[FRnOG] [BIZ] Flux TV
Bonjour, Je cherche une liste de prestataire capable de fournir une descente de flux TV dans plusieurs régions du monde. La particularité étant que les flux peuvent être différents par pays / continent pour la même chaîne. Exemple : MBC-1 au UAE et MBC-1 au Maroc, sont deux différents flux sur deux satellites différents. Déjà identifié en France : AdValem, MediaTree. Des idées sur des fournisseurs / datacenter à l’international, Equinix est-il capable de fournir ce genre de service ? Priorité : EMEA, Russie, USA. Merci Adrien --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Flux IPTV
Hello, Quelqu'un sait où je peux trouver des flux IPTV TNT (type offre Advalem ?) ? Point de présence possible sur Equinix PA3/PA4. SD ou HD peu importe. Merci ! Adrien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Flux IPTV
Bonsoir Sébastien, Merci pour ton retour. Je regarde. Merci également à ceux qui ont répondu en privé. Bien cordialement, Adrien Le 11 décembre 2014 18:19, Sebastien Lesimple slesim...@laposte.net a écrit : On en a déjà parlé il y a quelques mois. Vas voir du coté de TDF, leur filiale de diffusion a une plateforme OTT. Il s'agit d'Arkena: http://www.arkena.com/fr/solutions/diffusion-ott/ Le 11/12/2014 17:58, Adrien Pestel a écrit : Hello, Quelqu'un sait où je peux trouver des flux IPTV TNT (type offre Advalem ?) ? Point de présence possible sur Equinix PA3/PA4. SD ou HD peu importe. Merci ! Adrien --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Flux IPTV
Advalem non merci :) J'ai appelé deux fois, on m'a dit on vous recontacte. Je n'ai jamais eu de nouvelle. Certains ont trop de business visiblement :) Encore merci à tous ! Adrien Le 11 décembre 2014 19:12, noruja...@gmail.com noruja...@gmail.com a écrit : Hello On peut-t'en proposer à advalem ou TH2? Noru Le 12/12/2014 03:58, Adrien Pestel a écrit : Hello, Quelqu'un sait où je peux trouver des flux IPTV TNT (type offre Advalem ?) ? Point de présence possible sur Equinix PA3/PA4. SD ou HD peu importe. Merci ! Adrien --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Flux IPTV
Indeed :) Le 11 décembre 2014 20:10, Jerome SCHEVINGT jerome...@phibee-telecom.net a écrit : Le 11/12/2014 17:58, Adrien Pestel a écrit : Hello, Quelqu'un sait où je peux trouver des flux IPTV TNT (type offre Advalem ?) ? Point de présence possible sur Equinix PA3/PA4. SD ou HD peu importe. Merci ! Adrien --- Liste de diffusion du FRnOG http://www.frnog.org/ Il aurait été intéressent de donner un ordre de prix sur ce type de service. Car j'ai constaté souvent que le contact démarre et quand on vient a demander les prix plouf certain ne répondent plus ... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Virtualisation Check Point
Bonsoir, Excellent retour de LB Haproxy en environnement virtualisé. Si ton hyperviseur supporte SR-IOV performance quasi native possible. Cordialement, Adrien Le 11 décembre 2014 14:00, Alexandre in...@opendoc.net a écrit : Bonjour à tous, nous souhaitons changer nos firewall Check Point. Notre prestataire nous propose de passer sur une version virtualisée (node + management). Notre infra virtuelle fonctionne bien, et je comprends bien que nous pouvons monter en disponibilité en se déchargeant de la partie hardware. Cependant, j'arrive à me faire à l'idée de virtualiser des éléments réseau (firewall, load balancer...) mais je n'arrive à la justifier. Auriez-vous un retour d'expérience (positif ou négatif) sur la virtualisation de firewall Check Point et plus généralement sur la virtualisation d’équipements orientés réseau (exemple load balancer LVS) Par avance, merci. Alexandre. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] CIDR FR
Merci pour vos réponses. J'ai trouvé des CIDR disponibles (pas forcément à jour) mais pour l'usage que j'en ai cela fera parfaitement l'affaire. Merci encore. Adrien Le 23 octobre 2014 23:09, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Thu, Oct 23, 2014, at 21:19, Nicolas Vivet wrote: Ca dépend de ce que tu cherches à faire, pour du filtrage, c'est certainement la meilleure solution. Si tu cherches a filtrer au hasard, oui, peut-etre. Si tu cherches a filtrer francais - definitivement pas. DON'T DO IT ! Surtout pas base sur la liste d'AS. En ce qui concerne la création d'une liste de CIDR, la liste des préfixes annoncés par des opérateurs francais répond à la question. C'est quoi un operateur francais deja ? D'ailleurs c'est quoi un operateur tant qu'on y est. Est-ce que Zayo France c'est Francais ? Est-ce que COLT France c'est Francais ? (AS definitivement pas francais) Est-ce qu'un operateur avec le siege a l'etranger (et l'AS marque a l'addrese du siege) mais avec une entite juridique en France, et avec du personnel technique en France c'est Francais ? Faut arreter de penser que tout ce qui est francais est 100% en France, et/ou que tout ce qui est en France est 100% francais. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] CIDR FR
Bien le bonjour FrNog, Auriez-vous une liste à peu près à jour des CIDR Français ? En vous en remerciant par avance. Chaleureusement, Adrien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Un bon NAS ?
Bonjour, Vu les caractéristiques j'en déduis que ce n'est pas pour un service critique (disques de spare, double contrôleur ?) ? Pour les débits cela ne veut pas dire grand chose en l'état. Le workload attendu, c'est du séquentiel, random, lecture, écriture ? IO par seconde attendu ? NFS, iSCSI ou les deux ? NetApp pour un truc sérieux. Sinon Synology pour la maison. QNAP poubelle. Adrien Le 29 avril 2014 14:06, Jeremy li...@freeheberg.com a écrit : Bonjour les sys-admin, Bon, liste d'entraide et de débat oblige, et même si on est pas vendredi, je suis en train de regarder ce qu'il se fait comme bon matos en NAS réseau 8 baie. Y a du Syno, Qtap, Lenovo ou même Thecus sur le marché, j'ai pas encore frappé à la porte de Dell ou HP qui vont mettre 3 plombes à me répondre. Vous utilisez quoi ? Le besoin est simple : 8 baie, RAID 10, 2x1Gb/s, SATA, si possible avec du SNMP, bon débits. Prix cible : entre 1500 et 3000 € HT. Merci pour vos retours ! Cordialement, Jérémy __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Un bon NAS ?
