[FRnOG] Spanning-tree et STM4

[Pierre Gaxatte]

Salut la liste,

Alors c'est vendredi et la liste est bien calme mais j'ai une question
sérieuse pour vous :)

On a un lien STM4 fourni par Telecom Italia entre deux sites et on a eu
quelques soucis dessus récemment.
Je ne connais vraiment pas STM4 mais de ce que je comprend notre lien est
composé de 4 VC et durant un incident seul un des 4 VC était encore up.

Ce qui m'inquiète est que pendant l'incident, spanning-tree n'a pas fait de
topology change mais les sessions BGP sont tombées.
Est-il possible que les BPDU continuaient à passer sur le VC restant mais
pas le reste du trafic ??

Si je comprend bien, le STM4 c'est du réseau commuté donc les chemins sont
choisis à l'avance mais comment fonctionne la répartition du trafic dans les
VC ?
Ca bascule pas tout sur chaque VC en cas de coupure d'un des 4 ?

Merci d'avance,

-- 
Pierre Gaxatte

Re: [FRnOG] Article sérieux et opérationnel bien que vendredi

[Pierre Gaxatte]

Le 25/03/2011 15:57, Laurent a écrit :

Le 25/03/2011 15:51, Pierre Gaxatte a écrit :


Bah la fin du monde est annoncée au 21 décembre 2012, alors osef.
Et entre les mayas et Michel Nostradamiguidel, honnètement, je
mettrais plus mes billes sur les mayas. :)


D'après les dernières news, c'est 2116 maintenant ! Une petite erreur
d'interprétation de 104 ans.


Arf, je vais être obligé de me mettre à bosser alors ?
Mais c'est vendredi... :(
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Article sérieux et opérationnel bien que vendredi

[Pierre Gaxatte]

Le 25/03/2011 15:02, Simon Morvan a écrit :

Le 25/03/2011 14:42, Stephane Bortzmeyer a écrit :

Je suppose que tout le monde ici a des plans pour se préparer à la fin
de l'Internet, qui va arriver, comme le montre l'auteur, en 2015 :

http://www.lemonde.fr/idees/article/2011/03/25/un-chaos-numerique-est-possible-en-2015_1498401_3232.html



---
Liste de diffusion du FRnOG
http://www.frnog.org/


sérieux et opérationnel ? :)



Bah la fin du monde est annoncée au 21 décembre 2012, alors osef.
Et entre les mayas et Michel Nostradamiguidel, honnètement, je mettrais 
plus mes billes sur les mayas. :)


My 0.01€ (c'est vendredi, c'est moitié prix !)
Pierre
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Re: [FRnOG] La convergence voix / données sur un réseau IP unique

[Pierre Gaxatte]

Ouais mais alors c'est un bon troll/spam : ils offrent un cocktail ! :)

Le 18/03/2011 16:21, Fabien Delmotte a écrit :

Non c'est un Troll qui sent mauvais :)

Le 18 mars 2011 à 16:20, Fabien Dedenon a écrit :


Le 18/03/2011 15:58, Julie MOISSON-LAJOU a écrit :

AFTER WORK OCEALIS
le jeudi 24 mars 2011
À 18h00
Musée des Arts Décoratifs – Paris I


Spam commercial detected !




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Le troll du vendredi par Michel.

[Pierre Gaxatte]

L'humain est une perte acceptable.
Mais pas le chiffre d'affaire.

Question de priorité

Le 15/03/2011 15:36, Julien Escario a écrit :

Ils n'ont même pas fini de compter leurs morts, les places financières ont déjà
commencer à négocier les tarifs à la hausse ...

J'ai envie de vomir.

Julien

Le 15/03/2011 15:12, marc est un geek a écrit :

Bonjour,

Selon un article tout chaud de clubic, il y a quand même eu des dégâts au niveau
télécoms.

Je vous laisse lire par vous-même.

http://pro.clubic.com/it-business/actualite-40-japon-cables-marins-endommages-tatata.html

Cordialement.


Marc



Le 13 mars 2011 00:26, Benjamin BILLONmailto:bbil...@splio.fr>>  a écrit :

 Asianetcom (Pacnet, EAC-C2C) morfle pas mal (packet loss, saturation)

 Le 13/03/2011 07:16, s...@khayat.eu  a écrit :

 C'est vrai que c'est très loin d'être élégant
 Et sinon ...
 
http://gigaom.com/broadband/despite-quake-japans-undersea-cables-still-hold/


 -Message d'origine-
 De : owner-fr...@frnog.org
 [mailto:owner-fr...@frnog.org] De la part
 de sfout...@gmail.com
 Envoyé : samedi 12 mars 2011 08:39
 À : Sebastien WILLEMIJNS
 Cc : frnog@frnog.org
 Objet : Re: [FRnOG] Le troll du vendredi par Michel.

 Je crois qu il faut plus voir un eloge de la qualite des 
infrastructures
 plutot qu une tournure de phrase raciste

 Sebastien FOUTREL
 Sent from Internet par SFR

 Le 12 mars 2011 à 07:18, "Sebastien 
WILLEMIJNS"mailto:sebast...@willemijns.com>>   a écrit :

 On Fri, 11 Mar 2011 20:57 -0800, "Michel Py"
 mailto:mic...@arneill-py.sacramento.ca.us>>   wrote:

 Le Japonais est un animal coriace. Les bombes atomiques sur la
 gueule, les tremblements de terre, les tsunamis, rien n'y fait.

 Je trouves cette boutade d'un gout douteux...

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: Recherche de prestation de diffusion de vidéo en live

[Pierre Gaxatte]

Merci à toutes les personnes qui m'ont répondu !

Je vais continuer à quémander des infos supplémentaires au client et lui 
transmettrai les contacts que j'ai pu obtenir.


C'est a priori le client en question qui devrait s'occuper de la suite, 
je ne suis que l'intermédiaire pour l'aider à trouver son prestataire.


Cordialement,
Pierre

Le 22/02/2011 10:21, Pierre Gaxatte a écrit :

Bonjour,

J'ai un client qui recherche un prestataire capable de diffuser une
vidéo en direct sur internet.

Le besoin n'est vraiment pas bien cadré du côté du client mais voilà ce
que je peux vous donner comme info : le client (un organisme public)
organise des élections à la fin du mois de mars et souhaiterait que tous
ses agents (~ 1000 personnes) puissent consulter la vidéo en direct qui
sera filmée par une autre société. Je ne sais pas si cette diffusion se
fera également pour le grand public sur internet mais ce sera
probablement le cas.

J'ai vu quelques mails sur des sujets similaires sur la liste et ai déjà
noté quelques noms de société mais je cherche plusieurs contacts pouvant
fournir ce genre de presta parce que moi, c'est pas du tout mon métier
et je n'y connais pas grand chose. D'autant plus que, personnellement,
je pense que c'est de l'argent jetée par les fenêtres. Maintenant si ça
peut être jeté dans vos poches, tant mieux :)

Merci d'avance,
Pierre


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Recherche de prestation de diffusion de vidéo en live

[Pierre Gaxatte]

Bonjour,

J'ai un client qui recherche un prestataire capable de diffuser une 
vidéo en direct sur internet.


