Re: [FRnOG] [BIZ] SD-WAN
Faudrait opensourcer le code d'Outscale dans ce cas Laurent. Parce que c'est facile de développer un produit maison pour ses propres besoins mais quand tu dois prendre les besoins de centaines d'entreprise et orchestrer le développement de milliers de développeurs, c'est plus vraiment la même chose. Mais vous devez avoir raison, la CERN, Tencent, Walmart, Sky, Ebay, Adobe etc font sûrement tourner leur infra sur de l'OpenStack juste parce qu'ils aiment bien souffrir. Et disons que la gconf, le versionning, l'intégration/déploiement continue c'est pas encore ça en réseau, donc forcément, quand on touche à des produits complexes comme OpenStack, ça fait mal ;) Le 20 avril 2018 à 10:29, Guillaume Barrot <guillaume.bar...@gmail.com> a écrit : > Bah faut venir nous présenter ça au Frnog ! > Ca marche sur Vmware ? > > Le 20 avril 2018 à 10:22, Laurent <laur...@seror.com> a écrit : > > > > Bonjour, > > > > > > J'ecris juste pour vous dire que je vous aime. Ca fait maintenant 8 ans > > > que je développe un logiciel qui emule AWS et qui est beaucoup plus > > > puissant qu'Openstack mais tous mes prospects font l'erreur de partir > sur > > > Openstack et passent plusieurs années avant de se rendre compte de la > > > réalité. Je commençais à penser que j'étais fou mais grâce à vous je > sais > > > que je ne suis pas seul à avoir un regard critique sur Openstack :). > > > > > > > L. > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > > > -- > Cordialement, > > Guillaume BARROT > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- *Romain GUICHARD * *| rguich...@vsense.fr <rguich...@vsense.fr>Cloud engineer at Osones <http://osones.com/> ~ Blog <http://blog.vsense.fr> * --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] FRNOG 25.0 - BETA
Le 11 septembre 2015 16:53, Méhdi Denou <mehdi.de...@gmail.com> a écrit : > Si les étudiants du domaine on du mal à s’intéresser au sujet central de > leur formation ( et accessoirement, leur futur métier), peut être que le > problème n'est pas dans "l'accessibilité" de la liste... > > Je pense que vous surestimez grandement la volonté de la majorité des étudiants. La plupart se contentent très bien des polycopiés de cours et n'ont aucune envie d'aller approfondir certains sujets. Les ingés réseau formés n'auront pas tous la capacité/volonté de participer au FRnOG. Quant aux étudiants qui arrivent jusqu'au FRnOG (la plupart ignorent son existence, soyez en conscient), ce sont ceux qui ont à la fois eu la chance d'avoir choisi leur formation (meme à bac+3/4, certains ne savent pas trop où ils sont et pourquoi ils y sont), qui sont passionnés par leurs études et qui ont l'envie d'aller plus loin. C'est triste que le rapport ne soit pas inversé, mais c'est comme ça. > Le 11 septembre 2015 16:39, David Ramahefason <r...@netfacile.net> a > écrit : > > > Ca ne sort pas un peu / bcp du scope/but de cette liste ? > > On est toujours ouverts à aider (pas assister, dernier truc à la mode) > les > > personnes qui posent des questions. > > > > Cdt. > > > > David R. > > > > Le ven. 11 sept. 2015 à 16:30, Grégory Chaudemanche < > > gregory.chaudeman...@univ-rouen.fr> a écrit : > > > > > Bonjour, > > > > > > Je suis tout à fait d'accord. > > > > > > Pour autant (c'est au moins mon constat d'enseignant), les étudiants > > > rechignent à s'intéresser aux discussions, qui leur paraissent bien > loin > > de > > > leurs études ou de leurs intérêts, même si les discussions sont au > > > contraire > > > au centre de leur domaine d'études. > > > Leur dire "allez voir parce que c'est génial" ne suffit malheureusement > > > pas, > > > et nous ne pouvons pas toujours inclure au mieux ce type d'activité > dans > > > nos > > > enseignements. > > > Je suggère donc de réfléchir à une manière d'intéresser ces jeunes pour > > > leur > > > faire connaître et pratiquer, au moins en lecture, et de manière > > autonome, > > > les discussions : je parle d'incitation, c'est presque de la Comm ! > > > Un thème spécifique dans la liste peut être une idée, mais ce n'est > > qu'une > > > idée à l'état