Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
On Thu, Jan 31, 2013, at 18:06, Simon Perreault wrote: Il y a des distros où conntrack n'est pas un module et n'est pas désactivable. *tousse* Fedora *tousse* Je n'ai pas verifie TOUS les release entre FC5 et FC18, mais il y e a un bon paquet de ces releases ou conntrack est en module. Vu la philosophie et l'heritage (RedHat avec modules a gogo), je ne vois pas pourquoi ca ne sera pas le cas des autres releases que je n'ai pas pu verifier personellement. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
* Laurent CARON - 31-01-2013 à 20h56: On 31/01/2013 16:16, Rémi Laurent wrote: D'ailleurs si sur la liste il y a des expériences avec OpenBSD/pf et du routing asymétrique, je suis intéressé d'avoir leur retour ;) Bonsoir, Le routage asymétrique fonctionne bien avec OpenBSD/OpenBGPd/pf si tu utilises l'option defer sur ton interface pfsync [...] Je l'utilise pour 4 routeurs (2 groupes de 2 en actif/passif) afin de pouvoir avoir les mêmes états sur les 4 machines. Mes 0.02€ Merci pour le retour, j'avoue ne jamais avoir utilisé defer pour autre chose que des tests, le point qui me faisait peur c'est que finalement chaque routeur va avoir la totalité des states de tous ses congénères en plus des siens; je suppose que ça peut rester gérable avec deux ou trois routeurs mais ça va vite exploser. Sans compter que ce n'est plus un seul, mais tous les routeurs qui vont commencer à jeter des connexions si la 'states limit' est atteinte en cas de l'un ou l'autre D?DoS. J'ai finalement l'impression que le fait de n'avoir aucune possibilité de faire du filtering stateless sous pf est assez dommageable dans certains scénarios. -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Le 2013-01-31 21:43, Julien Lollivier a écrit : Simon Perreault simon.perrea...@viagenie.ca (31/01/2013 18:06) : Il y a des distros où conntrack n'est pas un module et n'est pas désactivable. *tousse* Fedora *tousse* Ça doit toucher certaines versions de la Fedora uniquement, parce que sous toutes celles que j'ai sous la main, même des vieilleries (FC4 ..) j'ai bien un nf_conntrack ou un ip_conntrack. Après vérification sur un F16, je suis content de voir que ça a changé! :) Sur F14 c'était compilé direct dans le kernel. Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Plus precisement : rm -f `locate conntrack.ko` sinon, le module risque d'etre charge automatiquement avec un simple iptables -L Il vaut mieux jouer avec modprobe.conf et blacklister le module car à la prochaine mise à jour, il sera de nouveau installé. Jimmy --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] firewall sur routeur Quagga ??
Bonjour, Je me demande si d’installer et configurer un iptables sur un routeur BGP Quagga (debian) est une bonne chose ? Est-ce que cela ne vas pas ralentir le routage ? Si vous mettez un iptables sur vos routeurs soft, comment configurez-vous votre firewall ? En gros se serait aussi pour essayer de limiter la casse en cas de DDOS et autre... Je ne sais pas trop trop si cela changera quelque chose mais bon ! Je suis vivement intéressé de divers retours d’expériences sur le sujet ! Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Le 31/01/2013 14:46, Antoine Durant a écrit : Je me demande si d’installer et configurer un iptables sur un routeur BGP Quagga (debian) est une bonne chose ? Est-ce que cela ne vas pas ralentir le routage ? Si vous mettez un iptables sur vos routeurs soft, comment configurez-vous votre firewall ? En gros se serait aussi pour essayer de limiter la casse en cas de DDOS et autre... Je ne sais pas trop trop si cela changera quelque chose mais bon ! Un avis très bref, prudence. En faisant ça, tu pourrais très bien te retrouver avec ton routeur par terre lors d'une attaque (donc potentiellement tout ton réseau si tu fais ça sur chacun de tes routeurs), là où certaines attaques n'auraient seulement fait tomber qu'un seul serveur à l'intérieur de ton réseau... Tout dépend de l'attaque, et des performances de ta machine... -- Guillaume Rousseau --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Bonjour, Le 31/01/2013 14:46, Antoine Durant a écrit : Je me demande si d’installer et configurer un iptables sur un routeur BGP Quagga (debian) est une bonne chose ? Est-ce que cela ne vas pas ralentir le routage ? Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus sûr est de faire un lsmod|grep conntrack. S'il est activé, on court à la catastrophe. Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Ouep... Je comprends en effet le conntrack qui pourra écrouler la machine facilement... Donc en gros pas de firewall sur un routeur, mais quelle protection est-il possible de mettre en place sans forcément plomber le serveur ? De : Christophe Baegert c.baegert-lis...@lixium.fr À : Antoine Durant antoine.duran...@yahoo.fr Cc : frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Jeudi 31 janvier 2013 15h02 Objet : Re: [FRnOG] [TECH] firewall sur routeur Quagga ?? Bonjour, Le 31/01/2013 14:46, Antoine Durant a écrit : Je me demande si d’installer et configurer un iptables sur un routeur BGP Quagga (debian) est une bonne chose ? Est-ce que cela ne vas pas ralentir le routage ? Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus sûr est de faire un lsmod|grep conntrack. S'il est activé, on court à la catastrophe. Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Le 31/01/2013 15:41, Antoine Durant a écrit : Donc en gros pas de firewall sur un routeur, mais quelle protection est-il possible de mettre en place sans forcément plomber le serveur ? Si, le firewall c'est bon sans le conntrack, mais c'est moins pratique, forcément... Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Le 31/01/2013 15:44, Christophe Baegert a écrit : Le 31/01/2013 15:41, Antoine Durant a écrit : Donc en gros pas de firewall sur un routeur, mais quelle protection est-il possible de mettre en place sans forcément plomber le serveur ? Si, le firewall c'est bon sans le conntrack, mais c'est moins pratique, forcément... Cela dit, avec conntrack (sous linux, ou 'keep state' sous pf/openbsd) c'est pénible en cas de routage asymétrique (non rare dans un contexte de routeur BGP). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Le 2013-01-31 15:44, Christophe Baegert a écrit : Le 31/01/2013 15:41, Antoine Durant a écrit : Donc en gros pas de firewall sur un routeur, mais quelle protection est-il possible de mettre en place sans forcément plomber le serveur ? Si, le firewall c'est bon sans le conntrack, mais c'est moins pratique, forcément... Faux. Voir l'article fondateur de pf: http://www.benzedrine.cx/pf-paper.pdf The benchmarks show that the lower cost of state table lookups compared to the high cost of rule set evaluations justify creating state for performance reasons. Stateful filtering not only improves the quality of the filter decisions, it effectively improves filtering performance. Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
* Simon Morvan - 31-01-2013 à 15h50: Le 31/01/2013 15:44, Christophe Baegert a écrit : Le 31/01/2013 15:41, Antoine Durant a écrit : Donc en gros pas de firewall sur un routeur, mais quelle protection est-il possible de mettre en place sans forcément plomber le serveur ? Si, le firewall c'est bon sans le conntrack, mais c'est moins pratique, forcément... Cela dit, avec conntrack (sous linux, ou 'keep state' sous pf/openbsd) c'est pénible en cas de routage asymétrique (non rare dans un contexte de routeur BGP). Je confirme, avec OpenBSD c'est même particulièrement pénible. - avec keep state, asymétrie impossible - avec no state, déjà eu des surprises au niveau du window scaling sur du routing asymétrique. - avec sloppy state, tout va bien, mais ça mange des states comme pour rigoler; à voir en jouant avec 'set timeout' pour trouver un équilibre. D'ailleurs si sur la liste il y a des expériences avec OpenBSD/pf et du routing asymétrique, je suis intéressé d'avoir leur retour ;) -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Le 31/01/2013 16:16, Simon Perreault a écrit : Faux. Voir l'article fondateur de pf: http://www.benzedrine.cx/pf-paper.pdf Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On parle d'un routeur BGP là !!! C'est toute la différence entre la théorie et la pratique. Peut-être faux en théorie, mais vrai en pratique. Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Le 2013-01-31 16:22, Christophe Baegert a écrit : Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On parle d'un routeur BGP là !!! 1. Il n'a pas été dit que le routeur BGP passait du trafic. Peut-être ne fait-il que du BGP (e.g. un route reflector). 2. Pas besoin de stocker *tous* les flux en mémoire pour bénéficier de l'accélération. Juste à spécifier une limite de mémoire raisonnable, et quand la limite est atteinte on élimine l'état le plus vieux. Et il faut permettre à tous les types de paquet de créer un état. La table d'état est alors utilisée comme une cache LRU. Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Hello, Le 31 janv. 2013 à 16:22, Christophe Baegert c.baegert-lis...@lixium.fr a écrit : Le 31/01/2013 16:16, Simon Perreault a écrit : Faux. Voir l'article fondateur de pf: http://www.benzedrine.cx/pf-paper.pdf Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On parle d'un routeur BGP là !!! C'est toute la différence entre la théorie et la pratique. Peut-être faux en théorie, mais vrai en pratique. 3To de Ram. tout de suite... :D Bon des becannes avec 4Go de RAM en 64bits c'est assez standard... Donc vu que quagga ne s'amuse pas à manger ces 4Go pour une ou plusieurs full view, normalement ça doit passer. Pour revenir au sujet, il vaux mieux limiter l'usage du firewall *sauf* pour le control panel : en gros l'accès au ssh. Si vous utiliser openbsd pf, pourquoi se faire c...r avec quagga alors que openBGPd est largement plus économique en mémoire? Autre detail : attention au routage asymetrique. Bon si tu n'as qu'un routeur avec qu'un upstream, alors le firewall peux passer Autrement, attention au sciage de branche ou tu es assis. Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Le 31/01/2013 16:31, Xavier Beaudouin a écrit : Pour revenir au sujet, il vaux mieux limiter l'usage du firewall *sauf* pour le control panel : en gros l'accès au ssh. Si vous utiliser openbsd pf, pourquoi se faire c...r avec quagga alors que openBGPd est largement plus économique en mémoire? Certe mais niveau fonctionnalité c'est un poil plus limité quand même. Meme sous OpenBSD je conseille Bird. Concernant le sujet initial pas de firewall sur des routeurs, sauf volumes très faibles. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Le 1/31/13 4:22 PM, Christophe Baegert a écrit : Le 31/01/2013 16:16, Simon Perreault a écrit : Faux. Voir l'article fondateur de pf: http://www.benzedrine.cx/pf-paper.pdf Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On parle d'un routeur BGP là !!! C'est toute la différence entre la théorie et la pratique. Peut-être faux en théorie, mais vrai en pratique. Ca dépend surtout de quelle partie on souhaite saturer en traitement (mémoire/CPU/IO) et de l'impact (deny de service, ralentissement, perte complète du système). C'est une question de limite sur chaque partie, sachant que la mémoire est surement encore le truc qui s'upgrade le plus facilement mais aussi ce qui se remplit le plus facilement. Donc c'est effectivement très dépendant du contexte en pratique, mais aussi du type d'attaques parfois. Si un mec s'amuse à lancer des SYN d'établissement en masse, c'est sûr que l'optimisation d'une connexion TCP déjà établie ça fait une belle jambe... Et pour moi autant que possible : 1 équipement = 1 fonction. Mettre du firewalling sur un routeur qui gère le BGP du réseau, ça me choque un peu. Forcément si on parle d'une petite plateforme, c'est envisageable, mais c'est pas super propre je trouve. Surtout sur 2 fonctions qui peuvent engendrer de la charge chacune. Quelques ACL sur le routeur et un vrai firewalling derrière ça me semble un bien meilleur équilibre. Quand ça blinde, c'est bien plus facile d'isoler la cause et de réduire les actions à entreprendre pour gérer la situation. Surtout quand à la base il s'agit d'un Linux avec iptables et non d'un BSD avec pf. My 2 cents, Frederic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Hello, Le 31 janv. 2013 à 16:34, Raphael Mazelier r...@futomaki.net a écrit : Le 31/01/2013 16:31, Xavier Beaudouin a écrit : Pour revenir au sujet, il vaux mieux limiter l'usage du firewall *sauf* pour le control panel : en gros l'accès au ssh. Si vous utiliser openbsd pf, pourquoi se faire c...r avec quagga alors que openBGPd est largement plus économique en mémoire? Certe mais niveau fonctionnalité c'est un poil plus limité quand même. Il manque quoi ? A part ISIS (alpha / beta sur Quagga) openBGP + OpenOSPF suffisent. Tu peux meme jouer avec LDP si tu veux. J'ai plutôt detecté des bugs non résolus chez Quagga et une lenteur de convergence Meme sous OpenBSD je conseille Bird. Si Bird faisais de l'ISIS je le conseillerais aussi :p Concernant le sujet initial pas de firewall sur des routeurs, sauf volumes très faibles. :) /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Bonsoir, Pour appronfondir et répondre aux questions : Il sagit d'un routeur (pas route reflector) qui a deux transitaires. Architecture 64 Bits 2Go de Ram DDR3-1066 Mhz 1 Intel xeon E5530 à 2.40Ghz (4 Core, 8 Mega de cache) 2 disques sata --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Le 2013-01-31 17:14, Antoine Durant a écrit : Pour appronfondir et répondre aux questions : Il sagit d'un routeur (pas route reflector) qui a deux transitaires. Architecture 64 Bits 2Go de Ram DDR3-1066 Mhz 1 Intel xeon E5530 à 2.40Ghz (4 Core, 8 Mega de cache) 2 disques sata Ça fait juste renforcer le consensus: pas de firewall sur un routeur. :) Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