Le besoin n'est vraiment pas bien cadré du côté du client mais voilà ce 
que je peux vous donner comme info : le client (un organisme public) 
organise des élections à la fin du mois de mars et souhaiterait que tous 
ses agents (~ 1000 personnes) puissent consulter la vidéo en direct qui 
sera filmée par une autre société. Je ne sais pas si cette diffusion se 
fera également pour le grand public sur internet mais ce sera 
probablement le cas.


J'ai vu quelques mails sur des sujets similaires sur la liste et ai déjà 
noté quelques noms de société mais je cherche plusieurs contacts pouvant 
fournir ce genre de presta parce que moi, c'est pas du tout mon métier 
et je n'y connais pas grand chose. D'autant plus que, personnellement, 
je pense que c'est de l'argent jetée par les fenêtres. Maintenant si ça 
peut être jeté dans vos poches, tant mieux :)


Merci d'avance,
Pierre
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Pierre Gaxatte]

Le 09/02/2011 11:56, Guénolé Saurel a écrit :

D'ailleurs, l'adresse IP publique pour les terminaux semble devenir l'exception 
:
Accès mobiles 3 G : privé
Accès WIMAX (rares) : privé
Accès wifi publics : privé
Accès au travail : privé.

Il ne reste plus que les accès résidentiels, mais pour combien de temps?


C'est déjà plus ou moins le cas sur les accès résidentiels avec la
généralisation des box qui natent, et ne bridgent plus.


Juste une petite question en passant.

Il y a des FAI (en France) qui filent une box avec une adresse privée en 
sortie et qui font que les users sont finalement double NATée ?


Parce que bon, j'ai tout compris, j'ai pas un mauvais FAI, mais c'est 
sûrement pas le cas de tout le monde...


Au final, avec la fin des allocations IPv4, le fait que les adresses se 
raréfiant finira par profiter à certains business (les FAI pourraient se 
faire du pognon là-dessus par exemple), rien n'empêche le FAI peu 
scrupuleux de vendre du minitel web double (ou triple, pourquoi pas...) 
NATé depuis lequel on peut faire une croix sur le P2P par exemple. Bel 
argument pour faire du zèle au près du président... :)

Bon ça coupera pas MegaUpload, mais on peut pas tout avoir.

Cordialement,
Pierre
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] A l'heure de la fibre... on tourne encore en 512K en entreprise.

[Pierre Gaxatte]

Le 21/01/2011 11:21, Raphaël Jacquot a écrit :

On Fri, 2011-01-21 at 11:16 +0100, Pierre Gaxatte wrote:


L'intérêt du CCNA c'est que comme ça, le pigeon en iowait peut assurer
le support client par téléphone. :D


autre solution assez classique, utiliser le client comme pigeon ;)



Ouais mais bon il faut bien se distinguer de la concurrence et pis en 
plus tu peux te vanter de pas délocaliser le service client !


Double argument marketing stratégique.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] A l'heure de la fibre... on tourne encore en 512K en entreprise.

[Pierre Gaxatte]

Le 21/01/2011 11:14, Clément Game a écrit :

Pierre Gaxatte wrote:

Le 21/01/2011 10:44, Clément Game a écrit :



1. Tu coupes les arbres qui sont dans ta LOS. De nuit, discrètement,
la nuit d'été quand le bal du village joue la musique disco à fond la
caisse et que les gendarmes du patelin sont occupés au bar. Avec une
tronçonneuse électrique, celles à moteur 2-temps non seulement font
trop de bruit mais en plus elles puent le mélange d'huile et d'essence
pire qu'un solex trafiqué avec un carbu de 34. Porte des vêtements
sombres et si possible évite les nuits de pleine lune.

2. Tu prends ta pioche et tu creuses. 6km c'est vachement long; une
fois j'ai fait 200 mètres, ça me donne mal au dos rien que d'y
repenser. A déconseiller.

3. Tu te fais pote avec le curé du village. Sous prétexte d'astiquer
les cloches, tu installes discrètement ton ubiquiti bullet dans le
clocher qui en général est plus haut que les arbres.

Michel.


4. Tu demandes à Bruno "web7" Cavros de venir te creuser les 6km de
tranchées avec sa pelle bobcat ( escompter 2 ou 3 decès "accidentels"
pendant la durée des travaux :D :D )

Bon trolldi à tous.

C.



5. Tu construis une volière et tu fais passer le CCNA à 100 pigeons
voyageurs. Tu achètes un scanner et une imprimante et la RFC 1149
s'occupe du reste.


Pas besoin de CCNA, les pigeons doivent rester completement cons...ils
vont ou on leur dit d'aller épicétout :) D'ailleurs, la RFC 1149 ne
mentionne nulle-part que les pigeons doivent subir une formation avant
d'acheminer le trafic :D


L'intérêt du CCNA c'est que comme ça, le pigeon en iowait peut assurer 
le support client par téléphone. :D


Pierre


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] A l'heure de la fibre... on tourne encore en 512K en entreprise.

[Pierre Gaxatte]

Le 21/01/2011 10:44, Clément Game a écrit :



1. Tu coupes les arbres qui sont dans ta LOS. De nuit, discrètement,
la nuit d'été quand le bal du village joue la musique disco à fond la
caisse et que les gendarmes du patelin sont occupés au bar. Avec une
tronçonneuse électrique, celles à moteur 2-temps non seulement font
trop de bruit mais en plus elles puent le mélange d'huile et d'essence
pire qu'un solex trafiqué avec un carbu de 34. Porte des vêtements
sombres et si possible évite les nuits de pleine lune.

2. Tu prends ta pioche et tu creuses. 6km c'est vachement long; une
fois j'ai fait 200 mètres, ça me donne mal au dos rien que d'y
repenser. A déconseiller.

3. Tu te fais pote avec le curé du village. Sous prétexte d'astiquer
les cloches, tu installes discrètement ton ubiquiti bullet dans le
clocher qui en général est plus haut que les arbres.

Michel.


4. Tu demandes à Bruno "web7" Cavros de venir te creuser les 6km de
tranchées avec sa pelle bobcat ( escompter 2 ou 3 decès "accidentels"
pendant la durée des travaux :D :D )

Bon trolldi à tous.

C.



5. Tu construis une volière et tu fais passer le CCNA à 100 pigeons 
voyageurs. Tu achètes un scanner et une imprimante et la RFC 1149 
s'occupe du reste.


:D

Pierre
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Problème de bande passante sur un HWIC Cisco

[Pierre Gaxatte]

Merci à tous ceux qui ont répondu à ma question idiote d'avoir pris le 
temps de me répondre :)


Je me sens bien roulé ...
Est-ce que ça veut dire que tous les ports HWIC de tous les routeurs 
Cisco sont comme ça ou ils n'ont pas tous les mêmes bus ?
(a priori ce serait du PCI-X, d'après le chipset que j'ai vu à 
l'intérieur...)


Qu'en est-il des ports NM ?
Je doute que ce soit mieux mais bon.