Si c'est de l'HyperV alors c'est pas du NFS mais de l'iSCSI (la version d'HyperV 2012 est pas mal). 24H de coupure ça va c'est correct. Tu peux te permettre si cela rentre dans le budget de prendre deux Synology. C'est une nouvelle application ou une appli existante ? Si c est existant tu peux collecter des infos avec microsoft assessment and planning toolkit (notamment les IOps). En gros (très gros) un disque SATA 7200 tr/min délivre environ 100 IOps. Si deux disques en RAID0 alors 200 IOps etc... Adrien Le 29 avril 2014 15:43, Jeremy li...@freeheberg.com a écrit : Le 29/04/2014 15:30, Adrien Pestel a écrit : Bonjour, Vu les caractéristiques j'en déduis que ce n'est pas pour un service critique (disques de spare, double contrôleur ?) ? C'est de la prod, mais ce qui est critique, c'est le backup, ça y a pas de soucis. Coté prod, on peut se permettre 24h de coupure en cas de panne hardware le temps de changer la pièce. Pour les débits cela ne veut pas dire grand chose en l'état. Le workload attendu, c'est du séquentiel, random, lecture, écriture ? Beaucoup d'écriture de petits fichiers (-200Ko). IO par seconde attendu ? Impossible à déterminer, on parle de +1000 fichiers par heure. NFS, iSCSI ou les deux ? Plutôt NFS je pense. Les VM sont sur de l'hyperV derrière. Y a pas de prérequis ici, on s'adapte. NetApp pour un truc sérieux. Sinon Synology pour la maison. QNAP poubelle. Adrien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Un bon NAS ?
HyperV = PAS de NFS... Le 29 avril 2014 16:57, Christophe Casalegno christophe.casale...@digital-network.net a écrit : Le mardi 29 avril 2014, 16:52:04 Vince Telvary a écrit : Dans la rubrique NFS, voir plutôt nas4free que freenas8. Le premier est un fork du freenas7, donc avec des bases stables. Freenas8 est reparti de zéro, inclus des modules pas forcément utiles dans un cadre pro (media serveur...). Les fonctionnalités intéressantes (type HA) semblent volontairement oubliées dans la version communautaire, mais intégrées dans l'appliance pro. C'est le résultat de recherches google, pas d'expériences. J'utilise Openfiler, ça marche nickel chrome :) amicalement, -- Christophe Casalegno http://www.digital-netcom.com --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Py^Hi day
Trademark sur le nom et le logo Firefox. Debian c'est free au sens open du terme jusqu'au bout des ongles. Pas de compromis trouvé sur l'integration d'un logo/nom soumis à copyright. Adrien Le 15 mars 2014 19:29, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Pour ceux qui n'ont pas (encore) saisi les subtilités de la date en Anglais, ici c'est Friday 3-14. 'zavez pas de chance les enfants, ça tombe un trolldi, pire que vendredi 13. Depuis le temps que le monde entier me fait chier avec mon nom, je me venge. Donc, j'ai acheté un Raspberry Pi (model B, évidemment). Je m'amuse comme un fou avec. Le projet original était de mettre ExaBGP dessus, et de l'intégrer dans une HWIC Cisco. Le projet tient toujours, sauf que je me suis tellement amusé à bidouiller avec l'animal que çà a pris du retard. Et moi qui pensais qu'ExaBGP allait s'installer tout pendant mon sommeil, ou que à défaut Thomas allait prendre l'avion, venir l'installer un samedi, m'inviter à bouffer, et repartir :P Après moulte bidouilles, je me suis décidé pour la distro Pirora. Au départ, j'hésitais entre Raspbian et Arch; j'ai bien aimé Arch mais il y a pas grand-chose de dispo (et entre autres pas Samba), et j'ai pas trop aimé Raspbian entre autres parce qu'il faut googler pour créer root et aussi pour comprendre qu'une dispute a transformé Firefox en Iceweasel. Désolé les fans, mais mon temps est précieux et j'ai mieux à faire que d'ouvrir Google pour comprendre que au lieu de yum install firefox c'est apt-get install iceweasel. Si encore c'était apt-get install firefox ça aurait pu passer, mais iceweasel faut arrêter de pousser mémé dans les orties. Je ne connais pas les détails des modifications que Debian avait fait et qui ont poussé Mozilla à leur demander de respecter certains standards, mais c'est exactement à cause de ce genre de connerie que Microchiotte domine encore le monde. Donc c'est Pidora et en plus ça tombe bien puisque Fedora est proche du Centos que j'utilise habituellement. Le Pi est une petite bécane bien sympa, peut être même capable de devenir un route-serveur, faudrait essayer avec une full-view. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un exemple d'attaque NTP par réflexion
Bonsoir, Je suis vraiment inquiet avec les futurs attaques par amplification snmp... On parle de ratio x250 :( Adrien Le 27 février 2014 17:18, Sylvain Busson sbu12...@gmail.com a écrit : Bonjour, Une petite étude de cas concrète et fraiche, qui pourrait vous intéresser, aujourd'hui ou bientôt :-) : http://www.bortzmeyer.org/attaque-ntp-en-vrai.html SBU --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Points d'échange et écoute légale
Bonjour, Pour moi il y'a deux choses bien distinctes. Les écoutes légales (réalisées chez les opérateurs, sur les lignes fixes, VoIP, Data) couvert par une réquisition judiciaire (je ne sais pas si c'est le bon terme juridique) et connu plus ou moins de tous. De l'autre il y'a tout ce qui n'est pas légal où les opérations se font sous le manteau. Je pense notamment à des choses comme : http://reflets.info/lecoute-des-cables-deux-ans-pour-comprendre-mieux-vaut-tard-que-jamais/ On me fait signe que les égouts de Paris sont librements accessibles... Après cela vaut ce que cela vaut. J'imagine que la vérité se situe un peu au milieu (comme toujours). A+ Adrien Le 17 février 2014 15:27, Sylvain Vallerot sylv...@gixe.net a écrit : Bonjour, FR-IX ne fait pas l'objet d'écoutes, ce qui n'est pas surprenant puisque les volumes échanges sont encore trop faibles pour intéresser quelque agence que ce soit. Mais si cela arrivait, dans un contexte légal je doute que nous soyons autorisés à informer les opérateurs. Quels textes actuellement rendraient de telles écoutes légales possibles ? Une demande illégale donnerait un peu de travail à mon avocate favorite, qui se fait je crois une spécialité de ce genre de problèmes, et nous nous amuserions beaucoup. La neutralité est hors-sujet sur cette question, il me semble. Bonne journée, Sylvain Raphael Sent from my iPhone On 17 Feb 2014, at 11:37, Spyou r...@spyou.org wrote: Le 17/02/2014 10:12, Stephane Bortzmeyer a écrit : [Non, ce n'est PAS un troll, c'est une vraie question sérieuse.] Relisant un article sur les écoutes au DE-CIX http://www.h-online.com/news/item/PRISM-scandal-internet- exchange-points-as-targets-for-surveillance-1909989.html (ou http://www.heise.de/newsticker/meldung/NSA- Abhoerskandal-PRISM-Internet-Austauschknoten-als- Abhoerziele-1909604.html dans la langue de Konrad Zuse), je me dis que je n'ai pas vu passer d'informations fiables sur la situation dans les points d'échange français. Pour résumer l'article allemand : le DE-CIX fournit des mécanismes d'écoute au BND (la NSA d'outre-Rhin), c'est officiel, pour tout le reste, à vous de deviner. Et en France ? Je ne trouve pas de déclaration officielle ou d'enquête sérieuse. Ce serait une bonne question à poser à la prochaine assemblée générale FranceIX. Mais je ne puis imaginer que des écoutes soient effectuées sur le réseau de l'IX sans que le board de l'actionnaire n'en ai parlé aux membres de l'assemblée générale ^^ /troll --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- http://www.gixe.net - conseil, hébergement et transit partiel tél. +33(0)950 31 54 74 - fax.+33(0)955 31 54 74 - cont...@gixe.net -- Gixe.net Association 1901 - SIREN 450 404 769 - TVA n°FR51450404769 écrire à Sylvain Vallerot, 3 rue Erckmann Chatrian, 75018 Paris, FR --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Syslog cisco Asa
