Re: [FRnOG] [MISC] Le Marais
2013/7/8 Kavé Salamatian : > Ne peut on pas discuter sereinement sur cette liste sans faire le troll ou > faire dans le populisme d'extrême droite ? Mince la semaine est passée bien vite, c'est déjà vendredi ! Concernant les IPs, oui il faut régulariser à un moment donné. Comme souvent, plus tôt on résout le problème moins on est mis au pied du mur et d'une facture qui peut paraître inadéquate. Si tu utilises effectivement un prefix qui leur ai maintenant réservé, c'est problématique et tu es actuellement en tort (même si historiquement parlant tu ne l'étais pas). S'ils peuvent effectivement pousser les autres à ne plus te router, il va bien falloir trouver une solution. Une changement d'IPs étant l'une d'entre elles... My 2 cents, -- Jérémie MARGUERIE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ICMP / IPv4 / IPv6 / Orange / ...
Le 15 juin 2012 10:32, Guillaume Barrot a écrit : > Et puis dans la vision obscurantiste de la securite, l'ICMP c'est le mal, > donc voila. Je profite de l'actualité pour ressortir un sujet sur l'ICMP. Filtrer l'ICMP, une sécurité[1] ? [1] "Intel Network Card (82574L) Packet of Death" http://isc.sans.edu/diary/Intel+Network+Card+%2882574L%29+Packet+of+Death/15109 -- Jérémie MARGUERIE Student at EPITA, engineering school of computer science - Security & networks "I tried to come up with an IPv4 joke, but the good ones were all already exhausted." --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 22 janvier 2013 19:10, Gunther Ozerito a écrit : > De plus l'ouverture dynamique de ports via UPNP est jne excellente idee. Ca > facilite le developpement de backdoor, les hackerz du monde entier vous > remercie. Monte un FAI avec une box sans UPNP, c'est Madame Michu qui sera ravie de devoir faire le port forwarding à la main. Pense à bien dimensionner ton support client, parce qu'il va morfler dès les premiers jours. N'oublions pas que la sécurité est un compromis et que ce que tu peux mettre en entreprise et qui te coûte un bras, tu ne l'appliqueras pas au particulier qui ne veut pas payer plus de 30€ / mois pour aller sur youtube et facebook. Et puis sinon, y a pas besoin d'UPNP pour faire un virus. Le port 80 et 53 suffisent amplement. Tu proposes du DPI pour filtrer les requêtes ? -- Jérémie MARGUERIE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Carrier Grade NAT, nous y voilà
Le 22 janvier 2013 15:38, Paul Rolland a écrit : > Groumpf... Piege par le jetlag, ce que permet l'interface, c'est du > parametrage de Nat, pas des acls :( Je ne suis pas expert en NAT et UPNP mais la sécurité qu'offre le NAT est somme toute celle d'un firewall stateful avec des règles assez basiques : FORWARD accepté de *interne vers externe*. FORWARD accepté de *externe vers externe* Si *connexion déjà établie*. Donc en somme, si une box avec ipv6 met en place ce genre de règles de firewall, l'utilisateur est aussi protégé que via du NAT (on bloque les connexions entrantes non sollicitées, ça suffit à la plupart des gens). Il ne manque qu'une chose, la capacité d'ouvrir des ports pour que les applications le nécessitant ne soient pas bloquées. Les solutions existent en IPv4 (NAT-PMP, UPNP, ...). La box peut paramètrer son firewall en suivant les demandent de "NAT traversal" émisent via UPNP Internet Gateway Device Protocol. Linux-IGD (http://linux-igd.sourceforge.net/) semble le faire via du DNAT, rien n'empêche de changer les règles de firewall insérées. Du coup : * IPv4 + NAT + UPNP * IPv6 + Firewall + UPNP Et le tour est joué, non ? On peut déjà faire du port forwarding sur le NAT des box avec l'interface du FAI, rajouter une option "ipv4/ipv6" et de toucher soit au NAT, soit d'ouvrir bêtement le port (vers une destination, un masque, ou vers tout le sous-réseau) fait l'affaire. J'ai loupé quelque chose ? -- Jérémie MARGUERIE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRNOG] [TECH] Changement SSID - Serveur 2008 serveur Virtuel sous vmware
