Re: [FRnOG] Liste des datacenters parisiens
Bonsoir, Damien Wetzel a écrit : Bonjour à tous, Un trés bon papier du nanog sur le probleme des datacenters: http://atanar.com/Snowhorn-Power.pdf Il y a eu aussi une intervention intéressante sur le sujet au dernier SSTIC : http://actes.sstic.org/SSTIC08/Etat_de_l_art_et_nouveaux_enjeux_des_green_data_centers/SSTIC08_etat_de_l_art_et_nouveaux_enjeux_des_green_data_centers.pdf C'est pas simple. Damien, Raphael Maunier writes: > Raphael Maunier a écrit : > > Pierre Col | UbicMedia a écrit : > >> Raphael Maunier a écrit : > >>> Sur Londres, pratiquement impossible d'avoir une baie ou meme de > >>> rajouter de la capa electrique dans ta baie. Meme apres avoir demande > >>> 40 devis et vouloir payer une fortune pour en rajouter. > >>> > >>> Sur Amsterdam, pratiquement meme combat. J'ai trouve de la place mais > >>> le prix de la baie avec la capa electrique pour supporter des > >>> routeurs me coute un bras et une jambe. > >>> > >>> Sur NY, pour trouver une baie (directement dans Manhattan), tu es sur > >>> une liste d'attente pour obtenir une baie. > >>> > >>> Sur Paris, meme cas, donc ceux qui ont de l'espace ne le bradent pas > >> > >> Au prix de l'immobilier, c'est totalement insensé de mettre des > >> datacenters dans Londres, Paris, Amsterdam ou NY. Il faut les mettre > >> loin des villes, et de préférence au bord d'une rivière à fort courant > >> qui entraînera la turbine produisant l'électricité pour le datacenter :-) > > > > Ok, pour etre un datacenter neutre tres loin des grandes villes avec > > beaucoup d'operateurs fibres ou autre, tu as interet a filer les > > foureaux gratos en boucle vers l'une des capitales > > Pour deployer du reseau fibre, c'est pas gratuit :) > >> > >> Quant à la hausse des prix, elle découle de la fin des énormes > >> surcapacités d'après la bulle Internet, qui avaient entraîné une > >> baisse des prix jusqu'à des niveaux anormalement bas. > > > > Il y a en effet une grande partie de cela , mais aussi le prix de > > l'electricite et le cout d'upgrade pour en produire plus ( et tenter de > > le redonder), la mise aux normes des clients des datacenters (que tu > > paie une seconde fois par ailleurs :) ) > Il fallait lire "la mise aux normes des CLIM des datacenters" > > > > > > > > > > > -- > Raphaël Maunier > NEO TELECOMS > Engineering Manager > > 2 rue du Chemin Vert > 92110 Clichy - France > Tel : +33 1.49.97.07.44 > Mob : +33 6.86.86.81.76 > [EMAIL PROTECTED] > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] The Internet's Biggest Security Hole ?
http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
Bonjour, Bonjour, Etant nouveau sur la liste, je vais (très brièvement) me présenter : Pierre, ingénieur réseaux et systèmes. Je me tourne vers vous pour une petite (enfin grosse) question :) Nous prévoyons en ce moment de changer nos vieux PIX en Failover pour une solutoin de firewalls en actif/actif. On était parti à la base sur des ASA et finalement j'ai réussi à convaincre mes collègues de tenter l'expérience Netfilter avant de se décider (rapport qualité prix incomparable, surtout niveau prix :)). Voilà donc mon problème, je cherche depuis quelques temps une solution pour mettre deux firewalls avec Netfilter en actif/actif et j'avoue que je m'y perd un peu (VRRP avec conntrack, CARP avec ucarp, keepalived, heartbeat,...). A part pour heartbeat que je connais déjà pas mal, j'ai du mal à réunir de la documentation et à peser le pour et le contre de tout ce qui peut se faire. A vrai dire les documentations n'ont pas l'air de faire légion dans le domaine (ou alors il va me falloir une formation Google...). De plus n'étant pas du tout familier avec les *BSD, je ne compte pas me diriger sur cette voie : je préfère pour l'instant rester sur un système que je connais bien, surtout pour des firewalls ! Je n'utilise pas ces fonctionnalités actuellement mais m0n0wall et pfsense (qui est un développement parallèle de m0n0wall et peut être installé sur disque permettant ainsi d'installer des packages supplémentaires) offrent la possibilité de faire du carp et pfsync. Cela tourne sous freebsd. Sur notre campus nous avons m0n0wall (sur boîtiers wrap) et pfsense (sur des serveur 1U) depuis plusieurs années et ce sont de superbes logiciels. Les serveurs sous pfsense nous permettent aussi d'avoir squid "maison" + un proxycgi "shibolleth'isé" Interface de gestion graphique, accès shell, ... Nombreuses fonctionnalités (voir plus bas). Très stable. Un peu de tuning au début (notamment par rapport à la table statefull) mais cela tient plusieurs milliers d'utilisateurs simultanés sans problème (dépend bien sûr de la config