(Courriels de diversion: <revolvers@ethnies-fiance.com> <fripon@etudiez-potence.com> <plusieurs@pechez-renfrogne.com> <deferlons@vieillissiez-haïront.com> <ligotes@libertines-emetteurs.com> <batteurs@faufilerons-theoriserais.com> <arriere-grand-pere@foirer-recrire.com> <regonfla@abjurer-moussaillons.com> <regretteront@berca-stresse.com> <eloignant@bâclons-tissiez.com> )
On Tue, Nov 05, 2002, Eric Marsden wrote: > rb> le client peut être amené à utiliser son propre protocole de > rb> communication réseau, pour monter des VPN par exemple (nous > rb> avons plusieurs clients qui ont 20 comptes ADSL chez nous pour > rb> une utilisation dans cette optique). > > je ne vois pas de rapport entre la possibilité de mettre en place un > réseau privé virtuel (VPN) et le fait d'accepter des relais SMTP > ouverts sur leur réseau. Les VPNs ne fonctionnent pas habituellement > sur le port 25. D'une manière générale, nous autorisons le client à utiliser sa ligne ADSL comme il l'entend. S'il entend installer un serveur SMTP, cela le regarde donc. Nous n'avons pas à lui faire signer de décharge ou autre concernant l'installation de serveurs chez lui. > rb> 2/ Nerim ne peux pas filtrer le trafic réseau de ses abonnés, > rb> tout d'abord pour des raisons politiques : le client doit être > rb> libre d'utiliser le réseau comme il le souhaite. > > c'est naïf, et avec ce genre de politique, ils risquent d'attirer les > clients malveillants. Sur la route, par exemple, il y a des règles de Tous les fournisseurs d'accès n'appliquent pas de filtrage sur le trafic de leurs abonnés, et par conséquent aucun ne doit le faire. L'optique FAI est très différente de l'optique de réseau d'entreprise. Aujourd'hui le client d'un FAI *ne veux absolument pas de filtrage*. Nous avons eu des problèmes avec certains clients car un ex-fournisseur (Isdnet) filtrait le spoof sur son réseau backbone, empêchant les clients d'expédier des paquets avec une autre adresse IP qu'une adresse Nerim. Aujourd'hui, nous n'avons plus qu'un peering avec Isdnet, et nous choisissions des fournisseurs "coeur de réseau" (tier 1) afin d'éviter tout filtrage sur le parcours vers le site auquel veut accéder notre client. > rb> Ensuite il vient une raison technique : les équipements réseau > rb> de Nerim ne permettent pas le filtrage, car ils sont orientés > rb> dans le sens des performances : il y a plus de 350 Mbit/s de > rb> trafic ADSL à gérer au sein du réseau. > > je suis surpris que leurs équipements aux points de peering avec > Internet ne soient pas capables de faire du filtrage IP, mais > probablement que Raphael connaît mieux les équipements Nerim que moi ;-) Moins de processus tournent sur un routeur, plus il a de chances d'être stable, c'est la même chose que pour les machines. Par ailleurs, en dehors de la stabilité, le filtrage IP dégrade énormément les performances d'un routeur (empêchant par exemple une interface Fast Ethernet de fonctionner à 100 Mbit/s dans les deux sens, ce qui n'est pas tolérable pour nous). > rb> 3/ Nerim peut filtrer l'accès à ses serveurs si le client abuse des > rb> ressources que met Nerim à sa disposition. Cela arrive lorsque > rb> l'utilisation que fait le client du serveur perturbe le service des > rb> autres abonnés Nerim. > > il suffirait d'étendre ce système de filtrage aux clients incompétents/ > malveillants qui font tourner des relais SMTP ouverts sur le réseau > Nerim. Les administrateurs de Nerim n'auront même pas besoin de mettre > en place une infrastructure de détection de relai ouvert, puisqu'ils > peuvent utiliser les informations de la DSBL.org. Nous ne pouvons pas savoir si les clients font tourner (ou non) des serveurs SMTP. Toute tentative de vérification peut être assimilée à une tentative d'intrusion car cela ne figure pas dans nos conditions générales. Nous avons un certain nombre de paranoïques du firewall parmis nos clients ... La clientèle de Nerim est essentiellement constituée de PME qui lisent "de tout et n'importe quoi" sur Internet à propos de la sécurité, et qui nous écrivent dès que le serveur DNS fait "un peu trop" de connexions sur leurs machines avec un port source égal à 53 ... Concernant les listes noires, il est évidemment hors de question d'en mettre en place sur les SMTP de Nerim. Nous avons des clients qui nous disent que nous filtrons leurs e-mails lorsqu'un serveur SMTP distant répond quelque chose comme "remote server refused mail service" parce qu'il était trop chargé à ce moment-là. Cordialement, -- Raphael Bouaziz. Administrateur Systèmes & Réseaux Nerim -- Fournisseur d'accès à Internet URL: <http://www.nerim.net/> --------------------------------------------------------------------- Aide sur la liste: <URL:mailto:linux-31-help@CULTe.org>Le CULTe sur le web: <URL:http://www.CULTe.org/>