Re: [FRnOG] [BIZ] Consultant openbsd
En fait pour être plus concis, on rencontre des problèmes de timeout (?) sur le traffic entrant / sortant lorsqu'un active PF sur nous routeurs BGP. Nous n'avons pas réussi à voir d'ou venait le problème. Dès qu'on désactive PF tout fonctionne a merveille. Venant du monde iptables, je suis un peu perdu par le fait qu'il n'y ai pas de notion de forward dans PF, juste du filtrage sur in et out. Cordialement, Cédric Le 29 octobre 2013 21:54, sn...@sn4ky.net a écrit : Comment peut on avoir des problèmes liés a PF. Mes expériences avec PF ne m'ont justement apporté que des solutions ;) Le 2013-10-29 15:47, Breizhad Rico a écrit : Bonjour, Nous sommes à la recherche d'un consultant openBSD qui pourrait nous aider à : - résoudre des problèmes liés à PF - auditer / sécuriser un openbgpd en vue d'un prochain déploiement. Merci de me contacter off-list pour plus de détails ! Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
Le 30/10/2013 10:02, Cédric a écrit : En fait pour être plus concis, on rencontre des problèmes de timeout (?) sur le traffic entrant / sortant lorsqu'un active PF sur nous routeurs BGP. Nous n'avons pas réussi à voir d'ou venait le problème. Dès qu'on désactive PF tout fonctionne a merveille. Le trafic assymétrique ? Ca ne serait pas très étonnant sur un routeur BGP... Solutions : stateful en mode sloppy (mais jamais réussi a le faire marcher ici) ou alors passer en stateless. Un avis de barbu ? -- Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
* Cédric - 30-10-2013 à 10h02: En fait pour être plus concis, on rencontre des problèmes de timeout (?) sur le traffic entrant / sortant lorsqu'un active PF sur nous routeurs BGP. Nous n'avons pas réussi à voir d'ou venait le problème. Dès qu'on désactive PF tout fonctionne a merveille. Venant du monde iptables, je suis un peu perdu par le fait qu'il n'y ai pas de notion de forward dans PF, juste du filtrage sur in et out. Ça ne viendrait pas tout simplement d'une asymétrie quelque part dans le routing et qui ferait que le firewall stateful ne s'y retrouve pas ? J'ai déjà eu le problème et à part explicitement ajouter un no state sur les règles pass in pass out concernant le trafic potentiellement concerné je n'ai pas vraiment trouvé de solution. On peut aussi utiliser pfsync defer sur le ou les routeurs bgp mais ça induit une certaine latence au moment d'établir une connexion (tcp par exemple), le temps que le state soit propagé. Cordialement, Cédric Le 29 octobre 2013 21:54, sn...@sn4ky.net a écrit : Comment peut on avoir des problèmes liés a PF. Mes expériences avec PF ne m'ont justement apporté que des solutions ;) Le 2013-10-29 15:47, Breizhad Rico a écrit : Bonjour, Nous sommes à la recherche d'un consultant openBSD qui pourrait nous aider à : - résoudre des problèmes liés à PF - auditer / sécuriser un openbgpd en vue d'un prochain déploiement. Merci de me contacter off-list pour plus de détails ! Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [BIZ] Consultant openbsd
Le 30/10/2013 10:13, Simon Morvan a écrit : Le 30/10/2013 10:02, Cédric a écrit : En fait pour être plus concis, on rencontre des problèmes de timeout (?) sur le traffic entrant / sortant lorsqu'un active PF sur nous routeurs BGP. Nous n'avons pas réussi à voir d'ou venait le problème. Dès qu'on désactive PF tout fonctionne a merveille. Le trafic assymétrique ? Ca ne serait pas très étonnant sur un routeur BGP... Qui a parlé de trafic symétrique / asymétrique ? :) Solutions : stateful en mode sloppy (mais jamais réussi a le faire marcher ici) ou alors passer en stateless. Un avis de barbu ? A voir de ce côté là : http://www.packetmischief.ca/2011/02/17/hitting-the-pf-state-table-limit/ Cédric -- OCEANET --- [AGENCE DU MANS] 7, rue des Frênes ZAC de la Pointe 72190 SARGE LES LE MANS [t] +33 (0)2.43.50.26.50 [f] +33 (0)2.43.72.21.14 [AGENCE D'ANGERS] 5, rue Fleming Angers Technopole 49066 ANGERS [t] +33 (0)2.41.19.28.65 [f] +33 (0)2.52.19.22.00 http://www.oceanet.com http://www.oceanet-telecom.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