On Thu, Jan 31, 2013, at 15:02, Christophe Baegert wrote: Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus sûr est de faire un lsmod|grep conntrack. S'il est activé, on court à la catastrophe. Plus precisement : rm -f `locate conntrack.ko` sinon, le module risque d'etre charge automatiquement avec un simple iptables -L Il faut aussi retenir le fait que les flux peuvent ne pas passer par le meme chemin dans les deux sens. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Le 2013-01-31 17:41, Radu-Adrian Feurdean a écrit : Plus precisement : rm -f `locate conntrack.ko` sinon, le module risque d'etre charge automatiquement avec un simple iptables -L Il y a des distros où conntrack n'est pas un module et n'est pas désactivable. *tousse* Fedora *tousse* Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Bon, pas de firewall sur un routeur !! le fait du supprimer directement conntrack.ko cela va-t'il pas poser des problèmes ? Est-ce que lorsque on va taper iptables -L; iptables va pas être en erreur du fait qu'il essayera de charger conntrack.ko ??? Est-ce qu'un modprobe -r ou un blacklist (/etc/modprobe.d/blacklist.conf) du ip_conntrack est pas une meilleure idée ? De : Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net À : Christophe Baegert c.baegert-lis...@lixium.fr; Antoine Durant antoine.duran...@yahoo.fr Cc : frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Jeudi 31 janvier 2013 17h41 Objet : Re: [FRnOG] [TECH] firewall sur routeur Quagga ?? On Thu, Jan 31, 2013, at 15:02, Christophe Baegert wrote: Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus sûr est de faire un lsmod|grep conntrack. S'il est activé, on court à la catastrophe. Plus precisement : rm -f `locate conntrack.ko` sinon, le module risque d'etre charge automatiquement avec un simple iptables -L Il faut aussi retenir le fait que les flux peuvent ne pas passer par le meme chemin dans les deux sens. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Le 31/01/2013 18:11, Antoine Durant a écrit : Est-ce qu'un modprobe -r ou un blacklist (/etc/modprobe.d/blacklist.conf) du ip_conntrack est pas une meilleure idée ? Sûrement, mais Radu est du genre... radical :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
* Simon Morvan - 31-01-2013 à 18h17: Le 31/01/2013 18:11, Antoine Durant a écrit : Est-ce qu'un modprobe -r ou un blacklist (/etc/modprobe.d/blacklist.conf) du ip_conntrack est pas une meilleure idée ? Sûrement, mais Radu est du genre... radical :) Et puis comme ça on peut se faire payer un verre quand le nouveau venu fait naïvement un update kernel et que nf_conntrack.ko fait à nouveau son apparition -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
On 31/01/2013 16:16, Rémi Laurent wrote: D'ailleurs si sur la liste il y a des expériences avec OpenBSD/pf et du routing asymétrique, je suis intéressé d'avoir leur retour ;) Bonsoir, Le routage asymétrique fonctionne bien avec OpenBSD/OpenBGPd/pf si tu utilises l'option defer sur ton interface pfsync defer If the defer flag is used, the initial packet of a new connection passing through the firewall will not be transmitted until either another pfsync(4) system has acknowledged the state table addition, or a timeout has expired. This adds small delays but allows traffic to flow when more than one firewall might actively handle packets (active/active), e.g. with certain ospfd(8), bgpd(8) or carp(4) configurations. Je l'utilise pour 4 routeurs (2 groupes de 2 en actif/passif) afin de pouvoir avoir les mêmes états sur les 4 machines. Mes 0.02€ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