d'idée : il faut la creuser et essayer de voir où les > > > intérêts > > > des uns et des autres peuvent se retrouver. > > > Peut-être qu'un effort sur l'aspect graphique du site pourrait aussi > > jouer. > > > Nous avons des formations de Comm qui ne demandent qu'à plancher sur > des > > > projets "réels". Il existe encore des institutions ou des fédérations > qui > > > pourraient aider financièrement à l'impression d'affiches : une > publicité > > > "officielle" modifie parfois radicalement le regard sur le "produit". > > > Peut-être qu'en jouant sur la parure tout en développant une adresse > plus > > > explicite aux étudiants, voire en prenant en compte explicitement leurs > > > préoccupations d'étudiants R, on peut arriver à accroître le public > de > > > FRNOG : c'était l'idée de base, parce que je trouve cet outil d'échange > > > particulièrement intéressant mais insuffisamment connu, insuffisamment > > > pratiqué en tout cas par les étudiants, et pardon à tous ceux qui se > > > donnent > > > à fond pour que la machine tourne, mais c'est encore une fois un > constat > > : > > > rébarbatif pour nos jeunes cerveaux. Certes, l'objectif n'était pas de > > > créer > > > une ambiance jeux vidéo ;) > > > > > > Grégory. > > > > > > -Message d'origine- > > > De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la > part > > > de > > > Simon Morvan > > > Envoyé : vendredi 11 septembre 2015 15:51 > > > À : Liste FRnoG <frnog@frnog.org> > > > Objet : Re: [FRnOG] [MISC] FRNOG 25.0 - BETA > > > > > > On 11/09/2015 12:39, Grégory Chaudemanche wrote: > > > > Je pense utile de réfléchir à élargir la liste aux futurs > > professionnels. > > > Je ne comprend pas : > > > - la liste n'est pas limitée, quiconque peut s'inscrire ; > > > - quel contenu voudriez vous proposer qui ne soit pas déjà présent dans > > les > > > contributions actuelles ? > > > > > > Les conversation que l'on peut suiv
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Le 27 février 2015 13:34, Christopher Johnson christopher.john...@euskill.com a écrit : Le 2015-02-27 08:35, Amaury DUCHENE a écrit : Bonjour, A qu'elle hauteur devez vous mitiger les attaques ? Les attaques sont essentiellement le soir, le mercredi, le week-end, et en période de vacances. Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis Internet ;) Cordialement, On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte fdelmot...@mac.com [1] wrote: Il y a aussi les produits de Andrisoft et flowtraq Fabien On Feb 26, 2015, at 9:26 PM, Raphael Mazelier r...@futomaki.net wrote: Le 26/02/2015 21:10, Jeremy a écrit : Prend une licence chez Wanguard va :) Je trouve que ce soft a un très bon rapport qualité/prix. Évidement c'est loin d’être parfait, mais à ce tarif c'est imbattable. Le support est réactif qui plus est. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Links: -- [1] mailto:fdelmot...@mac.com --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ -- *Romain Guichard* * | rom...@rguichard.fr rom...@rguichard.frNetwork and Cloud engineer* *~ Blog http://blog.vsense.fr * --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Adresses ipv4 PI
Le 26 février 2015 16:49, Sylvain Vallerot sylv...@gixe.net a écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 25/02/2015 08:57, jeremy gervais wrote: Bonjour, Une discussion dans ma société a été d'acheter des adresses IP n'appartenant pas à un opérateur pour avoir davantage de liberté sur d'éventuelles modifications dans l'avenir. Bonjour, Ce n'est pas possible, pour plusieurs raisons. D'une part les adresses PI (provider independant) par définition s'obtiennent du Ripe directement, or le Ripe n'en distribue plus depuis 2010. D'autre part les blocs PI ne se vendent pas, seuls des blocs alloués de taille /22 ou supérieur peuvent actuellement se négocier, et pour cela il faut être un LIR. J'ai du rater un truc, mais y'a pas une contradiction ? D'un coté le RIPE ne distribue plus de PI depuis 2010 et de l'autre, si vous êtes LIR, vous pouvez espérer obtenir un /22. Il sort d'où ce /22 ? Enfin (mais je pinaille), les adresses IP