Même gratuit ça ne fait pas beaucoup de chose quand même.
Mise à jour de tous vos équipements en deux clics
=> La fonction que je n'utiliserai jamais
Etats instantanés
Affichage détaillé des interfaces réseau
Des graphes RRD disponibles instantanément
Une cartographie de vos firewalls
=> J'ai d
On Sun, Sep 02, 2018 at 01:54:57PM +0200, DUVERGIER Claude wrote:
> Une société française édite (depuis 1-2 ans il me semble) le logiciel
> DynFi (tournant soit chez eux soit chez soi en auto-hébergé : "SaaS" ou
> "On Premise") : https://dynfi.com/fr/
>
> Il gère indifféremment pfSense et OPNsense
Le 01/09/2018 à 16:57, Guillaume Barrot a écrit :
>
> "Le seul truc qui m'a manqué un jour c'est que le projet de console
> centralisé n'a jamais vu le jour"
>
> Juste le NOGO de base pour faire de la sécu managée pour un service
> provider quoi.
> Du coup, oui, ça manque un tout petit peu...
Un
" Et du coup ça sert à quoi le fait de pouvoir rajouter un serveur Radius ou
LDAP et de choisir avec quel authentification s'appuyer dans les setting de
User Manager d'un pfsense ?"
Alors comme ça, je dirai, que si tu veux certifier tes activités (ISO,
PCI-DSS, etc.), n'avoir qu'une seule source d
Transparent, c’est du forwarding L2
> Le 31 août 2018 à 21:53, David Ponzone a écrit :
>
> Tu peux faire le nat ailleurs mais garder le forti en routage. Transparent,
> ça veut dire bridge hein ?
>
> David Ponzone
>
>
>
> Le 31 août 2018 à 21:42, Michel Py a
> écrit :
>
Michel Py a
Tu peux faire le nat ailleurs mais garder le forti en routage. Transparent, ça
veut dire bridge hein ?
David Ponzone
Le 31 août 2018 à 21:42, Michel Py a écrit
:
>>> Michel Py a écrit :
>>> En plus, le fortigate est en mode transparent
>
>> Radu-Adrian Feurdean a écrit :
>> Ah ! Et tu fais
>> Michel Py a écrit :
>> En plus, le fortigate est en mode transparent
> Radu-Adrian Feurdean a écrit :
> Ah ! Et tu fais confiance a ce genre de modes de fonctionnement (que ca soit
> chez Forti ou chez quelqu'un d'autre) ?
Ca marche très bien avec d'autres vendeurs. Il y a pas mal de situati
La question philosophique pour ce vendredi double c’est: aurait-il pu en être
autrement ?
Non, est c'est pourquoi je suis le troll de la liste du FRnOG et toi l'adjoint
: quand on étais jeunes et cons, on croyait qu'on pouvait gagner. Maintenant
qu'on est vieux et cons, on trolle la liste du
On Fri, Aug 31, 2018, at 11:46, Xavier Lemaire wrote:
> pfsense authentification pas KO
>
> Et du coup ça sert à quoi le fait de pouvoir rajouter un serveur
> Radius ou LDAP et de choisir avec quel authentification s'appuyer dans
> les setting de User Manager d'un pfsense ?
Dans mon contexte, a pa
re
pfsense authentification pas KO
Et du coup ça sert à quoi le fait de pouvoir rajouter un serveur Radius ou
LDAP et de choisir avec quel authentification s'appuyer dans les setting de
User Manager d'un pfsense ?
https://www.netgate.com/docs/pfsense/usermanager/user-authentication-servers.html
On Fri, Aug 31, 2018, at 03:24, Michel Py wrote:
> En plus, le fortigate est en mode transparent
Ah ! Et tu fais confiance a ce genre de modes de fonctionnement (que ca soit
chez Forti ou chez quelqu'un d'autre) ?
---
Liste de diffusion du FRnOG
http://www.frnog.org/
On Fri, Aug 31, 2018, at 01:10, Michel Py wrote:
> Ah ouai ouai farpaitement. Un moteur de Ferrari avec un embrayage de
> Solex.
> Dans mon cas particulier : FG200D, CPU: Intel(R) Celeron(R) CPU G540 @
> 2.50GHz Number of CPUs: 2
De mon cote, derriere un FG200D (meme que chez toi), OS 5.4, mach
Tu oublies le principal: s’ils nous demandaient de payer 15% de la valeur de la
voiture par an, pour avoir juste le droit de l’emmener au garage….
> Le 31 août 2018 à 09:35, Toussaint OTTAVI a écrit :
>
>
> Le 31/08/2018 à 07:47, David Ponzone a écrit :
>> Tout ça est la raison principale à mo
Le 31/08/2018 à 07:47, David Ponzone a écrit :
Tout ça est la raison principale à mon sens pour laquelle les gens
(utilisateurs finaux) utilisent l’informatique mais la détestent.
