Pour pouvoir passer des argument à netfilter_cfg, j'avais aussi fait un script qui l'appelle plutôt que de le mettre directement dans /etc/ppp/ip-up.d/
Tu peux modifier les parametres par defaut, afin de de n'avoir pas a passer de parametres :
<extrait>
C'est la dernière valeur de chaque ligne (après le dernier "|") qui définie la valeur par défaut. Il faut que ce soit une des précédentes valeurs (sauf la première, évidement).
Par exemple, pour 'WAITING_PARAMETERS[1]="--drop-rules|on|off|on"', le paramètre "--drop-rules" attend 2 valeurs possibles : "on" et "off". Et par défaut, c'est à dire si ce paramètre n'est pas passé au programme, ou si il est passé sans "on" ou "off", c'est la valeur "on" qui sera utilisé.
</extrait>
j'ai la même configuration que toi (connexion rtc + serveur postfix + netfilter_cfg (forcément !)), et j'ai effectivement remarque ce problème. J'ai fait plusieurs essais et tentatives afin d'éviter que postfix n'envoie trop vite les mails, mais c'est peine perdu : Il réagit dès l'apparition de la connexion ppp, et netfilter_cfg passe tout de suite derrière afin de tout bloquer.
La solution que j'ai trouvé est de lancer un script ("ppp-script"), qui va lancer "netfilter_cfg", puis un "/etc/init.d/postfix reload". Ce script fait beaucoup d'autres choses (configuration et lancement de fetchmail pour la récupération automatique des mails, configuration d'un serveur FTP, lancement d'un client dyndns.org, ....), mais pour l'instant je ne l'ai pas publié (pas le temps de faire une documentation HTML). Si cela t'intéresse, je peux te l'envoyer. Il y a une aide ("ppp-script -h"), et il faut configuer quelques variables du scripts (c'est assez simple, les commentaires sont en Français).
<pub>
Pour ceux qui veulent savoir ce qu'est netfilter_cfg : C'est un script très souple et facile à parametrer, qui permet de configurer Netfilter, le firewall de Linux.
Il est GPL, la documentation et le programme se trouvent ici : http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/(...)
</pub>
Quand à la sécu, c'est un autre problème, mais vu l'infrastructure de FT ou de Free, (ou des autres), il faudrait que ce soient directement eux qui veulent s'introduire illegalement sur tes machines, se dont je doute.
Je fais de moins en moins confiance aux FAI. Même sans parler le la LEN et des pouvoirs/devoirs qui pourraient leur être donnés/imposés, déjà actuellement ils ne jouent pas vraiment franc jeu :
- Free fait du proxy transparent sans rien dire à personne
- Wanadoo et Club-Internet filtrent le ping (ils interdisent les reseaux externes au leur de pinger leurs clients)
- Club-Internet filtre les serveurs FTP de ses clients (port 21)
- etc ...
Et puis, en terme de sécurité les FAI ne sont pas non plus forcément fiables. Depuis que j'ai appris que les routeurs de Cisco (xx% des gros routeurs utilisés partout dans le monde) sont eux-même sensibles à des attaques (en utilisant leur interface d'administration HTTP), je dois dire que le doute quand à la sécurité des FAI est permi...
Avec la plupart des modem (99.99% ? :), un branchement sur un reseau local (sur HUB) ne pose strictement _aucun_ probleme
Alors pouquoi les fabriquants de ce type de modems te disent qu'il faut connecter directement le modem à la carte réseau du PC, sans passer par un hub ?
Pour tes 99,99%, l'année dernière il m'a été impossible de connecter ma machine à un modem ethernet (alcatel il me semble), en passant par un hub. Les connexions réseaux étaient OK, et il n'y avait pas de problème de cables plat/croisé ou de connecteur uplink sur le hub. En branchant directement le modem sur le hub, la connexion est passée sans problème. De plus, j'ai analysé les trames avec Ethereal, et j'ai bien vu qu'il y avait un truc qui faisait que le modem ne réagissait pas correctement. Alors, vraiment pas de chance ? Heureusement que je ne joue pas au loto... ;)
Encore une fois, je ne dis pas que cela ne marche pas du tout. Je dis que cela PEUT ne pas marcher (*). Tout va dépendre de comment le constructeur a conçu l'interface réseau logiciel de son modem.
(*) Et d'ailleurs, avec tes 99,99% tu es d'accord avec moi...
2) Tu aurais pu flasher ton speedtouch et ne plus t'en souvenir. J'ai vu le cas ici, avec un collègue qui utilise Windows.
3) Tu peux très bien utiliser un modem ADSL qui fait office de routeur (par exemple sur un réseau IP en 192.168.0.x). Et derrière, y mettre un PC linux faisant lui aussi office de routeur/firewall (pour un réseau en 10.x.y.y):
- Le modem+routeur arrête la plupart des connexions illicites.
- le Linux s'occupe de filtrer ce qui passe encore, et propose divers services en interne (passerelle de mails, samba, etc...)
J'ai un ami, encore plus parano que moi, qui a choisit cette solution... Et son modem+routeur renvoit même des logs à son linux, via syslog !!
Je n'ai pas dit que cela marchait pas : J'ai écris que cela pouvait ne pas fonctionner dans toutes les configurations.