ne se vendent tout simplement pas, vous ne pouvez acquérir que certains droits d'usage qui sont révocables par le Ripe et/ou par le LIR via lequel vous les obtenez, (et dans ce dernier cas selon la convention qui vous lie au LIR c'est à dire en général un contrat de service). On serait sur une plage intérieure à un /24. Du à la pénurie des adresses ipv4, est-il difficile aujourd'hui de ce voir attribuer ce genre d'adresse ip? Je vois qu'il est demandé de fournir un document pour justifier une telle demande. Selon les relations que vous entretenez avec le fournisseur différentes choses vous seront demandées. Si vous vous adressez à certains opérateurs qui ne vous procureront des IP que pour mieux vous vendre avec des services liés à plus forte valeur ajoutés, on vous demandera surtout à signer un contrat qui concerne ces services. Si vous vous adressez au Ripe, il vous sera demandé plus de justifications votre existence et sur vos usages. Je souhaite savoir également par quel organisme/société RIR sur Paris pouvons-nous passer pour acheter des adresses ipv4 publiques PI afin qu'elle gère la partie administrative et demande au RIPE. OBS ne le permet pas. Il en existe, à ma connaissance, très peu qui vous permettent d'approcher votre besoin selon l'une des méthodes suivantes : 1) vous mettre à disposition des adresses PA mais garanties non routées, qui vous permettront un usage similaire à ce que vous feriez avec des PI 2) vous accompagner dans la démarche de devenir LIR, mais c'est vraiment vous compliquer les choses que de sous-traiter cela à un prestataire car la démarche est très bien balisée et guidée par le Ripe, un intermédiaire ne fera donc que rajouter des frais, de la complexité et des délais. Pour le 1) je vous conseille de me contacter en privé puisque je gère la coopérative Opdop dont c'est actuellement la seule et unique fonction que de répondre à de tels besoins, et qui est à ma connaissance la seule entité qui ait été fondée pour présenter les garanties que vous êtes susceptible de rechercher ici : neutralité, indépendance, stabilité. Pour le 2) la bonne source d'information se trouve sur le site du Ripe, https://www.ripe.net/lir-services/member-support/become-a-member et si vraiment cela vous semble obscur ou que vous avez besoin d'avoir une aide, passez moi un coup de fil (mon numéro sur le site de Gixe http://www.gixe.net) pour quelques explications. Bien cordialement, -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.12 (GNU/Linux) iF4EAREIAAYFAlTvQHcACgkQJBGsD8mtnRGLCwEAx/K/j0m+E9DfaO8mSTrHZXqr x4R3yMuQULIIq9Y0Wj0BAJ7tH8u5Ak8jxjTSDn7TeeMuFKoaSyHo++P/rkCqeTlH =0vU4 -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/ -- *Romain Guichard* * | rom...@rguichard.fr rom...@rguichard.frNetwork and Cloud engineer* *~ Blog http://blog.vsense.fr * --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Adresses ipv4 PI
Le 26 février 2015 17:01, Clement Cavadore clem...@cavadore.net a écrit : On Thu, 2015-02-26 at 16:58 +0100, Romain GUICHARD wrote: D'autre part les blocs PI ne se vendent pas, seuls des blocs alloués de taille /22 ou supérieur peuvent actuellement se négocier, et pour cela il faut être un LIR. J'ai du rater un truc, mais y'a pas une contradiction ? D'un coté le RIPE ne distribue plus de PI depuis 2010 et de l'autre, si vous êtes LIR, vous pouvez espérer obtenir un /22. Il sort d'où ce /22 ? Ils ne distribuent plus de PI, mais sont toujours capables de faire des alloc PA de taille /22 aux nouveaux LIRs (et aux LIRs existants qui n'ont pas eu d'alloc depuis 2010). Mais finalement si on alloue un PA à un LIR, pour lui, ça ne fait aucune différence que ce soit un PA ou un PI ? La différence ne se fait que pour une entreprise n'ayant pas la status de LIR et devant passer par un opérateur pour gérer ses IP. -- Clément Cavadore -- *Romain Guichard* * | rom...@rguichard.fr rom...@rguichard.frNetwork and Cloud engineer* *~ Blog http://blog.vsense.fr * --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Serveurs pour cloud