En tout cas merci pour les infos ;)


Le 21/12/2010 17:55, Jean-Edouard Babin a écrit :

Salut,

"The HWIC provides Gigabit Ethernet connectivity but will not support line rate 
since the throughput is limited by the platforms"
Ca veut dire que bien que tu es des ports Giga sur la carte, le débit entre la 
carte est le reste du routeur est pas aussi élevé (limitation du bus coté carte 
et/ou coté routeur)

En l'occurrence le bus des HWIC est limité a 400mbps, information que tu peux 
trouver ici : (entre autre)
http://www.cisco.com/en/US/prod/collateral/routers/ps5854/prod_qas0900aecd80169bf0_ps5855_Products_Q_and_A_Item.html

A+

Le 21 déc. 2010 à 16:54, Pierre Gaxatte a écrit :


Salut à tous,

Je cherche une explication à un résultat de tests que nous menons en ce moment 
sur un routeur Cisco 3845.

Le test qui m'inquiète consiste à utiliser iperf (en TCP) et mesurer la bande 
passante.

Le schéma de test est le suivant :

--
| CLIENT |
+-
|
| Gigabit Ethernet
|
+--
| Gi0/1   |
| |
|[3845]   |
| |
| Gi0/0 (SFP) Gi0/0/0 Gi0/1/0 |
+-+---+
|
| Fibre
|
+---
| Gi0/8 (SFP)  |
|  |
| [WS-2960-8-TC-L] |
|  |
| Gi0/1  Gi0/2 |
+--+
|  |
| GE   \--- Portable management
|
+--
| SERVEUR |
---

Description du 3845 :
  - Gi0/0 : SFP fibre
  - Gi0/1 : Gigabit Ethernet
  - Gi0/0/0 et Gi0/1/0 : HWIC-SFP-1GE

On constate qu'en utilisant les interfaces intégrées, on arrive à ~940Mbps 
alors qu'avec les HWIC, on arrive faiblement à ~370Mbps (en branchant la fibre 
sur Gi0/0/0 ou Gi0/1/0 au lieu de Gi0/0).

Sur le site de Cisco, ils indiquent ça :

Note: The HWIC provides Gigabit Ethernet connectivity but will not
support line rate since the throughput is limited by the platforms


(src: 
http://www.cisco.com/en/US/prod/collateral/routers/ps5854/product_data_sheet0900aecd8016be8d_ps5949_Products_Data_Sheet.html)

Mais je vois pas trop ce qu'ils entendent par là...

On a essayé avec :
- une autre fibre,
- d'autres machines,
- des autres SFP (Cisco originals ou pas)

... et le résultat est identique.

Une idée ?
C'est quand même un peu bête d'avoir un beau routeur refurbished si c'est pour 
pas pouvoir l'utiliser au max...  :(

Si besoin, je peux envoyer des confs et des détails supplémentaires.

Merci d'avance pour vos réponses.
Pierre
---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Problème de bande passante sur un H WIC Cisco

[Pierre Gaxatte]

Salut à tous,

Je cherche une explication à un résultat de tests que nous menons en ce 
moment sur un routeur Cisco 3845.


Le test qui m'inquiète consiste à utiliser iperf (en TCP) et mesurer la 
bande passante.


Le schéma de test est le suivant :

--
| CLIENT |
+-
|
| Gigabit Ethernet
|
+--
| Gi0/1   |
| |
|[3845]   |
| |
| Gi0/0 (SFP) Gi0/0/0 Gi0/1/0 |
+-+---+
|
| Fibre
|
+---
| Gi0/8 (SFP)  |
|  |
| [WS-2960-8-TC-L] |
|  |
| Gi0/1  Gi0/2 |
+--+
|  |
| GE   \--- Portable management
|
+--
| SERVEUR |
---

Description du 3845 :
  - Gi0/0 : SFP fibre
  - Gi0/1 : Gigabit Ethernet
  - Gi0/0/0 et Gi0/1/0 : HWIC-SFP-1GE

On constate qu'en utilisant les interfaces intégrées, on arrive à 
~940Mbps alors qu'avec les HWIC, on arrive faiblement à ~370Mbps (en 
branchant la fibre sur Gi0/0/0 ou Gi0/1/0 au lieu de Gi0/0).


Sur le site de Cisco, ils indiquent ça :
> Note: The HWIC provides Gigabit Ethernet connectivity but will not
> support line rate since the throughput is limited by the platforms

(src: 
http://www.cisco.com/en/US/prod/collateral/routers/ps5854/product_data_sheet0900aecd8016be8d_ps5949_Products_Data_Sheet.html)


Mais je vois pas trop ce qu'ils entendent par là...

On a essayé avec :
- une autre fibre,
- d'autres machines,
- des autres SFP (Cisco originals ou pas)

... et le résultat est identique.

Une idée ?
C'est quand même un peu bête d'avoir un beau routeur refurbished si 
c'est pour pas pouvoir l'utiliser au max...  :(


Si besoin, je peux envoyer des confs et des détails supplémentaires.

Merci d'avance pour vos réponses.
Pierre
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] LOPPSI, FREEBOX, MINITEL

[Pierre Gaxatte]

Salut,

C'est vendredi, je me sens inutile :

Le 15/12/2010 22:57, Sébastien FOUTREL a écrit :

au Pere NO^Wiel


au Père NO^Hiel, non ?

:)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Filtre antispam

[Pierre Gaxatte]

Le 25/05/2010 17:52, Rémi Bouhl a écrit :

Le 25/05/10, Thomas Mangin  a écrit :


Le problème est que les botnets sont tellement larges que cette protection
ne marche vraiment bien que contre les MTA open relay ou les machines
infectees envoyant bcp de mails.
Free fait la même chose, et comme j'ai tres peu de trafic vers eux ca m'a
fait mal une ou deux fois. J'ai resolu le probleme en refusant les bounces
sur mes serveurs SMTP (les bounces c'est pour mes MX seulement). Exchange
aime generer des bounces pour les adresses invalides via son smarthost quand
les mails ont ete collectes via POP.

Thomas---
Liste de diffusion du FRnOG
http://www.frnog.org/




Tiens, ça me fait penser à une idée. D'autres y ont certainement
pensé, y'a certainement des failles, mais sur le coup ça me paraît
efficace: En créant une adresse mail "piège", et en la rendant visible
par les robots, on peut être certain que tout mail qui y est envoyé
est un spam, donc (par extension) que l'adresse IP qui y envoie des
mails est spammeuse.
Autrement dit, si une machine envoie un mail à "donotm...@free.fr" et
à "m.mi...@free.fr", alors on peut traiter le deuxième mail comme du
spam.

Ça a déjà été étudié? Les spammeurs ont une parade contre ça?
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Et c'est comme ça que des adresses IP dynamiquement attribuées par l'ISP 
sont blacklistées.


Généralement, ceux qui ont une IP fixe l'ont demandé. C'est donc, je 
pense, un public averti et qui se laissera peut-être moins facilement 
infecter.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: [FRnOG] Matériel pour la gesti on de la bande passante

[Pierre Gaxatte]

J'ai contacté Ipanema pour avoir un peu plus d'infos sur leur produits 
et logiciels associés.


Je vais aller gratter un peu du côté de Qosmos aussi.

En attendant, merci pour vos réponses !!!

