Re: [FRnOG] [TECH] mini serveur domestique

2018-10-16 Par sujet Florian Haller-Casagrande 
Hello,


Installation perso chez moi aussi, trucs de récup, blablabla... Proxmox
+ NAS etc, je passe dessus.


Juste pour donner une piste intéressante : j'ai toujours été limité côté
connectique SATA, je devais éclater mon stockage sur plusieurs tours
(pour les VM, le NAS, etc), et je rajoutais des cartes PCI pour avoir
des ports en plus, mais ça devenait médiocre côté performances (et
câblage, et configurations).

Du coup j'ai opté il y a deux ans pour une LSI Logic SAS2008, flashée en
IT (pour faire du passthrough pour ZFS), et c'est une petite révolution
dans ma tour : performances au top, câblage aux petits oignons, de la
place sur ma carte-mère pour le RAID1 OS + 2 SSD en cache.


Je recommande, pour pas trop cher.


FHC


On 10/16/18 8:15 AM, Olivier Lange wrote:
> Salut,
>
> voila ma conf que j'ai a la maison:
> - CM: Asus A88XM-A (6 ports Sata, dont 1 pour le SSD du systpème et jusqu'a
> 5 pour mes DD dans mon cas)
> - AMD A6
> - 16Go de RAM DDR3
>
> Une petite alime silencieuse de 350W
>
> Et j'ai un serveur Proxmox à moins de 400€ avec 12To de disque, un proc
> correcte et de la RAM pour faire de la virtu.
>
> Olivier
>
> Le lun. 15 oct. 2018 à 08:40, Olivier Lange  a écrit :
>
>> Je te fais ca ce soir.
>>
>> Olivier
>>
>> Le lun. 15 oct. 2018 à 08:39, Mbaya MUSAMPA  a
>> écrit :
>>
>>> Olivier,
>>>
>>> Merci pour l'info.
>>> Cette solution peut en effet me convenir.
>>> Serait-il possible, si tu as le temps, de m'envoyer les références de tes
>>> materiels?
>>>
>>> Merci
>>>
>>>
>>>
>>> Le dim. 14 oct. 2018 à 19:35, Olivier Lange  a
>>> écrit :
>>>
 3VM sur un raspberry? Ca devient chaud. Surtout que l'on est pas en x86,
 mais en ARM.

 De mon coté, j'ai pris une carte mère avec pas mal de bord Sata (j'ai 5
 disques de 4To en Raid 5 dessus), sur base AMD (moins cher que de l'intel
 et parfait pour de la virtu), 16Go de RAM. Et avec un
 proxmox/KVM/VMWare/Xen selon tes préférences, tu monde ce que tu veux.

 Mais commencer a vouloir cumuler virtu, stockage, pas cher et resapberry,
 il y a 1, voir 2 paramètres qui sautent...

 Olivier

 Le dim. 14 oct. 2018 à 18:56, elonga bopeto  a
 écrit :

> Merci pour vos retours.
> Après un rapide tour sur le site de synology, il semblerait que seuls
> quelques os soient supportés en virtualisation. Pas de fortigate ni
 vyatta
> ni pfsense...
>
> Quand aux raspberry et consorts, il est possible d'y installer un
> hyperviseur bare metal afin d'y virtualiser à minima 3 vm?
>
>
>
> Le dim. 14 oct. 2018 à 18:37,  a écrit :
>
>> Un syno + son gestionnaire de vm (intégré) = solution domestique
 parfaite
>> :)
>>
>>
>> *Kevin LABECOT*
>> Responsable Infrastructure
>> Service Informatique
>>
>> *1001pneus* 
>> 4/6 cours de l'intendance
>> 33000 Bordeaux
>>
>> *Envoyé depuis mon mobile* *Tel:* 05 35 54 31 10
>> *Mob:* 06.08.46.96.50
>> *Fax:* 01.83.64.28.70
>> *E-mail:* kevin.labe...@1001pneus.fr
>>
>>
>> Le 14 oct. 2018 à 18:26 +0200, Guillaume Tournat <
 guilla...@ironie.org>,
>> a écrit :
>>
>> En solution à la maison, j’ai un Synology
>> Ça permet de faire plein de choses
>>
>>
>> Le 14 oct. 2018 à 18:10, elonga bopeto  a
 écrit :
>> Bonjour la communauté,
>>
>> Je cherche une solution silencieuse, faible encombrement, faible
>> consommation électrique et faible coup, afin de faire tourner quelques
>> services à mon domicile.
>> Je pense à un NAS pour backuper google drive/photo, un serveur web et
 un
>> reverse proxy ainsi qu' un firewall pour sécuriser le tout (VM
 Fortigate
>> ou
>> Vyatta ou pfsense ou d'autres...)
>> Il me servira également à réaliser mes labs.
>>
>> Quel solution physique, logicielle et architecture me
 conseillerez-vous?
>> Merci pour vos retours
>>
>> Cordialement,
>> Elonga
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>>
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] NAS en logiciel libre

2018-04-17 Par sujet Florian Haller-Casagrande 
Hello,


A noter aussi la possibilité de partir sur une base Debian (Stretch),
avec noyau récent et compatibilité tout à fait honorable avec le parc
actuel, et de récuperer ZFS dans les backports (version 0.7.6,
parfaitement production-ready).


My 0,03€ (pour cause d'inflation).