Bonsoir, Je dirais rsyslog puis utilisation d'expression régulière avec dans un cas aiguillage sur un syslog et un autre pour le reste des messages (qui ne match pas http par exemple). Adrien Le 11 février 2014 18:03, Frederic Vigneron fn...@frederic-vigneron.fr a écrit : Bonjour J'ai un problème syslog pour lequel j'aimerais une solution. Je dois mettre en place un envoi de log vers deux serveurs différents mais n'ayant pas les mêmes logs. Un serveurs doit recevoir uniquement les log http et l'autre serveur les logs warning mais pas les logs http. Avez vous des idées quant a la mise en oeuvre ? Merci --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [JOBS] ISVTEC, sysadmin expert haute disponibilité à Lyon
Il reste plus grand chose pour le Macbook pro retina du coup :) Adrien Le 8 janvier 2014 16:07, Romain rom...@borezo.info a écrit : budget de 1500€ pour votre matériel, logiciel, chaise, bureau et téléphone J'ai beaucoup rigolé. Le 8 janvier 2014 15:54, Cyril Bouthors cyril.bouth...@isvtec.com a écrit : Bonjour, Pour faire face à sa croissance, ISVTEC recrute un sysadmin expert haute disponibilité à Lyon. Plus d'informations sur https://www.isvtec.com/annonce-sysadmin/ Candidature par email exclusivement sur cette adresse : recrutem...@isvtec.com Comme toujours, nous ne souhaitons pas être contactés par des cabinets de recrutement et SSII. Cordialement -- Cyril Bouthors - ISVTEC https://www.isvtec.com/: Web Platform Managed Services and Scalability 14 avenue de l'Opéra, 75001 Paris. 201 rue Vendôme, 69003 Lyon ☎ 01 84 16 16 17 - Ligne directe : 0x7B9EE3B0E - Fax : 01 77 72 57 24 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] VM, ip failover et routage
Bonjour, Je crois que l'IPv6 chez AWS se limite pour l'instant aux services périphériques avec Internet (ELB, S3, Cloudfront...). Si tu veux que ton instance soit joignable en IPv6 depuis l'extérieur il faut la load balancer. Cordialement, Adrien Le 6 janvier 2014 12:59, Emmanuel Thierry m...@sekil.fr a écrit : Bonjour, Avez-vous une idée de comment ceci est transposé en IPv6 sur ces produits/outils ? - Utilisent-ils la même architecture avec des adresses ULA et du NAT66 ? - Déploient-ils un réseau IPv6 distinct ? - Ou alors osef IPv6 ? Est-ce fait également avec un binding 1:1 ou bien associent-ils un /64 à chaque machine/VM ? Cordialement Emmanuel Thierry Le 5 janv. 2014 à 21:05, Adrien Pestel a écrit : Bonsoir, En ce qui concerne AWS, tu as pour chaque instance (VM) la possibilité d'y associer une EIP (Elastic IP). Cette EIP publique est liée à ton instance jusqu'à temps que tu l'as libère. Techniquement c'est du NAT 1:1 entre ton EIP et l'IP privé de ta VM. Cette gestion du NAT 1:1 est programmable. Il y'a fort à parier qu'il s'agit ni plus ni moins que de machine virtuelle Linux au dessus des quelles ont a déployé un jeu d'API permettant de programmer ces règles. Bien sûr tout cela est hypothétique mais il me semble que c'est le même fonctionnement avec CloudStack (orchestration OpenSource Apache libérée par Citrix). Cordialement, Adrien Le 5 janvier 2014 16:06, Manuel OZAN manuelo...@gmail.com a écrit : Bonjour à tous, Je me tourne vers vous afin de m'éclairer sur quelques points techniques inhérents aux infrastructures cloud de type IaaS. En fait, je souhaiterais surtout savoir comment font les grands avec la problématique du routage des ip failover. L'objectif étant bien entendu de disposer de plusieurs VM (disposant elle-même d'une ou plusieurs ip pub) qui sont exécutées sur un serveur physique. Et surtout de découper un bloc en /32 et donc de limiter le gaspillage d'ipv4 public. Je crois comprendre qu'il est nécessaire de déclarer l'adresse mac virtuelle de la VM (à priori afin que les switch/routeurs routent les paquets vers le serveur physique ?). Mais comment cela fonctionne ? Équipements compatibles / Techno ? Près-requis ? Ps : je précise que le sujet étudié est un hyperviseur ESXi ne disposant pas de fonctionnalités réseaux évolués - pas de vDS et donc pas de vxlan... Merci --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] VM, ip failover et routage
Bonsoir, En ce qui concerne AWS, tu as pour chaque instance (VM) la possibilité d'y associer une EIP (Elastic IP). Cette EIP publique est liée à ton instance jusqu'à temps que tu l'as libère. Techniquement c'est du NAT 1:1 entre ton EIP et l'IP privé de ta VM. Cette gestion du NAT 1:1 est programmable. Il y'a fort à parier qu'il s'agit ni plus ni moins que de machine virtuelle Linux au dessus des quelles ont a déployé un jeu d'API permettant de programmer ces règles. Bien sûr tout cela est hypothétique mais il me semble que c'est le même fonctionnement avec CloudStack (orchestration OpenSource Apache libérée par Citrix). Cordialement, Adrien Le 5 janvier 2014 16:06, Manuel OZAN manuelo...@gmail.com a écrit : Bonjour à tous, Je me tourne vers vous afin de m'éclairer sur quelques points techniques inhérents aux infrastructures cloud de type IaaS. En fait, je souhaiterais surtout savoir comment font les grands avec la problématique du routage des ip failover. L'objectif étant bien entendu de disposer de plusieurs VM (disposant elle-même d'une ou plusieurs ip pub) qui sont exécutées sur un serveur physique. Et surtout de découper un bloc en /32 et donc de limiter le gaspillage d'ipv4 public. Je crois comprendre qu'il est nécessaire de déclarer l'adresse mac virtuelle de la VM (à priori afin que les switch/routeurs routent les paquets vers le serveur physique ?). Mais comment cela fonctionne ? Équipements compatibles / Techno ? Près-requis ? Ps : je précise que le sujet étudié est un hyperviseur ESXi ne disposant pas de fonctionnalités réseaux évolués - pas de vDS et donc pas de vxlan... Merci --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Donner une adresse se terminant par .0 est-il sadique ?
