Re: [FRnOG] [MISC] Parefeu NGN pour besoin personnel
Le Saturday 30 May 2020 19:10:07 Toussaint OTTAVI a écrit : > > C'est inexact : OpenWRT est supporté sur de très nombreux devices pas > > seulement de l'AP/Router d'entrée de gamme => 1507 modèles d'après la > > liste courante https://openwrt.org/toh/start > > Trouve m'en un qui fait routeur avec 4 interfaces Ethernet minimum, sans > WiFi, avec un form-factor qui ne ressemble pas à une navette spatiale, > et disponible dans nos contrées. Je le prends de suite :-) Le premier qui me passe par la tête : https://openwrt.org/toh/start?dataflt%5BModel*%7E%5D=apu https://www.pcengines.ch/apu2.htm --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Parefeu NGN pour besoin personnel
Le 30/05/2020 à 19:10, Toussaint OTTAVI a écrit : Le 30/05/2020 à 14:39, Laurent Cheylus a écrit : [...] C'est inexact : OpenWRT est supporté sur de très nombreux devices pas seulement de l'AP/Router d'entrée de gamme => 1507 modèles d'après la liste courante https://openwrt.org/toh/start Trouve m'en un qui fait routeur avec 4 interfaces Ethernet minimum, sans WiFi, avec un form-factor qui ne ressemble pas à une navette spatiale, et disponible dans nos contrées. Je le prends de suite :-) Ca? https://pc-industriel.anteor.com/68-cartes-meres-alix-cartes-meres-apu -- Daniel Huhardeaux +33.368460...@tootai.net sip:8...@sip.tootai.net +41.445532...@swiss-itech.chtootaiNET --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Parefeu NGN pour besoin personnel
Le 30/05/2020 à 14:39, Laurent Cheylus a écrit : Après c'est sûr que faut pas trop lui en demander : Firewall à base de Linux iptables, pas de NGFW, ni IDS (Snort est disponible via package). Le firewall OpenWRT est tout de même beaucoup plus agréable que de l'iptables brut ! Il gère des zones et des policy directement dans la GUI, en mode "j'ai pas le temps de lire la doc" ;-) C'est inexact : OpenWRT est supporté sur de très nombreux devices pas seulement de l'AP/Router d'entrée de gamme => 1507 modèles d'après la liste courante https://openwrt.org/toh/start Trouve m'en un qui fait routeur avec 4 interfaces Ethernet minimum, sans WiFi, avec un form-factor qui ne ressemble pas à une navette spatiale, et disponible dans nos contrées. Je le prends de suite :-) 52 modèles de Ubiquiti par exemple (et non pas un unique) : https://openwrt.org/toh/start?dataflt%5BBrand*%7E%5D=ubiquiti Oui, toute la gamme WiFi (Nanostation, Powerbeam, etc...), et de mémoire, aussi les RouterBoard (cartes sans boitier, à intégrer). Mais le EdgeRouter d'entrée de gamme est le seul modèle de routeur Ethernet que j'ai trouvé... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Parefeu NGN pour besoin personnel
Ok, merci de ton retour. Effectivement, en bridge après, ça se discute aussi. Olivier Le sam. 30 mai 2020 à 11:49, Michel Py a écrit : > > Olivier Lange a écrit : > > Je regardais du coté de Untangle, que je ne connais pas. Coté UTM (car > c'est la recherche ici), ca fait le job? > > Pour moi oui. Je ne sais quel est le moteur IPS/IDS, mais on m'a dit que > c'était Suricata (en plus du FW de base). L'OS est Debian 10. Depuis la > version 15, en plus de "Intrusion Detection" il y a aussi une app "Threat > Prevention" qui apparemment utilise Webroot BrightCloud; c'est nouveau et > j'ai pas encore trop regardé; en plus comme c'est derrière mon CBBC çà > risque de voir passer pas beaucoup. Cette nouvelle app est payante, mais > bon à 50 balles par an faut pas se plaindre. > > > sachant que je le mettrais sur une VM Proxmox > > Ce qui m'a bien plu avec Untangle c'est que même si tu l'a jamais vu, çà > te prend pas la tête. En un rien de temps c'est installé et çà marche. J'ai > jamais mis dans une VM, mais çà devrait pas poser de problème. > > > en coupure entre mon modem et mon Mikrotik coeur de réseau a première > vue. > > Le mien je l'ai mis en mode bridge entre le Cisco et le reste du réseau, à > l'intérieur. Je préfère qu'il voie les adresses privées au lieu d'être à > l'extérieur de NAT. > > Michel. > > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Parefeu NGN pour besoin personnel