Le 18/05/2010 14:19, Francois Bourdais a écrit :

Ou Qosmos, qui est la techno embarquée dans ipanema mais vend aussi ses
traffic shapers, et qui permet de customiser a loisir la partie suivi
conso.

a+
Francois

Le 18 mai 2010 à 12:19, "Tristan Ouin"  a
écrit :


Et quid d'Ipanema technologies ?

Cordialement,
Tristan


-Original Message-
From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf
Of Pierre Gaxatte
Sent: mardi 18 mai 2010 11:03
To: frnog@frnog.org
Subject: [FRnOG] Matériel pour la gestion de la bande passante

Salut à tous,


Je cherche une solution pour remplacer notre bon vieux PacketShaper pour
pouvoir supporter plusieurs liens et une plus grosse capacité de shaping
(sur des liens gigabits). Actuellement on utilise le PacketShaper pour
limiter la bande passante par client et extraire des graphes de
consommation de bande passante.

Les règles de limitation se font sur les IP mais également, pour
certaines, sur les protocoles de niveau 4.

J'ai vu qu'il existe d'autres produits similaires chez d'autres
constructeurs : Allot, Cisco, Juniper ?, ... j'ai trouvé une belle liste
(http://net.educause.edu/ir/library/pdf/DEC0202.pdf) mais elle date un
peu (2002).

Avez-vous des suggestions sur des produits de ce genre ?
Ce qui m'intéresse particulièrement est le côté reporting de conso.

Merci d'avance,
Pierre
---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Matériel pour la gestion de la band e passante

[Pierre Gaxatte]

Salut à tous,


Je cherche une solution pour remplacer notre bon vieux PacketShaper pour 
pouvoir supporter plusieurs liens et une plus grosse capacité de shaping 
(sur des liens gigabits). Actuellement on utilise le PacketShaper pour 
limiter la bande passante par client et extraire des graphes de 
consommation de bande passante.


Les règles de limitation se font sur les IP mais également, pour 
certaines, sur les protocoles de niveau 4.


J'ai vu qu'il existe d'autres produits similaires chez d'autres 
constructeurs : Allot, Cisco, Juniper ?, ... j'ai trouvé une belle liste 
(http://net.educause.edu/ir/library/pdf/DEC0202.pdf) mais elle date un 
peu (2002).


Avez-vous des suggestions sur des produits de ce genre ?
Ce qui m'intéresse particulièrement est le côté reporting de conso.

Merci d'avance,
Pierre
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] L'inria est leet

[Pierre Gaxatte]

Chalut !

Le 29/04/2010 14:21, Steven Le Roux a écrit :

2010/4/29 Julien Reveret mailto:shad...@c0a8.org>>
A ceux qui pensent que HADOPI sera un échec à cause de seedfuck et
compagnie, je tiens à signaler la disponibilité d'un manuscrit de
chercheurs de l'INRIA. Ils ont présenté leurs travaux lors du séminaire
Large-Scale Exploits and Emergent Threats (LEET) :

http://hal.inria.fr/docs/00/47/03/24/PDF/bt_privacy_LEET10.pdf


Le principe de seedfuck me semble limité si tu fais une analyse
heuristique d'un tracker...  Je ne vois pas l'intérêt de seedfuck, à
part autotuer le réseau p2p...


Je pense pas que seedfuck va tuer quoi que ce soit, par contre pour moi 
c'est un proof of concept pour montrer que si on ne se fie qu'au 
tracker, on pourrait y trouver beaucoup de fausses IP.



Ils sont sponsorisés par le Ministère de la Culture, vous croyez ?


Pierre
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Prestataire d'installation et de maintenance SLA routeur

[Pierre Gaxatte]

Bonjour,

Le 28/04/2010 09:40, Nicolas Strina a écrit :

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Hello,


Bonjour,

Au sein de “BE FREE“ prestataire de services orientés opérateurs, ce genre
de prestation demandée est notre cœur de métier. De plus nous avons une
couverture nationale avec des SLI (GTI) en 4, 2 ou 1 heure.


Sinon y'a aussi l'option reply sans mettre tout le monde en Cc. C'est bien de 
vouloir faire sa pub mais honnêtement
c'est pas le bon endroit :-)


Bah ça répond pas à la question de départ ?

Pierre
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Marre des RBLs à la con - uceprotect.net

[Pierre Gaxatte]

Le 19/04/2010 14:14, Thomas Mangin a écrit :

On 19 Apr 2010, at 13:12, Raphaël Jacquot wrote:


On Mon, 2010-04-19 at 14:07 +0200, Laurent CARON wrote:


Il y'a un bouton pour se dé-lister. Ah oui, mais il faut payer 250€ pour
être délisté en express.


à ce niveau la, c'est plus du fascisme, c'est de l'extorsion !


Comment on s'ajoute a cette RBL . si tout le monde y est elle ne sera plus très 
utile :)


Tu forward un spam de lgociels moins chers / pillules pour pénis à 
postmas...@uceprotect.net ?


--
Pierre

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Re: Rappel : le processus de signature de la racine du DNS est presque achevé

[Pierre Gaxatte]

Le 13/04/2010 15:04, Radu-Adrian Feurdean a écrit :
> Par contre, en tant qu'europeen vivant en Europe, ca me gene pas mal de
> devoir taper un jour des truc contenant des caracteres "specifiques"
> scandinaves, slaves (Polonais, Slovaque, !!! cyrilique !!!), greques,
> allemands, espagnols.

Je proteste mollement, en allemand on peut remplacer tous les caractères 
spéciaux par des caractères ASCII en enlevant le "umlaut" et en ajoutant 
un "e"  (oe == ö, ae == ä, ...) et en remplaçant le "esstset" par deux "s".


Meine zwei pfennige :)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [FRnOG] Loi création et internet adoptée par l'Assemblée Nationale

[Pierre Gaxatte]

On Tue, 2009-04-07 at 09:08 -0700, Michel Py wrote:
> > Antoine Musso écrit:
> > On a pu le voir pendant l'examen du projet "création et internet",
> > il y a suffisamment de monde pour débattre
> 
> Et même au sein de la majorité, certains ont opposé le projet (comme Lionel 
> Tardy, député UMP de Haute-Savoie). Le problème n'est pas le processus 
> démocratique mais le fait que les élus ne sont pas des geeks (c'est un 
> euphémisme). Et au grand désespoir de Raphael, ne le seront jamais.
> 
> Michel.

Ils ne travaillent pas dans l'informatique et ne sont (pour la plupart)
pas nés dedans, mais quand on sait pas de quoi on parle, on demande...
Il y a eu des experts consultés sur ce projet de loi ?

Et puis quant au scrutin 367 et ces 60 deputés, je suis désolé mais
60/577, ça fait quand même pas beaucoup.

-- 
Pierre Gaxatte

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Règles sur les envois de mail en masse

[Pierre Gaxatte]

On Wed, 2009-04-01 at 00:27 +0200, Renaud Chaput wrote:
> Notre ministre de la culture a déclaré ce soir qu'envoyer des mails se  
> faisait sans frais.---

Génial, je vais pouvoir informer mon patron que quand je bosse sur notre
serveur mail j'ai une rentabilité qui tend vers l'inifini puisque je ne
génère pas de frais !