Bref, c'est un peu de la loterie... (la loterie, parfois on gagne, parfois on perd...)
Si on me demandait d'installer une telle configuration, je ne garentirai pas à 100% son fonctionnement. Je ne peux pas me permettre de promettre quelque chose sur lequel le concepteur du modem ne s'engage pas lui-même pas ....
De plus dans ton cas : N'as tu pas configuré (flashé) ton speedtouch home pour le transformer en routeur ?
mais de là à dire que ce n'est pas sécurisé du tout...
Comme beaucoup de chose, la sécurité dépend du point de vu et des besoins. La solution abordée ici est sans doute accpetable pour beaucoup de monde, car suffisament sûre. Mais pour moi, elle represente un risque non négligeable.
Présente cette solution à un administrateur d'un réseau de 1000 machines ou +, et il te rira au nez ! :)
le seul risque reste un bug dans la couche Netfilter mais, auquel cas, tu y es aussi soumis dès que tu fais du routage logiciel.
Non : Comme dit plus haut, si le modem passe sous le contrôle de l'intrus (cheval de troie, bug, etc...), il devient un élément actif qui peut faire ce qu'il veut. Y compris :
- dialoguer directement avec les autres machines du LAN
- interroger le firewall Linux, en se faisant passer pour une autre machine du LAN. Et accéder par exemple aux serveurs SSH, Samba, SMTP, etc.... qui peuvent tourner sur cette machine
Et cela, ni le switch, ni ta configuration de Netfilter ne peuvent l'interdir... :(
Concernant le routeur/modem ADSL, je ne vois pas pourquoi il verrait passer des trames qui ne lui sont pas destinées avec un switch
Les messages de broadcasts dont l'adresse MAC de destination est ff:ff:ff:ff ... Le switch sera OBLIGE de les envoyer au modem/routeur.
Avec un switch, il n'y a pas de raison en théorie.
Si, le problème peut venir des messages de broadcast...
Le seul risque est qu'un client configure le modem comme étant sa passerelle sans passer par la passerelle/fw souhaitée ce qui est impossible physiquement avec deux interfaces dont l'une est branchée au modem...
Même en utilisant le modem en temps que modem "simple" (PPPoE), il y a un risque : Via du spoofing ARP, une machine du réseau peut se faire passer pour le PC routeur/firewall Linux. Il peut lui voler la communication, faire du "man in the middle", etc...
Autre risque : le firmware du modem a un cheval de troie ou un utilisateur externe a ton réseau en a prit le contrôle. Il peut donc dialoguer comme il le désire avec les autres machines du réseau.
Dans les deux cas, c'est techniquement difficile à mettre en oeuvre. Mais possible...
D'où ma phrase précédente : si tu as confiance dans les autres machines du réseau, c'est plus ou moins acceptable.
Si on branche le modem adsl, le routeur/firewall (avec une seule carte et un seul cable ) et les autres machines sur le meme switch , ca va marcher ?
j'aurais cru que quoi qu'on fasse le modem va nous jetter . Qu'il n'accepte qu'une liaison directe vers une machine routeur
Effectivement, les modems/routeurs ADSL sur ethernet s'attendent à n'avoir qu'un seul interlocuteur en face d'eux (le PC). Mais si tu mets entre les deux un switch, celui-ci ne devrait pas envoyer au modem/routeur autre chose que les paquets PPPoE qu'il attend. Il est donc possible qu'une telle configuration marche (je l'ai vu faire), mais cela n'est pas obligatoire.
Le problème vient plus particulièrement des messages de broadcast envoyés sur le réseau (requêtes ARP, messages Samba, etc...). Le switch sera obligé d'envoyer ces paquets à toutes les machines connectées, y compris le modem/routeur, qui n'aura évidement que faire de cette information. Si il est assez "intelligent", il comprendra que cela ne lui ait pas destiné, et ne ralera pas. Dans le cas contraire, il plantera ou perdra la communication. Bref, c'est un peu de la loterie...
Ce n'est pas sécurisé du tout. Zero pointé en terme de sécurité, même avec Netfilter.
M'enfin, si tu as confiance dans les autres machines du réseau, c'est plus ou moins acceptable.
De plus, le routeur/modem ADSL que tu vas mettre en face n'appréciera pas de voir passer des trames qui ne lui sont pas destinée. Il faudra même un switch (et non un hub) entre le portable et le modem/routeur ADSL.
Il y a http://sharedaemon.sourceforge.net/(...) sinon, qui sépare complètement les fonctions "client/serveur" et "interface graphqiue" : ShareDaemon is a multi-platform filesharing client for eDonkey2000 network. Designed in clean modular setup with separated networking and interface code, ShareDaemon runs on Windows, Linux, BSD, Solaris and Mac OS X platforms.
ShareDaemon is free and open source software, licenced under GNU General Public Licence.
Le context :
- 2h du mat
- une démo à faire le lendemain matin
- dernière commande à taper. Toutes les autres consoles sont fermées, il ne reste qu'une console root d'ouverte
- la fleime de faire un "su"...
La commande :
dd if=/image_disquette of=/dev/hda (au lieu de /dev/fd0)
Le plus drôle, c'est que la machine a continué de parfaitement fonctionné jusqu'au reboot suivant !
