[Linux-bruxelles] offres d'accès Internet

Physicman cb at physicman.net
Jeu 28 Oct 08:46:42 CEST 2004


On Wed, 27 Oct 2004 22:01:08 +0200
Hervé Eychenne <rv at eychenne.org> wrote:
[snip]
> > Et tu comptes faire du cas par cas sur 30000 cas?;)
> 
> Absolument. Un compteur par adresse IP (et donc par abonné), ça fait
> 30000 malheureux compteurs (4 octets par compteur, soit 120 Ko).
> Et qu'on ne me dise pas que l'incrémentation d'un petit compteur de
> temps en temps sur un trigger par port (tous les routeurs ont ça) est
> consommateur de ressources.
Bon, d'abord, il faut se rappeler qu'un routeur sert a router et a rien
d'autre. Des que tu commences a rajouter des compteurs, des filtres,
etc. c'est le debut de la fin...
Ceci etant dit, prenons un petit exemple (cad, avec des chiffres
probablement bien inferieurs a ceux que Skynet doit traiter).
Chez un certain fournisseur d'acces non specialise dans le residentiel,
il faut compter de l'autre de 20 000 paquets par seconde pour le seul
traffic residentiel. Il faut evidemment examiner chaque paquet pour
connaitre sa destination et son port de destination. Maintenant
supposons que seul 30% de ce traffic soit du traffic SMTP (j'ai pas les
proportions en tete; mais c'est a mon avis assez inferieur a la
realite). Ca nous fait 6000 paquets par secondes, donc 21 600 000
incrementations de compteurs par heure... on est loin de
"l'incrementation d'un petit compteur" (et je rappelle que ca ne
concerne qu'un petit nombre d'abonnes)...

Je pense que tu peux largement rajouter un ou deux zeros pour avoir une
idee de ce qui se passe chez Skynet...

> Et quand je dis au cas par cas, cela ne sous-entend pas que les
> mesures prises en cas de dépassement ne peuvent pas être automatiques.
> Mais elles doivent rester proportionnées, et a posteriori, afin de ne
> pas limiter la liberté des utilisateurs licites.
> 
Sur le fond je suis entierement d'accord avec toi. Mon principe de base
est qu'un fournisseur d'acces fournit l'acces. Ce raisonnement a
evidemment une limite, celle ou ce principe entraine justement le fait
de ne plus pouvoir fournir l'acces... 

Ceci etant dit, rappellons que la plupart des fournisseurs d'acces ne
bloquent pas les ports...

> > Ce n'est plus (malheureusement) une question de philosophie, mais
> > une question de realisme...
> 
> Je ne vois toujours pas en quoi c'est irréaliste, mais voilà un sujet
> dont l'intérêt commence à s'effriter avec les messages... Que les
> autres lecteurs de cette enfilade nous pardonnent...
> 
Bah, on pouvait esperer l'intervention d'un lecteur travaillant
justement chez Skynet... (eh, tu dors Niddle? ;)

> > > > donc il me parait normal qu'il fasse son possible pour limiter
> > > > la diffusion de virus (et de spam eventuellement...)
> 
> > > Je suis contre les actions a priori. L'idéal, c'est les stats, et
> > > les actions a posteriori, si nécessaire...
> 
> > Je suis d'accord avec toi; malheureusement nous ne vivons pas dans
> > un monde ideal... Il faut donc prendre des mesures, parfois a priori
> > pour eviter la cata a posteriori ;)
> 
> C'est tout l'enjeu de cette discussion : je soutiens que ce n'est
> pas nécessaire. Et si certains prennent des mesures a priori, c'est
> juste par paresse, voire incompétence, selon moi (car la mise en place
> d'un contrôle en temps-réel demande un peu plus de finesse et de
> temps, c'est sûr).
> Le filtrage a priori, c'est simpliste, bête, et méchant... fasciste,
> quoi.
>
Et ton attitude est bete, mechante et poujadiste donc? ;)
Il est toujours facile de donner des lecons quand on ne connait pas la
realite des problemes, c'est nettement moins evident quand tu y es
reellement confronte...

> > Je repete, je ne pense pas que tu imagines la quantite de donnees a
> > traiter...
> 
> Si, parfaitement. Combien un abonné moyen envoie-t-il de mails par
> jour ? Le compteur associé n'est censé s'envoler que lorsqu'il y a
> usage abusif, et c'est vite détecté.
> 
Ah tu crees des compteurs paranormaux qui savent deviner si un paquet
est destine au SMTP avant de l'examiner? ;)
Le probleme est evidemment que tu dois examiner tous les paquets qui
passent pour implementer un tel compteur. Dire qu'examiner 20000 paquets
par seconde n'a pas d'impact sur le traffic est une verite aussi
solide que de dire qu'il y avait des armes de destruction massive en
Irak :p

> > Implementer ce genre de systeme revient quasi a signer la
> > mort de ton reseau...
> 
> Je ne vois toujours pas pourquoi (sur des critères objectifs et
> quantifiables).
> 
S'il t'en faut d'autre, je te propose de me contacter off-liste...
D'ailleurs, je propose que ce thread se termine ici. Si tu veux
continuer la discussion, je te propose de me contacter en prive...

>  Hervé
> 

Bien a toi,

Chris

-- 
 ,''`.  Christopher `Physicman' Bodenstein <cb at physicman.net>
 : :' :  Physicman.Net     :   http://www.physicman.net/ 
 `. `'   Debian GNU/Linux  :   http://www.debian.org/
   `-    Debian IPv6       :   http://debian.fabbione.net/
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: non disponible
Type: application/pgp-signature
Taille: 189 octets
Desc: non disponible
URL: </pipermail/linux-bruxelles/attachments/20041028/205f5a17/attachment-0001.sig>


Plus d'informations sur la liste de diffusion Linux-bruxelles