On Thu, Jan 31, 2013, at 18:06, Simon Perreault wrote:
Il y a des distros où conntrack n'est pas un module et n'est pas
désactivable.
*tousse* Fedora *tousse*
Je n'ai pas verifie TOUS les release entre FC5 et FC18, mais il y e a un
bon paquet de ces releases ou conntrack est en module. Vu
* Laurent CARON - 31-01-2013 à 20h56:
On 31/01/2013 16:16, Rémi Laurent wrote:
D'ailleurs si sur la liste il y a des expériences avec OpenBSD/pf et
du routing asymétrique, je suis intéressé d'avoir leur retour ;)
Bonsoir,
Le routage asymétrique fonctionne bien avec OpenBSD/OpenBGPd/pf si
Le 2013-01-31 21:43, Julien Lollivier a écrit :
Simon Perreault simon.perrea...@viagenie.ca (31/01/2013 18:06) :
Il y a des distros où conntrack n'est pas un module et n'est pas
désactivable.
*tousse* Fedora *tousse*
Ça doit toucher certaines versions de la Fedora uniquement, parce que
sous
Plus precisement :
rm -f `locate conntrack.ko`
sinon, le module risque d'etre charge automatiquement avec un simple
iptables -L
Il vaut mieux jouer avec modprobe.conf et blacklister le module car à
la prochaine mise à jour, il sera de nouveau installé.
Jimmy
---
Bonjour,
Je me demande si d’installer et configurer un iptables sur un routeur BGP
Quagga (debian) est une bonne chose ?
Est-ce que cela ne vas pas ralentir le routage ?
Si vous mettez un iptables sur vos routeurs soft, comment configurez-vous votre
firewall ?
En gros se serait aussi pour
Le 31/01/2013 14:46, Antoine Durant a écrit :
Je me demande si d’installer et configurer un iptables sur un routeur BGP
Quagga (debian) est une bonne chose ?
Est-ce que cela ne vas pas ralentir le routage ?
Si vous mettez un iptables sur vos routeurs soft, comment configurez-vous votre
Bonjour,
Le 31/01/2013 14:46, Antoine Durant a écrit :
Je me demande si d’installer et configurer un iptables sur un routeur BGP
Quagga (debian) est une bonne chose ?
Est-ce que cela ne vas pas ralentir le routage ?
Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus
sûr
c.baegert-lis...@lixium.fr
À : Antoine Durant antoine.duran...@yahoo.fr
Cc : frnog-t...@frnog.org frnog-t...@frnog.org
Envoyé le : Jeudi 31 janvier 2013 15h02
Objet : Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Bonjour,
Le 31/01/2013 14:46, Antoine Durant a écrit :
Je me demande si d’installer
Le 31/01/2013 15:41, Antoine Durant a écrit :
Donc en gros pas de firewall sur un routeur, mais quelle protection
est-il possible de mettre en place sans forcément plomber le serveur ?
Si, le firewall c'est bon sans le conntrack, mais c'est moins pratique,
forcément...
Christophe
Le 31/01/2013 15:44, Christophe Baegert a écrit :
Le 31/01/2013 15:41, Antoine Durant a écrit :
Donc en gros pas de firewall sur un routeur, mais quelle protection
est-il possible de mettre en place sans forcément plomber le serveur ?
Si, le firewall c'est bon sans le conntrack, mais c'est
Le 2013-01-31 15:44, Christophe Baegert a écrit :
Le 31/01/2013 15:41, Antoine Durant a écrit :
Donc en gros pas de firewall sur un routeur, mais quelle protection
est-il possible de mettre en place sans forcément plomber le serveur ?
Si, le firewall c'est bon sans le conntrack, mais c'est
* Simon Morvan - 31-01-2013 à 15h50:
Le 31/01/2013 15:44, Christophe Baegert a écrit :
Le 31/01/2013 15:41, Antoine Durant a écrit :
Donc en gros pas de firewall sur un routeur, mais quelle protection
est-il possible de mettre en place sans forcément plomber le serveur ?
Si, le
Le 31/01/2013 16:16, Simon Perreault a écrit :
Faux.
Voir l'article fondateur de pf:
http://www.benzedrine.cx/pf-paper.pdf
Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On
parle d'un routeur BGP là !!!
C'est toute la différence entre la théorie et la pratique.
Le 2013-01-31 16:22, Christophe Baegert a écrit :
Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On
parle d'un routeur BGP là !!!
1. Il n'a pas été dit que le routeur BGP passait du trafic. Peut-être ne
fait-il que du BGP (e.g. un route reflector).
2. Pas besoin de
Hello,
Le 31 janv. 2013 à 16:22, Christophe Baegert c.baegert-lis...@lixium.fr a
écrit :
Le 31/01/2013 16:16, Simon Perreault a écrit :
Faux.
Voir l'article fondateur de pf:
http://www.benzedrine.cx/pf-paper.pdf
Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On
Le 31/01/2013 16:31, Xavier Beaudouin a écrit :
Pour revenir au sujet, il vaux mieux limiter l'usage du firewall *sauf* pour
le control panel : en gros l'accès au ssh.
Si vous utiliser openbsd pf, pourquoi se faire c...r avec quagga alors que
openBGPd est largement plus économique en
Le 1/31/13 4:22 PM, Christophe Baegert a écrit :
Le 31/01/2013 16:16, Simon Perreault a écrit :
Faux.
Voir l'article fondateur de pf:
http://www.benzedrine.cx/pf-paper.pdf
Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On
parle d'un routeur BGP là !!!
