[FRnOG] Re: [TECH] Résolution inverse puis directe d'une IPv4 routable pro

2022-12-13 Par sujet Stephane Bortzmeyer 
On Tue, Dec 13, 2022 at 05:19:12PM +0100,
 Albert ARIBAUD via frnog  wrote 
 a message of 29 lines which said:

> Est-il normal/usuel/courant/autre que le reverse d'une IP routable à
> usage pro ne retourne rien (opé 1)

Rien au sens de NODATA ou de NXDOMAIN ou (pire) d'un timeout ? Un
NODATA est dommage mais ça arrive, oui.

> ou qu'il soit défini par l'opé mais que la résolution directe du
> FQDN renvoyé ne retourne rien (opé 2) ?

Même question sur la définition de "rien". Sinon, là, c'est en effet
impardonnable. Autant ne pas avoir de PTR est excusable, autant avoir
un PTR qui ne permet pas l'aller-retour (adresse -> ensemble de
noms -> ensemble d'adresses comportant l'adresse originale) est grave.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Serveur DNS employés ?

2022-12-13 Par sujet David Ponzone 


> Le 14 déc. 2022 à 08:53, Stephane Bortzmeyer  a écrit :
> 
> On Thu, Dec 08, 2022 at 10:18:38AM +0100,
> Christophe Desnoyer  wrote 
> a message of 41 lines which said:
> 
>> La réplication ne sera jamais en temps réel (en DNS, le temps de
>> propagation d'une modif se compte en minutes à cause des caches
>> qu'il y a partout).
> 
> Deux précisions :
> 
> - le DNS n'est pas BGP, il n'y a pas de propagation
> 
> 
> - la durée de séjour dans les mémoires du résolveur est choisie par
> vous (quand vous gérez des serveurs faisant autorité). Ni minutes, ni
> heures, ni jours, ça dépend de vos choix.
> 

Sauf avec les résolveurs qui trichent mais c’est probablement un faible 
pourcentage des utilisateurs.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Serveur DNS employés ?

2022-12-13 Par sujet Stephane Bortzmeyer 
On Thu, Dec 08, 2022 at 10:18:38AM +0100,
 Christophe Desnoyer  wrote 
 a message of 41 lines which said:

> La réplication ne sera jamais en temps réel (en DNS, le temps de
> propagation d'une modif se compte en minutes à cause des caches
> qu'il y a partout).

Deux précisions :

- le DNS n'est pas BGP, il n'y a pas de propagation


- la durée de séjour dans les mémoires du résolveur est choisie par
vous (quand vous gérez des serveurs faisant autorité). Ni minutes, ni
heures, ni jours, ça dépend de vos choix.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Résolution inverse puis directe d'une IPv4 routable pro

2022-12-13 Par sujet David Ponzone 
Euh non, je ne pense pas qu’on puisse dire que BLOD et BLOM, cela soit le même 
service.
Ni SDSL et ADSL.

Je pense que ce que tu voulais dire c’est que quand un service est intitulé PRO 
alors qu’il se repose sur l’infra low-cost prévu au départ pour le GP, c’est du 
pipeau. On est d’accord. 

Pour revenir aux reverse DNS, ça serait pas juste un reste historique venant du 
client qui avait les IP avant ?

David Ponzone



> Le 14 déc. 2022 à 07:50, Julien Escario  a écrit :
> 
> Le 13/12/2022 à 23:39, Richard Klein a écrit :
>> >Alors, pardon, mais déjà, l'expérience a montré que 'pro' n'existe pas
>> >d'un point de vue technique chez les opés. C'est un terme qui n'a qu'une
>> >portée commerciale, le service étant le même que grand public, modulo un
>> >service client un chouilla plus efficace chez certains (et encore).
>> Je me permet de te contredire car effectivement le "PRO" est utilisé par le 
>> commercial et largement déformé mais les flux data pour les pros sur des 
>> lignes mobiles ne passent pas toujours aux mêmes endroits pour le mobile .
>> Je commence par l'APN et le QCI.
>> Après le coeur mobile n'est pas ma spécialité mais entre ma ligne GP et une 
>> ligne pro les sondes montrent que "nous n'avons pas les mêmes valeurs !  " 
>> 
> 
> Et tu fais bien : je n'avais pas pensé au mobile. La remarque reste valable 
> pour le fixe cuivre & surtout F.O.
> 
> Julien
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Résolution inverse puis directe d'une IPv4 routable pro

2022-12-13 Par sujet Julien Escario 

Le 13/12/2022 à 23:39, Richard Klein a écrit :

 >Alors, pardon, mais déjà, l'expérience a montré que 'pro' n'existe pas
 >d'un point de vue technique chez les opés. C'est un terme qui n'a qu'une
 >portée commerciale, le service étant le même que grand public, modulo un
 >service client un chouilla plus efficace chez certains (et encore).
Je me permet de te contredire car effectivement le "PRO" est utilisé par 
le commercial et largement déformé mais les flux data pour les pros sur 
des lignes mobiles ne passent pas toujours aux mêmes endroits pour le 
mobile .