Les livebox orange ne supporte pas les IP terminant par .0 Gcu squad (gcu.info) se termine par .0 donc pas accessible derrière une LB. Adrien Le 3 juil. 2013 17:00, Julien Rabier jrab...@ilico.org a écrit : Le 03 juil. - 16:30, Stephane Bortzmeyer a écrit : Cela se traduit par quelques pertes de connectivité : https://labs.ripe.net/Members/stephane_bortzmeyer/all-ip-addresses-are-equal-dot-zero-addresses-are-less-equal Full disclosure : L'IP du président d'un grand FAI français se termine par .0. Indice : c'est pas moi :) Julien --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Donner une adresse se terminant par .0 est-il sadique ?
Effectivement j'en ai fais une généralité. Certains modèles sont concernés mais vraisemblablement pas tous :) C'est ballot tout de même. Adrien Le 3 juillet 2013 17:27, Fleuriot Damien m...@my.gd a écrit : Tu dois t'enduire d'erreur la... root@nas:~ # traceroute -a 194.213.125.0 traceroute to 194.213.125.0 (194.213.125.0), 64 hops max, 52 byte packets 1 [AS28513] 192.168.0.254 (192.168.0.254) 3.424 ms 3.539 ms 2.763 ms 2 [AS0] 80.10.124.6 (80.10.124.6) 4.038 ms 6.952 ms 3.974 ms 3 [AS65534] 10.123.117.74 (10.123.117.74) 6.677 ms 8.658 ms 4.744 ms 4 [AS0] ae43-0.nimsr302.Paris.francetelecom.net (193.252.159.153) 25.152 ms 5.183 ms 4.752 ms 5 [AS0] 81.253.184.98 (81.253.184.98) 8.447 ms 7.697 ms 12.062 ms 6 [AS5511] 193.251.132.162 (193.251.132.162) 9.175 ms 10.497 ms 7.993 ms 7 [AS5511] neotelecoms.GW.opentransit.net (81.52.179.194) 5.847 ms 8.655 ms 4.869 ms 8 [AS8218] 83.167.56.220 (83.167.56.220) 5.964 ms 5.034 ms 5.696 ms 9 [AS8218] xe1-2-0.ter2.eqx2.par.as8218.eu (83.167.55.79) 51.140 ms 5.280 ms 5.018 ms 10 [AS8218] 46.255.177.49 (46.255.177.49) 7.454 ms 5.273 ms 6.348 ms 11 [AS51335] 185.4.45.3 (185.4.45.3) 9.051 ms 8.771 ms 10.880 ms 12 [AS51335] zoneX.GCU-Squad.org (194.213.125.0) 6.159 ms 7.830 ms 6.960 ms On Jul 3, 2013, at 5:06 PM, Adrien Pestel pestoui...@gmail.com wrote: Les livebox orange ne supporte pas les IP terminant par .0 Gcu squad (gcu.info) se termine par .0 donc pas accessible derrière une LB. Adrien Le 3 juil. 2013 17:00, Julien Rabier jrab...@ilico.org a écrit : Le 03 juil. - 16:30, Stephane Bortzmeyer a écrit : Cela se traduit par quelques pertes de connectivité : https://labs.ripe.net/Members/stephane_bortzmeyer/all-ip-addresses-are-equal-dot-zero-addresses-are-less-equal Full disclosure : L'IP du président d'un grand FAI français se termine par .0. Indice : c'est pas moi :) Julien --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ACL cisco
Salut, 1) Je ne vois pas la pièce jointe 2) Cela ne marche pas car (sauf indication contraire) tu utilises l'ASA derrière la Livebox residentiel qui (à ma connaissance) ne fonctionne pas en mode bridge. Par conséquence tu réalises (ou pas) du double NAT (berk). 2 bis) Si tu utilises non pas une Livebox résidentiel mais une Livebox pro (un boitier OneAccess rebranded), tu dois demander à Orange de passer le modem/routeur en mode routage bloc IP public vers ton firewall. Je ne pourrais trop te conseiller : 1) D'acheter un modem ADSL (D-Link ou autre truc moisi mais qui marche) 2) Le passer en mode RFC 1483 et mettre le VPI/VCI à 8/35 3) T'assurer d'avoir une IP fixe Sinon tu peux toujours faire appel à un pro. Adrien Le 2 juillet 2013 16:50, alexisp...@free.fr a écrit : Bonjour à tous, je suis complètement nouveau sur cette liste de diffusion ainsi que dans l'administration d'un Cisco ASA. J'aurais donc une question plutôt basique mais je m'arrache les cheveux dessus : une archi réseau relativement simple fonctionne derrière une Livebox : -un pc en 192.168.0.20 -un TPE en 192.168.0.21 deux règles NAT tout aussi simples : les ports 1256 et 5214 de l'ip publique de la livebox sont redirigés vers le TPE, le 3004 et le 2999 vers le PC. À priori la livebox ne filtre rien en sortie ! Dans cette configuration tout fonctionne. L'archi à du être transposée derrière un cisco ASA 5510 (extrait de conf en pièce jointe pour ne pas polluer) et là ça ne fonctionne plus, j'ai un doute sur les règles de translation.. Merci d'avance ! Alexis --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Auto hébergement
Au risque de lancer une remarque absurde Les google et opendns ne sont-ils pas des resolveurs ouverts ? Si oui qu'est-ce qui les différencie techniquement des autres ? Merci pour vos lumières. Adrien Le 1 juil. 2013 09:28, Solarus sola...@ultrawaves.fr a écrit : On Mon, 01 Jul 2013 00:24:40 +0200, alarig ala...@swordarmor.fr wrote: Le 30/06/2013 12:00, David CHANIAL a écrit : Si ce sont des choses qui ont étés clairement annoncés au préalable (type CGV) je vois pas le problème ? Ouais enfin j'ai aussi vu des serveurs coupés parce qu'ils servaient de DNS et que des IPs roumaines venaient se connecter dessus. Mais quoi de plus normal pour un serveur de nom ? Ben non ce n'est pas normal pour un serveur de nom,c'est un problème de sécurité. Avoir des IP roumaines qui viennent se connecter sur un AS d'un FAI français c'est une faille de sécurité. Jamais de DNS ouvert, pour le bien de l'Internet fermez vos résolveurs. Ça ne me gène pas plus que de voir un accès shutté pour cause de spam sur le port 25 à cause d'un botnet. La neutralité oui, mais laisser la porte ouverte au failles et aux botnet, non. Cordialement. -- Solarus www.ultrawaves.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
De ce que j'ai entendu PaloAlto meilleur analyse L7 mais très cher pour les volumes importants. Pour ma part je suis fan de stonesoft :) Adrien Le 26 juin 2013 14:22, Sylvain Busson bus...@nic.fr a écrit : Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) PaloAlto le fait super bien (le meilleure à mon avis en l7/IDS/IPS/Antivirus). Mais faut sortir les Sesterces... Et se blinder coté CNIL car les rapport sont touffu. Mais la gestion des droits et prévu pour. Le 26/06/2013 14:16, Youssef Ghorbal a écrit : Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Bon a savoir. Fortinet a effectivement très bonne réputation. Merci pour ces infos c'est toujours intéressant Adrien Le 26 juin 2013 15:15, Romain GUICHARD guichard.romai...@gmail.com a écrit : Sur une batterie de tests de plusieurs éditeurs il y a quelques jours, Fortinet s'en est le mieux sorti notamment sur la détection AV (quasi 100%) et IDS/IPS. PaloAlto et Stonesoft suivaient derrière. En L3/L4, j'ai pas retenu les perfs mais tout le monde s'en sortait bien à gamme égale. Les ingés CheckPoint avaient apparemment utilisé une nouvelle version du firmware et le firewall est devenu une vraie passoire... Le 26 juin 2013 14:58, Adrien Pestel pestoui...@gmail.com a écrit : De ce que j'ai entendu PaloAlto meilleur analyse L7 mais très cher pour les volumes importants. Pour ma part je suis fan de stonesoft :) Adrien Le 26 juin 2013 14:22, Sylvain Busson bus...@nic.fr a écrit : Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) PaloAlto le fait super bien (le meilleure à mon avis en l7/IDS/IPS/Antivirus). Mais faut sortir les Sesterces... Et se blinder coté CNIL car les rapport sont touffu. Mais la gestion des droits et prévu pour. Le 26/06/2013 14:16, Youssef Ghorbal a écrit : Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Terminal de paiement électronique et Completel