hardware). L'installation se fait à partir d'un livecd en mode console. Une adresse IP sur l'interface LAN (qui peut être mise dès le départ en 802.1q) et le reste se fait via GUI. Un fw de base est configuré en moins d'une heure. Le fichier de config est "sauvegardable/restorable" en xml. Et la réplication sur d'autres boîtiers (wrap) devient triviale. (cela peut aussi servir de point d'accès wifi, fw adsl, ...) Ci-dessous (en mode dépouillé) les différents rubriques accessibles à partir de l'interface graphique de pfsense : * System o Advanced o Firmware o General Setup o Packages o Setup wizard o Static routes * Interfaces o (assign) o WAN o LAN ... * Firewall o Aliases o NAT o Rules o Schedules o Traffic Shaper o Virtual IPs * Services o Captive portal o DNS forwarder o DHCP relay o DHCP server o Dynamic DNS o Load Balancer o OLSR o RIP o SNMP o UPnP o OpenNTPD o Wake on LAN o Proxy server * VPN o IPsec o OpenVPN o PPPoE o PPTP * Status o CARP (failover) o DHCP leases o Filter Reload Status o Interfaces o IPsec o Load Balancer o Package logs o Queues o RRD Graphs o Services o Dashboard o System logs o Traffic graph o UPnP o Proxy report * Diagnostics o ARP Tables o Backup/Restore o Command Prompt o Edit File o Factory defaults o Halt system o Ping o Reboot system o Routes o States o Traceroute o Packet Capture (un package sur la 1.2 et sur la nouvelle version 1.3 (en béta) à venir offrent un dashboard) Les packages actuellement disponibles (rien n'empêche par ailleurs d'installer ces propres logiciels au besoin mais ils ne pourront pas être gérés via l'interface graphique) Lcdproc-0.5.2_2 Lightsquid 1.7.1 OpenBGPD 0.4 Zabbix Agent 0.22 arping 2.05 bandwidthd 2.0.1.1 darkstat 3.0.619 diag_new_states 0.2 dns-server 1.0.3 freeradius 1.1.2_1 imspector 0.4 iperf 2.0.2_1 nmap 4.20_1 ntop 3.2_2 nut 2.0.4 pfflowd 0.7 phpSysInfo 2.5.3 siproxd 0.7.1 spamd 4.3.7 squid 2.6.18.1_04 squidGuard 1.2.0_1 sshterm 0.1 stunnel 4.18 widentd 1.03_1 Donc voilà, si quelqu'un avait une petite piste/un avis là dessus, je serais très content de l'entendre :) -- Hubert Ulliac - CRI - Université Rennes 2 Haute Bretagne --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall actif/actif
eberkut a écrit : Le 28 août 08 à 15:56, Hubert Ulliac a écrit : Je n'utilise pas ces fonctionnalités actuellement mais m0n0wall et pfsense (qui est un développement parallèle de m0n0wall et peut être installé sur disque permettant ainsi d'installer des packages supplémentaires) offrent la possibilité de faire du carp et pfsync. Cela tourne sous freebsd. Sur notre campus nous avons m0n0wall (sur boîtiers wrap) et pfsense (sur des serveur 1U) depuis plusieurs années et ce sont de superbes logiciels. Les serveurs sous pfsense nous permettent aussi d'avoir squid "maison" + un proxycgi "shibolleth'isé" Interface de gestion graphique, accès shell, ... Nombreuses fonctionnalités (voir plus bas). Il y a eu un bon tutoriel sur pfSense lors de la dernière BSDCan 2008, très honnête sur les perf' et l'utilisation qui peut en être fait : http://www.bsdcan.org/2008/schedule/attachments/66_pfSenseTutorial.pdf Personnellement, entre l'obligation interface WAN/LAN (sinon ça s'installe pas) et les règles par défaut, je le vois quand même plutôt comme une passerelle de branch office ou pour faire un frontend devant quelques serveurs que comme un vrai firewall. Tout à fait d'accord pour m0n0wall. Pour pfsense c'est vrai que nous l'utilisons principalement pour des flux sortants. Pour nos flux entrants généraux nous avons autre chose donc pas vraiment de retour d'expérience dans ce cas pour son utilisation. Et pour les mêmes raisons que Youssef (d'expérience), j'irai plutôt sur des appliances moins compliquées à gérer. D'expérience, je ne trouve pas pfsense compliqué à gérer, en tous cas pas par rapport aux appliances ou plateformes propriétaires que je connais. Mais d'accord sur le fait qu'il ne convient pas forcément à ce que recherche Pierre. Je pense quand même que ce sont des logiciels qu'il est bon de connaître, voire essayer (chez soi par exemple:-). Surtout si maintenant, vu les limitations de Linux pour faire de la redondance de firewalls, Pierre commence à se tourner vers OpenBSD et qu'il admet lui-même que personne ne maîtrise dans son équipe. Ou alors se passer de firewall ;-} Il y a eu il y a quelques mois un long thread intéressant avec les pour et les contre sur ce sujet dans une liste de diffusion sur le thème des firewall (je n'ai pas en tête le nom de la liste et je n'ai pas le temps de chercher). Une grosse université américaine était citée en exemple. Cordialement, --eberkut--- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
