NeoX a écrit 18070 commentaires

l'image mini/17361.jpg me semble etre un "panoramique"

si on liste le dossier mini, il y a bien d'autres miniatures mais elles s'affichent correctement.

donc je ne penses pas que mini/17361.jpg soit tronquée

envoyer des emails...
- de ou vers ou ?

premier essai en "interne" d'un utilisateur de ton serveur, à un autre utilisateur de ce meme serveur

puis depuis l'exterieur vers ton serveur email.

il se trouve ou ton serveur ?
en interne à ta société/asso, sur un serveur dédié sur internet...

ils disent quoi les logs (/var/log/mail.log) ???

on paie combien à la minute ?

pcq là actuel avec un des trois fournisseurs francais j'ai
2h d'appel
SMS illimités
2Go de data 3G
pour ... 37euros mensuel
avec report des minutes inutilisées le mois d'apres

donc pour etre moins cher que ca, avec ton systeme modulable
il faudrait que les 2h me coute moins de 7euros
soit 0,0587euros la minutes

parce que POP ou IMAP c'est pour RECEVOIR des emails

pour pouvoir en envoyer, il faut avoir un serveur SMTP. (postfix, sendmail, qmail)

que disent les logs quand tu decides de visionner les images ?

enfin n'importe quel outil capable de faire rechercher/remplacer

un mot de passe de site bancaire, tu ne le fais pas se connecter automatique, tu demandes toujours une validation manuelle

et si le mot de passe est "crypté" dans le trousseau de l'utilisateur, le pire qu'il puisse faire, c'est aller l'effacer avec l'outil de gestion du trousseau

ben le squirrelmail, c'est toi qui l'a installé ?
donc tu dois savoir non ?

tout en sachant que le squirrelmail, avec un peu de chance se connecte lui meme en IMAP sur le serveur de messagerie.

suffit de rependre les reglages de squirrelmail et de les mettres dans outlook

ca mettra ta machine sur ton reseau physique, et tu pourras y acceder comme si c'etait une vrai machine

cependant tu devrais pouvoir y acceder en ssh via l'interface 10.0.2.15 si tu es en local de ton serveur qemu

SOLARIS 6, c'est pas un poste client
donc ce n'est surement pas la compta ou les commerciaux...

comme c'est un serveur, tu sais pertinemment quel service l'utilise
et donc tu peux restreindre l'export NFS aux seuls dossiers que le service aura besoin d'utiliser.

pour les groupes de groupes dans NIS, je ne penses pas
car c'est comme les user/group Unix

d'apres ton schema le PC à toi est du meme coté que les machines que tu testes, donc encore heureux que ca pingue entre eux.


Il faut voir si le PC test (128.2.72.34) arrive à pinguer 10.8.4.1, 128.2.150.129

ensuite mettre TA machine en /24 car sinon il voit 128.2 comme etant son reseau local, il n'ira pas sur la passerelle pour aller chercher 128.2.72

tester si TA machine pingue 10.8.4.6 et 128.2.72.1

c'est la tout l'art de rediger un appel d'offre pour qu'une seule société soit retenue...

genre telle marque de processeur,
telle type de RAM,
telle type de garantie...

et hop ca elimine discretement la concurrence.

suffirait pas de creer un nouvel utilisateur qui aurait les droits Admin,
puis de virer le compte admin ?

La « justice » québécoise a condamné l'administration pour avoir commandé des logiciels chez MS sans passer par un appel d'offre ! Inimaginable! Pour qui se prennent ces petits juges rouges qui ne connaissent rien à l'économie ?

et c'est exactement la meme chose en France.

tu veux commander 1 logiciel en dessous d'un certain montant, tu peux commander librement (ou presque).

tu veux commander un autre logiciel, tres cher / pas cher mais en grande quantité,
ca depasse un certain montant => il faut faire un appel d'offre, le publier, etudier les reponses... et enfin faire le choix du fournisseur qui deviendra ton fournisseur par contrat pour N années

avec windows, il viennent le chercher chez toi (pick up) et le renvoie chez toi apres (return)
avec linux, tu dois l'ammener (bring in) chez le revendeur.

