Reprise du message précédent :
ça me semble être du tournage excessif de nerd knob, quel problème cherche t-on à résoudre ? ssh est déjà sécurisé

 
Ça ne résout rien, ça rajoute juste une couche de sécurité au-dessus de tes protocoles. Ça te permet juste de te prémunir face à une faille, à une mauvaise conf du démon SSH ou d'un autre protocole...

Perso c'était une question comme ça, je voulais savoir si c'était vraiment utilisé en prod...
ssh sécurisé, ok avec le bon cipher etc

A mon sens cela sert juste si faille ssh (y'en a pas tous les deux jours effectivement ! ) de lors que l'on utilise que les clefs ssh (no password)  + IPTABLES (Source -> IP) + TCPWRAPPER (et encore) on est déjà pas mal !
 
J'avais commencé à regarder ça lorsqu'on voulait passer en PCI-DSS, et c'était une des petite préco "en plus" que l'on pouvait déployer pour "faire bien" envers la banque....

J'ai été étonné de voir que le router reçu par mon nouveau fai proposait cette fonction

Alors ça doit bien être reconnu! Alors pourquoi pas ! Quel marque le routeur? Cisco?

Aucune idée, c'est un truc brandé par mon isp https://www.xavierstuder.com/wp-con [...] heet_f.pdf

Je cherche une présentation ou un article de blog assez simpliste qui décrit le SDN. (et pourquoi pas un topo sur SDN, SD-WAN et NFV), vous avez ça quelque part ?

L'article de silicon ?
https://www.silicon.fr/hub/colt-hub [...] nfv-sd-wan
Après, globalement, nfv c'est virtualiser de l'appliance réseau. SDN c'est séparer le control plane   et lui donner des méthodes d'accès "modernes" (api). SD-wan c'est du mpls-like fait avec des tunnels IPsec entre des appliances physiques x86 ou virtuelles et une joli interface.

Thx, j'ai trouvé ça aussi au passage : http://media.frnog.org/FRnOG_20/FRnOG_20-8.pdf

Pour le SD-WAN le principe c'est bien ca mais pas forcement du ipsec. Je l'ai deployé dans ma boite avec plusieurs sites dont 1 en Chine et pour "eviter" que le gouvernement Chinois nous bloque l'ipsec on passe par des tunnels chiffrés qui sont vu comme du traffic internet lambda.

Le presta qui m'a mis ca en place est tres pro et surtout très reactif il s'appele Sayse.

Ils ont géré la partie fibre ( pour la Chine aussi) et me SD-WAN j'ai meme pris ma toip chez eux.

Ca tourne pas mal et il me semble que sur leur site y a pas mal de doc sur le SD-WAN

Bon je teste enfin LibreNMS, bordel c'est chiant de trouver du temps.
Il y'a une OVA : https://docs.librenms.org/Installation/Images/ (avec Oxidized mais pas config, c'est déjà ça)
Configurer rapidement l'autodiscovery https://docs.librenms.org/Extensions/Auto-Discovery/
Rajouter une node pour pouvoir faire l'autodisco
Avoir déjà les règles fw bien faites
Runer le script manuel pour pas attendre (autofetch tous les 6hr)

=> nice   (ou presque vu que la moitié des merdes qui traînent sont mal config )

Qui utilise LibreNMS ici ? Ou Observium (vu que le premier en est un fork) ? Des retours ?
N'hésitez pas  

On avait fait un test observium il y a quelque temps, ma foi rien à dire assez simple, complet mais juste en test pas de prod..
 On est finalement passé sur zabbix, qui marche très bien aussi, mais usine à gaz il faut le reconnaître, long a mettre "" bien "" en place

C'est quoi le switch cumulus le plus cheap que je peux trouver ?

Cherche pas, même en occas c'est hors de prix (>1k€). Par contre, y'a moyen de faire une archi cumulus complète en VM a priori.

