sont jamais infectés. Et qu'ils ne font pas passer toutes leurs connexions par un VPN à la mode, comme ça commence à se faire en France, pour échapper à la surveillance des ayants-droits.. Même si, dans le cas d'un VPN, ce qui infecte le PC passera aussi par le VPN et ne concerne donc pas le FAI. Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update
Le NAT (enfin sur les abonnements mobile ça serait plutot des proxys), a un avantage : Il a le mérite de faire comprendre au client qu'il est une grosse merde, et que sa seule destinée est d'accéder à des services, mais surtout pas d'en proposer (même des services accessibles qu'à lui même comme un accès SSH). Il a aussi le mérite de tuer les protocoles un peu trop bidirectionnels, genre H.323, RPC... D'ailleurs, l'adresse IP publique pour les terminaux semble devenir l'exception : Accès mobiles 3 G : privé Accès WIMAX (rares) : privé Accès wifi publics : privé Accès au travail : privé. Il ne reste plus que les accès résidentiels, mais pour combien de temps? - Mail Original - De: Pascal Rullier pas...@rullier.net À: frnog@FRnOG.org frnog@frnog.org Envoyé: Mardi 8 Février 2011 18h37:06 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update 2011/2/8 Rémi Bouhl remibo...@gmail.com: Bonsoir, Le 08/02/11, Stephane JAUNEstephane.ja...@bullpi.com a écrit : Je pense que ce sont plutôt les solutions mobiles (telephone, tablettes, ...) qui consomment bcp d'IP en ce moment. Même pas, les accès mobiles sont NATés (voire doublement NATés). D'ailleurs, si les accès mobiles étaient du vrai Internet (avec une IP publique) ça voudrait rendre IPv6 un peu plus urgent vu le développement du marché des bidulephones. Je ne comprends pas qu'on puisse fournir des IP NATées, du sous-Internet, sous prétexte que c'est destiné à des sous-ordinateurs et qu'il n'y a pas assez d'IP pour tout le monde, alors qu'IPv6 semble fait pour permettre à chaque terrien de se balader avec dix terminaux connectés à Internet. Non, avec du NAT sur les mobiles, cela permet de controler via un proxy les flux qui circulent et d'interdire la VOIP par exemple car le FAI^H^H^HFTM (fournisseur de téléphonie mobile) préfère que le client utilise la téléphonie mobile (plus juteuse) que la VOIP... Voila l'Internet par O. S. B. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update
Je pense effectivement que le NAT est rassurant : Avec du NAT (ou un Proxy) : Tu te construit un réseau PRIVE qui t'appartient (plan d'adressage, nommage, toussa), et ENSUITE tu lui offre un point unique d'accès à Internet. Enfin surtout un point unique d'accès HTTP/HTTPS. Sans NAT : Tu commence par connecter tes machines dans un plan d'adresse qui ne t'appartient pas, et ensuite, tu dois trouver un équipement qui bloque l'accès à certaines choses. Le NAT (ou le serveur proxy) donne l'impression de fermer d'abord et d'ouvrir ensuite, alors que l'accès routé donne l'impression inverse. Même si c'est une fausse sécurité, les sociétés ont tellement pris l'habitude d'avoir un réseau complètement privé, qu'on ne leur enlèvera pas du jour au lendemain. Sela dit, on parle de NAT, mais en réalité, c'est plutôt les proxys qui font le pont. - Mail Original - De: Raphaël Jacquot sxp...@sxpert.org À: guillaume monnette guillaume.monne...@free.fr Cc: Pascal Rullier pas...@rullier.net, frnog@FRnOG.org frnog@frnog.org Envoyé: Mercredi 9 Février 2011 13h58:20 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update On Wed, 2011-02-09 at 11:44 +0100, guillaume.monne...@free.fr wrote: Le NAT (enfin sur les abonnements mobile ça serait plutot des proxys), a un avantage : Il a le mérite de faire comprendre au client qu'il est une grosse merde, et que sa seule destinée est d'accéder à des services, mais surtout pas d'en proposer (même des services accessibles qu'à lui même comme un accès SSH). Il a aussi le mérite de tuer les protocoles un peu trop bidirectionnels, genre H.323, RPC... D'ailleurs, l'adresse IP publique pour les terminaux semble devenir l'exception : Accès mobiles 3 G : privé Accès WIMAX (rares) : privé Accès wifi publics : privé Accès au travail : privé. Il ne reste plus que les accès résidentiels, mais pour combien de temps? les boulets qui affirment que le nat est un systeme de firewall qui protege de toutes les attaques ont visiblement beaucoup de followers... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall HTTP