J'ai beni "gpart" (http://www.stud.uni-hannover.de/user/76201/gpart/(...)) qui m'a permi de restaurer les 12 partitions du disque dur ! Une seule partition était irrécupérable, la 1ère, mais il n'y avait rien d'important dessus...
Je l'ai vu en grande surface, et je m'étais justement demandé ce que c'était.
J'ai rapidement parcouru leur site web http://www.officeone.fr/(...) , mais pas un mot sur OpenOffice.org ... Pas de téléchargement gratuit non plus...
Mais sur le site de l'éditeur (il faut chercher un peu avec Google), il y a quand même : http://www.absoft.fr/absoft/produits/officeone/(...) :
<extrait>
OFFICE One est basé sur le code Open Source développé par OpenOffice.org.
</extrait>
Et sur le site d'un vendeur en ligne de materiel informatique, il est écrit : http://www.ldlc-pro.com/fiche/PB00021417.html(...) (en gras) :
<extrait>
OFFICE ONE est basé sur le code Open Source développé par Openoffice.org
</extrait>
Il semblent s'être basé sur le code de OOo 1.0.2, et le mot-clef de leur publicité est évidement l'exportation en format PDF...
Il n'est pas en soit illégale de faire payer du code GPL, mais le diffuser sans clairement indiquer son origine n'est pas très sport. Toute leur pub est basé sur la plus-value des autres softs, non GPL, inclus dans la boîte, dont un logiciel d'OCR, des aides de OOo soit-disant mieux francisées, etc...
A chaque foi qu'il y a une news MS, c'est pour critiquer de MS (sauf quelques exceptions lorsque MS ouvre du code). Il pourrait y avoir ici quelques news MS (ou Apple, ...) sur leurs technologies pour nous "ouvrir" l'esprit. => Ben non.
D'un autre coté, le site sur lequel on se trouve s'appelle LINUXfr, alors des news sur comment mettre en place du DAO en passant par un ActiveX pour afficher une base de données en 3D avec DirectX, franchement, je doute de l'intérêt... LinuxFr a une ligne éditorial : parler d'informations concernant Linux. Si cela ne te plait pas, et que tu veuille parler de Windows, tu peux le faire sur des forums spécialisés pour cela.
De plus, même si beaucoup de lecteurs de LinuxFR connaissent plus ou moins bien Windows, seuls quelques un *semblent* avoir une réelle expertise dessus. Alors forcément, une discussion à propos de Windows tournerait au troll, au moinssage d'XP, etc... (*)
Mais j'ajouterai que ceci n'est pas spécifique à la communauté Linux. Va sur des forums Windows, et parles-y de Linux : Prépare toi à être descendu en flèche, et à être considéré comme un SDF de l'informatique. Il ne faut pas croire, les Windowsiens ont aussi leurs geeks : Les mêmes jeunes utilisateurs qui, parce qu'ils savent droit-cliquer dans "regedit.exe" pour y rajouter une entrée, estiment qu'ils sont les maîtres de l'univers... Le phénomène des geeks n'est pas que lié à Linux, il ne faut pas croire.
(*) Et personnellement, vu la quantité d'informations que l'on trouve sur Windows, j'apprécie des sites comme LinuxFR où on peut trouver une information réelement de qualité... Mais bon, il faut faire abstraction des masses de trolls et autres discussion moins intéressantes !
Si tu veux comprendre comment Netfilter, le firewall de Linux, fonctionne, tu peux lire ceci : http://olivieraj.free.fr/fr/linux/information/firewall/(...) . C'est assez long, mais j'y explique (assez simplement et en Français), comment configurer toi même tes règles Netfilter. Il y a aussi pas mal de scripts d'exemples afin de faciliter la lecture et la compréhension.
La Freebox ne faisant pas fonction de routeur, il te faurda "sacrifier" une de tes machines pour faire ce que l'on appelle du NAT (Network Address Translation : http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-08.htm(...) ), afin de partager ta connexion Internet avec ton réseau interne. Cela peut être fait avec ton serveur web, qui cumulera les fonctions de firewall, serveur web et routeur. Comme l'indique un post un peu plus haut, cela n'est pas le fonctionnement le plus sécurisé. Mais en blindant la sécurité de ton serveur Apache, il n'y a pas de raison pour que cela pose problème.
Enfin, j'ai écris un script simple d'emploi qui permet de configurer Netfilter : http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/(...) . Une fois la configuration du script terminé, il te suffit de le lancer sur le serveur web une commande comme :
netfilter_cfg --nat on --wan-http-server on
pour à la fois partager ta connexion ADSL, mais aussi laisser accessible ton serveur web depuis Internet. Simple non ?
Pour mon site http://olivieraj.free.fr/fr/linux/information/firewall/index.html(...) , j'utilise plusieurs choses :
- le document principal a plusieurs pages HTML. J'utilise donc une routine en Perl que j'ai écris, et qui grosso-modo concatenne les différentes pages HTML en une seule ( http://olivieraj.free.fr/fr/linux/information/firewall/.html(...) ) . Pour cela, la routine se base sur la page "index.html", en extrait la table des matières, et crée le nouveau docment en copiant/collant les pages appellées dans la table des matières. Plus précisément, elle ne copie que les parties contenues entre "<!-- Debut du document -->" et "<!-- Fin du document -->"
- A partir de cette page HTML unique, je l'imprime en PS via mozilla. Au passage, j'utilise un autre CSS que le CSS du site principal (marges plus étroites par exemple).