Le 21 janv. 2015 22:55, Laurent Seror laur...@seror.com a écrit : Hello, le mieux pour faire du vrai Cloud, c'est Cisco UCS car cela permet d'avoir des APIs aussi sur la partie baremetal. Il y a plein de gens qui ne seront pas d'accord avec moi sur cette liste, je donne juste mon avis issue d'une étude avec tests de tous les constructeurs du marché. Nous avons aujourd'hui un millier de ces bécanes et c'est moins cher qu'on le croit au final. UCS n'embarque à ma connaissance que du vmware. Même si je me trompe la dessus, monter du cloud (automation, time to market, hypervision du stockage et du réseau etc) sur du vmware ça va te coûter les yeux de la tête et te faire intégrer un sacré paquets de techno pure vmware (nsx, vsan, vCac, vCO etc). Clairement pas la bonne optique pour du vrai cloud. Le vrai cloud ça se monte comme l'a dit Raphaël sur du matos standard, rapidement disponible, sans aucun lien/partenariat avec tel ou tel hyperviseur. Pour ce que ça vaut, j'aurais tendance à recommander HP ou supermicro si disponible. L. Le 21 janvier 2015 22:14, David Ponzone david.ponz...@gmail.com a écrit : T’as pas accès à Supermicro ? Le 21 janv. 2015 à 21:45, Olivier GUIN olivier.g...@ariasnet.com a écrit : Bonjour, Dans le cadre d'un projet nous recherchons un type de serveur idéal pour du cloud de type cloudstack/openstack ainsi que pour du BigData. Situé en Guyane Française, le choix des constructeurs présents reste très limité, a part HP, IBM/Lenovo c'est le désert ! Nous disposons déjà de plusieurs IBM et SUN (d'époque anté Oracle) gavés de CPU et de RAM avec comme hyperviseur XEN, VMware et un peu de proxmox. Évidement je recherche le ratio performance/prix :-) sachant que mes frais d'approche sont d'environ 30% :-( Avez-vous des retours d'expérience sur ce genre de serveurs, que pourriez-vous me conseiller ? Pour le SAV, je m'arrange toujours pour avoir un minimum de stock sur place .. les délais d'appro même en chronopost reste d'environ 8 jours. Cordialement, Olivier GUIN --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Best Regards - Cordialement [image: Outscale, le Cloud Francais] https://www.outscale.com Laurent Seror, President Tel : 0826.206.307 (poste 101) Fax : +33.1.83.62.92.89 [image: Facebook] https://www.facebook.com/outscale [image: Twitter] https://www.twitter.com/outscale [image: Google+] https://plus.google.com/b/100656673964345909019/ IMPORTANT: The information contained in this message may be privileged and confidential and protected from disclosure. If the reader of this message is not the intended recipient, or an employee or agent responsible for delivering this message to the intended recipient, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error, please notify us immediately by replying to the message and deleting it from your computer. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur pour PME
Le 21 janvier 2015 11:03, JANCZAK Jean-Christophe jc.janc...@yahoo.fr a écrit : Vyatta c'est devenu commercial. Je n'ai pas trouvé de lien pour le télécharger librement comme avant. Mais ça c'était avant ! ;-P Par contre il y a http://www.vyOs.net , le fork open source gratuit non commercial. Mais sans interface GUI. VyOS est à peu près au même niveau que Vyatta avant le rachat par Brocade. La GUI ne faisait de toute façon plus parti du Vyatta gratuit depuis un bon moment. VyOS c'est très bon si vous avez juste du routage à faire, la CLI c'est du juniper-like. Si les besoins sont plus conséquents (portail captif, dhcp avancé etc), partir sur pfSense (ou OPNsense, un fork) parait plus judicieux. Et en fin de compte le plus simple en vm pour moi c'est http://www.zeroshell.net. Ça marche aussi sur du hard ou de l'embarqué. Mes 3 cents. Colt, Jean-Christophe. Message envoyé depuis un terminal embarqué / Message sent from an embedded terminal. Le 21 janv. 2015 à 08:56, Simon Morvan gar...@zone84.net a écrit : Le 21 janvier 2015 00:34:13 CET, David Ponzone david.ponz...@gmail.com a écrit : Si je veux un routeur backbone pour BGP ou pour protéger/NATer des VM, je mets un Vyatta sur un serveur ou dans une VM. Quitte a utiliser un serveur ou une vm, moi j'y met un OpenBSD. En routeur de backbone comme en routeur de PME, d'ailleurs. BGP, OSPF, PPPoE, PPTP/L2TP/IPsec, NAT filtering, HAClustering, ... Stable, uptime de fou, prix, ... Faut juste qualifier un minimum le matos, mais ça serait pareil avec du Vyatta. -- Simon --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- *Romain Guichard* * | rom...@rguichard.fr rom...@rguichard.frNetwork and Cloud engineer* *~ Blog http://blog.vsense.fr * --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fournisseur VPS zone Asie/Pacifique