Cà ne concerne pas que les utilisateurs finaux ;-) Je me considère comme
un passionné, depuis plusieurs décenni
> David Ponzone a écrit :
> La question philosophique pour ce vendredi double c’est: aurait-il pu en être
> autrement ?
Non, est c'est pourquoi je suis le troll de la liste du FRnOG et toi l'adjoint
: quand on étais jeunes et cons, on croyait qu'on pouvait gagner. Maintenant
qu'on est vieux et
ay, August 30, 2018 5:15 PM
> To: Michel Py
> Cc: Toussaint OTTAVI; frnog@frnog.org
> Subject: Re: [FRnOG] [MISC] Fortigate et traceroute : la honte
>
> Non mais par contre j’ai fait ce test depuis un PC qui arrive dans un VDOM
> qui a comme default route le VDOM root, sans NAT
Tu factures Fortinet pour tes tests ?
Oublies pas mes 15%, hein.
-Original Message-
From: David Ponzone [mailto:david.ponz...@gmail.com]
Sent: Thursday, August 30, 2018 5:15 PM
To: Michel Py
Cc: Toussaint OTTAVI; frnog@frnog.org
Subject: Re: [FRnOG] [MISC] Fortigate et traceroute : la
> Arnaud BRAND a écrit :
> Mais si j'ai bien compris le souci de Michel, c'est aussi le forwarding des
> TTL expired des hops suivants qui pêche.
Oui absolument. En plus, le fortigate est en mode transparent, et la manière
dont je le traverse est un Wire-Pair, avec une Wire-Pair policy qui perme
Bon il est tard, alors je vais peut-être raconter des c, mais bon,
c'est trolldi alors c'est permis :-)
Je précise que je n'ai rien contre les forti.
Mais l'explication ne me convainc pas et donc ça me gratouille...
Le 2018-08-31 00:38, Guillaume Barrot a écrit :
Ouaip.
Michel, tu n'es pa
nOG] [MISC] Fortigate et traceroute : la honte
Non mais par contre j’ai fait ce test depuis un PC qui arrive dans un VDOM qui
a comme default route le VDOM root, sans NAT, juste un peu d’application
control.
Je referai si je peux un essai depuis un PV derrière un Forti en conf plus
classique.
David Pon
Non mais par contre j’ai fait ce test depuis un PC qui arrive dans un VDOM qui
a comme default route le VDOM root, sans NAT, juste un peu d’application
control.
Je referai si je peux un essai depuis un PV derrière un Forti en conf plus
classique.
David Ponzone
Le 31 août 2018 à 02:09, Michel
> David Ponzone a écrit :
> Hmm je pige pas ta spécificité. Je fais un tracert depuis un PC derrière un
> Forti, et il est nickel.
C'est clair qu'il y en a une. Transparent mode ?
Michel.
Le 30 août 2018 à 23:14, Michel Py a écrit
:
>> David Ponzone a écrit :
>> Ok t’as un exemple pour illu
Hmm je pige pas ta spécificité.
Je fais un tracert depuis un PC derrière un Forti, et il est nickel.
David Ponzone
Le 30 août 2018 à 23:14, Michel Py a écrit
:
>> David Ponzone a écrit :
>> Ok t’as un exemple pour illustrer la gravité de la chose ?
>
> De mon ordi (1 source) je peux même pa
> Guillaume Barrot a écrit :
> Michel, tu n'es pas sans savoir qu'un TTL expired during transit = 1
> interrupt CPU, car il
> n'existe pas, à ma connaissance, d'ASIC capable de répondre un code retour
> ICMP.
Ah bon, c'est pas çà que fait "Accelerated by FortiASIC" :P
Pas taper, pas taper.
>
Ouaip.
Michel, tu n'es pas sans savoir qu'un TTL expired during transit = 1
interrupt CPU, car il n'existe pas, à ma connaissance, d'ASIC capable de
répondre un code retour ICMP.
Or la CPU, des plus petits Fortinet, c'est un Raspi, mais à qui on aurait
coupé l'oxygene.
Or le FortiOS est le même sur
> David Ponzone a écrit :
> Ok t’as un exemple pour illustrer la gravité de la chose ?
De mon ordi (1 source) je peux même pas faire UN tracert vers l'extérieur sans
que le Fortigate me bouffe entre la moitié et les deux-tiers des hops (voir
plus bas).
> Parce qu’à part si tu passes ton temps à
Cordialement,
Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr
> -Message d'origine-
> De : frnog-requ...@frnog.org De la part de David
> Ponzone
> Envoyé : jeudi 30 août 2018 18:38
> À : Michel Py
> Cc : Toussaint OTTAVI ;
Ok t’as un exemple pour illustrer la gravité de la chose ?