Quand on regarde la liste de ses journaux http://linuxfr.org/~manchot/(...) , on peut en effet se poser des questions. Après 2 ans d'utilisation de Linux, est-ce qu'il est toujours atteint du syndrome de la clickonite aigue ? Apparement, oui : et configurer mes partages de données à la souris.
Perso, j'estime bien me débrouiller avec Linux, mais je ne passe pas mon temps à installer toutes sortes de distributions différentes : Mandrake 5.1, SuSE 6.3, Red hat 7.3, Debian Woody, Mandrake 8.2 à 10.0 + Cooker, et j'en passe
Les philosophie sont parfois tellement différentes entres les distributions (au hasard : Debian et Mandrake pour leur gestion du réseau), qu'il faut ne pas être un néophyte pour se permettre de switch entre des distribs. Si il est passe d'une distrib à l'autre, c'est peut-être parce qu'il n'a pas pris le temps de s'y intéresser, simplement parce qu'il s'est restraint à l'utilisation des GUI.
Personnellement, "man", "howto", Google, "tail -f /var/log/messages", "dmesg" sont mes amis, et vi / emacs sont mes outils : Modifier les fichiers de configuration à la main, il n'y a que cela de vrai pour avoir une configuration que l'on maitrise.
Enfin, je souhaite bien du plaisir à Manchot pour son futur elevage de virus, vers, et autres spywares.... Et bon retour dans le giron de Microsoft !
J'ai fais exactement la même erreur : 1h30 du mat, avec une démo à terminer de préparer pour le lendemain matin. Dernière commande à taper, et au lieu de lancer un terminal classique, j'utilise le dernier terminal encore ouvert (en temps que root)....
J'ai réinstaller dans l'urgence une autre distrib sur un autre disque, afin de pouvoir quand même faire ma démo le matin même. Mais surtout, j'ai récupérer tout le DD (12 partitions !!) graçe à GPart : http://www.stud.uni-hannover.de/user/76201/gpart/(...)
Fabuleux ce soft !! J'ai récrée toutes les partitions avec fdisk en utilisant le mode "secteurs". Seul la première partition a été définitivement perdue, mais ce n'était pas grave, il n'y avait rien d'important dedans.
De même, j'ai pu aussi récupérer un Linux installé en dual boot sur le portable d'un collègue, dont une savante combinaisons de fdisk DOS et de Windows XP avait massacré ta table de partition (pas très douté le propriétaire du portable)....
Logrotate fait son boulot à condition que la machine soit allumée à l'heure de la rotation des log. Si l'heure est passé, la rotation ne se fait pas, tout simplement.
Pour une Mandrake standard, cela a lieu le dimanche matin, entre minuit et 4h (en fonction du type de rotaion du log).
Si tu veux forcer la rotation des logs, lance :
logrotate -f /etc/logrotate.conf
("man logrotate" pour l'explication du paramètre "-f"). Tes fichiers de log courant seront compressés, et renommées en "*.tgz.1". En fonction du nombre de logs à conserver ("rotate x"), tu auras autant de "*.tgz.x".
Si tu ne lis pas tes logs (c'est Mal), et que tu ne veux pas garder tes archives de log, tu peux supprimer tout les "*.tgz.[0-9]*" du /var/log/
[^] # Re: Postfix a tempo
Posté par Olivier (site web personnel) . En réponse au journal Postfix a tempo. Évalué à 1.
Tu peux modifier les parametres par defaut, afin de de n'avoir pas a passer de parametres :
http://olivieraj/fr/linux/programme/netfilter_cfg/#IV-4(...)
<extrait>
C'est la dernière valeur de chaque ligne (après le dernier "|") qui définie la valeur par défaut. Il faut que ce soit une des précédentes valeurs (sauf la première, évidement).
Par exemple, pour 'WAITING_PARAMETERS[1]="--drop-rules|on|off|on"', le paramètre "--drop-rules" attend 2 valeurs possibles : "on" et "off". Et par défaut, c'est à dire si ce paramètre n'est pas passé au programme, ou si il est passé sans "on" ou "off", c'est la valeur "on" qui sera utilisé.
</extrait>
# Re: Postfix a tempo
Posté par Olivier (site web personnel) . En réponse au journal Postfix a tempo. Évalué à 1.
j'ai la même configuration que toi (connexion rtc + serveur postfix + netfilter_cfg (forcément !)), et j'ai effectivement remarque ce problème. J'ai fait plusieurs essais et tentatives afin d'éviter que postfix n'envoie trop vite les mails, mais c'est peine perdu : Il réagit dès l'apparition de la connexion ppp, et netfilter_cfg passe tout de suite derrière afin de tout bloquer.