 
Logo <http://www.smile.fr/>

107 Boulevard de Stalingrad
69100 Lyon Villeurbanne
www.smile.fr <http://www.smile.fr/> 
*Florian HALLER-CASAGRANDE*
Ingénieur Infrastructures
Email : florian.haller-casagra...@smile.fr
<mailto:florian.haller-casagra...@smile.fr>
Tel : +33 4 26 29 12 25

Facebook <https://www.facebook.com/smileopensource> Google%2B
<https://plus.google.com/u/0/+SmileFrOpenSource/posts> LinkedIn
<https://www.linkedin.com/in/florianhc> Twitter
<https://twitter.com/GroupeSmile>

 


ecoPour la planète, n'imprimez ce mail que si c'est nécessaire.
On 04/17/2018 08:09 AM, Xavier Beaudouin wrote:
> Hello,
>
> Vis a vis de FreeNAS, il faut faire attention a 2 points :
>
> - Sur certains matériel il est plutôt instables (par ex sur du Supermicro 
> X11DPU ca viande)
> - Il rajoute une partie "GELI" entre ZFS et les disques (pour le chiffrement 
> par ex du zpool), ceci rajoute de la latence et peux cacher l'état réel des 
> disques
> - Faire du MTU 9000 avec FreeNAS tiens de l'exploit, et encore plus si on 
> ajoute quelque chose comme des LAGG et des VLANs.
>
> Dans certains cas nas4free est plus stable.
>
> Si vous n'avez pas besoin d'interfaces web, un freebsd basic suffit largement 
> pour faire des choses bien sans la surcouche et est moins en retard sur les 
> updates FreeBSD...
>
> Sur OMV : pas d'expérience de ma part.
>
> My 0,02€.
> /Xavier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] - Recherche IOS le plus récent pour cisco 2651XM

2017-10-20 Par sujet Florian Haller-Casagrande 
Pour les câbles ? On en trouve un peu partout
(https://www.cablesandkits.com/ par exemple) pour quelques $$, sauf
justement du RJ45-RJ11.

Pour les "consoles servers", je suis bien intéressé par une solution
Pi/pieuvre USB. J'ai aussi vu passer du Soekris avec des cartes PCI +
pieuvre 8 ports DB9, mais la fiabilité de la carte n'est pas forcément
au rendez-vous.

 
Logo <http://www.smile.fr/>

107 Boulevard de Stalingrad
69100 Lyon Villeurbanne
www.smile.fr <http://www.smile.fr/> 
*Florian HALLER-CASAGRANDE*
Ingénieur Infrastructures
Email : florian.haller-casagra...@smile.fr
<mailto:florian.haller-casagra...@smile.fr>
Tel : +33 4 26 29 12 25

Facebook <https://www.facebook.com/smileopensource> Google%2B
<https://plus.google.com/u/0/+SmileFrOpenSource/posts> LinkedIn
<https://www.linkedin.com/in/florianhc> Twitter
<https://twitter.com/GroupeSmile>

 


ecoPour la planète, n'imprimez ce mail que si c'est nécessaire.
Le 20/10/2017 à 10:23, David Ponzone a écrit :
> Euh comment dire, tu les fais toi-même ? :)
> Ou si vraiment la pince à sertir c'est pas ton délire, tu trouves un câbleur 
> qui t'en fait une 50aine sur mesure ?
> Ou un stagiaire ?
>
> Le 20 oct. 2017 à 10:19, Florian Haller-Casagrande a écrit :
>
>> Bonjour,
>>
>>
>> J'ai demandé des devis, c'est pas donné (même si on m'en a dit du bien !).
>>
>>
>> Une des difficultés, c'est cette histoire de DB9 vs RJ45 : autant des
>> RJ45-RJ45 console, on en trouve, autant des RJ45-RJ11, pour des APC, par
>> exemple... D'où ma préférence pour une solution offrant du DB9 : c'est
>> universel :)
>>
>>  
>> Logo <http://www.smile.fr/>
>>
>> 107 Boulevard de Stalingrad
>> 69100 Lyon Villeurbanne
>> www.smile.fr <http://www.smile.fr/>  
>> *Florian HALLER-CASAGRANDE*
>> Ingénieur Infrastructures
>> Email : florian.haller-casagra...@smile.fr
>> <mailto:florian.haller-casagra...@smile.fr>
>> Tel : +33 4 26 29 12 25
>>
>> Facebook <https://www.facebook.com/smileopensource> Google%2B
>> <https://plus.google.com/u/0/+SmileFrOpenSource/posts> LinkedIn
>> <https://www.linkedin.com/in/florianhc> Twitter
>> <https://twitter.com/GroupeSmile>
>>
>>  
>>
>>
>> ecoPour la planète, n'imprimez ce mail que si c'est nécessaire.
>> Le 19/10/2017 à 20:01, Guillaume Barrot a écrit :
>>> Personne n'utilise du Perle ?
>>>
>>> https://www.perlesystems.fr/products/terminal-server.shtml
>>>
>>>
>>>
>>> Le 18 octobre 2017 à 10:51, Olivier Cochard-Labbé  a
>>> écrit :
>>>
>>>> 2017-10-16 12:25 GMT+02:00 Stéphane Diacquenod <
>>>> stephane-fr...@diacquenod.fr
>>>>> :
>>>>> Bonjour,
>>>>>
>>>>> Merci à tous pour vos réponses, il y a des choses intéressantes en effet
>>>> !
>>>>> On m'a soufflé dans l'oreillette une proposition à base de rasberyPI et
>>>> de
>>>>> pieuvre DB9 (https://www.amazon.com/Gearmo-Serial-Windows-Certified-
>>>>> Drivers/dp/B004ETDC8K/ref=pd_sim_147_62?_encoding=UTF8&pd_
>>>>> rd_i=B004ETDC8K&pd_rd_r=GXM8950N89EAHHVEM8W2&pd_rd_w=zJdW6&
>>>>> pd_rd_wg=KGnTK&psc=1&refRID=GXM8950N89EAHHVEM8W2).
>>>>>
>>>>> Certains ont-ils déjà expérimenté cela ?
>>>>>
>>>>>
>>>> Bonjour,
>>>> j'ai été très déçu par la qualité des pieuvres DB9/USB car certains ports
>>>> tombaient en panne très rapidement:
>>>> Donc si vous avez une référence fiable je suis preneur.
>>>> Du coup je me suis monté des serveurs de terminal série à base de PC
>>>> Engines APU + 2 cartes miniPCI 4-ports série (Delock 95001).
>>>> Le tarif des 2 cartes Delock (environ 74€ l'unité) a fait exploser mon
>>>> budget, mais j'ai gagné énormément en robustesse.
>>>> J'ai aussi fait un prototype de châssis 1U pour cet ensemble APU + 8 ports
>>>> DB9 série supplémentaires. Il y a des choses à revoir dans cette première
>>>> version (angle a arrondir, ajout de marge, etc.), mais le DXF est en ligne
>>>> pour ceux que ça intéresse:
>>>> https://github.com/ocochard/BSDRP/blob/master/EINE/docs/
>>>> PC-Engines-APU-Terminal-Server-QCAD-R27.dxf
>>>>
>>>> Cordialement,
>>>> Olivier
>>>>
>>>> ---
>>>> Liste de diffusion du FRnOG
>>>> http://www.frnog.org/
>>>>
>>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] - Recherche IOS le plus récent pour cisco 2651XM

