ovh - UDP et spam

appel à la discution et validation.

Bonsoir,

Sur le serveur dédié, on ne limite aucun trafic.
Pareil au niveau du RPS. Le privateCloud sera proposé
dans la même configuration : aucune limitation.
Et pas de changement à ce niveau dans le futur.

Car c’est au client de proteger l’infra contre les
attaques et limiter la casse en cas d’attaque
entrante ou sortante. Chaque client dispose de ses
propres serveurs et en cas de probleme il n’y a que
lui qui est impacté. En cas de probleme plus gros,
Ovh intervient et bloque l’attaque en aspirant le
trafic de l’attaque sur une infra à côté qui nous
sert d’analyse d’attaque. Par contre, pendant
l’aspiration, le service ne fonctionne plus. Pour
eviter celà il faut prendre les protections contre
les attaques et gerer l’attaque soi-même. Si nous
on le fait, on le fait rapide et brutalement dans
le but de bloquer l’attaque. C’est tout. Ca fait
des années que ça tourne comme ça et c’est pareil,
pas de changement à ce niveau dans le futur.

Sur le mC (miniCloud), nous avons bloqué le port
25 en sorti. Ceci pour eviter d’utiliser le mC
pour spammer. A terme, nous allons bloquer le trafic
UDP totalement sur cette offre là. Le mC restera uniquement
sur kimsufi.com. UDP In & Out. C’est normal : on gere
l’infra pour nos clients et c’est à nous d’assurer
que ça marche. Nous avons posé la question à nos
clients : preferez vous d’avoir les protections
contre les attaques + UDP + le paiement de trafic
au TB/mois ou vous voulez le trafic illimité ?
Les clients nous ont dit le trafic illimité. Et
donc à notre niveau ça veut dire pas de firewall
et donc pas d’UDP. Car les attaques UDP il faut
faire quelque chose avec. Et donc soit les gerer
avec les firewall, soit les bloquer en bloquant
le trafic UDP.

Dans le clusterCloud, nous allons bloquer le trafic
UDP dans sa totalité aussi. Comme le but est de fournir
les services TCP (java, RoR) en cluster, il n’y a
aucun interet de maintenir le trafic UDP. Le port 25
ne sera pas bloqué mais sera redirigé sur les mailout,
comme en hébergement mutualisé. Pour eviter le spam.

Au niveau du VPS et VPS Dynamique, nous allons
autoriser le port 53 à fonctionner en UDP. Uniquement
ce port. Aucun autre service ne sera proposé en UDP.
Le port 25 sera redirigé sur les mailout, comme
en hébergement mutualisé. Le but est d’éviter le spam.

Pour le spam, nous avons rendu publique les IP
qui spamment, qui hébergent les trucs qu’il faut
pas etc.
http://abuse.ovh.net/index.php?action=displayByType&type=spam&as=16276
Cette semaine, nous allons mettre en place le
filtrage de ces IP sur notre infra : si on detecte
qu’une IP spam, on bloquera le port 25 en sorti
jusqu’à ce que l’IP ne soit pas dans les RBL.
Aussi, si vous avez une IP dans les RBL vous
n’allez pas pouvoir commander un nouveau serveur
ou un service. Si vous souhaitez rendre le serveur
avec une IP dans les RBL vous n’allez pas pouvoir,
elle va continuer à être facturé jusqu’au deblacklistage
de l’IP par vos soins. Cela concerne moins de 100
clients chez Ovh, mais qui nous genere un boulot de
fou à cause des abus. Il est donc normal de le facturer.
Normalement avec les filtrages des IP on devrait diminuer
ces problemes aussi.

C’est un peu prés vers là qu’on va.

A vos réactions.

Amicalement

Octave

Envie de recevoir nos dernières nouvelles? Inscrivez-vous à notre newsletter