Le 16 décembre 2012 14:43, Dominique DE CONTI a écrit : > Bonjour à tous, Bonjour, > Maintenant, à l'intérieur de ma machine virtuelle, lorsque j'essaye de > modifier le SID de mon serveur 2008 virtualisé avec sysprep et que je le > clone, j'ai un écran bleue au démarrage avec l'erreur BSOD: "Stop: c21a > {Fatal System Error} The Session Manager Initialization system process > terminated unexpectedly with a status of 0xc03a (0x > 0x). The system has been shut down." Changer le SID machine est totalement inutile, et peut causer des problèmes (que tu expériences). C'est un mythe tenace, mais avoir la même SID machine pour plusieurs ordinateurs (d'un même réseau local, voir d'un même domaine) ne pose aucun soucis pratique et n'ouvre pas de brèche de sécurité. Bonne fin de WE, -- Jérémie MARGUERIE Student at EPITA, engineering school of computer science - Security & networks "I tried to come up with an IPv4 joke, but the good ones were all already exhausted." --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] NATv6 dans Linux
Le 9 octobre 2012 00:34, Raphaël Maunier a écrit : > La table BGP va encore augmenter de toute façon. Passer à /25 /26 va aider les > fournisseurs de HW routeurs à vendre du matos, ça fera tourner l'économie ! > Côté config BGP chez les opérateurs, c'est pas genre super compliqué. Quand on sait que les routeurs IPv6 vont router jusqu'à des /48, est-ce vraiment un soucis technique de demander aux routeurs de router des /26 ? Ou est-ce contraignant parce que tout le monde à configuré ses routeurs sur /24 minimum et qu'il faudrait que tout le monde fasse la modification pour autoriser les /26 ? -- Jérémie MARGUERIE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le 5 octobre 2012 16:43, Pascal Rullier a écrit : > ou peu être nat66 d'un réseau ipv6 privé vers 1 ipv6 public :) Mais là encore, pourquoi s'embêter à utiliser un adressage privé (et tous les emmerdes qui arrivent avec) alors qu'on a des plages d'adressage si grandes ? -- Jérémie MARGUERIE Étudiant à l'EPITA, ing3 SRS, r...@acu.epita.fr "Everybody loves MitM jokes. Well, everybody except Alice and Bob that is..." --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NATv6 dans Linux
Le 5 octobre 2012 16:09, Thomas Barandon a écrit : > Linux ne fait pas de distinctions entre mauvais et bons admin. Troll unleashed. Je pense qu'on est à peu près tous d'accord : l'adressage avec des IPs publique évite bien des problèmes et est "plus propre" et que le NAT n'est ni un mécanisme de sécurité, ni parfait lorsqu'on se tasse derrière une FAI-box qui NAT faute d'avoir assez d'IP publiques. Mais le problème ici, c'est que certains se sont habitués au NAT44 et du coup ils veulent du NAT66. On peut aussi imaginer des cas où des réseaux te fournissent 1 IPv6. Dans ce cas tu fais quoi si tu veux avoir un réseau derrière ? Bah tu NAT66... bêtement et hontesement, non ? -- Jérémie MARGUERIE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Apel au don
Le 25 mai 2012 21:43, Bob Froncois a écrit : > Bonjour Bonjour, > Apres avoir resolut la problématique de connectivité, nous sommes > maintenant a la recherche de matériels, routeurs, onduleurs, acp, > serveurs... > Nous sommes une petite équipe de geek, passionné, mais malheureusement > nous > avons peu de moyen. Donc nous nous permettons de vous addresser notre > demande de dons ici. Nous ésperons que vous le prendrez pas mal. > Si certain d'entre vous on du matos nous sommes preneurs, vous pouvez me > contacter en pv. Nous organiserons le transport du matériel a notre charge > biensure. Sans vouloir paraitre pessimiste, j'ai bien peur que monter un datacenter demande un peu plus que du matériel récupéré via des dons :-) Un datacenter c'est cher : installations électriques, climatisations, sécurité physique, réseau, ... Les coûts d'exploitation sont assez conséquents. -- Jérémie MARGUERIE Étudiant à l'EPITA, ing2 SRS, r...@yaka.epita.fr "I'd tell you a UDP joke, but you might not get it." --- Liste de diffusion du FRnOG http://www.frnog.org/