Il y a dix ans, on disait qu'il était moins cher d'acheter des tuyaux plus gros, que de s’embêter à faire de la QoS. Je ne sais pas si cette maxime est toujours vrai aujourd'hui. Et la QoS inter-opérateurs, on sait faire? - Mail Original - De: Rémy Sanchez remy.sanc...@hyperthese.net À: frnog@FRnOG.org Envoyé: Jeudi 25 Novembre 2010 20h01:47 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: Re: [FRnOG] Firewall HTTP On 11/25/2010 03:29 PM, Pierre Chapuis wrote: On Wed, 24 Nov 2010 22:02:08 +0100, Rémy Sanchez remy.sanc...@hyperthese.net wrote: Bon et finalement, est-ce que la QoS sert à quelquechose ? Par ce que si on résume, la QoS ne sert à rien quand on a assez de bande passante, et elle n'est pas assez efficace quand y'a pas assez de bande passante... Bien résumé. Encore plus court : la QoS sur un réseau IP ne sert à rien et est même néfaste. Je sais que tu ne veux pas en parler mais j'ai été exactement dans le même cas que toi avec ta résidence étudiante. Si tu ne peux pas limiter la taille du tuyau, la solution est de compter les paquets et/ou les octets qui passent dedans pour chaque utilisateur et de faire en sorte que la somme totale ne dépasse pas ton débit maximal. Pas besoin de regarder dans les paquets. Ça n'est pas de la QoS, c'est du best effort. Si tu commences à faire de la QoS, tu vas avoir deux profils d'utilisateurs : les geeks qui vont comprendre ce qui passe et tunneler dedans, et les gens normaux qui vont se faire avoir. En pratique, une simple limite en upload et en download par jour, semaine et/ou mois suffit dans ce genre de contexte. Après, tu es plus ou moins obligé de regarder dans les paquets IP quand même si tu es relié à un réseau du type Renater, mais c'est un autre problème... Donc le DiffServ co c'est une vaste fumisterie ? On s'est amusé à utiliser de précieux octets dans les entêtes IP pour rien ? Personne ne fait de QoS ? Je voudrais pas faire le mec relou qui met du temps à comprendre (même si à priori cette discussion gonfle tout le monde :/), mais j'ai du mal à me mettre en tête que tout ça ait été inventé pour rien... C'est quand même pas des clowns à l'IETF non ? -- Rémy Sanchez --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall HTTP
Si nous etiames vendreday, j'irions plus loin... Après la concentration de tous les protocoles au dessus de TCP (ce qui était deja une hérésie), puis de HTTP (n'en parlons pas)... Bienvenue vers la concentration vers deux fqdn : www.google.com et www.facebook.com Je remarque en effet, que 1/ De plus en plus de marketeux rafolent des www.facebook.com/x à la place d'un site. C'est pratique, car ça permet de profiler et FB est accessible via les pseudos acces web des téléphones mobile. 2/ Et de plus en plus de collègues utilisent les *...@gmail.com car c'est le webmail le moins filtré en entreprise... - Mail Original - De: Rémy Sanchez remy.sanc...@hyperthese.net À: frnog@frnog.org Envoyé: Mercredi 24 Novembre 2010 14h51:56 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: [FRnOG] Firewall HTTP Bonjour à tous, Les dernières tendances en terme de n'importe quoi consistent à faire passer à peu près tout ce qu'on peut par du HTTP, à tel point qu'on a pratiquement remplacé le TCP. Après tout, toutes les applications web passent par du HTTP, or c'est plutôt vaste : distribution de contenu, messagerie instantanée, flux vidéo, traitement de texte, ... Sans oublier toutes les applications qui utilisent le HTTP (par exemple MSN) pour faire passer leur protocole en environnement restreint, ou carrément les tunnels. En bref, le port 80 est toujours ouvert, soit directement, soit à travers un proxy. Et c'est la porte ouverte à toutes les fenêtres... En fin de compte, serait-il cohérent d'imaginer une application analogue à un firewall, qui