2017-10-20 Par sujet Florian Haller-Casagrande 
Bonjour,


J'ai demandé des devis, c'est pas donné (même si on m'en a dit du bien !).


Une des difficultés, c'est cette histoire de DB9 vs RJ45 : autant des
RJ45-RJ45 console, on en trouve, autant des RJ45-RJ11, pour des APC, par
exemple... D'où ma préférence pour une solution offrant du DB9 : c'est
universel :)

 
Logo <http://www.smile.fr/>

107 Boulevard de Stalingrad
69100 Lyon Villeurbanne
www.smile.fr <http://www.smile.fr/> 
*Florian HALLER-CASAGRANDE*
Ingénieur Infrastructures
Email : florian.haller-casagra...@smile.fr
<mailto:florian.haller-casagra...@smile.fr>
Tel : +33 4 26 29 12 25

Facebook <https://www.facebook.com/smileopensource> Google%2B
<https://plus.google.com/u/0/+SmileFrOpenSource/posts> LinkedIn
<https://www.linkedin.com/in/florianhc> Twitter
<https://twitter.com/GroupeSmile>

 


ecoPour la planète, n'imprimez ce mail que si c'est nécessaire.
Le 19/10/2017 à 20:01, Guillaume Barrot a écrit :
> Personne n'utilise du Perle ?
>
> https://www.perlesystems.fr/products/terminal-server.shtml
>
>
>
> Le 18 octobre 2017 à 10:51, Olivier Cochard-Labbé  a
> écrit :
>
>> 2017-10-16 12:25 GMT+02:00 Stéphane Diacquenod <
>> stephane-fr...@diacquenod.fr
>>> :
>>> Bonjour,
>>>
>>> Merci à tous pour vos réponses, il y a des choses intéressantes en effet
>> !
>>> On m'a soufflé dans l'oreillette une proposition à base de rasberyPI et
>> de
>>> pieuvre DB9 (https://www.amazon.com/Gearmo-Serial-Windows-Certified-
>>> Drivers/dp/B004ETDC8K/ref=pd_sim_147_62?_encoding=UTF8&pd_
>>> rd_i=B004ETDC8K&pd_rd_r=GXM8950N89EAHHVEM8W2&pd_rd_w=zJdW6&
>>> pd_rd_wg=KGnTK&psc=1&refRID=GXM8950N89EAHHVEM8W2).
>>>
>>> Certains ont-ils déjà expérimenté cela ?
>>>
>>>
>> Bonjour,
>> j'ai été très déçu par la qualité des pieuvres DB9/USB car certains ports
>> tombaient en panne très rapidement:
>> Donc si vous avez une référence fiable je suis preneur.
>> Du coup je me suis monté des serveurs de terminal série à base de PC
>> Engines APU + 2 cartes miniPCI 4-ports série (Delock 95001).
>> Le tarif des 2 cartes Delock (environ 74€ l'unité) a fait exploser mon
>> budget, mais j'ai gagné énormément en robustesse.
>> J'ai aussi fait un prototype de châssis 1U pour cet ensemble APU + 8 ports
>> DB9 série supplémentaires. Il y a des choses à revoir dans cette première
>> version (angle a arrondir, ajout de marge, etc.), mais le DXF est en ligne
>> pour ceux que ça intéresse:
>> https://github.com/ocochard/BSDRP/blob/master/EINE/docs/
>> PC-Engines-APU-Terminal-Server-QCAD-R27.dxf
>>
>> Cordialement,
>> Olivier
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] probleme de routage avec free

2009-11-10 Par sujet Nicolas Haller 
On Mon, Nov 09, 2009 at 06:28:11PM +0100, michel hostettler wrote:
> Bonjour Laurent,
>> Il me semblait que la différence entre hébergeur et transport plus ou moins 
>> tous considérés comme Opérateurs de Communications Electroniques était pas 
>> si évidente de nos jours.
>>   

> Un hébergeur n'est pas un opérateur de communications électroniques.  
> L'ARCEP le note dans les exemptés de déclaration préalable, sous-entendu  
> il n'ont pas le statut juridique d'opérateur (en le dotant d'un ensemble  
> de droits et d'obligations).

> A moins que l'hébergeur soit en même temps opérateur, qu'il intervienne  
> dans l'émission, la transmission et la réception de signaux.

Bonjour,

Je donne mon point de vue sans vouloir troller hein? D'autant plus qu'il
me semble qu'il y a un docteur en droit ici, ça pourrait être
interressant.

J'ai l'impression que beaucoup de métiers mériteraient d'être dissocié
dans cette discussion. En effet, même si on a parlé de la différence
entre hébergeur et FAI, je crois qu'il y a une grosse différence entre
un FAI et un opérateur Internet dans le sens "transit" (dans le sens
d'un tier-1 par exemple).