La Data (fax, Modem, TPE mais également télé alarme) encapsulée dans de la ToIP est très sensibles lors de la phase de paquetisation a la perte des dits paquets mais également a la compression. De part la nature de son protocole de transport (UDP) cela le rend très fragile (pas de réémission en cas de perte de paquets). Idéal pour de la voix (faible latence), catastrophique pour la data (pas de garantie d'acheminement). Si completel utilise un codec G729 c'est perdu de base. Pour le reste les tests et résultats sont souvent très aléatoires. Le mieux est de garder une T0 chez Orange ou de passer a un TPE IP. Mes 2 cents. Adrien Le 17 juin 2013 22:23, jehan procaccia INT jehan.procac...@int-evry.fr a écrit : bonjour, depuis qu'on est passé a completel pour l'acheminement de nos appels telephonique (autocom Matra 6500 - T2 sur MediaGateway 3200 en Fibres completel), tous nos terminaux de paiement electroniques (TPE) derrière l'autocom (donc en SDA) échouent à l'envoie des transactions bancaires. Suis-je un cas isolé, ou bien existe t-il une réelle incompatibilité, est-ce que qq'un a aussi subit ce genre de problème, a trouvé une solution !? Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Détente
Hello, Je débarque surement... mais j'ai trouvé ça fun alors je partage :) telnet towel.blinkenlights.nl Bon week-end. Adrien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] SDN et la neutralité du réseau
Je reprend pour être plus clair (il faut être vigilant quand on poste sur FrNog les experts ont vite fait de nous rabaisser :)) Problématique : - Dans un environnement virtualisé (machine virtuelle) les caractéristiques réseaux (QoS, ACL, VLAN...) doivent pouvoir dynamiquement se déplacer dans le Datacanter (au grès de l'hyperviseur) Concept : - Rendre les équipements réseaux (virtual switch, switch physique, routeurs) plus bêtes (commutation, application de règles en remontant les flows) piloté par un composant applicatif plus intelligent / centralisé Implementation : - Nicira - Chaîne Openflow / Openvswitch / NOX | Beacon - ... Si tu prends les éléments de manière individuelle ou atomique cela ne constitue pas du SDN, c'est l'ensemble de la chaîne qui le constitue. Je te rejoins sur le fait que c'est un terme Marketing (Cloud ?) mais derrière cela adresse des contraintes de sécurité, de QoS et surtout, surtout d'exploitation. On peut toujours tout faire maison mais : 1) ce sera peut être plus coûteux 2) ce sera peut être plus difficile à maintenir et moins industrialisé Cela revient au débat, moi j'utilise un routeur Quagga parce que je me sens capable d'aller modifier le code du daemon BGP alors que je ne fais pas confiance au support et dans les produits des équipementiers (Juniper, Cisco...). Une question me vient à l'esprit, comment adresses tu ces problématiques (récentes ?) depuis plus de 10 ans ? Sachant que pour mener à bien ce genre de mission il faut aller taper dans le code du Virtual switch de l'hyperviseur (les switchs virtuels distribués n'ont pas 10 ans d'existences) ... Le sujet n'est pas simple quand tu es à l'interieur d'un DC maintenant si tu l'étend à plusieurs... -- Adrien Le 28 mars 2013 00:18, Gunther Ozerito gozer...@gmail.com a écrit : Et encore faux. Encapsuler du niveau 2 dans du niveau 3 n'est pas du SDN. Openflow et openstack non plus. Nvgre et vxlan non plus... Nexus 1000v et Openvswitch, toujours pas... Cloudstack quantum ? Non mais a la limite on se rapproche un peu si on scripte un peu autour de cet outil. Une machine sous Linux qui collecte les resultats de sondes ipsla, de stats netflow, les lsa ospf, les annonces bgp, qui mouline tout ca et qui se connecte en ssh sur des routeurs pour changer des ACL pour du PBR, ou des metriques de routage, la oui. Si en plus cette meme machine surveille des applications et change les politiques de routage en fonction du fonctionnement des ces applis, polée en SNMP par exemple, alors la on est tres proche du SDN. Encore une fois, c'est un terme marketing pour faire peur, mais c'est des technos connues depuis des années ! Le 25 mars 2013 21:42, Adrien Pestel pestoui...@gmail.com a écrit : Salut, Je ne l'ai pas forcément compris comme ça ou tout du moins ce n'est pas ce que j'en ai retenu. Je crois que la finalité c'est de dire aujourd'hui votre sécurité et plus largement le control plane est traité localement (dans votre switch physique, dans votre switch virtuel, vos routeurs...). Demain on vous propose de remonter le control plane dans des appliances et de gérer de manière transverse a à votre/vos DC la QoS et la sécurité. Ce sont principalement les problématiques liés à la virtualisation/cloud qui ont amené à ce genre de réflexion, car le réseau LAN gérer de manière traditionnelle trouve ses limites. Nicira (racheté par VMWare) propose une implémentation de ce type de modèle (des tunnels GRE de ce que j'en ai compris entres les hyperviseurs). Adrien Le 25 mars 2013 19:19, Olivier Cochard-Labbé oliv...@cochard.me a écrit : Bonjour, Il y a un truc qui semble être de plus en plus à la mode: le software-defined networking (SDN). J'ai donc regardé de plus prêt la solution OpenFlow et le concept du «flow» me fait tiquer. Si j'ai bien compris, dans un SDN on ne route plus un paquet en fonction de son IP de destination mais en fonction de plusieurs paramètres tel que: IP source, IP dest, TCP source, TCP dest, etc… Or la définition de la neutralité du réseau «exclut ... toute discrimination à l'égard de la source, de la destination ou du contenu de l'information transmise sur le réseau» (Wikipedia). J'ai donc comme l'impression qu'un SDN ne peut, par nature, être un réseau neutre. Est-ce que je me trompe ? Merci --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] SDN et la neutralité du réseau
