[Linux-bruxelles] offres d'accès Internet

Hervé Eychenne rv at eychenne.org
Mer 27 Oct 22:01:08 CEST 2004 

On Wed, Oct 27, 2004 at 07:17:52PM +0200, Physicman wrote:

> On Wed, 27 Oct 2004 18:36:01 +0200
> Hervé Eychenne <rv at eychenne.org> wrote:
> [snip]
> > De toute manière, l'adresse IP attribuée par skynet étant dynamique,
> > cela complique la tâche pour un MX...

> Il y a moyen avec un dns dynamique... D'ailleurs ca se fait ;)

Oui, je sais... si j'avais voulu mettre "c'est impossible", je
l'aurais mis. :-)

> > > De maniere plus generale, l'idee est que pour faire tourner un
> > > serveur chez soi, il faut beneficier d'un abonnement
> > > professionnel...

> > Et payer le double du prix pour un service technique à peine
> > supérieur (et encore très insuffisant). Merci, sans moi...

> J'imagine que tu parles de Skynet ;) Je ne pense pas que ce soit pareil
> chez tous les fournisseurs :)

Oui, je parlais de Skynet (c'est d'eux que cette discussion était
partie).

> > > L'ISP a une certaine responsabilite sur le traffic qui sort de chez
> > > lui,

> > Moi je dirais que c'est le particulier qui a cette responsabilité, et
> > que le FAI peut être amené à prendre des mesures ponctuelles si cela
> > dérape, et au cas par cas. Question de philosophie...

> Les pools d'ips ne sont pas attribues a des particuliers mais a des LIR.
> Ils en ont la "responsabilite"...
> Et tu comptes faire du cas par cas sur 30000 cas?;)

Absolument. Un compteur par adresse IP (et donc par abonné), ça fait
30000 malheureux compteurs (4 octets par compteur, soit 120 Ko).
Et qu'on ne me dise pas que l'incrémentation d'un petit compteur de
temps en temps sur un trigger par port (tous les routeurs ont ça) est
consommateur de ressources.
Et quand je dis au cas par cas, cela ne sous-entend pas que les
mesures prises en cas de dépassement ne peuvent pas être automatiques.
Mais elles doivent rester proportionnées, et a posteriori, afin de ne
pas limiter la liberté des utilisateurs licites.

> Ce n'est plus (malheureusement) une question de philosophie, mais une
> question de realisme...

Je ne vois toujours pas en quoi c'est irréaliste, mais voilà un sujet
dont l'intérêt commence à s'effriter avec les messages... Que les
autres lecteurs de cette enfilade nous pardonnent...

> > > donc il me parait normal qu'il fasse son possible pour limiter la
> > > diffusion de virus (et de spam eventuellement...)

> > Je suis contre les actions a priori. L'idéal, c'est les stats, et les
> > actions a posteriori, si nécessaire...

> Je suis d'accord avec toi; malheureusement nous ne vivons pas dans un
> monde ideal... Il faut donc prendre des mesures, parfois a priori pour
> eviter la cata a posteriori ;)

C'est tout l'enjeu de cette discussion : je soutiens que ce n'est
pas nécessaire. Et si certains prennent des mesures a priori, c'est
juste par paresse, voire incompétence, selon moi (car la mise en place
d'un contrôle en temps-réel demande un peu plus de finesse et de temps,
c'est sûr).
Le filtrage a priori, c'est simpliste, bête, et méchant... fasciste,
quoi.

> > > Je pense que tu n'imagines pas bien la quantite de donnees a traiter
> > > pour realiser ce genre de statistiques...

> > Chaque fois qu'un paquet arrive avec un port de destination 25/tcp, on
> > incrémente un petit compteur propre à chaque abonné.
> > Régulièrement, on regarde le taux moyen (emails émis par heure) pour
> > chaque abonné, et quand ça dépasse une limite jugée raisonnable
> > (rare), on prend les mesures nécessaires (information de l'abonné,
> > shapping, voire blocage temporaire).
> > En quoi cela est-il lourd ?

> Je repete, je ne pense pas que tu imagines la quantite de donnees a
> traiter...

Si, parfaitement. Combien un abonné moyen envoie-t-il de mails par
jour ? Le compteur associé n'est censé s'envoler que lorsqu'il y a
usage abusif, et c'est vite détecté.

> Implementer ce genre de systeme revient quasi a signer la
> mort de ton reseau...

Je ne vois toujours pas pourquoi (sur des critères objectifs et
quantifiables).

 Hervé

-- 
 _
(°=  Hervé Eychenne
//)  Homepage:          http://www.eychenne.org/
v_/_ WallFire project:  http://www.wallfire.org/

Plus d'informations sur la liste de diffusion Linux-bruxelles