Le 26 juin 2014 15:48, greg g...@doodoo.darktech.org a écrit : On 06/26/2014 11:52 AM, Simon Morvan wrote: (C'est peut-être BIZ, mais bon...) Est-ce que vous auriez un fournisseur de VPS a me conseiller, localisé (d'un point de vue réseau) en zone Asia Pacific, idéalement à Singapour, pour prendre une box quelques heures et faire des tests réseaux vers l'europe ? Merci d'avance ! Bonjour, AWS a un DC à Singapour, il suffit de sélectionner la région us-east-1 sur la console. Greg C'est plutôt ap-southeast-1 pour la région AWS à Singapour. Us-east-1 c'est en Virginie. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'Internet européen
Je ne pense pas que le problème se situe au niveau du réseau. Si je discute avec Bob en Europe, ça reste en Europe. Si nos données transitent par les US c'est que le contenu auquel on veut accéder s'y trouve. Si on veut que nos données restent sur le vieux continent, c'est par là qu'il faut creuser. Des services comme Gmail n'ont pas des serveurs uniquement aux Etats-Unis, mais même ceux en Europe sont soumis au droit américain. Alors bon, les données peuvent circuler en Europe, je ne vois pas en quoi ça protégera de l'espionnage. Le 17 février 2014 10:40, Alarig Le Lay ala...@swordarmor.fr a écrit : L’idée n’est pas de faire un réseau limité à l’Europe mais d’éviter que tout passe systématiquement par les USA. Ça permettra à la fois d’éviter l’espionage des USA (au profit de celui de l’Europe) et de contribuer au côté décentralisé du net, je trouve l‘idée bonne pour ma part. Par contre la mise en œuvre risque de poser quelques problèmes. -- Alarig Le Lay From Rennes, France https://swordarmor.fr/ -- *Romain Guichard* * | rom...@rguichard.fr rom...@rguichard.frNetwork and Security engineer* *~ Blog http://blog.vsense.fr * --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?
Le 24 janvier 2014 14:42, Xavier Beaudouin k...@oav.net a écrit : Hello, Le 23 janv. 2014 à 15:54, Nathan delhaye cont...@nathan-delhaye.fr a écrit : - La biométrie est inutile et contre-productive Je ne suis pas d'accord avec toi. Certes à Redbus avec leur scanner rétinien à la noix c'était infâme, mais chez Eqx par exemple (où les accès sont rapides et simples au passage), le scanner de la main marche très bien. Si t'a du doigté et que t'es anti-microbes, t'a même pas besoin de poser vraiment la main dessus :-) Je ne suis pas d'accord avec toi. Je passe souvent a Equinix et a chaque fois je suis obligé de me re-enroller pour un accès temporaire (n'ayant pas d'accès permanent). J'ai essayé de leur faire comprendre que c'était pour leur faire gagner du temps, mais non re-enroll à chaque fois aussi... C'est ca que j'appelle contre productif. En plus de 10 minutes perdues a trouver mon ACL, il faut aussi qu'on attendent l'enrôlement... Encore je parle pas des machins a emprunte digitale qui sont une putain de plaie. J'ai vu une seule fois le truc mis en défaut. Mais le presta avec moi avait une main plus grande que le détecteur alors c'était compliqué. Mis à part ça, je n'ai jamais eu de problème, ça marche 99% du temps et c'est plutôt rapide. Non à Equinix c'est clairement le fait de devoir se réenregistrer à chaque fois + le fait que les mecs du PCS te parlent par signes à travers la vitre qui est exaspérant. Le seul truc potable (a part l'interface d'enrôlement pourrie en java) c'est les machins biovein. /Xavier -- *Romain Guichard* * | rom...@rguichard.fr rom...@rguichard.frNetwork and Security engineer* *~ Blog http://blog.vsense.fr * --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?