En effet, si on parle de net neutrality, il me semble que son
application est assez différente entre une boite qui ne fait que
transporter des flux et une boite qui est en terminaison (que ce soit
coté serveur avec l'hébergeur ou coté accès avec un FAI).

Pour un "transporteur de flux", la net neutrality s'apparente finalement
au secret des correspondances tout comme peut l'être La Poste dans une
version moins électronique du transport (Je pense à la logistique et non
au réseau de facteur).

Finalement, n'est-il pas discutable le fait que si un usager établi un
contrat de transport avec La Poste lorsqu'il envoie un coli, est-ce
qu'un tiers-1 n'est pas dans la même situation de La Poste et est tenu,
de transporter les paquets de ces clients, peut importe le moyen
(localpref, routage en tout genre, pigeon voyageur,...)?

La Poste établie des règles concernant les paquets dangereux: leur
transport est interdit. Le client est censé en être informé, cela fait
parti du contrat. Est-ce qu'un "transporteur Internet" pourrait interdir
dans son contrat certains types de flux? Est-ce que cela ne l'oblige pas
à transporter tout le reste? Cela violerai probablement la net
neutrality mais si le client en a conscience, est possible?

Maintenant, au niveau de la délivrance, du réseau d'accès, de madame
Michu et de son cpe, routeur, *box. Que lui fourni-t-on? Est-ce qu'on
lui fait signer une sorte de contrat de transport permanant? Obligeant
le FAI à faire son possible pour envoyer les paquets de Madame Michu
avec les particularités de l'Internet que nous connaissons (best effort,
impossibilité de garantir le transport en sorti de son AS,...). Est-ce
qu'on lui vend du filtrage et en est-elle consciente?

Chez un FAI, ces transports et accès sont fusionnés. Le FAI ayant sont réseau de
transport et son réseau d'accès. En conlusion, je pense que le filtrage
est à plusieurs niveaux:

- au niveau du réseau de transport: le blackholage ne devrait
  être entrepris QUE pour protéger le réseau de transport et
  donc seulement basé sur les flux ou les layer 1 à 3 (genre les
  floods ou les paquets malicieux faisant tomber les routeurs
  (oui j'ai pas d'exemple mais bon)) et non sur le contenu (pas
  de blackholage sur les phising par exemple);

- au niveau du client, en bordure, si le client en est informé,
  si ce genre de mesure est contractuellement prévu. Madame
  Michu peut payer pour que son FAI "assure sa protection", ou
  elle peut décider qu'elle est assez grande pour se protéger
  elle-même des méchants phising et autres vers, virus,
  saloperies du net. Je pense que c'est un elément assez
  essentiel au contrat auquel Madame Michu souscrit et
  pouvant la conduire à choisir un FAI plutôt qu'un autre.

Celà veut dire, à mon sens, que le blackholage de free pour cause de
phising me parait injustifié techniquement sur le niveau du
filtrage(blackholing d'ip), et juridiquement si le filtrage n'est pas
une prestation prévue dans le contrat (car je pense que madame Michu
doit être consentente pour que Free prenne des décisions unilatérale de
filtrage sur du contenu). Dans le cas contraire, il me semble que seule
une décision judiciaire peut apporter une légalité au blocage du phising
en question.

-- 
Nicolas Haller
Q: Connaissez-vous la différence entre l'ignorance et l'apathie ?
R: J'en sais rien et je m'en fous.
-- Mathieu Goutelle
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Propriét é de blocs PI

2008-12-16 Par sujet Nicolas Haller 
On Tue, Dec 16, 2008 at 06:01:31PM +0100, Clement Cavadore wrote:
> On Tue, 2008-12-16 at 17:50 +0100, Radu-Adrian Feurdean wrote:

> > Par contre, le processus de recupperation d'un PI enregistre chez un
> > autre LIR m'interesse aussi.

> Il suffit que le end-user (donc celui a qui appartient le PI) demande a
> un autre LIR s'il accepte de prendre en charge la gestion
> "administrative" du PI. Si oui, alors le LIR s'adresse au RIPE en lui
> indiquant qu'il souhaite reprendre la gestion du PI en question, et le
> RIPE demandera au en-user (via le LIR) de confirmer qu'il souhaite bien
> transférer la gestion du PI.

Est-ce que le LIR d'où "vient" la PI est indiqué lorqu'on fait un
whois sur le bloc en question?

-- 
Nicolas Haller
Le bleu profond des yeux d'une jolie fille est aussi attirant pour vous que le
bleu profond de votre carte bancaire pour elle.
-- Fabien Rohrhust
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Propriét é de blocs PI

2008-12-16 Par sujet Nicolas Haller 
On Tue, Dec 16, 2008 at 01:48:09PM +0100, Tobias Muller wrote:
> Bonjour,

> Nous disposons de plusieurs blocs PI /24 qui nous ont été attribué par
> l'intermédiaire de notre opérateur actuel.

> Je voulais donc savoir s'ils peuvent toujours avoir la main sur les
> blocs pour les supprimer ou les modifier ? Théoriquement vu qu'ils ne
> sont plus mainteneur dessus, cela doit etre bon, non ?

Bonjour,

Je dis peut-être des bêtises mais si ce sont des PI, Provider
Independant, et qu'elles vous ont été attribué à vous, c'est bon. (Sinon
ça serait des IP d'une PA).