au lieu de s'en prendre au TCP s'attaque directement au HTTP ? Ça y est je vois déjà tous les canons pointés en ma direction pour me signaler qu'on a déjà des proxys, IDS et tout un tas de trucs dans le genre. C'est d'ailleurs pour ça que je demande si l'idée est cohérente ou si c'est du grand n'importe quoi. Cependant, je pense à des fonctionnalités qui m'ont l'air difficile à configurer dans les outils pré-cités, comme par exemple différencier les types de flux pour y assigner des priorités (long poll et dérivées, page standard, gros fichier, accélérateur de téléchargements, ...), reconnaître les sous protocoles (comme au dessus, MSN), reconnaître les tunnels, s'en prendre aussi au HTTPS, ... En bref, pouvoir traiter tout ce qui passe par du HTTP comme un flux TCP/IP avec un numéro de protocole et un tag pour la QoS. Les outils que j'ai rencontré jusque là ne permettent pas de faire ça simplement (Squid, pf, iptables pour ceux que j'ai vraiment utilisé), après étant relativement novice en réseau j'ai assez peu touché aux autres outils et aux appliances proprio, donc mon panorama est restreint. Donc qu'en pensez vous, lecteurs avisés de FRnOG ? Un tel outil serait-il utile ? Pour qui ? Qu'y verriez vous à l'intérieur ? Est-ce que j'ai complètement fumé la moquette ? NDLR : l'idée ici est de débattre des fonctionnalités d'un tel produit, non de la manière dont on pourrait les implémenter... Allez c'est parti pour une après midi à prendre des baffes :) -- Rémy Sanchez --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Utilité des proxy htt p transparents en 2010 pour un FAI
Bonjour, Une des grosses utilisations de proxys transparents, c'est les portails captifs utilisés dans le WIFI. Tant que tu ne t'es pas identifié sur le portail, le proxy transparent te renvoie sans arrêt la page d'authentification. Cf. freeWifi, NeufWifi, MacDo... Cela permet d'éviter de demander aux gens de reconfigurer sans arrêt leurs parametres Internet pour accéder au wifi (j'ai déja vu ça dans des hôtels). Sinon, les FAI Anglais utilisent de tels proxys pour le filtrage : des routes diffusées sur les routeurs FAI via le protocole BGP permettent de renvoyer certaines requetes vers des proxys transparents. C'est c'est proxys qui ensuitent trient le bon grain de l'ivraie (souvent à partir de l'url demandée). Et l'utilisateur lambda ne s'aperçoit de rien. Pour la 3G, les proxy permettent effectivement de faire tout un tas de chose : profiling (on regarde sur quoi surfe les clients, pour leur cibler de la grosse publicité), filtrage selon des closes plus ou moins débiles, décomptage d'url, facturation, contrôle du navigateur (et donc autorisation / interdications de terminaux) etc... Il faut voir le proxy comme les quais des douanes à la frontière : les douaniers vident le camion d'un coté, ils mettent tout le contenu sur un tapis roulant avec scanner, et ils rechargent le camion. Sans proxy, le FAI ne verrait que des paquets IP avec des ports source et destination. Grâce au proxy, il fait apparaitre les url, pages, bref, tout ce qui est au dessus de la couche 4 OSI... Le fait que les proxys soit transparents permet d'éviter une configuration spécifique du terminal, ce qui permet une simplification pour l'utilisateur. Guillaume - Mail Original - De: Thomas Mangin thomas.man...@exa-networks.co.uk À: Julien Richer jul...@ywigo.fr Cc: frnog frnog@frnog.org Envoyé: Vendredi 26 Février 2010 08h25:46 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: Re: [FRnOG] Utilité des proxy http transparents en 2010 pour un FAI Pour les FAI, cela fait des annees que la bande passante est moins chere que l'achat et la gestion des proxys. Le seul cas ou nos clients passent a travers un/des proxy(s) (transproxing) est quand ils ont signe pour notre service de filtrage du web. Thomas On 25 Feb 2010, at 23:21, Julien Richer wrote: Bonjour, Je me pose une question, qui même si elle ne concerne pas directement l'IP a j'espère sa place ici. Quelle utilité un opérateur a encore de nos jours à mettre en place un proxy transparent sur http ? Je ne parle