Le 20 janvier 2014 14:51, Sylvain Vallerot sylv...@gixe.net a écrit : On 20/01/2014 12:22, Bruno CAVROS / SKIWEBCENTER wrote: Dans le cas d'un vieux Datacenter du 11 eme -Gestion des accès par mail non authentifié un fake mail passe sans soucis. Les listes d'accès admettent un mot de passe à présent. Et ca devrait s'améliorer encore avec le portail qui est en cours de test. -Resté 5 Heures une nuit sur le boulevard devant la porte, le gardien et le PCS n'avaient pas raccrochés leurs téléphones. A ça arrive semble-t-il... Il y a clairement un défaut à ce niveau, ou quand le gardien part en ronde. J'en parlerai à Dom. -Resté 9 Heures à attendre jusqu'au matin, je n'étais soit disant pas permanent.. j'avais un k bis pour prouver que j'étais gérant mais rien à faire. etc Curieux sur le DC dont tu parles, la liste papier résoud facilement le problème en principe. Sur un autre DC par contre j'ai des intervenants qui ont été refoulés à l'entrée parce que la case mail de la liste d'accès était vide... Les autres fois souvent très long pour avoir un badge et.. ensuite redescendre pour leur rappeler d'ouvrir les baies. Il y a des téléphones aux étages depuis quelques années. Le genre de chose qu'on aimerait avoir chez Equinix où les distances sont bien supérieures et la réactivité des agents donne des envies de sang. Y'a ça à PA4 (de mémoire à PA3 aussi non ?). C'est bien, ça répond très vite généralement. A coté de ça niveau sécurité physique aucunes portes solides ni blindées, Franchement je me demande si c'est utile de faire plus. OK je reconnais qu'il y a des sites sur lesquels l'intégrité physique des agents doit effectivement être préservée des intervenants au bord de la crise de nerfs. des baies laissées ouvertes plusieurs jours, on a eu des vols de spare etc. La plupart des racks s'ouvrent avec un tournevis de toutes façons, et quel que soit le site en salle mutualisée. Que dire des racks installés en série qui s'ouvrent tous avec le même pass, genre minkels... Un code à 3 chiffres ça se bruteforce en 30min si on va par là. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- *Romain Guichard* * | rom...@rguichard.fr rom...@rguichard.frNetwork and Security engineer* *~ Blog http://blog.vsense.fr * --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Et sinon les solutions de mitigation DDOS ? 0:) OK, Arbor c'est cool, c'est la solution, ça coûte cher. Est-ce qu'il existe d'autres solutions ? Avec quels compromis ? Au passage Raphael, citer 42 c'était vraiment très drôle ;) Le 15 octobre 2013 15:56, Raphael Maunier raph...@maunier.net a écrit : Sauf que tu ne peux pas te considérer comme un ingé purement universitaire. Tu fais partie d'une infime minorité de gens qui sont curieux au delà de la pure théorie ! Tu l'as mentionné : expérimentation perso / potes. Le nombre de mec que je vois encore tenter de faire des reseaux en eigrp, c'est juste une folie. Cisco ( comme Microsoft ) a bien réussi son matraquage en filant du matos / licences aux universités :) Cependant, lorsqu'on a un mec de formation universitaire, curieux et qui a plutot une vision technique ( et pas académique ), son approche au final sera plus structurée qu'un mec purement terrain, et bien souvent la combinaison des 2 est assez efficace :) Je reste cependant sur ma position qui est que un simple universitaire sans aucune expérience terrain n'est pas efficace. Et ce dont nous (lorsque l'on recrute ) avons besoin ce sont des gens efficaces. Et aussi, un dev qui se décide à faire du réseau aura une compétence plus large qu'un mec qui ne sait pas coder, sur ce point , je suis entièrement d'accord avec toi Raphael Le 2013-10-15 13:12, Raphael Mazelier a écrit : Le 15/10/2013 10:03, Raphael Maunier a écrit : La reconnaissance de l'universitaire dans notre monde Internet/Telecoms/Content est ton principal problème. Pour ma part, lorsque j'ai eu en face de moi des ingénieurs issue de la filière école et alternance, ils étaient très largement préférés pour plusieurs raisons : - Ils sont quasiment directement opérationnel - Ils ne confondent pas Datacenter neutre : Datacenter opéré par FT qui est obligé de louer une partie parce que L'ARCEP le demande ( si si on me l'a fait ) - Ils ne me parlent pas 99% du temps théorie et m'apportent des solutions concrètes. - Ils ont une expérience terrain validée - […] Je prendrais également un mec qui a zéro diplômes et qui a déjà bossé et qui est connu pour ce qu'il