Plus d'info par là: http://www.ripe.net/info/faq/rs/isp.html

Cordialement,

-- 
Nicolas Haller
"Qui -st l- sinistr- con qui a p-rdu l- -?"
--Gutenberg
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Filtrage coeur de réseau : l'Australie en phase de test

2008-12-11 Par sujet haller 
On Thu, Dec 11, 2008 at 01:18:37AM +0100, Rani Assaf wrote:

> - [EMAIL PROTECTED] wrote:
> > Car le vrai problème est là. Qui est protégé par le filtrage des
> > sites pedopornographique? Les consommateurs de ce genre de chose? Ils

> Ce qui est important dans la phrase c'est uniquement le mot "filtrage".
> Ce qui suit derrière importe peu car là on est dans la réthorique. Une
> fois que le terme "filtrage" se sera imposé, les vrais instigateurs
> (majors et autres ayant-droits) de ces actions sortiront du bois. 

Je suis d'accord, ça montre juste que la justification est bancale avec la
"solution" que le gouvernement souhaite imposer.

-- 
Nicolas Haller
Je ne comprend pas pourquoi tous ces gens à la nouvelle année m'ont souhaité
une bonne santé. Et pourquoi pas une bonne Fleury Mérogis tant qu'ils y
étaient.
-- Didier Schuller
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Filtrage coeur de réseau : l'Australie en phase de test

2008-12-10 Par sujet haller 
On Sun, Dec 07, 2008 at 11:18:36AM +0100, Léo wrote:

> Guy Pujolle, qui présentait le tutorial, travaille sur les sondes
> QosMOS. Donc j'imagine qu'il sait de quoi il parle. Mais
> rassurez-vous, je lui ai posé la question, contre les flux chiffrés,
> on ne sait rien faire encore pour l'instant (freenet a encore de beaux
> jours devant lui ;) .

> Maintenant, concernant le marc de café, ma foi, je n'en sait rien d'où
> il a tiré cette information. Je ne fais que rapporter ce qui nous a
> été présenté.

> Ensuite, je voudrais rappeler qu'il s'agit de filtrage applicatif, a
> priori pour pouvoir faire de la QoS au niveau opérateur en fonction
> des besoins du client, pas de filtrer les contenus transportés (ce en
> quoi mon premier message diffère de la demande de Christophe Espern).
> D'un autre côté, on peut très bien imaginer un filtrage des flux p2p à
> la source, mis en place par l'opérateur.

Dites-moi si je me trompe mais j'ai l'impression que de bloquer des
sites pedoporno/pirate/subversif/révolutionnaire en aval, c'est un peu
comme vouloir couper le débit d'eau des chutes du Niagara en faisant une
sorte de barrage en bas de la cascade.

Si je résume (dites-moi si je me trompe):
- C'est lourd techniquement
- C'est lourd en tant que projet (analyse, ingénierie,
  déploiement, ...)
- C'est horriblement cher et d'une façon ou d'une autre, c'est
  la collectivité/société qui payera (tout le monde)
- C'est strictement inefficace
- Ça n'est pas un engagement du Grenelle environnement (j'ai
  rien dit c'est pas moi)

Sur le coté inefficace, je pense que toutes les solutions présentées
permettent d'éviter que Mme Michu tombe par hasard sur un site
"interdit" ou qu'un curieux en trouve un.
Les personnes vraiment consommatrices de ces sites trouveront des
solutions(le cryptage est un exemple). Il est plus simple et efficace de
donner un grand coup de fusil dans un serveur web que de filtrer un réseau
de FAI peu importe l'endroit.

On nous parle de solutions intelligente pour filtrer les flux, les
sondes, etc. Est-ce fiable? Va-t-on se retrouver avec les même problème
que le spam? (ho, j'ai fait un faux positif sur mon flux, je peux pas
payer mes impôts en ligne).

Parenthèse sur le filtrage pour faire de la QoS sur les flux P2P. On va
où là? Il y a peut-être un truc qui m'échape mais pourquoi les
opérateurs veulent faire de la QoS sur certains flux? Parce que c'est
consommateur de bande passante? Ces salauds d'abonnés utilisent le
débit qu'on leur donne. C'est inadmissible!
Bref, si aujourd'hui c'est le P2P, demain, il y aura un autre concept
qui sera pire pour la BP. Je me demande si le combat marketing de qui
aura la plus grosse... bande passante à fournir à ces clients n'aportera
pas des problèmes ou des désillusions à moyen voire à court terme.

Pour revenir au sujet du filtrage, le cout pèsera sur les gens. Que ce
soit répercuté dans le prix des abonnements ou que ce soit inscrit au
budget de l'état, le consommateur payera une protection qui ne protègera
personne. Ciel, où passe mon pouvoir d'achat :-)

Car le vrai problème est là. Qui est protégé par le filtrage des sites
pedopornographique? Les consommateurs de ce genre de chose? Ils
arriveront à contourner le problème dans un remake du jeu du gendarme et
du voleur. Mme Michu? Qui est déjà tombé par hasard sur un site de ce
genre? Les enfants victimes de ce trafic? Je ne pense pas.

Cela m'ammène à penser que si l'état veut engager des sommes pour lutter
contre ce fléau, il devrait les affecter aux forces de l'ordre et à la
justice plutôt que d'ajouter un poid inutile au développement de
l'économie numérique, si chère à certains gouvernants :-)

-- 
Nicolas Haller
"Je vais à l'eau tant que je veux, je suis invincible!! Ha ha ha ha!!"
--La cruche
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] FAI refusant de fournir des adresses IP publiques

2008-10-08 Par sujet Nicolas Haller 
On Wed, Oct 08, 2008 at 01:22:12PM +0200, Radu-Adrian Feurdean wrote:

> On Wed, 08 Oct 2008 11:13:42 +0200, "Splio - Benjamin BILLON"
> <[EMAIL PROTECTED]> said:
> > 
> > > Sauf qu'un accès internet sans IP publique ce n'est pas un accès
> > > internet complet, ca limite beaucoup ce qu'on peut faire.
> > >   
> > Bin si, c'est un "accès à Internet", quoi. Pas une prestation de transit 
> > IP, en effet.

> Ne pas confondre avec "access web". On peut toujours trouver un
> protocole qui ne marche pas derriere NAT.