Je commence par l'APN et le QCI.
Après le coeur mobile n'est pas ma spécialité mais entre ma ligne GP et 
une ligne pro les sondes montrent que "nous n'avons pas les mêmes 
valeurs !  " 


Et tu fais bien : je n'avais pas pensé au mobile. La remarque reste 
valable pour le fixe cuivre & surtout F.O.


Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Résolution inverse puis directe d'une IPv4 routable pro

2022-12-13 Par sujet Richard Klein 
>Alors, pardon, mais déjà, l'expérience a montré que 'pro' n'existe pas
>d'un point de vue technique chez les opés. C'est un terme qui n'a qu'une
>portée commerciale, le service étant le même que grand public, modulo un
>service client un chouilla plus efficace chez certains (et encore).
Je me permet de te contredire car effectivement le "PRO" est utilisé par le
commercial et largement déformé mais les flux data pour les pros sur des
lignes mobiles ne passent pas toujours aux mêmes endroits pour le mobile .
Je commence par l'APN et le QCI.
Après le coeur mobile n'est pas ma spécialité mais entre ma ligne GP et une
ligne pro les sondes montrent que "nous n'avons pas les mêmes valeurs !  "


Bonne soirée a tous

Richard

Le mar. 13 déc. 2022 à 21:34, Julien Escario  a
écrit :

> Le 13/12/2022 à 17:19, Albert ARIBAUD via frnog a écrit :
> > Bonjour,
> >
> > Question vue du côté client (pas grand public, pro, mais ne bossant pas
> > dans le domaine du réseau) à propos d'IPv4 routables qu'on nous fournit
> > :
>
> Alors, pardon, mais déjà, l'expérience a montré que 'pro' n'existe pas
> d'un point de vue technique chez les opés. C'est un terme qui n'a qu'une
> portée commerciale, le service étant le même que grand public, modulo un
> service client un chouilla plus efficace chez certains (et encore).
>
> > Est-il normal/usuel/courant/autre que le reverse d'une IP routable à
> > usage pro ne retourne rien (opé 1) ou qu'il soit défini par l'opé mais
> > que la résolution directe du FQDN renvoyé ne retourne rien (opé 2) ?
> >
> > Je suis surtout étonné du cas opé 2 : il a le contrôle de la zone
> > inverse de l'IPv4 fournie (il nous l'a démontré), mais, et je ne
> > comprends pas pourquoi, il met par défaut dans cette zone des FQDN vers
> > un domaine dont il ne contrôle pas la zone directe...
> >
> > (NB : je sais bien que pour opé 2 -- et peut-être opé 1 -- une/la
> > solution est de leur faire ajouter un PTR dans leur zone de reverse de
> > leur IP vers un FQDN d'un domaine dont nous contrôlons la zone et nous
> > charger nous-même de mettre un A dans la dite zone ; j'aimerais juste
> > éviter de mettre dans notre zone des entrées destinées seulement à
> > réparer les limitations de mon fournisseur.)
>
> La bonne pratique voudrait que les opés définissent un reverse
> 'génerique' (par ex. basé sur l'IP) vers une zone directe qu'ils
> contrôlent. C'est le cas la plupart du temps.
>
> Et ensuite laissent la possibilité de configurer ce reverse à la demande
> du client. Là aussi, la procédure passe le plus souvent par un ticket au
> support, jamais la procédure n'est en self service via un espace client.
> En tout cas, jamais vu, même en hosting.
>
> De toute façon, ca ne vaut pas le coup, il n'y que les geeks qui veulent
> encore s'emmerder avec le mail pour avoir besoin d'un PTR propre. Espèce
> en voie de disparation avancée.
>
> Pointer le PTR sur une zone qu'ils ne contrôlent pas me paraît pour le
> moins audicieux. Il doit même y avoir quelques trucs sales à faire avec
> les domaines active directory dans ce cas là mais je suis loin d'avoir
> les compétences pour en dire plus.
>
> Julien
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Résolution inverse puis directe d'une IPv4 routable pro

2022-12-13 Par sujet Julien Escario 

Le 13/12/2022 à 17:19, Albert ARIBAUD via frnog a écrit :

Bonjour,

Question vue du côté client (pas grand public, pro, mais ne bossant pas
dans le domaine du réseau) à propos d'IPv4 routables qu'on nous fournit
:


Alors, pardon, mais déjà, l'expérience a montré que 'pro' n'existe pas 
d'un point de vue technique chez les opés. C'est un terme qui n'a qu'une 
portée commerciale, le service étant le même que grand public, modulo un 
service client un chouilla plus efficace chez certains (et encore).