a fait et non pour ce qu'il annonce sur son CV Le soucis c'est la méthode d'enseignement universitaire en France qui est trop élitiste, qui pense qu'un bon bourrage de crâne à l'ancienne est ce qu'il faut faire. De ce que j'ai pu voir, et beaucoup de mes confères le confirmeront, un mec qui sort de 6 ans d'études en université est useless pour notre métier. A l'exception des gens comme Criteo par exemple, qui ont besoin de mecs qui lorsqu'ils te parlent tu ne comprends pas plus de 3 mots. Mais c'est 1 personne pour 100. Le monde universitaire doit s'adapter au monde , je déteste cette expression, du numérique. Pourquoi tu crois que des initiatives comme 42 existe ? Pourquoi tu crois que des gens comme ionis sont en constante évolution ? Tout simplement parce qu'il faut aussi fabriquer des gens directement opérationnel. C'est moche, mais c'est comme ça. L'université fabrique des cerveaux certes, mais inadapté pour nous ( informatique / réseau j'entends en histoire, il en faut des universitaires par ex ). Le jour ou ils iront en entreprise avant de valider leurs diplômes, on devrait enfin commencer à avoir des gens opérationnel rapidement. ( je ne parle pas des rares exceptions qui confirment la règle ) On dérive complétement du sujet initial; mais ce débat est très intéressant. (malheureusement cela va partir en flamewar.) Je penses que tu as raisons sur le fait qu'il faut avoir des gens directement opérationnels. Pour cela l'alternance, epitech, 42 whatever font leur taff. Mais je penses aussi que tu as en parti tord sur le fait que l'université produit des gens inadapté, mais c'est sans doute du à mon parcours 100% universitaire (DUT,licence,maitrise,DESS). Ces formations ne m'ont pas aidé à être opérationnel, cela je l'ai appris à coté (expérimentation perso, potes). En revanche mes formations m'ont permis d’acquérir les bases théoriques indispensables à la pratique de mon métier. J'ai pu appréhender toutes les technos que je voulais, et si aujourd'hui je fais pas mal de réseau, rien ne m’empêchera un jour de faire du dev si ca me chante, et j'ai le sentiment que c'est grâce à mes formations, et c'est ce que devrait apporter une formation, l'adaptabilité, et apprendre à apprendre. Le truc c'est qu'aujourd'hui on nous sort que notre système universitaire est obsolète, qu'il faut former des mecs opérationnels tout de suite. Fort bien. Mais ça les chinois et les indiens vont aussi savoir le faire. Quel plus value pour les ingénieur français ? C'est peut être ton besoin aussi et le besoin de pas mal de société. OK. Mais c'est un très mauvais pari sur le long terme à mon avis. En conclusion je crois surtout qu'il n'y a pas de règle générale et ce qui fait la différence c'est la passion
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Dans le thread où Jérémy parlait de son suicide, Philippe Bourcier avait brièvement parlé de http://www.packetdam.com/ Est-ce que quelqu'un a un retour d'expérience sur le produit ? Concernant Arbor, celui doit obligatoirement se trouvé sur le réseau de l'opérateur ? Dans le cas d'un hébergeur ne disposant que de quelques transit IP, est-ce une solution pertinente ou est-ce aux opérateurs de transits de la mettre en place ? Le 14 octobre 2013 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 2960 connaitre utilisation trafic ipv4 et ipv6
N'importe quel système de supervision te graphera le trafic v4 et v6. C'est au niveau de la supervision qu'il faut regarder, pas au niveau du switch et ne pas essayer de réinventer la roue en codant quelque chose qui existe déjà ;) Le 5 septembre 2013 10:54, Antoine Durant antoine.duran...@yahoo.fr a écrit : Bonjour, Je suis en train de me poser la question suivante concernant mes switchs cisco 2960 : - Est-il possible d'avoir une idée du trafic qui passe en IPV4 et en IPV6 ? J'ai en tête d'essayer de me faire des graph afin d'avoir le trafic v4 et v6... Je n'ai pas encore cherché sur le switch (si une commande existe pour avoir le trafic v4 et/ou v6) si je pouvais coder cela afin de me faire les remontées d'infos... Avez-vous une idée ci cela est possible (un script ou un truc qui permet d'arriver à ce que je cherche ?) Bonne journée ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Auto hébergement