-- 
Pierre Gaxatte

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Parlons d'IPv6

[Pierre Gaxatte]

Pierre Gaxatte écrit:
Jusqu'au jour où on sera dos au mur, hélas.


Pierre, j'essaie de pas être méchant, mais les scénarios catastrophe à propos 
de la fin du monde quand il n'y aura plus d'adresses IPv4 disponibles, ça ne 
vaut pas mieux que Paco Rabanne qui prédit que la station Mir va tomber sur 
Paris. Ca fait vendre Paris-Match, ici on appelle ça un TROLL. Dans 10 ans, 
quand tu auras écouté les mêmes conneries depuis 10 ans, j'espère que tu me 
paieras un verre.

Vérité dans la pub: j'ai nourri le dit troll grassement moi-même. C'était quand 
j'étais un jeune con. Maintenant je suis un vieux con.



Je suis jeune et un peu con, donc je vais sûrement redire une connerie, 
mais je tente le coup :)
Supposons qu'un pays se mettent à l'IPv6, il va pas mettre en place des 
tunnels et des proxys à ses frontières éternellement, si ?


Le jour où les pays en voie de développement se seront développés un peu 
plus et que leur besoin de communications aura explosé, ils vont faire 
du double (triple ?) NAT pour pouvoir connecter tout le monde à internet ?


Je suis d'accord pour dire qu'on pourra toujours se démerder avec IPv4 
en inventant des mécanismes toujours plus lourd pour mettre plus de 
machines derrière une seule adresse IP. Mais ça risque pas de devenir 
ingérable ? Voir plus ingérable que l'IPv6 ?


--
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Parlons d'IPv6

[Pierre Gaxatte]

On Tue, 2009-03-17 at 19:18 +0100, Patrick Viet wrote:
> Bof ... rien de bien probant. Le non-geek s'en contrefout royalement
> tant que ça marche... Donc on ne s'embête pas outre mesure. Par
> exemple pour ma part, je travaille chez un hébergeur, et nos demandes
> client pour l'IPv6 se comptent sur ... aucun doigt d'aucune main...
> (et pourtant en 2000 je faisais partie de 6bone je m'étais pas mal
> intéressé au sujet ...)
OK, le client, tant que ça marche, il en demande pas plus. Mais c'est
censé faciliter la tâche aux admins réseaux / système, non ?
Il doit bien y avoir un gain de productivité quelque part dans IPv6
(même si l'investissement de départ est grand).

Il y a des études sur la rentabilité d'un passage à IPv6 ?

> Bref, c'est casse-pieds, ça va couter... Alors on repousse les dépenses.
Jusqu'au jour où on sera dos au mur, hélas.

-- 
Pierre Gaxatte

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Parlons d'IPv6

[Pierre Gaxatte]

On Tue, 2009-03-17 at 18:07 +0100, Seblu wrote:
> 2009/3/17 Pierre Col :
> > Sujet du jour :-)
> Oui enfin, c'est le sujet de troll des 10 dernieres années et des 10 
> prochaines.
> 
> > http://www.zdnet.fr/blogs/2009/03/17/et-si-on-passait-enfin-a-ipv6-/
> 
> L'argumentaire qui consiste à dire que l'ipv6 c'est necessaire
> parceque demain matin il n'y aura plus d'adresse ipv4 ca fait un
> moment qu'on l'entend. Et c'est normal qu'il ne marche pas.
> 
> Cordialement,
> 

Salut,

Etant un newbie (pour l'instant), j'ai un peu du mal à comprendre en
quoi cet argumentaire est invalide. A part le fait que tout ce qui est
rare est cher et donc que les propriétaires de grandes plages IPv4 sont
sûrement contents que l'IPv6 ne décollent pas, je ne vois pas qui peut
se permettre de négliger cet argument.

D'accord, le passage de v4 à v6 ne se fera pas en un jour et la
migration sera couteuse mais alors, à part ça, c'est quoi les arguments
contre (s'il y en a) ?

En dehors d'un plus grand espace d'adressage, il n'y a pas de besoin
pour IPv6 ?

-- 
Pierre Gaxatte

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Senderbase...

[Pierre Gaxatte]

Le Tue, 04 Nov 2008 17:53:03 +0100,
Splio - Benjamin BILLON <[EMAIL PROTECTED]> a écrit :
> > En tout cas, ça saoule un peu et je me demande si cette méthode 
> > (consulter et croire sur parole SenderBase par exemple) déclenche 
> > beaucoup de faux positifs comme nous ou pas.
> Croire uniquement SenderBase sur parole est en effet risqué, 
> l'information fournie doit être pondéré avec d'autres sources ou 
> critères de filtrage.
> Le poids du score SenderBase est par exemple important si tu envoies
> à des mx Ironport. Pour hotmail, ça sera plutôt SenderScore.

On reçoit des mails de retour par une ou deux personnes seulement donc
je leur demanderai quel type de serveur mails ils ont, mais est-ce
qu'il y a beaucoup de serveurs qui se basent sur des bases comme
SenderBase et autres par défaut ?

-- 
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Senderbase...

[Pierre Gaxatte]

Thomas Lopez a écrit :

Bonjour,

le critère N°1: si l'envoie du mail n'a pas été fait depuis le bon domaine.

Exemple j'envoie un mail depuis mon mail [EMAIL PROTECTED] depuis le
smtp smtp.gmail.com... Le server va vite te blackister pour une raison
simple il peut s'agir d'un server smtp ouvert en public...

Cordialement,
Lopez Thomas.


Pas d'open-relay chez nous mais le serveur est déclaré MX pour plein de 
domaines différents...


Splio - Benjamin BILLON a écrit :
> Hiho,
>
> vérifie ce qu'il en est sur trustedsource et senderscore. Si là aussi
> les scores sont mauvais, tu ne pourras pas en vouloir à Senderbase, tu
> as sans doute des problèmes sur ton serveur (je suppose par défaut
> qu'il
> ne fait pas d'open-relay). Les critères demandés sont à peu près tous
> légitimes, et les respecter n'est pas trop compliqué.
> Et ça te fait une belle jambe.

OK, je vais aller jeter un coup d'oeil !

> N'empêche qu'il y a un lien direct entre SenderBase et Spamcop (Cisco),
> et qu'une plainte (ou un spamtrap) spamcop, ça ne tombe pas par hasard.
>
> L'un de tes clients n'effectuerait-il pas des campagnes marketing à ton
> insu et sans respecter tout le tas de règles liées à ce type d'activité ?

Ca c'est possible mais je n'en sais rien en fait :(


> Il se peut que l'un d'eux soit aussi infecté par je ne sais quel virus,
> que ses machines sont des botnets et que ceux-ci passent par toi pour
> joindre le monde.

Ca, c'est fort probable, mais de là à savoir qui, c'est chaud quand 
même, faut que je consulte les stats du nombre de mails envoyés par 
domaine du coup ! Ca devrait se voir.


