Du coup je te confirme que le SIEA bloque bien l'UDP53, et que ça a été débloqué sur ton switch a l'instant...
En effet : ça refonctionne.
Alors d'abord, merci Hugues pour la réaction et la correction rapide, c'est vraiment appréciable de ta part.
(et honte à moi de n'avoir toujours pas mis un système de monitoring et d'alerting sur mon infrastructure, c'est pourtant pas difficile aujourd'hui)
Ensuite, ça me préoccupe un peu toute cette histoire. C'est la deuxième fois en quelques semaines que le SIEA fait des modifications sur leur config sans avertir ni les abonnés, ni les FAI (dans les deux cas, Hugues n'était apparemment pas au courant avant que je lui signale). Chaque fois, ça a cassé quelque chose dont j'ai besoin, la première fois c'était le BGP qui était filtré (port 179 TCP sortant), maintenant le DNS (port 53 TCP et UDP sortant).
Alors OK, l'abonné de FAI moyen il s'en fout de faire du BGP ou du DNS depuis chez lui, le port 443 vers les les google facebook amazon et netflix lui suffit, ces problèmes n'affectent pas tout le monde. Mais j'ai quand même l'impression que ce n'est pas le rôle d'un exploitant de fibre de faire ce genre de filtrage. S'il y a abus, attaque, DDoS, open relay DNS etc, on s'adressera au FAI qui attribue les adresses, pas au SIEA. Pour moi, la fibre devrait être un tuyau transparent entre le FAI et l'abonné. Qu'il y ait des limitations au layer 2, du DHCP snooping, de l'IPv6 qui fonctionne pas partout, je peux comprendre, sinon excuser. Il y a des explications techniques derrière. Mais du filtrage délibéré sur les couches supérieures (ici on est au blocage de ports UDP/TCP), désolé mais non, c'est pas leur métier.
J'ai choisi MilkyWan parce qu'ils offrent un réseau neutre et transparent, mais le SIEA vient entre deux pour empêcher MilkyWan de me fournir le service proposé, ce n'est pas normal. Demain c'est peut être le SMTP qui s'arrête à l'improviste, ou le 80/443, je suis emmerdé du jour au lendemain, et je viens me plaindre chez Hugues qui n'y est pour rien.
Hugues, te laisse pas faire
C'est cool que tu aies le bon interlocuteur au SIEA, et ça simplifie les choses, mais ces questions devraient être réglées en amont, et donc traitées comme un ticket de panne franche, que l'interlocuteur soit compréhensif ou non.
Même si je me demande s'il y a vraiment des "lois" qui régissent les rapports entre FAI et OI, sur ce sujet ma compréhension est limitée.
<mode coup de gueule="off">
Un point positif quand même pour le SIEA : l'IPv6 qu'ils n'ont jamais réussi à faire marcher proprement avec K-Net fonctionne sans souci depuis que j'ai passé chez MW.