Bon, si je résume:
- La situation est loin d'être étonnante/peu fréquente/une vaste
  blague;
- Jouer sur les termes ne sert à rien. On est dans un problème
  contractuel et je pense que tant qu'on n'aura pas les termes
  exactes du contrat, on tournera en rond pendant quelques
  plombes.

Je me demande si ce genre de situation va se produire de plus en plus
souvent avec ma fin du mond... de l'allocation des blocs IPv4.

Cordialement,

-- 
Nicolas Haller
"Gnnn!Gnhiargh!... Damn, pas de chocolat aujourd'hui non plus."
--La Venus de Milo
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Question Nagios / Zabbix

2008-09-08 Par sujet haller 
On Mon, Sep 08, 2008 at 04:24:09PM +0200, Pior Bastida wrote:
> Pour la prod, je ne tenterais pas la prochaine release (1.6)
> Elle aura probablement son lot de problème à cause des nouvelles fonctions.

> Je n'ai pas encore testé la 1.4.6 mais la 1.4.5 est très stable. *Aucun* 
> problème depuis 4 mois.

> En fait, il y a quelques erreurs à ne pas faire avec Zabbix, et dans ce cas, 
> ça devient vraiment un outils très pratique.

>  - optimiser mysql (optimisation innodb classique)

Oui au sujet des BDD pour Zabbix, un Postgresql fonctionne bien mais les
champs défini dans les tables sont trop petit faisant crouter Zabbix.

-- 
Nicolas Haller - M2 Promo 2008
T'es qui toi ?"
--Alzeimer
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Question Nagios / Zabbix

2008-09-08 Par sujet haller 
On Mon, Sep 08, 2008 at 03:50:41PM +0200, Renaud RAKOTOMALALA wrote:
>> J'aimerais avoir si possible vos avis concernant ces deux solutions  
>> (nagios / zabbix).
>>
> Salut,

> J'ai testé les deux solutions, et pour le moment Nagios (3.x + quelques  
> addons tel que centreon) donnent plutôt de bon résultat sur la petite  
> centaine de serveur à monitorer.

> J'ai utilisé Zabbix à moindre échelle (perso, sur 4 serveurs et une  
> 20ène de services) mais cela me semble moins abouti (mais aussi moins  
> usine à gaz ;)

Salut,

Pour avoir Nagios en prod et avoir testé Zabbix, je rejoins l'avis de
M. Rakotomalala.

Nagios marche bien et rempli sa fonction. Zabbix est très prometteur
mais la peinture n'est clairement pas sèche. Reste à voir la futur
version stable de Zabbix censé sortir dans 10 jours.

Cordialement,

-- 
Nicolas Haller
Chat. Automate doux et indestructible fourni par la Nature pour prendre des
coups de pied quand quelque chose ne va pas dans le cercle familial.
-- Ambrose Bierce
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [FRnOG] RE : [FRnOG] 900 jours avant la pénuri e d'adresses IP V4 ?

2008-09-01 Par sujet Nicolas Haller 
On Mon, Sep 01, 2008 at 10:56:07AM +0200, Artur Pydo wrote:
> Salut,

> Nicolas Haller wrote:
>> Bref, il n'y aura pas de killer application gros comme une barraque pour
>> donner un coup de pied au cul de tout les gens de l'informatique,

> Peut-être pas de killer application, mais va savoir si les frigos IPv6  
> et les cafetières on-line ne vont pas faire avancer les choses.

Ça me rapelle un truc que j'avais lu sur les interrupteurs électriques
qui auraient des adresses IPv6 pour de la domotique.

(Hé Robert, j'ai piraté l'interrupteur du voisin, je vais le réveiller à
3 heures du matin :-)

-- 
Nicolas Haller
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: [FRnOG] 900 jours avant la pénurie d'adresses IP V4 ?

2008-08-31 Par sujet Nicolas Haller 
On Fri, Aug 29, 2008 at 10:27:58PM -0700, Michel Py wrote:
> Tu veux que je déploies IPv6? Envoies le cul, le pognon, ou les deux.

Le déploiement de l'IPv6 est une décision d'ordre stratégique donc on
peut discuter 2 siècles dessus. On peut se demander si nous verrons
vraiment une pénurie dans 900 jours, à quel vitesse le deploiement
globabe d'IPv6 se fera(je parie que ce ne sera pas linéaire, plutot une
turbo-exponentielle) et si le déploiement progressif aujourd'hui ne
permettrait pas d'avoir un réseau stable à moindre cout (vision Google)
qu'un déploiement "d'urgence" à l'arrache à cher qui dégradera la
qualité de service pour les gens qui regardent du porn et la bourse via
ton réseau :-)

Bref, il n'y aura pas de killer application gros comme une barraque pour
donner un coup de pied au cul de tout les gens de l'informatique, mais
je penche plus pour le gros coup de baton furtif d'ordre financier qui
arrivera dans la tête des réseaux "en retard".

Enfin bon, on verra bien et les paris sont ouverts :-)

-- 
Nicolas Haller - M2 Promo 2008
Les diplômes sont faits pour les gens qui n'ont pas de talent. Vous avez du
talent ? Ne vous emmerdez pas à passer le bac.
-- Pierres Desproges
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] 900 jours avant la pénurie d'adresses IP V4 ?

2008-08-25 Par sujet Nicolas Haller 
On Mon, Aug 25, 2008 at 05:53:40PM +0200, Pierre Col | UbicMedia wrote:
> Selon le JDNet - lire  
> http://www.journaldunet.com/solutions/systemes-reseaux/actualite/900-jours-avant-la-penurie-d-adresses-ip.shtml
>  
> - "Le compte-à-rebours est lancé : d'ici 3 à 5 ans, les adresses IPv4  
> seront l'or numérique de l'Internet. La solution, l'adoption rapide  
> d'IPv6. Toutefois, seulement 0,002% du trafic actuel passe par cette 
> norme."