On Thu, Jan 31, 2013, at 18:11, Antoine Durant wrote: Bon, pas de firewall sur un routeur !! On est bien d'accord, mais ca reste un peu delicat si on veut limiter l'access a la machine elle-meme. le fait du supprimer directement conntrack.ko cela va-t'il pas poser des problèmes ? Est-ce que lorsque on va taper iptables -L; iptables va pas être en erreur du fait qu'il essayera de charger conntrack.ko ??? J'ai deja applique cette methode avec success il y a plusieurs annees. Si jamais il y a des regles qui ont besoin de conntrack, oui, il va y avoir des erreurs. Si par contre il n'y a pas, les eventuels erreurs ou warnings vont etre sans effet. Est-ce qu'un modprobe -r ou un blacklist (/etc/modprobe.d/blacklist.conf) du ip_conntrack est pas une meilleure idée ? C'est pas qu'il faut enlever le module, c'est qu'il doit pas etre charge strictement jamais et sous aucun pretexte. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Le 31/01/2013 20:59, Radu-Adrian Feurdean a écrit : C'est pas qu'il faut enlever le module, c'est qu'il doit pas etre charge strictement jamais et sous aucun pretexte. +1 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
On Jan 31, 2013, at 8:59 PM, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote: On Thu, Jan 31, 2013, at 18:11, Antoine Durant wrote: Bon, pas de firewall sur un routeur !! On est bien d'accord, mais ca reste un peu delicat si on veut limiter l'access a la machine elle-meme. Dans ce cas pas besoin de cochonneries type conntrack et on peut se limiter à binder ssh sur une loopback et la firewaller elle, non ? Cela doit résoudre tous les problèmes de routage asymétrique etc… je pense. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Simon Perreault simon.perrea...@viagenie.ca (31/01/2013 18:06) : Il y a des distros où conntrack n'est pas un module et n'est pas désactivable. *tousse* Fedora *tousse* Ça doit toucher certaines versions de la Fedora uniquement, parce que sous toutes celles que j'ai sous la main, même des vieilleries (FC4 ..) j'ai bien un nf_conntrack ou un ip_conntrack. Julien. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Un bon noyau Linux est un noyau compilé aux petits oignons sans support de module :D /intégriste (ça évite quelques failles de sécu au passage) Frédéric Le 1/31/13 9:15 PM, Christophe Baegert a écrit : Le 31/01/2013 20:59, Radu-Adrian Feurdean a écrit : C'est pas qu'il faut enlever le module, c'est qu'il doit pas etre charge strictement jamais et sous aucun pretexte. +1 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
Bonjour, On Thu, Jan 31, 2013 at 04:22:23PM +0100, Christophe Baegert wrote: Le 31/01/2013 16:16, Simon Perreault a écrit : Faux. Voir l'article fondateur de pf: http://www.benzedrine.cx/pf-paper.pdf Oui, peut-être... avec 3 téras de RAM pour la table de connexions !!! On parle d'un routeur BGP là !!! C'est toute la différence entre la théorie et la pratique. Peut-être faux en théorie, mais vrai en pratique. La meilleure solution pour répondre à ce type de questions sur OpenBSD / PF / OpenBGP est de s'adresser directement à Henning Brauer (henn...@openbsd.org) : un des devs de PF et dev principal de OpenBGP. C'est lui le master sur le sujet et a déjà mis en place ce genre de conf chez des ISP allemands. Son expérience réelle en prod et sa vue de dev sera la plus précise. Pour info, une table de connexions statefull en mode kernel Linux, dans un monde moderne et quand c'est bien codé, ça prend 1/2 GB de RAM pour des 100 de milliers de connexions, pas besoin de Teras ! Et comme dit dans le doc sur PF, tous les benchs montrent que ça coute bien moins en CPU de faire un lookup avec une bonne fonction de hachage (jhash ou approchant) que de parcourir à chaque fois une politique de filtrage pour créer une nouvelle connexion. A++ Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
❦ 31 janvier 2013 15:02 CET, Christophe Baegert c.baegert-lis...@lixium.fr : Je me demande si d’installer et configurer un iptables sur un routeur BGP Quagga (debian) est une bonne chose ? Est-ce que cela ne vas pas ralentir le routage ? Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus sûr est de faire un lsmod|grep conntrack. S'il est activé, on court à la catastrophe. iptables -t raw -I PREROUTING -j NOTRACK iptables -t raw -I OUTPUT -j NOTRACK Cela permet aussi de conserver la conntrack pour les connexions d'administration. Avec la mémoire dispo actuellement, il est aussi possible de tuner la conntrack pour augmenter drastiquement la taille de la table de connexions et diminuer le te timeout de la plupart des états. Sinon, on peut aussi filtrer avec tc. -- Watch out for off-by-one errors. - The Elements of Programming Style (Kernighan Plauger) --- Liste de diffusion du FRnOG http://www.frnog.org/