OpenFlow is the first standard interface designed specifically for SDN Le 28 mars 2013 22:53, Kavé Salamatian kave.salamat...@univ-savoie.fr a écrit : Et vous un standard et une proposition de norme … :-) Le 28 mars 2013 à 22:46, Adrien Pestel pestoui...@gmail.com a écrit : Et toi tu confonds un concept et un standard... Bonne lecture : https://www.opennetworking.org/images/stories/downloads/white-papers/wp-sdn-newnorm.pdf Adrien Le 28 mars 2013 11:58, Gunther Ozerito gozer...@gmail.com a écrit : Toujours pas ... Tu confonds SDN, Openflow, et les networks overlay ... c'est pas de bol quand même, suffit juste de lire les docs pour pas les confondre. *SDN* : possibilité donné dans un réseau de modifier les comportements de routing et de forwarding sur des critères normalement pas pris en compte par les protocoles standard. Ex : par defaut, on route sur la destination, BGP me donne des informations de reach de destination, qu'il compile pour alimenter la RIB, laquelle elle même impacte la FIB pour savoir par quelle interface vont sortir les paquets. Je veux faire du routage différencié en fonction de la source (toutes les IPs venant de mon DC01 : next-hop = toto, pour tout le reste, conforme à la RIB, next-hop = tata), avec au hasard du Policy Based Routing. Si en plus je pilote les ACLs de mon PBR avec un script qui par exemple va modifier ces entrées en fonction de la latence mesurée sur les liens = SDN. *application* : backbone, datacenter, ... *Openflow *: protocole en cours de standardisation pour échanger des infos entre un control plane externe, et un dataplane d'équipement réseau standard. Evite d'avoir à scripter pour passer des commandes en SSH sur les routeurs, et permet aussi de faire des trucs que les commandes CLI ne permettent pas (au hasard, injecter des infos directement dans la RIB ou la FIB, sans avoir de protocole dynamique). *application* : backbone, datacenter, ... SDN - openflow interop lab http://incntre.iu.edu/SDNlab : lancé en 2011 pour voir comment accoster les deux technos entre elles. Openstack Quantum, Nicira, etc : type de collecteurs partiellement ou totalement compatible Openflow, mais aussi avec des fonctionnalités propriétaires ou d'autres protocoles (netconf). VXLAN, NVGRE et nicira stt : techno de network overlay, consistant à encapsuler les trames ethernets dans des trames de niveau 3 (GRE ou UDP). Aucun rapport avec SDN, ce sont des technos qu'on peut éventuellement mettre en concurrence avec VPLS, L2TPv3, OTV, etc... Donc non le SDN c'est pas que pour de la virtualisation, et ce depuis longtemps, et c'est une notion qui existe depuis très longtemps dans le backbone (Performance Routing chez Cisco, Path Computation Element http://en.wikipedia.org/wiki/Path_computation_elementdepuis des années à l'IETF). Juste pour bien comprendre, sans SDN, vous me direz comment vous injectez du trafic purement voix dans un MPLS TE entre deux sites distants, en assurant que le trafic non classifié voix au niveau DSCP ne passe pas dans le tunnel... Et non, ce n'est pas du tout compatible avec la neutralité du net, mais on s'en fout car on est dans la vraie vie, pas à Standford, et y a des contraintes réelles qui font qu'on doit bosser. Aller encore deux bullshits marketing pour bien se mélanger les pinceaux : trill et lisp. SDN ou pas ? Le 28 mars 2013 09:55, Adrien Pestel pestoui...@gmail.com a écrit : Je reprend pour être plus clair (il faut être vigilant quand on poste sur FrNog les experts ont vite fait de nous rabaisser :)) Problématique : - Dans un environnement virtualisé (machine virtuelle) les caractéristiques réseaux (QoS, ACL, VLAN...) doivent pouvoir dynamiquement se déplacer dans le Datacanter (au grès de l'hyperviseur) Concept : - Rendre les équipements réseaux (virtual switch, switch physique, routeurs) plus bêtes (commutation, application de règles en remontant les flows) piloté par un composant applicatif plus intelligent / centralisé Implementation : - Nicira - Chaîne Openflow / Openvswitch / NOX | Beacon - ... Si tu prends les éléments de manière individuelle ou atomique cela ne constitue pas du SDN, c'est l'ensemble de la chaîne qui le constitue. Je te rejoins sur le fait que c'est un terme Marketing (Cloud ?) mais derrière cela adresse des contraintes de sécurité, de QoS et surtout, surtout d'exploitation. On peut toujours tout faire maison mais : 1) ce sera peut être plus coûteux 2) ce sera peut être plus difficile à maintenir et moins industrialisé Cela revient au débat, moi j'utilise un routeur Quagga parce que je me sens capable d'aller modifier le code du daemon BGP alors que je ne fais pas confiance au support et dans les produits des équipementiers (Juniper, Cisco...). Une question me vient à l'esprit
Re: [FRnOG] [MISC] SDN et la neutralité du réseau
Salut, Je ne l'ai pas forcément compris comme ça ou tout du moins ce n'est pas ce que j'en ai retenu. Je crois que la finalité c'est de dire aujourd'hui votre sécurité et plus largement le control plane est traité localement (dans votre switch physique, dans votre switch virtuel, vos routeurs...). Demain on vous propose de remonter le control plane dans des appliances et de gérer de manière transverse a à votre/vos DC la QoS et la sécurité. Ce sont principalement les problématiques liés à la virtualisation/cloud qui ont amené à ce genre de réflexion, car le réseau LAN gérer de manière traditionnelle trouve ses limites. Nicira (racheté par VMWare) propose une implémentation de ce type de modèle (des tunnels GRE de ce que j'en ai compris entres les hyperviseurs). Adrien Le 25 mars 2013 19:19, Olivier Cochard-Labbé oliv...@cochard.me a écrit : Bonjour, Il y a un truc qui semble être de plus en plus à la mode: le software-defined networking (SDN). J'ai donc regardé de plus prêt la solution OpenFlow et le concept du «flow» me fait tiquer. Si j'ai bien compris, dans un SDN on ne route plus un paquet en fonction de son IP de destination mais en fonction de plusieurs paramètres tel que: IP source, IP dest, TCP source, TCP dest, etc… Or la définition de la neutralité du réseau «exclut ... toute discrimination à l'égard de la source, de la destination ou du contenu de l'information transmise sur le réseau» (Wikipedia). J'ai donc comme l'impression qu'un SDN ne peut, par nature, être un réseau neutre. Est-ce que je me trompe ? Merci --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] SDN et la neutralité du réseau