Parce qu’à part si tu passes ton temps à faire des traceroute simultanés….
Et encore, c’est juste le hop du Forti qui répond des *.
Ok, ça devrait être paramétrable, mais j’imagine qu’ils ont des tonnes de DDoS
basé sur du TTL expiry ou au
> David Ponzone a écrit :
> Michel, je te sens énervé :)
Tu me connais bien :) Y'à Fortinet qui a mis du poil à grater dans mon slip, çà
me les grate.
> Tu as une trace dans une doc de ce rate-limit par défaut de FortiOS ? Je
> trouve rien de mon côté.
C'était dans le fil plus tot :
http://kb
Michel,
je te sens énervé :)
Tu as une trace dans une doc de ce rate-limit par défaut de FortiOS ?
Je trouve rien de mon côté.
> Le 30 août 2018 à 17:59, Michel Py a
> écrit :
>
>> Toussaint OTTAVI a écrit :
>> Avec la différence, comme le dit Michel, que pfSense est Open-Source. Et
>> donc
> Toussaint OTTAVI a écrit :
> Avec la différence, comme le dit Michel, que pfSense est Open-Source. Et
> donc, le temps
> perdu en palabres avec le support niveau 1 et les marketeux peut être utilisé
> pour mettre
> les mains dans le code, et éventuellement corriger ce qui ne nous convient pas
>
Le 30/08/2018 à 10:18, Xavier Lemaire a écrit :
Soit acheter une compétence sous forme de contrat de maintenance / support
Là, on touche à d'autres problèmes : A qui acheter le contrat en
question pour être certain d'avoir une prestation à la hauteur de ce que
l'on attend ? A l'éditeur dire
https://forum.netgate.com/topic/52671/how-do-i-create-alias-of-aliases-nested-aliases-in-v2
> Le 30 août 2018 à 11:30, Toussaint OTTAVI a écrit :
>
>
> Le 30/08/2018 à 10:11, Xavier Lemaire a écrit :
>> je crois que tu as raté un truc car maintenant c'est possible de faire des
>> alias d'alia
Le 30/08/2018 à 10:11, Xavier Lemaire a écrit :
je crois que tu as raté un truc car maintenant c'est possible de faire
des alias d'alias :)
Ma dernière évaluation de pfSense date de Mai 2018. Donc, ce n'est pas
vieux. Merci pour l'info, je vais regarder...
---
List
> > Mon best practice pour ça est de choisir un bon presta pour t'accompagner.
>Cà va me servir à quoi ? perdre mon temps à expliquer une nième fois le
>problème, et payer 500 € de l'heure à un presta pour qu'il me facture le temps
>qu'il perd avec le support, pour arriver au même résultat : ri
Hello,
> Pfsense vs propriétaire
>
> les deux derniers points sont réels ils expriment une problématique d'accès
> à un certain niveau de compétence.
> Soit acheter une compétence sous forme de contrat de maintenance / support
> soit d'acheter (avoir) une compétence qui peut effectivement rentrer
Pfsense vs propriétaire
les deux derniers points sont réels ils expriment une problématique d'accès
à un certain niveau de compétence.
Soit acheter une compétence sous forme de contrat de maintenance / support
soit d'acheter (avoir) une compétence qui peut effectivement rentrer dans
un processus d
je crois que tu as raté un truc car maintenant c'est possible de faire des
alias d'alias :)
Le jeu. 30 août 2018 à 09:49, Toussaint OTTAVI a
écrit :
>
> Le 28/08/2018 à 08:23, Xavier Lemaire a écrit :
> > Quand je lis ce genre de sujet je me souviens à quel point Je suis
> > tranquille avec pfse
Le 28/08/2018 à 08:23, Xavier Lemaire a écrit :
Quand je lis ce genre de sujet je me souviens à quel point Je suis
tranquille avec pfsense et en plus le coût est moindre.
Sans entrer dans le troll, pfSense aussi a ses défauts. Un qui est
rédhibitoire pour moi est l'impossibilité de créer des
> Michael Bazy a écrit :
> Côté support, je reconnais qu'ils ont à peu près le même problème que
> beaucoup d'autres
> (gros) éditeurs : le niveau 1 qui comprend souvent les trucs à côté (je les
> soupçonne
> d'être payés au nombre de tickets clôturés sans être escaladés).
Hélas.
> Mon best p
The bits marked with an asterisk are rate limited by default
(see the default mask above).
- Mail original -
De: "Michael Bazy"
À: "Michel Py"
Cc: "VALOIS, Pascal" , "frnog" ,
"Guillaume Tournat"
Envoyé: Mercredi 29 Août 2018
r un bon presta pour t'accompagner.
