Auteur Sujet: Étiolles (Lu 43236 fois)

franckleroy · « **Réponse #84 le:** 19 août 2014 à 08:36:50 »

Citation de: Nico le 19 août 2014 à 08:14:57

C'est pour éviter les attaques par réflexion ?

Oui !
Wibox bloque aussi l'UDP DNS.

Mais cela pose problème pour du grand public :
+ Un particulier n'a pas de serveur NTP, il ne risque donc pas d’être attaqué.
+ Un particulier geek peut avoir un NTP et le configurer en noquery (et encore plus un PRO !)
+ Le client NTP de windows est par défaut sur time.windows.com qui du coup n'est pas joignable.

Bref je ne comprends pas la stratégie de wibox, la limitation n'est pas sur la box fibre mais bien sur le réseau...

Franck

Nico · « **Réponse #85 le:** 19 août 2014 à 08:39:30 »

Citation de: franckleroy le 19 août 2014 à 08:36:50

+ Un particulier n'a pas de serveur NTP, il ne risque donc pas d’être attaqué.
+ Un particulier geek peut avoir un NTP et le configurer en noquery (et encore plus un PRO !)

Mais le peu de particuliers qui en ont sont probablement ceux qui sont les plus mal configurés !

Citer

Bref je ne comprends pas la stratégie de wibox, la limitation n'est pas sur la box fibre mais bien sur le réseau...

Ils se protègent des attaques par réflexion, c'est tout. C'est discutable.

vivien · « **Réponse #86 le:** 19 août 2014 à 08:45:47 »

Quand on est le seul FAI a bloquer NTP, il ne faut pas se poser des questions ?

Nico · « **Réponse #87 le:** 19 août 2014 à 08:47:28 »

Haha si

tontonrobert · « **Réponse #88 le:** 19 août 2014 à 09:21:53 »

Tu veux dire que wibox est au même niveau qu'adeli : une bande d'arrogants cherchant à contrôler les abonnés ?

Heureusement qu'il existe encore des FAI qui prennent leur rôle au sérieux.

franckleroy · « **Réponse #89 le:** 19 août 2014 à 10:24:41 »

Citation de: tontonrobert le 19 août 2014 à 09:21:53

Tu veux dire que wibox est au même niveau qu'adeli : une bande d'arrogants cherchant à contrôler les abonnés ?

Heureusement qu'il existe encore des FAI qui prennent leur rôle au sérieux.

A cause du blocage DNS UDP de wibox je ne peux pas tester la balance de charge de flux entrant car cela passe par du "load DNS" sur mon router...

Donc pour le moment j'ai le DNS chez OVH, je vais voir si je peux faire cette config en routant le DNS UDP par K-NET (de plus j'ai une IP fixe sur K-NET ca va simplifier la config du SOA ;-))

Franck.

franckleroy · « **Réponse #90 le:** 19 août 2014 à 10:30:05 »

Re,

petite info supplèmentaire; Covage ne supporte pas l'IPv6 natif pour le routage sur le réseau de Seine Essonne, donc obligé de rester uniquement en v4 et éventuellement faire du 6to4 pour les clients du LAN.

https://fr.wikipedia.org/wiki/6to4

Franck

vivien · « **Réponse #91 le:** 19 août 2014 à 12:58:16 »

franckleroy, j'ai mal compris "blocage DNS UDP de wibox"

En fait Wibox bloque tout ce qui est UDP hors de son réseau ?

Tu as réussi à faire un IPERF en UDP avec un serveur externe ?

franckleroy · « **Réponse #92 le:** 19 août 2014 à 13:07:09 »

Citation de: vivien le 19 août 2014 à 12:58:16

franckleroy, j'ai mal compris "blocage DNS UDP de wibox"

En fait Wibox bloque tout ce qui est UDP hors de son réseau ?

Tu as réussi à faire un IPERF en UDP avec un serveur externe ?

Salut
j'ai activé un bind9 chez moi et j'ai tenté un dig depuis l'exterieur (OVH) sur mon serveur et cela ne passe pas.
Un telnet sur le 53 passe mais pas le dig en UDP...

Donc 53 et 123 bloqués et peut être plus je ne sais pas.

je vais tenter le iperf ce soir si j'y pense ;-)

Franck.

franckleroy · « **Réponse #93 le:** 21 août 2014 à 00:19:19 »

Salut

sur les 2 FAI c'est pareil :

sudo iperf -c 3.testdebit.info -i 2 -t 20 -r -P 5 -u | grep SUM
[SUM] 0.0- 2.0 sec 28.0 GBytes 120 Gbits/sec
[SUM] 2.0- 4.0 sec 8.00 GBytes 34.4 Gbits/sec
[SUM] 4.0- 6.0 sec 8.00 GBytes 34.4 Gbits/sec
[SUM] 6.0- 8.0 sec 8.00 GBytes 34.4 Gbits/sec
[SUM] 8.0-10.0 sec 8.00 GBytes 34.4 Gbits/sec
[SUM] 10.0-12.0 sec 8.00 GBytes 34.4 Gbits/sec
[SUM] 12.0-14.0 sec 8.00 GBytes 34.4 Gbits/sec
[SUM] 14.0-16.0 sec 8.00 GBytes 34.4 Gbits/sec
[SUM] 16.0-18.0 sec 8.00 GBytes 34.4 Gbits/sec
[SUM] 0.0-20.0 sec 100 GBytes 42.9 Gbits/sec
read failed: Connection refused
[ 3] WARNING: did not receive ack of last datagram after 5 tries.
read failed: Connection refused
[ 5] WARNING: did not receive ack of last datagram after 9 tries.
[ 6] WARNING: did not receive ack of last datagram after 10 tries.
[ 8] WARNING: did not receive ack of last datagram after 10 tries.
[ 7] WARNING: did not receive ack of last datagram after 10 tries.
...