pas d'une école ou d'une entreprise qui fait ce qu'elle veut, mais d'un FAI, comme SFR en 3G. En effet, sur un forfait full internet, on a presque du vrai internet. Bon c'est NATé, mais tous les ports sont routés, on peut tuneler en SSH si on veut, voir monter un VPN. Malgré ça, le http passe par un proxy transparent, donc obligatoire (qui n'est pas stable naturellement). Je ne viens ni me plaindre, ni troller, mais j'aimerai comprends l'intérêt technique d'un tel système de nos jours, sous entendu que ce n'est surement pas pour faire du cache. (En effet la bande passante 3G est une denrée rare, mais surement pas le transit pour SFR. Hors, je doute que le proxy soit au plus proche de l'abonné pour faire du cache en région...) Il y a donc surement une raison intéressante, autre que le chalenge de monter une architecture qui tiens la charge. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Testeurs Femtocell chez free ?
Par pitié, stop avec ces rumeurs d'ondes qui tuent... Et puis nous ne sommes pas encore vendredi :) - Mail Original - De: Vivien GUEANT viv...@gueant.org À: frnog@frnog.org Envoyé: Mercredi 13 Janvier 2010 08h56:42 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: Re: [FRnOG] Testeurs Femtocell chez free ? Francois Petillon a écrit : Frank Bonnet wrote: Si quelqu'un de chez Free lit ces lignes ;-) pourrais je savoir si ils ne chercherait pas des beta testeurs pour Femtocell ? Si, si, depuis que plusieurs chercheurs de l'équipe Freebox ont eu de sérieux problemes de santés en bossant sur le sujet, nous recherchions de gentils clients habitant loin de Paris. Je peux vous envoyer une Freebox Gigacell ? François François, Free a déjà changé d'avis sur les Femtocell ? De passage lundi sur France Culture, Maxime Lombardini, directeur général de Free a évoqué une option femto-cell pour la prochaine génération de freebox. C’est « une sorte de mini antenne pour avoir une meilleure couverture chez soi et écouler du trafic notamment internet » précise le PDG de la filiale d’Iliad. Le temps d’un renouvellement de boitier, cette solution permettrait à Free de couvrir une bonne partie de la population française et donc d’atteindre plus facilement la masse critique où un réseau national deviens viable et surtout, c’est une façon très rapide et économique de se doter d’une infrastructure GSM fonctionnelle et de mettre fin aux critiques des autres opérateurs concernant la capacité de Free Mobile à déployer un réseau. Source : http://www.frandroid.com/9554/free-et-les-femto-cells/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] LOPPSI et blocage de sites web
Justement, ils arrivent au niveau 0 de l'intéropérabilité : ça marche pÔ. Il n'y a qu'a voir les forums des pauvres qui essaient de lire des BluRay sur leur ordi avec les logiciels du commerce. Ils abandonnent rapidement et retournent à la mule. Et je ne parle pas de ceux qui découvrent que les BRD ne se lisent pas sur les MACS. A force de rendre des contenus illisibles, ca fonctionnera : les gens ne les liront plus. Il suffit juste d'attendre que la concurrence arrive :) - Mail Original - De: Dominique Rousseau d.rouss...@nnx.com À: frnog@FRnOG.org Envoyé: Vendredi 27 Novembre 2009 14h26:16 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: Re: [FRnOG] LOPPSI et blocage de sites web Le Fri, Nov 27, 2009 at 02:22:33PM +0100, guillaume.monne...@free.fr [guillaume.monne...@free.fr] a écrit: Ce n'est pas le fonctionnement d'internet en particulier mais de l'informatique et du numérique en général. Ton disque dur ne sait pas si tu copies de la musique piratée ou des photos, ou autres dessus, idem pour ta clé usb. En numérique le support n'a rien à voir avec le contenu. Ce n'est déjà plus vrai, malheureusement. Par exemple, ton film HD (issu d'un blu-ray ou autre source DRMisée), il na va pas pouvoir s'afficher, si ta carte video et ton écran ne montre pas patte blanche (HDCP). -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 50, rue Riolan 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Le filtrage d'Internet est-il inéluctable ?