> Info ou intox ?

On trouve ce genre d'info également sur le site du RIPE.
http://ripe.net/news/RIR-appeal-ipv6-investment.html

"With approximately 85% of all available IPv4 Internet addresses already
in use by May 2008, experts predict that the remaining stock of
unallocated IPv4 addresses will be consumed by around 2011."

-- 
Nicolas Haller
"J'ai rencontré Demis Roussos, et alors, j'ai imaginé un compagnon pour 
Han Solo, top délire !"
--Georges Lucas
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Legislation email

2008-08-04 Par sujet Nicolas Haller 
On Sat, Aug 02, 2008 at 04:44:16PM +0200, Jean-Christian BEDIER wrote:
> Bonjour,

> Je profite d'un thread déjà en cours pour poser une question concernant
> la législation envers les services mails.

> En effet, j'aimerai savoir quels étaient les devoirs d'un hébergeur mail
> vis à vis de la loi ?

> Que doit il conserver? dans des cas de gestion de boites mails et/ou
> forward d'email sachant qu'il n'a pas d'informations sur les personnes
> utilisant ce service (nom, prénom, adresse, numéro de CB etc)?

Bonjour,

Les mails sont assez particuliers car les lois sur le secret des
correspondances s'y appliquent. Cela veut dire que théoriquement, un
hébergeur n'a pas le droit de voir le contenu d'un mail, de le détruire
ou de retarder sciemment sa distribution.

Après sur la conservation et la protection des données, je suppose (mais
je me trompe peut-être) que cela répond aux réglementations sur les
systèmes d'informations à savoir que pour ne pas être poursuivi en cas
de problème, il faut prouver qu'il y a un minimum de sécurité sur le
stockage.

Quelqu'un pourra surement apporter un complément d'infos ou des
corrections notemment sur des "pièces" à conserver.

Cordialement,

-- 
Nicolas Haller
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Mise à jou r BIND

2008-07-10 Par sujet Nicolas Haller 
On Thu, Jul 10, 2008 at 09:49:11AM +0200, Mohsen Souissi wrote:
> Bonjour,
>  | Maintenant sur le trou, l'isc place la sévérité à low. Mais ce qui

> ==> Attention ! Je ne sais pas où vous avez trouvé cette info, mais
> moi je m'alimente à la source et je lis "Severity High" (c'est dans le
> premier URL que cous citez ci-dessus) :

> http://www.isc.org/index.pl?/sw/bind/bind-security.php

Ha, au temps pour moi, c'était le trou du dessous (c'est malin de mettre
29 trous de sécu sur la même page :-)

>  | Sur les conséquences, le trou s'applique que sur les dns resolvers. Par
>  | conséquent, les serveurs les plus gênants sont les serveurs dns que les
>  | isp donnent à leurs clients par exemple. Vu que les systèmes dans les
>  | coeurs de nos réseaux sont servis, en général, par des machines dédiées
>  | à ça en interne et ne servent pas l'exterieur, cela "protège" les
>  | infrastructures je pense.

> ==> Attention ! Vous semblez parler des serveurs récursifs de la
> protection des serveurs récursifs "non ouverts" vs "ouverts". D'après
> http://www.kb.cert.org/vuls/id/800113 cette faille touche les serveurs
> OUVERTS et NON OUVERTS, même si la difficulté de l'attaque n'est pas
> forcément la même (un paragraphe subtile à la section "II Solution ;
> "Restrict Access" explique l'intérêt à être prudent).

Pour attaquer le bind par ce trou, il faut attaquer le bind non? S'il
n'est pas possible d'y faire des requêtes, c'est fini, non?

>  | Enfin pour l'avenir, vu que le trou est dans le protocole, peut-être
>  | verrons-nous arriver le DNS 2.0 qui sera plus interactif et faisant
>  | participer activement l'utilisateur! (désolé pour le trip :-)

> ==> Comme le sera sans doute l'IP collaboratif 2.0, à commencer par le
> BGP collaboratif 2.0 ;-)

Bah, on a le peering et les points d'échange de plus ou moins grande
envergure pour ça ;-)

-- 
Nicolas Haller - M2 Promo 2008
If builders built buildings the way programmers wrote programs, then the first
woodpecker that came along would destroy civilization.
-- Gerald Weinberg
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Mise à jou r BIND

2008-07-10 Par sujet Nicolas Haller 
On Thu, Jul 10, 2008 at 10:27:49AM +0200, [EMAIL PROTECTED] wrote:
> En même temps le bind du base system n'est là que pour la forme ...
> On utilise le port pour être à jour, et perso j'ai eu l'update y a  
> quelques jours.

A jour de version majeur ok. Mais au dela de ça, le bind du base system
marche bien, est maintenu pour la sécu et marche bien avec l'ensemble de
l'os (encore heureux).
Bref, pourquoi dire que le bind du base system est la pour la forme?

-- 
Nicolas Haller
Pour moi le paradis, c'est un night-club peint tout en blanc avec moi en
vedette.
-- Le prêtre Dyer
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Mise à jou r BIND

2008-07-09 Par sujet Nicolas Haller 
On Thu, Jul 10, 2008 at 07:55:42AM +0200, Charles wrote:
> Je suis surpris de ne pas avoir entendu parler de ça sur la liste

> http://www.isc.org/index.pl?/sw/bind/bind-security.php
> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1447
> http://www.kb.cert.org/vuls/id/800113

> Je l'ai découvert hier via la ML d'OVH (merci Octave) et ce matin sur  
> France Inter (sic !) mais pas ici.

> J'ai un peu honte d'être passé à côté en fait...

> Est-ce que l'impact est très exagéré ? Qu'en pensez-vous ?