Je ne sais pas trop quoi en déduire, vivien ? ;-)

-- edit : sous windows c'est pas pareil... ca sent le bug ;-)

G:\iperf-2.0.5-2-win32>iperf -c 3.testdebit.info -w 4m -i 2 -t 20 -r -P 5 -u

------------------------------------------------------------
Server listening on UDP port 5001
Receiving 1470 byte datagrams
UDP buffer size: 4.00 MByte
------------------------------------------------------------
------------------------------------------------------------
Client connecting to 3.testdebit.info, UDP port 5001
Sending 1470 byte datagrams
UDP buffer size: 4.00 MByte
------------------------------------------------------------
[ 8] local 10.0.1.10 port 52758 connected with 89.84.127.55 port 5001
[ 6] local 10.0.1.10 port 52757 connected with 89.84.127.55 port 5001
[ 5] local 10.0.1.10 port 52756 connected with 89.84.127.55 port 5001
[ 4] local 10.0.1.10 port 52755 connected with 89.84.127.55 port 5001
[ 3] local 10.0.1.10 port 52754 connected with 89.84.127.55 port 5001
[ ID] Interval Transfer Bandwidth
[ 8] 0.0- 2.0 sec 257 KBytes 1.05 Mbits/sec
[ 6] 0.0- 2.0 sec 257 KBytes 1.05 Mbits/sec
[ 5] 0.0- 2.0 sec 257 KBytes 1.05 Mbits/sec
[ 4] 0.0- 2.0 sec 257 KBytes 1.05 Mbits/sec
[ 3] 0.0- 2.0 sec 257 KBytes 1.05 Mbits/sec
[SUM] 0.0- 2.0 sec 1.25 MBytes 5.26 Mbits/sec
[ 8] 2.0- 4.0 sec 256 KBytes 1.05 Mbits/sec
[ 6] 2.0- 4.0 sec 256 KBytes 1.05 Mbits/sec
[ 5] 2.0- 4.0 sec 256 KBytes 1.05 Mbits/sec
[ 4] 2.0- 4.0 sec 256 KBytes 1.05 Mbits/sec
[ 3] 2.0- 4.0 sec 256 KBytes 1.05 Mbits/sec
[SUM] 2.0- 4.0 sec 1.25 MBytes 5.23 Mbits/sec
[ 8] 4.0- 6.0 sec 256 KBytes 1.05 Mbits/sec
[ 6] 4.0- 6.0 sec 256 KBytes 1.05 Mbits/sec
[ 5] 4.0- 6.0 sec 256 KBytes 1.05 Mbits/sec
[ 4] 4.0- 6.0 sec 256 KBytes 1.05 Mbits/sec
[ 3] 4.0- 6.0 sec 256 KBytes 1.05 Mbits/sec
[SUM] 4.0- 6.0 sec 1.25 MBytes 5.23 Mbits/sec

Franck.

vivien · « **Réponse #94 le:** 21 août 2014 à 08:10:12 »

Je n'ai pas de serveur public iperf en UDP (risque de DDOS)

Je pensais que tu avais un serveur dédié.
Je te fais un MP pour t'ouvrir un serveur.

vivien · « **Réponse #95 le:** 21 août 2014 à 18:26:37 »

On a réalisé les tests.
Le résultat est sans appel.

UDP port 5001 => Aucun problème dans les deux sens pour les deux FAI

UDP port 53 :
K-Net => serveur Adeli : OK
Wibox => serveur Adeli : OK
serveur Adeli => K-Net : OK
serveur Adeli => Wibox : flux filtrés sur le réseau Wibox

Auteur Sujet: Étiolles (Lu 43236 fois)

franckleroy

Dual Homing K-NET/WIBOX sur fibre à Etiolles

Nico

Dual Homing K-NET/WIBOX sur fibre à Etiolles

vivien

Dual Homing K-NET/WIBOX sur fibre à Etiolles

Nico

Dual Homing K-NET/WIBOX sur fibre à Etiolles

tontonrobert

Dual Homing K-NET/WIBOX sur fibre à Etiolles

franckleroy

Dual Homing K-NET/WIBOX sur fibre à Etiolles

franckleroy

Dual Homing K-NET/WIBOX sur fibre à Etiolles

vivien

Dual Homing K-NET/WIBOX sur fibre à Etiolles

franckleroy

Dual Homing K-NET/WIBOX sur fibre à Etiolles

franckleroy

Dual Homing K-NET/WIBOX sur fibre à Etiolles

vivien

Dual Homing K-NET/WIBOX sur fibre à Etiolles

vivien

Dual Homing K-NET/WIBOX sur fibre à Etiolles