> Olivier Lange a écrit : > Je regardais du coté de Untangle, que je ne connais pas. Coté UTM (car c'est > la recherche ici), ca fait le job? Pour moi oui. Je ne sais quel est le moteur IPS/IDS, mais on m'a dit que c'était Suricata (en plus du FW de base). L'OS est Debian 10. Depuis la version 15, en plus de "Intrusion Detection" il y a aussi une app "Threat Prevention" qui apparemment utilise Webroot BrightCloud; c'est nouveau et j'ai pas encore trop regardé; en plus comme c'est derrière mon CBBC çà risque de voir passer pas beaucoup. Cette nouvelle app est payante, mais bon à 50 balles par an faut pas se plaindre. > sachant que je le mettrais sur une VM Proxmox Ce qui m'a bien plu avec Untangle c'est que même si tu l'a jamais vu, çà te prend pas la tête. En un rien de temps c'est installé et çà marche. J'ai jamais mis dans une VM, mais çà devrait pas poser de problème. > en coupure entre mon modem et mon Mikrotik coeur de réseau a première vue. Le mien je l'ai mis en mode bridge entre le Cisco et le reste du réseau, à l'intérieur. Je préfère qu'il voie les adresses privées au lieu d'être à l'extérieur de NAT. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Parefeu NGN pour besoin personnel
Hello Michel, Je regardais du coté de Untangle, que je ne connais pas. Coté UTM (car c'est la recherche ici), ca fait le job? En fait, je cherche depuis longtemps un complément à mes Mikrotik, pour gérer la partie sécurité, en amont, histoire de sécuriser un minima mon infra @home. Est-ce que ca peut faire le job? (sachant que je le mettrais sur une VM Proxmox, en coupure entre mon modem et mon Mikrotik coeur de réseau a première vue). Untangle VS SoHo pour de l'UTM @home ? Vous en pensez quoi? Clairement, il manque de vrai solution opensource, ou a cout raisonnable pour la maison, a mon sens... Olivier Le sam. 30 mai 2020 à 11:10, Michel Py a écrit : > > Erwan David a écrit : > > Tu peux aussi regarder côté pfsense ou opnsense (un fork). > > C'est base sur du freeBSD mais ça se défend pas mal. > > J'ai été assez déçu, pour avoir essayé. Faut pas mal s'investir dedans > pour comprendre tous les dessous (c'est vraiment nécessaire). C'est pas > vraiment un "no-brainer", çà m'a pas donné l'impression d'être un produit > fini, c'est pour çà que pour l'usage domestique je me suis rabattu vers > Untangle : un bon petit clickodrome sympa qui juste marche sans avoir rien > à faire. > > Forti j'ai trouvé çà pénible aussi : sans parler du prix, il faut souvent > aller en ligne de commande et là c'est bien galère. > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Parefeu NGN pour besoin personnel
> Erwan David a écrit : > Tu peux aussi regarder côté pfsense ou opnsense (un fork). > C'est base sur du freeBSD mais ça se défend pas mal. J'ai été assez déçu, pour avoir essayé. Faut pas mal s'investir dedans pour comprendre tous les dessous (c'est vraiment nécessaire). C'est pas vraiment un "no-brainer", çà m'a pas donné l'impression d'être un produit fini, c'est pour çà que pour l'usage domestique je me suis rabattu vers Untangle : un bon petit clickodrome sympa qui juste marche sans avoir rien à faire. Forti j'ai trouvé çà pénible aussi : sans parler du prix, il faut souvent aller en ligne de commande et là c'est bien galère. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Parefeu NGN pour besoin personnel