ca prouve qu'ils sont confiant en Linux :p

le /24 permet de differencier 128.2.100.X de 128.2.150.X
car ce sont alors 2 reseaux differents (donc routable)

elle sort d'ou cette machine 128.2.150.110 ?
elle est sur quel reseau (A ou B)


par rapport à mon shema precedent, je comprend que 10.8.4.1 est l'IP de l'interface TUN du serveur VPN
le client VPN ayant alors 10.8.4.6

tu as donc un reseau
reseauA<-- [128.2.72.1/24] client VPN [10.8.4.6] -->--~ internet/lan/vpn ~ <- [10.8.4.1] serveur VPN [128.2.100.129/24] -> reseauB

la communication passe bien entre les IPs VPN puisque tu nous dis :
le serveur VPN(10.8.4.1) ping le 10.8.4.6 (ip client vpn)

par contre si tu remplaces 128.2.100.129/16 par 128.2.150.129/24
il faut evidemment modifier les routes coté client VPN pour lui dire qu'il faut traverser le VPN pour aller sur 128.2.150.0/24

soit
128.2.150.0/24 via 10.8.4.1

et sur le serveur VPN
128.2.72.0/24 via 10.8.4.6


puis tester que le client VPN puisse pinguer 128.2.150.129
que le serveur VPN puisse pinguer 128.2.72.1

le montage se fait par rapport à la machine

d'ou l'interet de faire un dossier par "service"/"groupe"

ainsi le dossier compta appartiendra au groupe COMPTABLES
le dossier commerciaux appartiendra au groupe COMMERCIAUX

l'un ne pourra pas aller dans l'autre

sinon as-tu vraiment besoin de NFS ?
d'apres ce que tu dis, tu as de "vieilles" machines qui ne gererait "que" NFS...

les machines recentes gerent toutes samba et te permettent donc une gestion plus fine des partages et des droits (y compris via les ACL)

l'attaquant qui voudrait faire quoi ?

parce que le certificat tu peux le mettre en lecture seule, voire dans un dossier appartenant à ton demain avec un 700 sur le repertoire

à moins d'etre root ou d'acceder physiquement à la machine, tu ne verras jamais ce fichier

UGO different :

User : le vrai proprio
Group : admin : lecture/ecriture
Other : les users : lecture seule

tu ne fais helas plus de distingo entre la compta et les commerciaux puisqu'ils ne sont pas admin.

mais le montage par NFS ne sert peut-etre pas aux comptables et commerciaux

finalement ton reseau ressemble à ca :
reseauA<-- [128.2.72.1/32] client VPN [tun/tap0] -->--~ internet/lan/vpn ~ <- [tun/tap0] serveur VPN [128.2.100.129/16] -> reseauB

il faut donc se concentrer sur les reseaux VPN (sur interface TUN) et sur les reseaux
128.2.72.1/32 et 128.2.100.129/16

A°)
- ta machine 128.2.72.1/32 ne peut communiquer qu'avec elle meme sur cette IP (/32)
les autres machines du reseau 128.2.72.X ne peuvent pas communiquer avec elle.
il lui faudrait la meme IP mais dans le meme masque que les autres machines qui sont sur reseauA

- elle doit aussi etre la passerelle par defaut de reseauA (ou bien la passerelle par defaut de reseauA doit savoir qu'il faut passer par 128.2.72.1 pour atteindre 128.2.0.0/16)

- elle doit avoir le ip_forward pour faire passer les infos de ce reseau vers le reseau TUN (openvpn)

- elle peut/doit faire du NAT sur l'interface TUN pour faire croire que tout vient d'elle (de son IP VPN) et non pas du reseau 128.2.72

- elle peut/doit faire du NAT sur l'interface reseau pour masquer que ca vient du VPN

B°) il faut ajouter les routes dans la config openvpn et pour l'instant vider (ou ouvrir) iptables sur le client et serveur VPN
afin que les deux interfaces reseaux (128.2.72.1/24 et 128.2.100.129/24) exterieures aux tun openvpn) puissent se pinguer

consultation rapide de recettes de cuisine dans la cuisine
consultation des emails le matin en prenant mon café

tout ce qui ne demande pas de taper des kilometres de textes

un dossier par machine => un export limité à la machine

de memoire c'est dans le parametrage openvpn qu'il faut injecter les routes à monter (coté serveur et coté client)

ainsi coté serveur tu te retrouves avec une route
128.2.72.0/32 via 10.0.0.2/24 (IP interne du client VPN openvpn)

coté client
128.2.0.0/16 via 10.0.0.1/24 (IP interne du serveur VPN)

car normalement quand le client openvpn se connecte au serveur, il obtient une IP sur l'interface tun ou tap.

ce sont ces IPs et ces interfaces qu'il faut utiliser pour faire ton routage et te regles iptables

toutafais et je vois deja UN probleme

tu as le meme reseau (10.136.0.0/16) de chaque coté du VPN cisco
de meme tu as le meme reseau 128.2.0.0/16 de chaque coté du VPN openvpn

comment comptes-tu faire ton routage pour differencier le coté 128.2.100.X (c'est un /24) du coté 128.2.72.Y (/24) si tu utilises un /16 (128.2.T.Z) ?