J'oubliais en Opensource il y'a bien sûr openvswitch avec des implémentations un peu partout. Adrien Le 25 mars 2013 21:41, Adrien Pestel pestoui...@gmail.com a écrit : Salut, Je ne l'ai pas forcément compris comme ça ou tout du moins ce n'est pas ce que j'en ai retenu. Je crois que la finalité c'est de dire aujourd'hui votre sécurité et plus largement le control plane est traité localement (dans votre switch physique, dans votre switch virtuel, vos routeurs...). Demain on vous propose de remonter le control plane dans des appliances et de gérer de manière transverse a à votre/vos DC la QoS et la sécurité. Ce sont principalement les problématiques liés à la virtualisation/cloud qui ont amené à ce genre de réflexion, car le réseau LAN gérer de manière traditionnelle trouve ses limites. Nicira (racheté par VMWare) propose une implémentation de ce type de modèle (des tunnels GRE de ce que j'en ai compris entres les hyperviseurs). Adrien Le 25 mars 2013 19:19, Olivier Cochard-Labbé oliv...@cochard.me a écrit : Bonjour, Il y a un truc qui semble être de plus en plus à la mode: le software-defined networking (SDN). J'ai donc regardé de plus prêt la solution OpenFlow et le concept du «flow» me fait tiquer. Si j'ai bien compris, dans un SDN on ne route plus un paquet en fonction de son IP de destination mais en fonction de plusieurs paramètres tel que: IP source, IP dest, TCP source, TCP dest, etc… Or la définition de la neutralité du réseau «exclut ... toute discrimination à l'égard de la source, de la destination ou du contenu de l'information transmise sur le réseau» (Wikipedia). J'ai donc comme l'impression qu'un SDN ne peut, par nature, être un réseau neutre. Est-ce que je me trompe ? Merci --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Patriot Act - Datacenter
Hello, Merci pour vos réponses. Une réponse (qui vaut ce quelle vaut) de l'hebergeur : Seul le prestataire fournissant l'hébergement des machines (les disques dur) est potentiellement concerné par le Patriot Act. Dans le cas d'Equinix, si vous êtes client (hébergeur), que votre société à son siège en France et que vos clients sont hébergés chez vous (et donc indirectement chez Equinix), vous n'êtes pas soumis au Patriot Act. Dans le cas où vous êtes client d'AWS, Azure, Gogrid, Heroku... vous êtes soumis au Patriot Act. Tout cela semble logique. A bientôt. Adrien Le 24 novembre 2012 17:15, Sylvain Vallerot sylv...@gixe.net a écrit : On 24/11/2012 12:38, Sylvain Donnet wrote: Je ne suis pas juge, mais je pense qu'il y a 2 débats à ce problème : - techniquement : bien sûr que le FBI a la possibilité technique de s'introduire à distance, de copier une VM, ou de faire des actes non matériels, - juridiquement : mais je ne suis pas sûr que pour autant cela constitue une preuve recevable devant un juge. Il y a des lois, un code de procédure civile et un code de procédure pénale ; ils sont là pour définir comment et dans quel contexte un OPJ peut et doit recueillir des éléments pour une enquête. A ce niveau je pense qu'il n'y a pas vraiment de débat, en fait. La question de «comment on fait» en termes techniques dépend de plein de choses, de la nature de l'information recherchée à l'architecture technique sur laquelle on peut la trouver. Ca ne semble pas très important sur le fond, le principe étant clair : le techos doit respecter la confidentialité. Enfin il faut garder à l'esprit que la réquisition n'est probablement pas une démarche figée (par exemple entre un hébergement mutualisé et un serveur dédié), car la prestation technique n'est pas la même. Or il faut distinguer dans chaque cas qui est éditeur, hébergeur, fournisseur d'accès, ou prestataire technique. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Patriot Act - Datacenter
Bonjour, Une discussion entre collègue concernant l'hébergement de nos infras dans un Datacenter américain sur le sol français est-il soumis au Patriot Act ? Ex : je vend des machines virtuelles a un client sur mon infra mais cette dernière repose sur le DC Equinix à Paris ? Le FBI peut-il faire une petite visite de mes données ? Merci par avance Adrien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Patriot Act - Datacenter
Merci pour vos réponses. Avez-vous des sources factuelles (texte de lois par exemple) ? Je ne souhaiterais pas que cela parte en Troll... :) Merci Adrien Le 21 novembre 2012 16:39, Kavé Salamatian kave.salamat...@univ-savoie.fra écrit : Le 21 nov. 2012 à 16:23, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Nov 21, 2012, at 16:09, Sylvain Donnet wrote: Je pense qu'il y a un peu des deux : - le Patriot Act couvre bien tous les datacenters des sociétés américaines, partout dans le Monde, - mais le FBI, sur le sol français, ne peut pas intervenir, ou du moins, doit passer par un juge français et la police française, pour rentrer dans la salle. Equinix France SAS (ex IX Europe) est une societe francaise, de droit francais. Le fait qu'elle est depuis le rachat filiale a 100% d'Equinix US c'est une autre histoire. Non. Une filiale Française d'une société américaine est soumise au patriot act. Apres, sur demande *justifiee* concernant certains sujets, je suppose que le FBI peut compter assez sereinement sur la collaboration de la justice et police francaise. Pareil dans les cas des pression forte sur la societe mere (US). --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interconnexion avec Completude Max de Completel
Salut, Vire l auto neg et force en 100 meg full. Cela a augmenté significativement les debits chez un de nos clients. A+ Adrien Le 21 août 2012 12:27, Artur Pydo fr...@pydo.org a écrit : Bonjour à tous, J'ai une questions sur la façon de s'interconnecter avec un routeur Completel dans le cadre de l'offre Completude Max. Ce routeur connecté en fibre dispose de plusieurs prises ethernet côté lan, mais une seule est utilisable d'après Completel et les autres semblent désactivées. Or sur cette prise est configuré un subnet /29 vaec des adresses publiques et un routeur du client est déjà dessus en direct avec une adresse IP du subnet. Pour rajouter un deuxième équipement client sur ce subnet sans impacter Completel il me semblait le plus simple de rajouter un simple switch pour y connecter le routeur Completel et les deux routeurs clients. Or dans cette configuration quelque soit le switch non-manageable utilisé (fast ethernet et giga ethernet) les débits s’effondrent. D'après le technicien qui a fait l'installation cela serait dû au problèmes d'auto-négotiation au niveau des ports. A votre avis, le fait de rajouter un switch manageable et désactiver l'auto-négotiation sur les ports serait une solution à ce problème ? Completel aurait-il l'habitude (sur demande ?) d'activer plus d'un port sur son routeur pour permettre de connecter plusieurs routeurs client ? Je ne peux malheureusement pas interroger directement Complétel pour ce problème n'étant pas le client direct chez eux, je vous remercie donc par avance pour votre retour d'expérience. -- Cordialement, Artur. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Tout le monde a bien jeté ses routeurs Huawei à la poubelle ?
