Le 27/08/2018 à 20:28, Michel Py a écrit :
Quand on traverse un Fortigate, on ne peut pas faire de traceroute fiable, car
il y a un rate-limit de 1 packet par seconde avec TTL expiré.
C'est documenté. Et en plus ils pensent qu'ils ont raison.
Tiens, on est déjà Vendredi ? :-D
A l'occasion, moi, je pourrais parler un peu de SonicWALL, des règles
firewall qui changent de priorité ou qui se réinitialisent, lors d'un
reboot ou d'une modification de paramètre sur un VPN par exemple. Du
coup, des flux qui devraient être fermés se retrouvent ouverts. C'est
marrant :-D
Et justement, j'ai plusieurs fois envisagé de tout virer pour passer sur
Fortinet :-D
Par principe, les constructeurs ont toujours raison ;-) Si je ne
m'abuse, c'est Microsoft qui a créé le concept dans les années 80 avec
son fameux "It's not a bug, it's a feature" :-)
De notre coté, il est assez utopique de vouloir argumenter auprès d'eux
pour faire valoir nos arguments. Et encore plus de les attaquer
frontalement ! On fait çà quand on a 20 ans. Et ensuite, on apprend à
dépenser notre énergie de façon plus judicieuse ;-)
En pratique, nos choix se limitent donc à :
- Changer de constructeur/éditeur, avec la nécessité de tout
réapprendre, de ré-écrire les outils existants, refaire un stock de
pièces, etc... Mais l'herbe est-elle vraiment plus verte ailleurs ? Et
quels cadavres va t-on découvrir dans les placards ? Mystère...
- Garder le matériel/logiciel incriminé, qui généralement nous convient
sur bien d'autres points, et profiter de la connaissance que l'on en a
pour chercher des contournements locaux au problème
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/