>
> Un audit approfondit est sans doute nécessaire.
>
> Et qmail seul (correctement patché) ne pose pas ce genre de problème.
>
> Tshaw!
>
> Benjamin BILLON
> -- -- -- -- -- --
> Splio eMarketing Services

En tout cas, ça saoule un peu et je me demande si cette méthode 
(consulter et croire sur parole SenderBase par exemple) déclenche 
beaucoup de faux positifs comme nous ou pas. En même temps il est fort 
possible qu'on soit pas au top niveau réglages, le serveur date un peu 
et on a pas toujours le temps de bien tout revoir.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Senderbase...

[Pierre Gaxatte]

Salut à tous,

Voilà, on a un petit souchis en ce moment au boulot. On héberge un 
serveur de mail qui gère une cinquante de domaines pour des clients et 
pour nous.


On est confronté à un problème relativement pénible : on reçoit des 
retours de mails sur certains envois nous disant que nous sommes 
blacklistés (par la base de SenderBase par exemple) et en effet en 
allant vérifier, notre serveur est marqué comme "Poor" sur Senderbase.


Bon, on a maudit SenderBase et on s'est mis au Vaudou mais apparemment 
le problème n'est pas réglé...


Notre serveur mail tourne sous qmail et je me demandais si par hasard il 
y avait un moyen d'empêcher nos clients d'envoyer du spam 
(inconsciemment je suppose).


D'un autre côté parmi les 120 critères de SenderBase, il y en a 
peut-être qu'un seul qui nous discrime mais apparemment on ne peut pas 
savoir lequel.


Donc la question est : y a-t-il un moyen de ne plus se faire avoir et de 
ne pas être blacklisté par SenderBase ?


Merci d'avance pour vos réponses, je sacrifierai une chèvre à la gloire 
de FRnog plus tard, là j'ai pas trop le temps :)


--
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Problème avec le réseau O range ?

[Pierre Gaxatte]

Johan Denoyer a écrit :

Bonjour,

c'est quoi exactement votre prefix?? Voir si j'ai le même soucis de chez 
moi vers vous.


--
Johan Denoyer
[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>
JD Labs
Linkedin: www.linkedin.com/in/jdenoy <http://www.linkedin.com/in/jdenoy>

2008/9/15 Pierre Gaxatte <[EMAIL PROTECTED] 
<mailto:[EMAIL PROTECTED]>>


Salut à tous,

Depuis quelques heures on a un "petit" problème : tous les clients
Orange/Wanadoo (et seulement eux) ne peuvent plus accéder à notre
réseau.

On est relié en fibre sur le réseau LOTIM (filiale d'Axione).

Est-ce que certains d'entre vous ont les mêmes problèmes ou est-ce
que ça vient de nous (ou de LOTIM) ?

On a testé avec différents opérateurs depuis nos domiciles
respectifs et apparemment ça ne pose problème que depuis Orange.

En plus de ça, impossible de joindre le site orange.fr
<http://orange.fr> depuis chez nous :s

J'avoue que là j'ai bien besoin d'arguments plus convaincant que "le
problème vient d'Orange" à donner à nos clients :(

Merci d'avance !

-- 
Pierre "LiLo" Gaxatte

---
Liste de diffusion du FRnOG
http://www.frnog.org/




Bonjour,

Pour tester notre réseau, vous pouvez joindre notre site qui est 
www.agiir.com


Sinon apparemment le problème vient d'être résolu et on peut à nouveau 
joindre le réseau Orange depuis chez nous...


--
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Problème avec le réseau O range ?

[Pierre Gaxatte]

[EMAIL PROTECTED] a écrit :

Même chose ici, apparement un problème sur OpenTransit/Orange.
Si quelqu'un a plus d'infos...

- Original Message ----- From: "Pierre Gaxatte" 
<[EMAIL PROTECTED]>

To: 
Sent: Monday, September 15, 2008 4:54 PM
Subject: [FRnOG] Problème avec le réseau Orange ?



Salut à tous,

Depuis quelques heures on a un "petit" problème : tous les clients 
Orange/Wanadoo (et seulement eux) ne peuvent plus accéder à notre réseau.


On est relié en fibre sur le réseau LOTIM (filiale d'Axione).

Est-ce que certains d'entre vous ont les mêmes problèmes ou est-ce que 
ça vient de nous (ou de LOTIM) ?


On a testé avec différents opérateurs depuis nos domiciles respectifs 
et apparemment ça ne pose problème que depuis Orange.


En plus de ça, impossible de joindre le site orange.fr depuis chez 
nous :s


J'avoue que là j'ai bien besoin d'arguments plus convaincant que "le 
problème vient d'Orange" à donner à nos clients :(


Merci d'avance !

--
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/ 




D'après Axione, il y aurait un soucis de peering entre Orange et Tiscali 
ce qui empêcherait les utilisateurs d'Orange de nous joindre (et 
vice-versa).


--
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Problème avec le réseau Orange ?

[Pierre Gaxatte]

Salut à tous,

Depuis quelques heures on a un "petit" problème : tous les clients 
Orange/Wanadoo (et seulement eux) ne peuvent plus accéder à notre réseau.


On est relié en fibre sur le réseau LOTIM (filiale d'Axione).

Est-ce que certains d'entre vous ont les mêmes problèmes ou est-ce que 
ça vient de nous (ou de LOTIM) ?


On a testé avec différents opérateurs depuis nos domiciles respectifs et 
apparemment ça ne pose problème que depuis Orange.


En plus de ça, impossible de joindre le site orange.fr depuis chez nous :s

J'avoue que là j'ai bien besoin d'arguments plus convaincant que "le 
problème vient d'Orange" à donner à nos clients :(


Merci d'avance !

--
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Firewall actif/actif

[Pierre Gaxatte]

David Touitou a écrit :

Hello,

 > Je suis en train d'explorer pfsense justement.

On utilise pfSense en fw dédié devant des serveurs dédiés ou en 
fw/routeur avec des ADSL (pour les bureaux).
Ca tourne superbement sur des cartes PCEngine (moins de 200€ HT pièce 
livrée à la maison en comptant le port et les douanes).


Késako PCEngine ? Parce que pour google, c'est avant une console de chez 
Nec ... :)



 > Je vais creuser un peu puppetmaster et cfengine2 et commencer mon
 > stage 'auto-formation à FreeBSD 6.2'.

Je dirais "oui mais non".

Soit tu utilises pfSense tel qu'il est prévu pour le moment (à travers 
son interface web uniquement, il y a un bounty pour le développement 
d'une interface de gestion centralisée), soit tu te mets à 
FreeBSD/OpenBSD et tu attaques les fichiers de conf de pf à la main...


Si tu commences à mélanger les deux, tu vas au devant de galères AMHA.


Je comptes pas faire des manip pour ajouter quoi que ce soit à pfSense, 
c'est juste que j'ai envie d'avoir quand même quelque base sur FreeBSD, 
d'une part pour la curiosité et d'autre part pour pouvoir dépanner en 
cas de besoin, savoir où se trouve les divers indicateurs standards que 
j'ai l'habitude de regarder sous Linux.
Si on en vient à utiliser pfSense en cluster, le jour où il y en a un 
qui tombe en rade, ce serait pas mal de pouvoir le remonter sans 
forcément tout réinstaller.