Ou sinon prendre un TAM, mais c'est (beaucoup) plus cher.
Michael
-Message d'origine-
De : Michel Py
Envoyé : mercredi 29 août 2018 00:16
À : Guillaume Tournat
Cc : Michael Bazy ; VALOIS, Pascal
; frnog@frnog.org
Objet : RE: [FRnOG]
> Guillaume Tournat a écrit :
> On parle de paquets avec TTL expiré, qui devraient donc être rejetés.
> Qu’il y ait du throttle la dessus, ça ne me choque pas.
Cà devrait être ma décision, pas la leur. C'est pas choquant, mais 1 packet par
seconde faut qu'ils arrêtent de fumer la moquette.
En pl
On parle de paquets avec TTL expiré, qui devraient donc être rejetés. Qu’il y
ait du throttle la dessus, ça ne me choque pas.
Le 28 août 2018 à 19:57, Michel Py a écrit
:
>> Michael Bazy a écrit :
>> Heu, pour le coup, la limitation que Michel remonte sur Forti n'est pas là
>> pour bloquer
>
> C'est pire que çà, c'est 1 packet par seconde avec un TTL expiré. Même un
> simple traceroute, 1 seul à là fois, çà ne passe pas.
>
> UN PACKET PAR SECONDE !
>
> C'est qui la bite qui a inventé çà ? on parle couramment de MILLIONS de
> packets par seconde. J'ai une boite de 600 personnes a
> Michael Bazy a écrit :
> Heu, pour le coup, la limitation que Michel remonte sur Forti n'est pas là
> pour bloquer l'encapsulation
> d'autres protocoles dans ICMP, elle empêche "juste" à une machine de faire
> plus de 1 traceroute par seconde.
C'est pire que çà, c'est 1 packet par seconde avec
t moche comme traceroute. Cependant, je
veux bien comprendre que ça puisse empêcher des attaques.
Mais bon, ça aurait pu être configurable.
Michael
-Message d'origine-
De : frnog-requ...@frnog.org De la part de VALOIS,
Pascal
Envoyé : mardi 28 août 2018 09:01
À : frnog@frnog.org
Hello Pascal,
> Dans l'absolu oui, le bloc du ping m'enerve aussi, mais le ping est un
> passe muraille que beaucoup négligent,
> entre les octets inutilisés qui permettent de faire un relai icmp tcp,
> ou le fait de pouvoir se faire ddos par du ping
Tout n'est pas a jeter (je parlais de l'ICMP,
J'ai oublié "le poc" :
http://www.mit.edu/afs.new/sipb/user/golem/tmp/ptunnel-0.61.orig/web/
Le 28/08/2018 à 08:59, VALOIS, Pascal a écrit :
Dans l'absolu oui, le bloc du ping m'enerve aussi, mais le ping est un
passe muraille que beaucoup négligent,
entre les octets inutilisés qui permettent d
Dans l'absolu oui, le bloc du ping m'enerve aussi, mais le ping est un
passe muraille que beaucoup négligent,
entre les octets inutilisés qui permettent de faire un relai icmp tcp,
ou le fait de pouvoir se faire ddos par du ping
(plus facilement que par du tcp, vu qu'un paquet ping c'est tout pit
Bonjour
Troldi en avance ?
Quand je lis ce genre de sujet je me souviens à quel point Je suis
tranquille avec pfsense et en plus le coût est moindre.
Le lun. 27 août 2018 à 20:29, Michel Py
a écrit :
> Quand on traverse un Fortigate, on ne peut pas faire de traceroute fiable,
> car il y a un
Le 27/08/2018 à 20:28, Michel Py a écrit :
Quand on traverse un Fortigate, on ne peut pas faire de traceroute fiable, car
il y a un rate-limit de 1 packet par seconde avec TTL expiré.
C'est documenté. Et en plus ils pensent qu'ils ont raison.
Tiens, on est déjà Vendredi ? :-D
A l'occasion,
Hello Michel,
> Quand on traverse un Fortigate, on ne peut pas faire de traceroute fiable, car
> il y a un rate-limit de 1 packet par seconde avec TTL expiré.
> C'est documenté. Et en plus ils pensent qu'ils ont raison.
> http://kb.fortinet.com/kb/documentLink.do?externalId=FD40372
>
> Bravo Mr.
Quand on traverse un Fortigate, on ne peut pas faire de traceroute fiable, car
il y a un rate-limit de 1 packet par seconde avec TTL expiré.
C'est documenté. Et en plus ils pensent qu'ils ont raison.
http://kb.fortinet.com/kb/documentLink.do?externalId=FD40372
Bravo Mr. Fortinet, à force de joue
54 matches
Mail list logo