C'est toute la
Hello,
Le 31 janv. 2013 à 16:34, Raphael Mazelier r...@futomaki.net a écrit :
Le 31/01/2013 16:31, Xavier Beaudouin a écrit :
Pour revenir au sujet, il vaux mieux limiter l'usage du firewall *sauf*
pour le control panel : en gros l'accès au ssh.
Si vous utiliser openbsd pf, pourquoi se
Bonsoir,
Pour appronfondir et répondre aux questions :
Il sagit d'un routeur (pas route reflector) qui a deux transitaires.
Architecture 64 Bits
2Go de Ram DDR3-1066 Mhz
1 Intel xeon E5530 à 2.40Ghz (4 Core, 8 Mega de cache)
2 disques sata
---
Liste de diffusion du
Le 2013-01-31 17:14, Antoine Durant a écrit :
Pour appronfondir et répondre aux questions :
Il sagit d'un routeur (pas route reflector) qui a deux transitaires.
Architecture 64 Bits
2Go de Ram DDR3-1066 Mhz
1 Intel xeon E5530 à 2.40Ghz (4 Core, 8 Mega de cache)
2 disques sata
Ça fait juste
On Thu, Jan 31, 2013, at 15:02, Christophe Baegert wrote:
Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus
sûr est de faire un lsmod|grep conntrack. S'il est activé, on court à
la catastrophe.
Plus precisement :
rm -f `locate conntrack.ko`
sinon, le module risque
Le 2013-01-31 17:41, Radu-Adrian Feurdean a écrit :
Plus precisement :
rm -f `locate conntrack.ko`
sinon, le module risque d'etre charge automatiquement avec un simple
iptables -L
Il y a des distros où conntrack n'est pas un module et n'est pas
désactivable.
*tousse* Fedora *tousse*
Simon
...@frnog.org
Envoyé le : Jeudi 31 janvier 2013 17h41
Objet : Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
On Thu, Jan 31, 2013, at 15:02, Christophe Baegert wrote:
Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus
sûr est de faire un lsmod|grep conntrack. S'il est
Le 31/01/2013 18:11, Antoine Durant a écrit :
Est-ce qu'un modprobe -r ou un blacklist (/etc/modprobe.d/blacklist.conf) du
ip_conntrack est pas une meilleure idée ?
Sûrement, mais Radu est du genre... radical :)
---
Liste de diffusion du FRnOG
http://www.frnog.org/
* Simon Morvan - 31-01-2013 à 18h17:
Le 31/01/2013 18:11, Antoine Durant a écrit :
Est-ce qu'un modprobe -r ou un blacklist
(/etc/modprobe.d/blacklist.conf) du ip_conntrack est pas une
meilleure idée ?
Sûrement, mais Radu est du genre... radical :)
Et puis comme ça on peut se faire payer
On 31/01/2013 16:16, Rémi Laurent wrote:
D'ailleurs si sur la liste il y a des expériences avec OpenBSD/pf et
du routing asymétrique, je suis intéressé d'avoir leur retour ;)
Bonsoir,
Le routage asymétrique fonctionne bien avec OpenBSD/OpenBGPd/pf si tu
utilises l'option defer sur ton
On Thu, Jan 31, 2013, at 18:11, Antoine Durant wrote:
Bon, pas de firewall sur un routeur !!
On est bien d'accord, mais ca reste un peu delicat si on veut limiter
l'access a la machine elle-meme.
le fait du supprimer directement conntrack.ko cela va-t'il pas poser des
problèmes ? Est-ce que
Le 31/01/2013 20:59, Radu-Adrian Feurdean a écrit :
C'est pas qu'il faut enlever le module, c'est qu'il doit pas etre charge
strictement jamais et sous aucun pretexte.
+1
---
Liste de diffusion du FRnOG
http://www.frnog.org/
On Jan 31, 2013, at 8:59 PM, Radu-Adrian Feurdean
fr...@radu-adrian.feurdean.net wrote:
On Thu, Jan 31, 2013, at 18:11, Antoine Durant wrote:
Bon, pas de firewall sur un routeur !!
On est bien d'accord, mais ca reste un peu delicat si on veut limiter
l'access a la machine elle-meme.
Simon Perreault simon.perrea...@viagenie.ca (31/01/2013 18:06) :
Il y a des distros où conntrack n'est pas un module et n'est pas
désactivable.
*tousse* Fedora *tousse*
Ça doit toucher certaines versions de la Fedora uniquement, parce que
sous toutes celles que j'ai sous la main, même des
Un bon noyau Linux est un noyau compilé aux petits oignons sans support
de module :D
/intégriste (ça évite quelques failles de sécu au passage)
Frédéric
Le 1/31/13 9:15 PM, Christophe Baegert a écrit :
Le 31/01/2013 20:59, Radu-Adrian Feurdean a écrit :
C'est pas qu'il faut enlever le module,
Bonjour,
On Thu, Jan 31, 2013 at 04:22:23PM +0100, Christophe Baegert wrote:
Le 31/01/2013 16:16, Simon Perreault a écrit :
Faux.
Voir l'article fondateur de pf:
http://www.benzedrine.cx/pf-paper.pdf
Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On
parle d'un
❦ 31 janvier 2013 15:02 CET, Christophe Baegert c.baegert-lis...@lixium.fr :
Je me demande si d’installer et configurer un iptables sur un
routeur BGP Quagga (debian) est une bonne chose ?
Est-ce que cela ne vas pas ralentir le routage ?
Il faut juste éviter qu'il fasse du connection
33 matches
Mail list logo