On Wed, Oct 30, 2013, at 10:02, Cédric wrote: En fait pour être plus concis, on rencontre des problèmes de timeout (?) sur le traffic entrant / sortant lorsqu'un active PF sur nous routeurs BGP. Du traffic asymetrique (qui fait desordre sur la partie statefull) ? Pas de firewall (au moins pas du statefull) sur un routeur BGP. Venant du monde iptables, je suis un peu perdu par le fait qu'il n'y ai pas de notion de forward dans PF, juste du filtrage sur in et out. Dans ce cas Forward = In + Out. (Contre Forward, local In, local Out sur netfilter) Ca permet aussi de gerer avec une seule regle le traffic local et celui route. C'est juste une autre facon de voir les choses. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
On Wed, Oct 30, 2013, at 10:13, Simon Morvan wrote: Solutions : stateful en mode sloppy (mais jamais réussi a le faire marcher ici) ou alors passer en stateless. Un avis de barbu ? Avis de barbu rase : Pas de BGP + statefull. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
Le 30/10/2013 11:02, Radu-Adrian Feurdean a écrit : Avis de barbu rase : Pas de BGP + statefull. Avis de mal rasé : - bgp si tu veux, mais pas de statefull sur un routeur. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
Le 10/30/13 11:24 AM, Raphael Mazelier a écrit : Le 30/10/2013 11:02, Radu-Adrian Feurdean a écrit : Avis de barbu rase : Pas de BGP + statefull. Avis de mal rasé : - bgp si tu veux, mais pas de statefull sur un routeur. +1 J'ajouterais aussi même si ce n'est pas forcément le cas ici : Eviter de mélanger les rôles entre routeurs eBGP et firewalling. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
Hello, Le 30 oct. 2013 à 11:41, Frederic Dhieux frede...@syn.fr a écrit : Le 10/30/13 11:24 AM, Raphael Mazelier a écrit : Le 30/10/2013 11:02, Radu-Adrian Feurdean a écrit : Avis de barbu rase : Pas de BGP + statefull. Avis de mal rasé : - bgp si tu veux, mais pas de statefull sur un routeur. +1 J'ajouterais aussi même si ce n'est pas forcément le cas ici : Eviter de mélanger les rôles entre routeurs eBGP et firewalling. On l'as dit souvent : on protège le backplane mais on s'amuse pas a faire de statefull sur un routeur BGP... Mais il y en as qui persistent et signent... et qu'un simple synflood partent en timeout en BGP... :p Voila on a dit : - routeur BGP en stateless avec protection du backplane - firewall DERRIERE le routeur BGP en statefull... - avant les firewalls : les revolvers DNS et hidden master (ca évite des nombreuses emmerdes avec les packets 512 en tcp sur les dns)... Mais bon... on aime bien se faire fouetter des fois :p Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
Le 30/10/2013 11:41, Frederic Dhieux a écrit : Le 10/30/13 11:24 AM, Raphael Mazelier a écrit : Le 30/10/2013 11:02, Radu-Adrian Feurdean a écrit : Avis de barbu rase : Pas de BGP + statefull. Avis de mal rasé : - bgp si tu veux, mais pas de statefull sur un routeur. +1 J'ajouterais aussi même si ce n'est pas forcément le cas ici : Eviter de mélanger les rôles entre routeurs eBGP et firewalling. Oui, option : 'no state'. mh --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Consultant openbsd
Bonjour, Nous sommes à la recherche d'un consultant openBSD qui pourrait nous aider à : - résoudre des problèmes liés à PF - auditer / sécuriser un openbgpd en vue d'un prochain déploiement. Merci de me contacter off-list pour plus de détails ! Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Consultant openbsd
Comment peut on avoir des problèmes liés a PF. Mes expériences avec PF ne m'ont justement apporté que des solutions ;) Le 2013-10-29 15:47, Breizhad Rico a écrit : Bonjour, Nous sommes à la recherche d'un consultant openBSD qui pourrait nous aider à : - résoudre des problèmes liés à PF - auditer / sécuriser un openbgpd en vue d'un prochain déploiement. Merci de me contacter off-list pour plus de détails ! Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