Et pis j'aime pas avoir entre les pattes un système "boite-noire" où je 
ne comprend rien au fonctionnement (ouais chui pas fan de Windows du 
tout... :D).



--
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Firewall actif/actif

[Pierre Gaxatte]

Jerome Benoit a écrit :

Le Tue, 02 Sep 2008 07:59:08 +0200,
Splio - Benjamin BILLON <[EMAIL PROTECTED]> a osé(e) écrire :


Hey ouais, on peut relancer le débat applicatif Vs. appliance ?


Moué,

Tous les solutions libres et propriétaires ont été présentés. 


Perso d'après l'expression du besoin que j'ai lu, pfsense rempli
largement le cahier des charges. Manque l'aspect management
centralisé des règles out of the box mais puppetmaster ou cfengine2
devrait permettre de régler çà.

a +.



Je suis en train d'explorer pfsense justement. Après avoir bien galéré 
pour trouver une vieille machine pas trop instable niveau matériel :)


Je vais me lancer là dedans et commencer les tests. L'interface en tout 
cas et claire comme de l'eau de roche et l'install a rien à voir avec 
OpenBSD (j'ai dû tomber sur l'Edition Roumanie de 1982...).


Je vais creuser un peu puppetmaster et cfengine2 et commencer mon stage 
'auto-formation à FreeBSD 6.2'.

Je m'auto souhaite bon courage :)
Et merci pour les conseils !

--
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Firewall actif/actif

[Pierre Gaxatte]

Radu-Adrian Feurdean a écrit :

On Mon, 01 Sep 2008 16:26:28 +0200, "Pierre Gaxatte"
<[EMAIL PROTECTED]> said:

OK mais comment se fait la répartition des charges ? Il faut que je 
configure les gateways de tous les hôtes avec une IP virtuelle sur deux 
??? :o


1. GLBP (malhereusement proprietaire Cisco)
2. 2 routes par default, vers des VIP "croises" (un en priorite sur la
machine A, l'autre en priorite sur la machine B).
J'y ai pensé, mais ça change pas la charge de boulot pour reconfigurer 
la moitité des machines... :(



3. Metre des routeurs en amont et en aval des FW, et utiliser un
protocle de routage avec equilibrage de charge.
Ouais chez nous c'est pas envisageable, on cherche juste à remplacer des 
firewalls, on était pas parti sur l'achat de routeurs supplémentaires.



4. Mettre un load-balancer en face, qu'il faudra redonder en
actif-passif :)

Ou comment utiliser douze machines pour un firewall :)

--
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Firewall actif/actif

[Pierre Gaxatte]

Clement Hermann a écrit :


Pierre Gaxatte a écrit :


Un seul des deux nœuds possède l'IP virtuelle et elle bascule quand le 
nœud tombe, non ?
Du coup, si c'est le cas, ça veut dire que si on veut que le deuxième 
nœud s'occupe d'une partie du trafic, il faut faire une sorte de pivot 
(comme sur les Checkpoint) : le nœud qui a l'adresse virtuelle (et qui 
est donc la passerelle par défaut) renvoie une partie de son trafic à 
l'autre nœud pour qu'il s'occupe de filtrer ?


Étant donné qu'à partir du moment où netfilter fonctionne, on gère 
forcément des tables et des sessions conntracks, procéder comme les 
checkpoints n'a pas vraiment d'intérêt du point de vue répartition de 
charge, je pense.
Par contre, rien n'empêche d'avoir deux ip virtuelles (via 2 instances 
vrrp par exemple), et chaque nœud soit maître sur l'une des deux, pour 
répartir la charge tout en conservant de la haute disponibilité.




OK mais comment se fait la répartition des charges ? Il faut que je 
configure les gateways de tous les hôtes avec une IP virtuelle sur deux 
??? :o


--
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Re: [FRnOG] RE: [FRnOG] 900 jours avant la pénurie d'adresses IP V4 ?

[Pierre Gaxatte]

Radu-Adrian Feurdean a écrit :


L'internet en dehors de tout cadre juridique je l'ai vecu, et c'etait
tres bien. En plus ca se vendait tres bien.



Ouais maintenant, ça demande tout un tas de protocoles anonymes et 
bizarres, des algo de chiffrement, des listes de proxy de 30 pieds de 
long :)


--
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] 900 jours avant la pénurie d'a dresses IP V4 ?

[Pierre Gaxatte]

Splio - Benjamin BILLON a écrit :
Outre les problèmes de firewall, rien que l'activation d'ipv6 et des 
options qui vont bien avec quand y'a besoin (netfilter/iptables, mangle 
et leurs potes) augmente considérablement la taille du kernel (sous 
linux, oui). Genre deux fois plus gros.

Le principe est déplaisant.

Francois Petillon a écrit :

Olivier Bonaventure wrote:

Je pense que lorsqu'il IPv6 démarera, il pourrait démarrer rapidement.
Certains s'y préparent activement, voir par exemple la présentation de
google au dernier IETF


Je suis assez dubitatif. Comme il n'est actuellement pas raisonnable 
de proposer aux clients l'IPv6 par défaut (pbm de firewall pas 
compatible, etc.), ceux-ci doivent l'activer. Et tant qu'ils n'en ont 
pas réellement besoin (je le comprend comme tant qu'il n'y aura pas du 
contenu uniquement accessible en IPv6), peu de personnes iront l'activer.


Sur ftp.free.fr (donc le cas plutôt idéal où l'utilisateur est plutôt 
technophile et où les utilisateurs locaux ont accès à l'IPv6), le 
traffic IPv6 représente de 2 à 3% de la volumétrie totale. Ce traffic 
part de 60 à 80% vers des IPs Free, la quasi-totalité du reste vers 
des réseaux universitaire/de recherche/etc.


François
---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



Bah les machines sont devenues tellement puissantes et ont tellement de 
mémoire que pour avoir un ratio load avg/CPU proche de 1, il faut 
virtualiser... (à moins d'avoir de très grosses applications qui 
tournent 24/24 à fond)


Et puis à terme, si IPv4 disparait (d'ici une bonne paire de dizaines vu 
le rythme), on redivisera par deux la taille du kernel :)


--
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Firewall actif/actif

[Pierre Gaxatte]

Benoit Plessis a écrit :

Joel Ramat a écrit :

Bonjour,

Pour ma pars nous n'utilisons que du firewall applicatif ( netfilter 
pour être exact ). Cela couvre l'ensemble de nos besoins actuels avec 
une souplesse que l'on ne peut pas trouver sur des appliance 
propriétaire.


Il est clairement pas possible aujourd'hui de disposer d'un modèle 
actif/actif avec les solutions netfiter ( on parle de synchronisation 
des états dans le cadre d'une bascule vers le fw slave ).
Je pense que la conférence suivante, datant des RMLL de cet été 
peut-être intéressante,

car semblant invalider votre affirmation:
*
Titre :* Haute disponibilité de pare-feux statefull sous GNU/Linux
   http://2008.rmll.info/Conference-Haute-disponibilite-de.html



Bonjour,

J'ai pris le temps de bien lire la présentation (pas encore eu le temps 
de regarder la vidéo par contre).