Show must go on : http://www.computerworld.com/s/article/9229785/Hackers_reveal_critical_vulnerabilities_in_Huawei_routers_at_Defcon Le 31 juillet 2012 16:07, ivan.meseg...@free.fr a écrit : Pour ceux et celles d'entre vous qui auraient raté la réponse coté Huawei et ZTE http://www.pcinpact.com/news/72806-interdiction-routeurs-chinois-zte-et-huawei-repondent-au-rapport-bocke.htm Ivan Diego --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] CAT 6A
Bonjour, Certains d'entre vous utilisent-ils du CAT 6A dans des environnements 10GBASE-T ? Si oui avez-vous des retours ? Fiabilité, performances, facilité à trouver des équipements compatibles (switchs/routeurs, nic, bandeau de brassage...) Merci par avance pour vos retours. Cordialement, Adrien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Collecteur NetFlow ?
Bonjour, 2012/7/6 Stephane Bortzmeyer bortzme...@nic.fr On Thu, Jul 05, 2012 at 02:00:37PM +0200, Adrien Pestel pestoui...@gmail.com wrote a message of 129 lines which said: J'ai développé un collecteur Netflow v9 en C. Je vais troller un peu mais on en est à la version 10 depuis quatre ans (renommée IPFIX). http://www.bortzmeyer.org/5101.html J'ai survolé la RFC et je ne vois pas de différence notable entre V9 et IPFIX (contrairement au passage entre V5 et V9 qui change complètement l'approche). Enfin comme le dit Raphaël, la V9 est une réalité terrain. L'effort pour rendre le code interopérable avec IPFIX semble faible à première vue. --- Liste de diffusion du FRnOG http://www.frnog.org/ Adrien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
Hello, J'ai développé un collecteur Netflow v9 en C. C'est pour le moment en prototype mais il est fonctionnel. Ses caractéristiques : - Event driven - fonctionne sur archi little endian (Linux et MacOSX, devrait marcher sans grosse difficulté sur autre BSD) - stocke les données sur MongoDB - opérationnel sur Cisco ASA Il manque : - un frontend (Ruby On Rails ?) Sexy pour requêter les données dans le mongo et les quelques requêtes de map/reduce - rendre le daemon plus paramétrable avec moins d éléments hard codé. - finaliser la partie v6 - faire des tests sur routeur Si vous voulez vous joindre a moi (ou sponsoriser un truc) n'hésitez pas a me contacter. Adrien Le 5 juil. 2012 12:24, mikael.lelouch mikael.lelo...@orange.fr a écrit : Bonjour, Pour ma part j'ai implanté la solution Netflow Analyzer de la marque ManageEngine dans un datacenter. Pour moi cela reste un des meilleurs collecteurs Netflow! en revanche c'est une solution un peu coûteuse. Renseigne toi sur ce produit et n'hésite pas si tu souhaites avoir plus d'informations Cordialement Mikael LELOUCH Message du 05/07/12 10:38 De : Cyril Lavier A : frnog@frnog.org Copie à : Objet : Re: [FRnOG] [TECH] Collecteur NetFlow ? On 07/05/2012 10:29 AM, Benjamin Sonntag wrote: Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Je me suis donc dit que FrNog était le meilleur endroit pour vous demander un retour d'expérience dans ce domaine, quels logiciels utilisez-vous pour la collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) ? J'ai utilisé, à une époque, du Ntop ( http://www.ntop.org/ ) et du pmacct ( http://www.pmacct.net/ ) et du IPT-Netflow (module iptables pour linux http://sourceforge.net/projects/ipt-netflow/ ) mais c'était sur une infra 100% libre et pour un cas bizarre ... j'imagine que vous avez de meilleurs outils. merci de votre aide :) Bonne journée à tous, Benjamin Sonntag Octopuce --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Benjamin. Je suis aussi à la recherche d'un bon collecteur netflow. J'ai commencé à triturer ntop, mais il partait en segfault toutes les 5 minutes. Actuellement, j'utilise as-stats (https://neon1.net/as-stats/) qui permet de faire quelques statistiques sympa à base de flux netflow. Dans quelques temps, je testerai scrutinizer, qui a l'air prometteur. Bonne journée. -- Cyril Davromaniak Lavier KeyID 59E9A881 http://www.davromaniak.eu --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] SDSL SFR
Bonjour, On observe une coupure massive des liens SDSL SFR chez nos clients. Vous avez le même phénomène ? On a pu constater également que SFR route du trafic privé sur leurs accès Internet 10.64.52.X par exemple... J'ai de sérieux doute sur la qualité de SFR... A+ Adrien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Configuration Cisco Dual Adsl ?
Hello, Cela va peut être répondre partiellement à ta demande. Tu peux coupler cela à du PBR si besoin. -- Adrien Le 2 novembre 2011 21:00, William Gacquer w.gacq...@france-citevision.fra écrit : du load balancing en egress. C'est faisable mais l'ADSL n'est pas forcément le meilleur truc pour cela. Par exemple, un de mes clients voyait toutes ses lignes ADSL tomber le samedi matin. Il vaut mieux mixer les technos. 3G + ADSL2+ par exemple. C'est quel cisco? William Gacquer France Citévision Le 2 nov. 2011 à 15:49, Olivier CALVANO a écrit : Bonjour, Quelqu'un a deja fait du multilink sur deux Adsl sur du cisco ? Basé sur le tronc de collecte classique, etablir deux sessions ppp et faire du load balancing. Je cherche une config exemple hihi merci d'avance Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Configuration Cisco Dual Adsl ?
Avec le lien : http://www.morea.fr/blog/cisco-dual-wan-failover/ Le 2 novembre 2011 21:23, Adrien Pestel pestoui...@gmail.com a écrit : Hello, Cela va peut être répondre partiellement à ta demande. Tu peux coupler cela à du PBR si besoin. -- Adrien Le 2 novembre 2011 21:00, William Gacquer w.gacq...@france-citevision.fra écrit : du load balancing en egress. C'est faisable mais l'ADSL n'est pas forcément le meilleur truc pour cela. Par exemple, un de mes clients voyait toutes ses lignes ADSL tomber le samedi matin. Il vaut mieux mixer les technos. 3G + ADSL2+ par exemple. C'est quel cisco? William Gacquer France Citévision Le 2 nov. 2011 à 15:49, Olivier CALVANO a écrit : Bonjour, Quelqu'un a deja fait du multilink sur deux Adsl sur du cisco ? Basé sur le tronc de collecte classique, etablir deux sessions ppp et faire du load balancing. Je cherche une config exemple hihi merci d'avance Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/