La solution que j'ai trouvé est de lancer un script ("ppp-script"), qui va lancer "netfilter_cfg", puis un "/etc/init.d/postfix reload". Ce script fait beaucoup d'autres choses (configuration et lancement de fetchmail pour la récupération automatique des mails, configuration d'un serveur FTP, lancement d'un client dyndns.org, ....), mais pour l'instant je ne l'ai pas publié (pas le temps de faire une documentation HTML). Si cela t'intéresse, je peux te l'envoyer. Il y a une aide ("ppp-script -h"), et il faut configuer quelques variables du scripts (c'est assez simple, les commentaires sont en Français).
Sinon, tu peux arreter postfix AVANT de te connecter à Internet. "kppp" peut le faire par exemple, il y a une option "lancer un programme avant la connexion" : http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/pictures/(...)
<pub>
Pour ceux qui veulent savoir ce qu'est netfilter_cfg : C'est un script très souple et facile à parametrer, qui permet de configurer Netfilter, le firewall de Linux.
Il est GPL, la documentation et le programme se trouvent ici : http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/(...)
</pub>
[^] # Re: Carte PCMCIA "double" : IP alias
Posté par Olivier (site web personnel) . En réponse au journal Carte PCMCIA "double". Évalué à 1.
Je fais de moins en moins confiance aux FAI. Même sans parler le la LEN et des pouvoirs/devoirs qui pourraient leur être donnés/imposés, déjà actuellement ils ne jouent pas vraiment franc jeu :
- Free fait du proxy transparent sans rien dire à personne
- Wanadoo et Club-Internet filtrent le ping (ils interdisent les reseaux externes au leur de pinger leurs clients)
- Club-Internet filtre les serveurs FTP de ses clients (port 21)
- etc ...
Et puis, en terme de sécurité les FAI ne sont pas non plus forcément fiables. Depuis que j'ai appris que les routeurs de Cisco (xx% des gros routeurs utilisés partout dans le monde) sont eux-même sensibles à des attaques (en utilisant leur interface d'administration HTTP), je dois dire que le doute quand à la sécurité des FAI est permi...
[^] # Re: Carte PCMCIA "double" : IP alias
Posté par Olivier (site web personnel) . En réponse au journal Carte PCMCIA "double". Évalué à 1.
Alors pouquoi les fabriquants de ce type de modems te disent qu'il faut connecter directement le modem à la carte réseau du PC, sans passer par un hub ?
Pour tes 99,99%, l'année dernière il m'a été impossible de connecter ma machine à un modem ethernet (alcatel il me semble), en passant par un hub. Les connexions réseaux étaient OK, et il n'y avait pas de problème de cables plat/croisé ou de connecteur uplink sur le hub. En branchant directement le modem sur le hub, la connexion est passée sans problème. De plus, j'ai analysé les trames avec Ethereal, et j'ai bien vu qu'il y avait un truc qui faisait que le modem ne réagissait pas correctement. Alors, vraiment pas de chance ? Heureusement que je ne joue pas au loto... ;)
Encore une fois, je ne dis pas que cela ne marche pas du tout. Je dis que cela PEUT ne pas marcher (*). Tout va dépendre de comment le constructeur a conçu l'interface réseau logiciel de son modem.
(*) Et d'ailleurs, avec tes 99,99% tu es d'accord avec moi...
[^] # Re: Carte PCMCIA "double" : IP alias
Posté par Olivier (site web personnel) . En réponse au journal Carte PCMCIA "double". Évalué à 1.
2) Tu aurais pu flasher ton speedtouch et ne plus t'en souvenir. J'ai vu le cas ici, avec un collègue qui utilise Windows.
3) Tu peux très bien utiliser un modem ADSL qui fait office de routeur (par exemple sur un réseau IP en 192.168.0.x). Et derrière, y mettre un PC linux faisant lui aussi office de routeur/firewall (pour un réseau en 10.x.y.y):
- Le modem+routeur arrête la plupart des connexions illicites.
- le Linux s'occupe de filtrer ce qui passe encore, et propose divers services en interne (passerelle de mails, samba, etc...)
J'ai un ami, encore plus parano que moi, qui a choisit cette solution... Et son modem+routeur renvoit même des logs à son linux, via syslog !!
[^] # Re: Carte PCMCIA "double" : IP alias
Posté par Olivier (site web personnel) . En réponse au journal Carte PCMCIA "double". Évalué à 1.
Bref, c'est un peu de la loterie... (la loterie, parfois on gagne, parfois on perd...)
Si on me demandait d'installer une telle configuration, je ne garentirai pas à 100% son fonctionnement. Je ne peux pas me permettre de promettre quelque chose sur lequel le concepteur du modem ne s'engage pas lui-même pas ....
De plus dans ton cas : N'as tu pas configuré (flashé) ton speedtouch home pour le transformer en routeur ?
[^] # Re: Carte PCMCIA "double" : IP alias
Posté par Olivier (site web personnel) . En réponse au journal Carte PCMCIA "double". Évalué à 1.
Comme beaucoup de chose, la sécurité dépend du point de vu et des besoins. La solution abordée ici est sans doute accpetable pour beaucoup de monde, car suffisament sûre. Mais pour moi, elle represente un risque non négligeable.
Présente cette solution à un administrateur d'un réseau de 1000 machines ou +, et il te rira au nez ! :)
le seul risque reste un bug dans la couche Netfilter mais, auquel cas, tu y es aussi soumis dès que tu fais du routage logiciel.