L'histoire de ce trou est assez atypique en fait. Il a été découvert il
y a quelque mois et les "fabriquants" de serveurs dns ont maintenu un
silence de plomb pour que tout le monde sortent son patch en synchro.

Maintenant sur le trou, l'isc place la sévérité à low. Mais ce qui
m'inquiète le plus c'est que le trou se trouve dans la conception même
du protocole et que les patch ne font que rendrent l'attaque plus
compliqué.

Sur les conséquences, le trou s'applique que sur les dns resolvers. Par
conséquent, les serveurs les plus gênants sont les serveurs dns que les
isp donnent à leurs clients par exemple. Vu que les systèmes dans les
coeurs de nos réseaux sont servis, en général, par des machines dédiées
à ça en interne et ne servent pas l'exterieur, cela "protège" les
infrastructures je pense.

Sur la façon dont est sorti le patch, la synchro part d'une bonne
intention mais il me semble que les projets des différents OS n'ont pas
été mis dans la confidence. Hier en quittant le boulot, FreeBSD n'avait
pas sorti de patch pour le BIND de son base system. Je ne connais pas la
situation sur les autres os/distrib.

Enfin pour l'avenir, vu que le trou est dans le protocole, peut-être
verrons-nous arriver le DNS 2.0 qui sera plus interactif et faisant
participer activement l'utilisateur! (désolé pour le trip :-)

A bientôt,

-- 
Nicolas Haller - M2 Promo 2008
Si c'est Achille qui s'est amusé à ça, je le veux avant 48 heures à poil,
Promenade des Anglais, attaché à un palmier à midi.
-- Flic ou voyou, Michel Audiard
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: [FRnOG] Fil trage d'URL via BGP shunt : quelle fai sabilité ? (+ présentation )

2008-06-15 Par sujet Nicolas Haller 
On Sun, Jun 15, 2008 at 11:29:34AM +0200, Spyou wrote:
> At 00:22 15/06/2008, you wrote:
>> Voter une loi sur le territoire français pour obliger le fait qu'une ip =
>> une url à l'étranger?

> Oh non, une loi mondiale, comme on essaie de plus en plus de nous en 
> faire gober, genre "l'iran c'est dangereux si ils ont la bombe".

Bonjour,

C'est mon premier post ici alors je vais me présenter rapidement avant
toute chose. Je suis Nicolas Haller, en fin de carrière d'étudiant en
informatique et futur admin système sauf cas improbable :-)

Je pense que le fait de limiter l'utilisateur sur le contenu de ce qu'il
émet/envoie (filtrage de contenu, limitation de service...) est en
violation au principe de neutralité du réseau déjà évoqué ici.

Il faut bien comprendre que cette neutralité du réseau est en fait la
neutralité d'un moyen de communication. En effet, puisque la
communication est le fait de transmettre des informations au sens large,
le réseau internet est comparable au réseau téléphonique, postal, radio
et dans une moindre mesure le réseau des médias (télévision, stations
radio, presse écrite).
Cela veut dire qu'internet n'est pas un réseau spécial par nature, ce
n'est que la technologie qui change.

Par conséquent, il y a deux points épineux, qui est responsable de ce
qui passe dans les "tuyaux" et jusqu'où peut-on appliquer des filtres
sur les réseaux.

Sur la responsabilité, elle est assez clairement défini pour les canaux
de communication classique. Pour le réseau postal ou téléphonique, la
responsabilité incombe à l'émetteur du message. En effet, si vous
envoyez des menaces de mort à votre belle-mère ou des éléments classés
secrets défense à une ambassade, FT ou la poste ne seront pas condamné,
vous si. Et pour cause, FT et la poste ne sont pas au courant de se qui
passe, se qui passe est protégé par le secret des communications.

Ce qui ammène au second point, le filtrage. Le filtrage tel que demandé
par l'industrie du disque est d'analyser le contenu des informations
transitant dans les réseaux. Transposé au réseau téléphonique cela
s'appelle une mise sur écoute, et transposé aux postes, c'est la
violation du secret des correspondances.
Ces deux choses sont pris très au sérieux dans la loi française, en
effet, la mise sur écoute ne peut être fait par la police que dans le
cadre d'une affaire judiciaire après rédaction d'une ordonance de mise
sous écoute par un magistrat (sauf affaire sur le terrorisme), et la
violation des correspondances est un délit pouvant faire prendre six mois
ferme à son auteur.
Bref, il est effarant qu'après que la loi française est pris tant de
précaution sur la protection des conversations téléphoniques et
postales, le gouvernement veuille prendre autant de liberté avec
Internet.

Alors bien sur, la réponse à cela est que le filtrage est
au-to-ma-ti-sé. Et alors? Le but final est d'analyser les messages
litigieux. Ces messages seront vérifié à la main. Les systèmes
automatiques ne sont pas infaillible (j'en veux pour preuve les
anti-spam). Bref, est-ce dans l'esprit de la loi qu'un policier regarde
un mail qui contient une blague belge avec Marc Dutroux? Ou regarde ce
que je télécharge sous pretexte que cela passe par du torrent? Je ne le
pense pas.

Bref, ces solutions sont des solutions de facilité. Elle
déresponsabilise selon moi les utilisateurs de leurs actes. C'est aux
utilisateurs d'Internet, au même titre que les utilisateurs du téléphone
ou de la poste, d'assumer les conséquences de leurs actes.
Les FAI ne sont pas les papa des utilisateurs, ils ne sont pas là pour
les surveiller. Les FAI ont pour devoir de collaborer avec la justice
sur sa requête mais surment pas pour tout filtrer pour le compte d'un
gouvernement pour le compte de certain interet.

Voila, cela reste bien entendu mon humble avis sur la question :-)

Bonne fin de week-end à tous

-- 
Nicolas Haller
---
Liste de diffusion du FRnOG
http://www.frnog.org/