Est-ce que juste attendre une offre fibre grand public près de chez toi ne suffirait pas ? Orange propose du 50Mbps en UL chez moi. Tu sembles être parti super loin pour juste mettre un serveur chez toi... Le 28 juin 2013 22:21, Network Info Haillicourt cont...@network-info.fr a écrit : Dettes douIzzz ??? Ok c’est pour un hébergeur de fichiers Je suis dans le 62 et je souhaite juste gérer moi-même mes serveurs Changer / ajout de disques, migrer les données … Je rêve ? De : Laurent Quillerou [mailto:laurent.quille...@gmail.com] Envoyé : vendredi 28 juin 2013 21:39 À : Network Info Haillicourt Cc : frnog@frnog.org Objet : RE: [FRnOG] [MISC] Auto hébergement Dettes douIzzz On Jun 28, 2013 11:55 AM, Network Info Haillicourt cont...@network-info.fr wrote: Ma question est vraiment sérieuse, je n’aurais pas ce privilège de débuter ce sport hebdomadaire ! J’ai juste épuisé les docs et vidéos sur le sujet et je suis avide de compréhension Désolé si je pollue la liste et merci à ceux qui ‘m’ont répondu et me répondront ! De : Xavier Lemaire [mailto:xav...@zelites.org] Envoyé : vendredi 28 juin 2013 20:17 À : Network Info Haillicourt Objet : Re: [FRnOG] [MISC] Auto hébergement Bonjour, Comme on est vendredi et que c'est le troll. Est ce que votre question est sérieuse ou est ce que c'est une blague ? Bien cordialement Le 28 juin 2013 19:14, Network Info Haillicourt cont...@network-info.fr a écrit : Bonjour Si on je veux hébéger moi même mon service à forte bande passante Il faut trouver un raccordement fibre mais où ? tarif ? Ensuite on lui met un modem fibre et on achète du récurrent ? c'est tout ? tarif gratuit si 1Gb/s vu dans les vidéos ?? Qui me donne mon ip, l'opérateur ? donc je dois me déclarer opérateur ? Ou prendre un contrat chez un opérateur englobe la connexion et le récurrent ? Bref c'est encore un peu flou pour moi et je me perd avec les termes Merci d'avance pour ceux qui prendront la peine de m'éclairer ! -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Jérôme Nicolle Envoyé : mardi 25 juin 2013 01:18 À : frnog-m...@frnog.org Objet : [FRnOG] [MISC] Vidéos enfin dispo Plop, Je viens de voir, totalement par hasard, que les vidéos du dernier FRnOG sont enfin en ligne. Toutes ? Non ! Une vidéo compromettante a été censurée par notre BDFL ! Allez Alec, soit pas lâche, assumes un peu ;) Bref, c'est dispo là : http://www.frnog.org/?page=meetings http://www.frnog.org/?page=meetings http://www.frnog.org/?page=meetingslang=fr lang=fr lang=fr @+ -- Jérôme Nicolle 06 19 31 27 14 tel:06%2019%2031%2027%2014 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Xavier Lemaire Fax 33 244 84 05 15 TEL FR 33 2 22 06 41 02 GSM Morocco 212 6 58 30 01 81 xav...@zelites.org --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Sur une batterie de tests de plusieurs éditeurs il y a quelques jours, Fortinet s'en est le mieux sorti notamment sur la détection AV (quasi 100%) et IDS/IPS. PaloAlto et Stonesoft suivaient derrière. En L3/L4, j'ai pas retenu les perfs mais tout le monde s'en sortait bien à gamme égale. Les ingés CheckPoint avaient apparemment utilisé une nouvelle version du firmware et le firewall est devenu une vraie passoire... Le 26 juin 2013 14:58, Adrien Pestel pestoui...@gmail.com a écrit : De ce que j'ai entendu PaloAlto meilleur analyse L7 mais très cher pour les volumes importants. Pour ma part je suis fan de stonesoft :) Adrien Le 26 juin 2013 14:22, Sylvain Busson bus...@nic.fr a écrit : Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) PaloAlto le fait super bien (le meilleure à mon avis en l7/IDS/IPS/Antivirus). Mais faut sortir les Sesterces... Et se blinder coté CNIL car les rapport sont touffu. Mais la gestion des droits et prévu pour. Le 26/06/2013 14:16, Youssef Ghorbal a écrit : Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ACL ip access-list deny/permit switch cisco
Oui c'est normal, les numéros de séquence ne sont pas sauvegardés et disparaissent donc au reboot. Le reséquençage peut être paramétré : ip access-list resequence ton_acl int int Le 19 juin 2013 15:59, Antoine Durant antoine.duran...@yahoo.fr a écrit : Bonjour, Est-ce que cela est normal lors d'un reboot du switch que les N° de séquence ne soient plus ceux que j'avais rentré ? avant reboot ip access-list extended ACL_IP 10 permit ip any host x.x.x.x 20 deny ip any host x.x.x.x 1010... 1020 ... 65000 deny ip any any 65010 permit ip any host X.x.x.x avant reboot ip access-list extended ACL_IP 10 permit ip any host x.x.x.x 20 deny ip any host x.x.x.x 30 ... 40 ... 50 deny ip any any 60 permit ip any host X.x.x.x --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