Non : Comme dit plus haut, si le modem passe sous le contrôle de l'intrus (cheval de troie, bug, etc...), il devient un élément actif qui peut faire ce qu'il veut. Y compris :
- dialoguer directement avec les autres machines du LAN
- interroger le firewall Linux, en se faisant passer pour une autre machine du LAN. Et accéder par exemple aux serveurs SSH, Samba, SMTP, etc.... qui peuvent tourner sur cette machine
Et cela, ni le switch, ni ta configuration de Netfilter ne peuvent l'interdir... :(
Concernant le routeur/modem ADSL, je ne vois pas pourquoi il verrait passer des trames qui ne lui sont pas destinées avec un switch
Les messages de broadcasts dont l'adresse MAC de destination est ff:ff:ff:ff ... Le switch sera OBLIGE de les envoyer au modem/routeur.
[^] # Re: Carte PCMCIA "double" : IP alias
Posté par Olivier (site web personnel) . En réponse au journal Carte PCMCIA "double". Évalué à 2.
Si, le problème peut venir des messages de broadcast...
Le seul risque est qu'un client configure le modem comme étant sa passerelle sans passer par la passerelle/fw souhaitée ce qui est impossible physiquement avec deux interfaces dont l'une est branchée au modem...
Même en utilisant le modem en temps que modem "simple" (PPPoE), il y a un risque : Via du spoofing ARP, une machine du réseau peut se faire passer pour le PC routeur/firewall Linux. Il peut lui voler la communication, faire du "man in the middle", etc...
Autre risque : le firmware du modem a un cheval de troie ou un utilisateur externe a ton réseau en a prit le contrôle. Il peut donc dialoguer comme il le désire avec les autres machines du réseau.
Dans les deux cas, c'est techniquement difficile à mettre en oeuvre. Mais possible...
D'où ma phrase précédente :
si tu as confiance dans les autres machines du réseau, c'est plus ou moins acceptable.
[^] # Re: Carte PCMCIA "double" : IP alias
Posté par Olivier (site web personnel) . En réponse au journal Carte PCMCIA "double". Évalué à 1.
j'aurais cru que quoi qu'on fasse le modem va nous jetter . Qu'il n'accepte qu'une liaison directe vers une machine routeur
Effectivement, les modems/routeurs ADSL sur ethernet s'attendent à n'avoir qu'un seul interlocuteur en face d'eux (le PC). Mais si tu mets entre les deux un switch, celui-ci ne devrait pas envoyer au modem/routeur autre chose que les paquets PPPoE qu'il attend. Il est donc possible qu'une telle configuration marche (je l'ai vu faire), mais cela n'est pas obligatoire.
Le problème vient plus particulièrement des messages de broadcast envoyés sur le réseau (requêtes ARP, messages Samba, etc...). Le switch sera obligé d'envoyer ces paquets à toutes les machines connectées, y compris le modem/routeur, qui n'aura évidement que faire de cette information. Si il est assez "intelligent", il comprendra que cela ne lui ait pas destiné, et ne ralera pas. Dans le cas contraire, il plantera ou perdra la communication. Bref, c'est un peu de la loterie...
[^] # Re: Carte PCMCIA "double" : IP alias
Posté par Olivier (site web personnel) . En réponse au journal Carte PCMCIA "double". Évalué à 1.
M'enfin, si tu as confiance dans les autres machines du réseau, c'est plus ou moins acceptable.
De plus, le routeur/modem ADSL que tu vas mettre en face n'appréciera pas de voir passer des trames qui ne lui sont pas destinée. Il faudra même un switch (et non un hub) entre le portable et le modem/routeur ADSL.
[^] # Re: Un exemple...
Posté par Olivier (site web personnel) . En réponse à la dépêche LinuxFrench remet en cause quelques associations du libre. Évalué à 2.
Tu parles de la Guilde, je présume.
Merci de ne pas faire de généralité, et de mettre tout le monde dans le même panier... Nous faisons quand même des trucs chouette pour, je cite l'adoption et la promotion de Linux. Personnellement, j'ai animés les conférence / atelier suivants : http://www.guilde.asso.fr/rencontres/20040401/(...) http://www.guilde.asso.fr/rencontres/20030702/(...) , et je n'ai pas à en rougir ni en avoir honte.
[^] # Re: OpenOffice 1.1.1 française est sortie
Posté par Olivier (site web personnel) . En réponse à la dépêche OpenOffice 1.1.1 française est sortie. Évalué à 1.
Dans http://www.absoft.fr/absoft/produits/officeone/(...) , l'éditeur parle bien d'OpenOffice.org. J'imagine qu'ils savent quand même de quelles sources ils sont parti ! :)
# Re: appli graphique sur une machine sans écran...
Posté par Olivier (site web personnel) . En réponse au journal appli graphique sur une machine sans écran.... Évalué à 1.
ShareDaemon is a multi-platform filesharing client for eDonkey2000 network. Designed in clean modular setup with separated networking and interface code, ShareDaemon runs on Windows, Linux, BSD, Solaris and Mac OS X platforms.
ShareDaemon is free and open source software, licenced under GNU General Public Licence.