C'est vrai qu'expliqué comme ça, ça parait tout simple :)

Slide 15 "Supported scenarios" : Je me demande comment ça se passe en 
Multiprimary symétrique (en Dynamic comme il dit dans le PDF, si on doit 
se taper la moitié de son réseau à configurer sur un nœuds comme 
passerelle et l'autre moitié sur l'autre, ça perd un peu son intérêt...).
Un seul des deux nœuds possède l'IP virtuelle et elle bascule quand le 
nœud tombe, non ?
Du coup, si c'est le cas, ça veut dire que si on veut que le deuxième 
nœud s'occupe d'une partie du trafic, il faut faire une sorte de pivot 
(comme sur les Checkpoint) : le nœud qui a l'adresse virtuelle (et qui 
est donc la passerelle par défaut) renvoie une partie de son trafic à 
l'autre nœud pour qu'il s'occupe de filtrer ?


Enfin bon, comme il dit slide 20, tout ça, ça demande encore pas mal de 
doc donc il faut p'tet que je le contacte directement pour le savoir :)


--
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Firewall actif/actif

[Pierre Gaxatte]

[EMAIL PROTECTED] a écrit :
Bonjour, 
Nous utilisons aussi bien pour nous que nos clients des appliance Fortinet

qui sont capables de fonctionner en A/A, de plus c'est assez facile d'emploi
et d'apprentissage pour une équipe (et pas trop cher).

My 2 cents.



Bonjour,

Pour replacer un peu dans notre contexte, nous ne sommes pour l'instant 
qu'en phase de recherche vers une solution évolutive qui pourra 
facilement couvrir les éventuels nouveaux besoins de nos clients. Nous 
proposons des services de hosting (dédié ou mutualisé, pas de virtuel en 
revanche) très personnalisés.


Nous étions parti sur les Cisco ASA 5510 car nous sommes tous pas mal 
familiers avec les produits Cisco et tout notre backbone ainsi que nos 
firewalls actuels (les PIX) sont des Cisco : à première vue ça semblait 
donc naturel de continuer sur cette lancée. Seulement même si on peut 
trouver ce matériel pour pas trop trop cher, le cout des diverses 
licences devient vite problématique pour nous. Notre infrastructure est 
encore très petite et évolue assez lentement.


D'où l'idée de creuser dans du libre sur des plateformes x86 standards. 
En plus ça rajoute la satisfaction personnelle et l'aventure de la mise 
en place et une totale personnalisation (j'ai envie de dire presque sans 
limite) :)


Mais on garde toujours dans un coin de la tête le fait que les 
appliances ont un délai de mise en prod beaucoup plus court et une plus 
grande facilité dans la tâche. En plus de ça on a toujours la possiblité 
d'avoir un support commercial (plus ou moins efficace).


Mais bon, c'est moins funky quoi :)

--
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Firewall actif/actif

[Pierre Gaxatte]

Yacine Kheddache a écrit :

Pas moyen de poster sur la list ! alors voici mon message :

Je transmets en même temps donc !



Bonjour,

A ma connaissance ce type de solution n'existe pas sur Linux
actuellement (pfsync pas dispo...), mais tu peux utiliser le projet
pfsense (http://www.pfsense.com/) et te faire un/deux/... appliances
(boot sur une compactFlash) histoire de ne pas avoir a te pencher sur
l'install et l'admin *BSD.

"Redundancy
CARP from OpenBSD allows for hardware failover. Two or more firewalls
can be configured as a failover group. If one interface fails on the
primary or the primary goes offline entirely, the secondary becomes
active. pfSense also includes configuration synchronization
capabilities, so you make your configuration changes on the primary and
they automatically synchronize to the secondary firewall. 


pfsync ensures the firewall's state table is replicated to all failover
configured firewalls. This means your existing connections will be
maintained in the case of failure, which is important to prevent network
disruptions. 



Limitations
  * Only works with static public IPs, does not work with DHCP,
PPPoE, PPTP, or BigPond type WANs (will be resolved in a future
release) 
  * Requires a minimum of three public IP addresses (will be
resolved in a future release) 
  * Backup firewalls are idle (active-passive failover), no
active-active clustering is possible at this time. 
  * Failover is not instantaneous, it takes about 5 seconds to

switch a backup host to master. During this time no traffic will
be passed, but existing states will maintain connectivity after
failover is completed. This 5 second outage during a failure
isn't even noticeable in most environments."

Sinon après et en fonction de ton budget, tu peux voir les produits
commerciaux. Ex de solution en cluster actif/actif :
http://www.stonesoft.com/en/products_and_solutions/products/fw/features/gateway_clustering/

Cordialement,
Yacine.


Donc si je comprend bien, les doc parlant d'actif/actif ne font pas du 
vrai actif/actif quoi 
Enfin d'un autre côté les ASA non plus, ils sont juste maîtres de 
groupes de VLAN différents sur chaque noeud. Chose qui est largement 
faisable avec du netfilter (certainement avec pf aussi) à mon avis.


Je pense que je ne vais pas passer beaucoup plus de temps à galérer sur 
le sujet et faire un test avec OpenBSD. Mais je trouve ça quand même 
très frustrant que sous Linux il ne semble pas y avoir grand chose de 
solide en la matière !


Jusque là, la seule chose qui me freinait vraiment c'était qu'une part 
personne ne maitrise BSD ici et qu'autre part, OpenBSD en domU sur Xen3 
apparemment c'est pas génial. Mais bon je vais me lancer on verra :)


En tout cas merci pour toutes ces réponses !


PS: Merci Chichi (enfin plus pour m'avoir montré la liste que pour le 
message... :P)

--
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Firewall actif/actif

[Pierre Gaxatte]

Bonjour,

Etant nouveau sur la liste, je vais (très brièvement) me présenter : 
Pierre, ingénieur réseaux et systèmes.


Je me tourne vers vous pour une petite (enfin grosse) question :)

Nous prévoyons en ce moment de changer nos vieux PIX en Failover pour 
une solutoin de firewalls en actif/actif. On était parti à la base sur 
des ASA et finalement j'ai réussi à convaincre mes collègues de tenter 
l'expérience Netfilter avant de se décider (rapport qualité prix 
incomparable, surtout niveau prix :)).


Voilà donc mon problème, je cherche depuis quelques temps une solution 
pour mettre deux firewalls avec Netfilter en actif/actif et j'avoue que 
je m'y perd un peu (VRRP avec conntrack, CARP avec ucarp, keepalived, 
heartbeat,...). A part pour heartbeat que je connais déjà pas mal, j'ai 
du mal à réunir de la documentation et à peser le pour et le contre de 
tout ce qui peut se faire.


A vrai dire les documentations n'ont pas l'air de faire légion dans le 
domaine (ou alors il va me falloir une formation Google...).


De plus n'étant pas du tout familier avec les *BSD, je ne compte pas me 
diriger sur cette voie : je préfère pour l'instant rester sur un système 
que je connais bien, surtout pour des firewalls !


Donc voilà, si quelqu'un avait une petite piste/un avis là dessus, je 
serais très content de l'entendre :)


--
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/