J'arrive pas en dessous de 4k€ : https://www.fs.com/fr/products/69226.html (la licence ça doit être 1.5k€ de mémoire)

Ah mais en neuf ? Ah non, clairement, tu fera pas moins cher que fs

j'utilise librenms @home depuis bien 18mois, très content, mais je dois le migrer en https depuis quelques mois et je n'ai pas encore pris le temps de le faire

Je prends en occase aussi
Pas taté du broker encore, tu fais bien de me le rappeler

Il existe des services nagios online par hasard genre à quelques € par mois ? J'hésite entre me faire un raspi chez moi pour monitorer mes quelques clients ou prendre un mini serveur dédié par cher qqpart en ligne

C'est quoi le but ? Tester Cumulus ? Comme dit précédemment une VM est dispo gratos sur leur site.

J'ai déjà 2 switchs cumulus, le but est de foutre 2 swtichs ToR (ou leaf) sur les racks et virer tous les anciens switchs et passer toutes les boucles locales en 10/40g etc

Tu veux faire ta spine avec les deux switchs que t'a déjà ?

J'ai pas checké la topo ultime

En fait je réfléchis à faire du leaf/spine, de l'OSPF unumbered, voir un peu de SDN et en faire un sujet de mémoire pour mon +5

Tu as regardé du côté de Dell ?

Oui je crois que c'est au dessus des 6k€

Dites, je dois mettre en urgence de la sécurité sur un poste Vindoze. J'en suis au firewall, mais si je ferme tout, forcément ya des trucs qui ne passent plus. Notamment le client NFS.
Mon Windows se connecte à un serveur NFS, mais lorsque je bloque tout le trafic sauf les ports pour NFS, ça ne passe quand même pas..
Je ne suis absolument pas familier avec le FW de windows, vous auriez des tips pour ça siouplaît?

Ca peut se connecter en NFS un windows ?
Spa du CIFS ?

 
C'est pas utilisé de façon massive mais oui ça existe !

Non, ya un client NFS dans Windows depuis un moment. Je monte un export NFS directement depuis mon windows

C'est stable ?
v3/4 ?

C'est du V3. Qu'entends-tu par stable?  
Lorsque mon FW est plus permissif (connexions sortantes autorisées), tout fonctionne bien ouais.

Il faut laisser passer le 53 aussi probablement pour le dns.

Sinon rajoute une règle qui laisse tout passer pour l'ip de ton serveur nfs

Bonsoir,
Sur certains de nos ESX sur Proliant DL380, on a des messages "Network uplink redundancy lost".
La réponse d'HP est qu'il faut aller modifier le paramètre "DCB protocol" à "Enabled" sur les 2 ports de la carte 530T + faire un shut/noshut.
Le truc, c'est qu'on s'est aperçu qu'il y a des serveurs où c'est déjà activé sauf que pour voir ça, on a du passer des ESX en Maintenance en HNO car il y a des VMs 3D et pas de vMotion vGPU en 6.5. Donc c'est encore plus râlant de le faire pour rien.

Est-ce qu'il y a moyen de voir la valeur de ce paramètre du BIOS, soit à distance à la manière d'ilorest, soit en SSH sur l'ESX ?
Avec ilorest, je vois l'état de la carte 530T mais pas plus et ce semble logique qu'avec ilorest, on ne doit pouvoir sortir comme info que ce qui est visible dans l'interface iLO...

J'allais te dire via l'ilo, mais si tu le vois pas, compliqué. Essais de voir si y'a pas moyen de faire un dump de la config bios via l'ilo a la limite ? Mais peu de chances que tu trouves l'info via esx.

Je crois que les collègues ont essayé avec esxcli façon http://www.virtubytes.com/2017/10/ [...] -firmware/ mais il n'apparaît pas non plus je crois.
On a posé la question à HP, on attend toujours la réponse

EDIT :
Merde, le temps de poster pendant qu'un ESX rebootait, j'ai raté le F9

Y'a pas "boot to setup" sur iLo ?

Je reboote depuis le vCenter après avoir mis en Maintenance Mode et je guette le reboot sur le client iLO Integrated Remote Console, çà fait le taf sauf si on se fait distraire en attendant le F9  

Non, pour ça il faut une IDRAC

Pas con effectivement. Faut que je voie comment je peux faire ça avec le FW de windows. Il est tellement complexe ce truc...
Mais bon, j'aurai pas le temps de trop approfondir, les mecs m'ont fait faire de la sécurité alors qu'on livre au client dans une semaine et demi.
 

iDRAC superior