[^] # Re: Sondage: votre plus grosse boulette sous root
Posté par Olivier (site web personnel) . En réponse au journal Sondage: votre plus grosse boulette sous root. Évalué à 2.
- 2h du mat
- une démo à faire le lendemain matin
- dernière commande à taper. Toutes les autres consoles sont fermées, il ne reste qu'une console root d'ouverte
- la fleime de faire un "su"...
La commande :
dd if=/image_disquette of=/dev/hda (au lieu de /dev/fd0)
Le plus drôle, c'est que la machine a continué de parfaitement fonctionné jusqu'au reboot suivant !
J'ai beni "gpart" (http://www.stud.uni-hannover.de/user/76201/gpart/(...)) qui m'a permi de restaurer les 12 partitions du disque dur ! Une seule partition était irrécupérable, la 1ère, mais il n'y avait rien d'important dessus...
[^] # Re: OpenOffice 1.1.1 française est sortie
Posté par Olivier (site web personnel) . En réponse à la dépêche OpenOffice 1.1.1 française est sortie. Évalué à 1.
Je l'ai vu en grande surface, et je m'étais justement demandé ce que c'était.
J'ai rapidement parcouru leur site web http://www.officeone.fr/(...) , mais pas un mot sur OpenOffice.org ... Pas de téléchargement gratuit non plus...
Mais sur le site de l'éditeur (il faut chercher un peu avec Google), il y a quand même : http://www.absoft.fr/absoft/produits/officeone/(...) :
<extrait>
OFFICE One est basé sur le code Open Source développé par OpenOffice.org.
</extrait>
Et sur le site d'un vendeur en ligne de materiel informatique, il est écrit : http://www.ldlc-pro.com/fiche/PB00021417.html(...) (en gras) :
<extrait>
OFFICE ONE est basé sur le code Open Source développé par Openoffice.org
</extrait>
Il semblent s'être basé sur le code de OOo 1.0.2, et le mot-clef de leur publicité est évidement l'exportation en format PDF...
Il n'est pas en soit illégale de faire payer du code GPL, mais le diffuser sans clairement indiquer son origine n'est pas très sport. Toute leur pub est basé sur la plus-value des autres softs, non GPL, inclus dans la boîte, dont un logiciel d'OCR, des aides de OOo soit-disant mieux francisées, etc...
Bref, c'est à vomir....
[^] # Re: LinuxFrench remet en cause quelques associations du libre
Posté par Olivier (site web personnel) . En réponse à la dépêche LinuxFrench remet en cause quelques associations du libre. Évalué à 1.
D'un autre coté, le site sur lequel on se trouve s'appelle LINUXfr, alors des news sur comment mettre en place du DAO en passant par un ActiveX pour afficher une base de données en 3D avec DirectX, franchement, je doute de l'intérêt... LinuxFr a une ligne éditorial : parler d'informations concernant Linux. Si cela ne te plait pas, et que tu veuille parler de Windows, tu peux le faire sur des forums spécialisés pour cela.
De plus, même si beaucoup de lecteurs de LinuxFR connaissent plus ou moins bien Windows, seuls quelques un *semblent* avoir une réelle expertise dessus. Alors forcément, une discussion à propos de Windows tournerait au troll, au moinssage d'XP, etc... (*)
Mais j'ajouterai que ceci n'est pas spécifique à la communauté Linux. Va sur des forums Windows, et parles-y de Linux : Prépare toi à être descendu en flèche, et à être considéré comme un SDF de l'informatique. Il ne faut pas croire, les Windowsiens ont aussi leurs geeks : Les mêmes jeunes utilisateurs qui, parce qu'ils savent droit-cliquer dans "regedit.exe" pour y rajouter une entrée, estiment qu'ils sont les maîtres de l'univers... Le phénomène des geeks n'est pas que lié à Linux, il ne faut pas croire.
(*) Et personnellement, vu la quantité d'informations que l'on trouve sur Windows, j'apprécie des sites comme LinuxFR où on peut trouver une information réelement de qualité... Mais bon, il faut faire abstraction des masses de trolls et autres discussion moins intéressantes !
[^] # Re: cohabitation des modules alsa et oss
Posté par Olivier (site web personnel) . En réponse au journal cohabitation des modules alsa et oss. Évalué à 1.
Pour trouver le bon fichier :
grep -ir "blacklist" /etc/
# Re: Firewall ET serveur web ...
Posté par Olivier (site web personnel) . En réponse au journal Firewall ET serveur web .... Évalué à 1.
La Freebox ne faisant pas fonction de routeur, il te faurda "sacrifier" une de tes machines pour faire ce que l'on appelle du NAT (Network Address Translation : http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-08.htm(...) ), afin de partager ta connexion Internet avec ton réseau interne. Cela peut être fait avec ton serveur web, qui cumulera les fonctions de firewall, serveur web et routeur. Comme l'indique un post un peu plus haut, cela n'est pas le fonctionnement le plus sécurisé. Mais en blindant la sécurité de ton serveur Apache, il n'y a pas de raison pour que cela pose problème.