Est-il normal/usuel/courant/autre que le reverse d'une IP routable à
usage pro ne retourne rien (opé 1) ou qu'il soit défini par l'opé mais
que la résolution directe du FQDN renvoyé ne retourne rien (opé 2) ?

Je suis surtout étonné du cas opé 2 : il a le contrôle de la zone
inverse de l'IPv4 fournie (il nous l'a démontré), mais, et je ne
comprends pas pourquoi, il met par défaut dans cette zone des FQDN vers
un domaine dont il ne contrôle pas la zone directe...

(NB : je sais bien que pour opé 2 -- et peut-être opé 1 -- une/la
solution est de leur faire ajouter un PTR dans leur zone de reverse de
leur IP vers un FQDN d'un domaine dont nous contrôlons la zone et nous
charger nous-même de mettre un A dans la dite zone ; j'aimerais juste
éviter de mettre dans notre zone des entrées destinées seulement à
réparer les limitations de mon fournisseur.)


La bonne pratique voudrait que les opés définissent un reverse 
'génerique' (par ex. basé sur l'IP) vers une zone directe qu'ils 
contrôlent. C'est le cas la plupart du temps.


Et ensuite laissent la possibilité de configurer ce reverse à la demande 
du client. Là aussi, la procédure passe le plus souvent par un ticket au 
support, jamais la procédure n'est en self service via un espace client. 
En tout cas, jamais vu, même en hosting.


De toute façon, ca ne vaut pas le coup, il n'y que les geeks qui veulent 
encore s'emmerder avec le mail pour avoir besoin d'un PTR propre. Espèce 
en voie de disparation avancée.


Pointer le PTR sur une zone qu'ils ne contrôlent pas me paraît pour le 
moins audicieux. Il doit même y avoir quelques trucs sales à faire avec 
les domaines active directory dans ce cas là mais je suis loin d'avoir 
les compétences pour en dire plus.


Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Résolution inverse puis directe d'une IPv4 routable pro

2022-12-13 Par sujet Albert ARIBAUD via frnog 
Bonjour,

Question vue du côté client (pas grand public, pro, mais ne bossant pas
dans le domaine du réseau) à propos d'IPv4 routables qu'on nous fournit
:

Est-il normal/usuel/courant/autre que le reverse d'une IP routable à
usage pro ne retourne rien (opé 1) ou qu'il soit défini par l'opé mais
que la résolution directe du FQDN renvoyé ne retourne rien (opé 2) ?

Je suis surtout étonné du cas opé 2 : il a le contrôle de la zone
inverse de l'IPv4 fournie (il nous l'a démontré), mais, et je ne
comprends pas pourquoi, il met par défaut dans cette zone des FQDN vers
un domaine dont il ne contrôle pas la zone directe...

(NB : je sais bien que pour opé 2 -- et peut-être opé 1 -- une/la
solution est de leur faire ajouter un PTR dans leur zone de reverse de
leur IP vers un FQDN d'un domaine dont nous contrôlons la zone et nous
charger nous-même de mettre un A dans la dite zone ; j'aimerais juste
éviter de mettre dans notre zone des entrées destinées seulement à
réparer les limitations de mon fournisseur.)

Cordialement,
Albert.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Vulnérabilité Forti

2022-12-13 Par sujet Paul Rolland (ポール・ロラン) 
Hello,

Il y a un bulletin CISA sur le sujet :
https://us-cert.cisa.gov/ncas/current-activity/2022/12/12/fortinet-releases-security-updates-fortios

Paul

On Mon, 12 Dec 2022 23:41:28 +0100
Guillaume Tournat via frnog  wrote:

> Bonsoir
> 
> La vuln sslvpn sur FortiGate, rendue publique aujourd’hui, est plus
> problématique (unauth RCE) : Fortiguard
> fortiguard.com
> 
> 
> 
> 
> Les correctifs sont déjà publiés depuis quelques semaines. Mais comme
> tout device, il faut patcher régulièrement. 
> 
> gu!llaume
> 
> 
> On 12 Dec 2022, at 20:55, Lirone Chimoni  wrote:
> > 
> > Bonsoir a tous,
> > J'en ai pas mais comme j'ai vu que y' a pas mal de personne qui en ont
> > sur le groupe, je fais passer le mot.
> > https://www.fortiguard.com/psirt/FG-IR-22-255
> > Ça date du 6 décembre mais apparemment ça commence à être exploité.
> > Bonne soirée.
> > Lirone
> > 
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> > 
> > 


-- 
Paul RollandE-Mail : rol(at)witbe.net
CTO - Witbe.net SA  Tel. +33 (0)1 47 67 77 77
18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99
F-92000 NanterreRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un
navigateur "Some people dream of success... while others wake up and work
hard at it" 

"I worry about my child and the Internet all the time, even though she's
too young to have logged on yet. Here's what I worry about. I worry that 10
or 15 years from now, she will come to me and say 'Daddy, where were you
when they took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 


---
Liste de diffusion du FRnOG
http://www.frnog.org/