Pour le P2P, le problème peut être réglé en qq minutes : NAT et Proxys. On peut même limiter l'accès au protocole HTTP, comme dans les entreprises. De toute façons, bientot tous les protocoles seront par dessus HTTP (même MSN!). On pourrait même bientôt se passer de TCP/IP pour la liaison client :))) Donc pourquoi continuer d'autoriser les ordis à se parler sans intérmédiaire? Essayez de faire du P2P internet avec le WIFI Orange, Wifi d'Hotêl ou une clé 3G. Et mes amis qui se targuent de tout faire passer sur du HTTPS, ont de plus en plus de mal à le faire, bizarre non? D'ailleurs, une adresse routable semble devenir l'exeption... Partout ailleurs qu'à la maison, ce n'est que proxies et désolation. Pourquoi pas une liste blanche ???: tout ce qui n'est pas autorisé est interdit. Sebastien WILLEMIJNS a écrit : On Fri, 13 Feb 2009 02:29:39 -0800, Michel Py mic...@arneill-py.sacramento.ca.us said: Ca va pas arranger la bande passante non plus cette affaire; 1KB de mp3, 15KB de crypto? pourquoi parler au futur ? le mulet le fait bien depuis X années... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] charte sur la confiance en ligne vers une division de l'inter-net ?
Effectivement, l'industrie du disque suit ça de pres : http://www.pcinpact.com/actu/news/44118-SPPF-majors-filtrage-olivennes-elysee.htm Une petite citation : Contactée, la SPPF (Société Civile des Producteurs de Phonogrammes en France), par la voix de Jérôme Roger, son représentant, nous a confié que « le débat nous intéresse de très près car les engagements qui seraient pris concernant les contenus pédophiles peuvent effectivement passer par du filtrage. Ce sont des mesures dengagements volontaires prises dans un projet de charte ». Par ailleurs, lintéressé nous confie que « les problématiques de lindustrie musicale ne sont pas éloignées de ces autres préoccupations qui peuvent paraitre évidemment beaucoup plus graves et urgentes à traiter. Bien évidemment, les solutions de filtrage qui pourraient être déployées à cette occasion devraient faire lobjet dune réflexion à légard des contenus, dans le cadre de la propriété intellectuelle ». La conclusion ??? Je pense que si le pédofiltrage est mis en place, tout les gens ayant l'interet à faire censurer une information illégale obtiendrnt son filtrage. Que ce soit : les majors, les sondages post elections, les diffamations de VIP etc... Il n'y aura plus d'argument Internet est international et neutre pour nous défendre, vu qu'ils se défendront en disant mais c'est possible pour les filtres pédophiles. Internet est neutre ou pas, il n'y a pas de demi-mesure. Oui d'autant que je trouve qu'on se sert beaucoup de ces prétextes pédophiles pour en fait bloquer le peer to peer. En une dizaine d'années sur le net je suis tombé sur tout et n'importe quoi (et énormément de sites porno), mais jamais sur l'ombre d'un site pédophile. Là encore peut-être que je ne fais pas les bonnes recherches, n'empêche qu'en réalité ça n'a pas l'air de courir les rues ce type de trucs ... Je sens plutôt thepiratebay.org et autres sumotorrent.com disparaitre mystérieusement par le filtrage du proxy par exemple ... Patrick --- Liste de diffusion du FRnOG http://www.frnog.org/