Enfin, j'ai écris un script simple d'emploi qui permet de configurer Netfilter : http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/(...) . Une fois la configuration du script terminé, il te suffit de le lancer sur le serveur web une commande comme :
netfilter_cfg --nat on --wan-http-server on
pour à la fois partager ta connexion ADSL, mais aussi laisser accessible ton serveur web depuis Internet. Simple non ?
[^] # Re: Outil de mise en ligne de documents...
Posté par Olivier (site web personnel) . En réponse au journal Outil de mise en ligne de documents.... Évalué à 1.
Toutes ces opérations se font en hors-ligne
et mon manque de connaissances risque de me porter préjudice pour maintenir le script et/ou l'adapter...
Tant pis
Merci quand même :o)
De rien !
# Re: Outil de mise en ligne de documents...
Posté par Olivier (site web personnel) . En réponse au journal Outil de mise en ligne de documents.... Évalué à 1.
- le document principal a plusieurs pages HTML. J'utilise donc une routine en Perl que j'ai écris, et qui grosso-modo concatenne les différentes pages HTML en une seule ( http://olivieraj.free.fr/fr/linux/information/firewall/.html(...) ) . Pour cela, la routine se base sur la page "index.html", en extrait la table des matières, et crée le nouveau docment en copiant/collant les pages appellées dans la table des matières. Plus précisément, elle ne copie que les parties contenues entre "<!-- Debut du document -->" et "<!-- Fin du document -->"
- A partir de cette page HTML unique, je l'imprime en PS via mozilla. Au passage, j'utilise un autre CSS que le CSS du site principal (marges plus étroites par exemple).
- Enfin, un coup de ps2pdf me génère le fichier pdf final : http://olivieraj.free.fr/fr/linux/information/firewall/archives/fir(...)
Si cela t'intéresse, je peux t'envoyer mon script perl.
[^] # Re: Retour de migration
Posté par Olivier (site web personnel) . En réponse au journal Retour de migration. Évalué à 3.
Perso, j'estime bien me débrouiller avec Linux, mais je ne passe pas mon temps à installer toutes sortes de distributions différentes :
Mandrake 5.1, SuSE 6.3, Red hat 7.3, Debian Woody, Mandrake 8.2 à 10.0 + Cooker, et j'en passe
Les philosophie sont parfois tellement différentes entres les distributions (au hasard : Debian et Mandrake pour leur gestion du réseau), qu'il faut ne pas être un néophyte pour se permettre de switch entre des distribs. Si il est passe d'une distrib à l'autre, c'est peut-être parce qu'il n'a pas pris le temps de s'y intéresser, simplement parce qu'il s'est restraint à l'utilisation des GUI.
Personnellement, "man", "howto", Google, "tail -f /var/log/messages", "dmesg" sont mes amis, et vi / emacs sont mes outils : Modifier les fichiers de configuration à la main, il n'y a que cela de vrai pour avoir une configuration que l'on maitrise.
Enfin, je souhaite bien du plaisir à Manchot pour son futur elevage de virus, vers, et autres spywares.... Et bon retour dans le giron de Microsoft !
# Re: JabberFR.org : nouveau site
Posté par Olivier (site web personnel) . En réponse au journal JabberFR.org : nouveau site. Évalué à 1.
En regardant le source, on voit en effet par exemple :
<read>support@localhost</read>
qui devrait plutôt être écrit comme ceci :
<read>support@localhost</read>
[^] # Re: rm -rf /var/log/*
Posté par Olivier (site web personnel) . En réponse au journal rm -rf /var/log/*. Évalué à 1.
J'ai réinstaller dans l'urgence une autre distrib sur un autre disque, afin de pouvoir quand même faire ma démo le matin même. Mais surtout, j'ai récupérer tout le DD (12 partitions !!) graçe à GPart : http://www.stud.uni-hannover.de/user/76201/gpart/(...)
Fabuleux ce soft !! J'ai récrée toutes les partitions avec fdisk en utilisant le mode "secteurs". Seul la première partition a été définitivement perdue, mais ce n'était pas grave, il n'y avait rien d'important dedans.
De même, j'ai pu aussi récupérer un Linux installé en dual boot sur le portable d'un collègue, dont une savante combinaisons de fdisk DOS et de Windows XP avait massacré ta table de partition (pas très douté le propriétaire du portable)....
[^] # Re: [urgent] encombrement excessif de mon /var et du coup de ma partition Racine !!
Posté par Olivier (site web personnel) . En réponse au journal [urgent] encombrement excessif de mon /var et du coup de ma partition Racine !!. Évalué à 2.
Pour une Mandrake standard, cela a lieu le dimanche matin, entre minuit et 4h (en fonction du type de rotaion du log).
Si tu veux forcer la rotation des logs, lance :
logrotate -f /etc/logrotate.conf
("man logrotate" pour l'explication du paramètre "-f"). Tes fichiers de log courant seront compressés, et renommées en "*.tgz.1". En fonction du nombre de logs à conserver ("rotate x"), tu auras autant de "*.tgz.x".
Si tu ne lis pas tes logs (c'est Mal), et que tu ne veux pas garder tes archives de log, tu peux supprimer tout les "*.tgz.[0-9]*" du /var/log/
[^] # Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
Posté par Olivier (site web personnel) . En réponse à la dépêche Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL. Évalué à 2.