Le 29/05/2020 à 19:00, Daniel via frnog a écrit : > Bonsoir > > Le 29/05/2020 à 18:56, Michel Py a écrit : >>> David Ponzone a écrit : >>> Finalement, il ressort de la discussion qu’il n’y a pas d’équivalent >>> OpenSource >>> aux solutions des grands constructeurs C’est pas un troll, mais >>> j’espérais >>> découvrir le Graal durant cette discussion, le truc que je >>> connaissais pas et >>> qui fait le café, mais tout faire à peu près correctement, c’est pas >>> si simple. >> C'est la coupe d'un charpentier, ne prends pas celles qui sont en or ;-) >> >> C'est malheureusement très vrai; ceci étant dit, les solutions >> constructeurs des fois c'est pas vraiment mieux :-( > > En suivant cette discussion très intéressante j'ai regardé ce qui se > passait sous Linux. En fait 2 distributions resortent, ClearOS et > OpenWRT ce dernier essentiellement pour sa protection WIFI (on va dire > point mis en avant). > > Je ne connais ni l'un ni l'autre, un/des passager-s de cette liste > aurai-en-t il-s testé-s ? > Tu peux aussi regarder côté pfsense ou opnsense (un fork). C'est basé sur du freeBSD mais ça se défend pas mal. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Parefeu NGN pour besoin personnel
Bonjour, On Sat, May 30, 2020 at 09:57:10AM +0200, Toussaint OTTAVI wrote: > J'aime beaucoup OpenWRT. C'est un véritable couteau suisse, avec au choix : > une GUI correcte, un cli et des fichiers de config. Chose appréciable, il y > a très rarement d'incohérence entre la GUI et le CLI (ce qui n'est pas le > cas d'autres systèmes). J'utilise aussi OpenWRT depuis plusieurs années sur un AP Wifi (un vieux modèle TP Link) à la maison pour faire AP / Firewall. C'est efficace avec une CLI/WebGUI qui fait le job : config WAN IPv4/IPv6 (via Freebox), DHCP pour Wifi, SNMP (package à installer) pour remontée des stats sur mon LibreNMS. Après c'est sûr que faut pas trop lui en demander : Firewall à base de Linux iptables, pas de NGFW, ni IDS (Snort est disponible via package). > Seul petit reproche, entre guillemets, c'est qu'il n'est supporté que sur > des hardwares d'entrée de gamme et/ou résidentiels, genre le dernier routeur > WiFi ToToLink avec 17 antennes au look tout droit sorti de Star Trek. Chez > UBNT, par exemple, OpenWRT n'est disponible que sur le EdgeRouter X (le plus > petit). Mais c'est aussi sa force : fonctionner sur du tout petit hardware à > 20 ou 40 €. C'est une excellente solution pour la maison ou les > associations. J'en ai même un dans ma voiture ;-) C'est inexact : OpenWRT est supporté sur de très nombreux devices pas seulement de l'AP/Router d'entrée de gamme => 1507 modèles d'après la liste courante https://openwrt.org/toh/start 52 modèles de Ubiquiti par exemple (et non pas un unique) : https://openwrt.org/toh/start?dataflt%5BBrand*%7E%5D=ubiquiti Attention avec la dernière release majeure 19.07, il est fortement recommandé d'utiliser des devices avec plus de 32 MB de RAM et 4 MB de flash https://openwrt.org/supported_devices/432_warning A++ Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Orange, SMTP et DNS....
Le 29/05/2020 à 12:28, Paul Rolland (ポール・ロラン) a écrit : Depuis ce matin, mes mails a la maison ne partent plus La raison, c'est que, client Orange, je dois relayer par chez eux (port SMTP bloque sinon), et que les DNS (de ma box Orange) m'annoncent pour smtp.orange.fr deux adresses qui ne repondent pas (ni tcp/25 ni tcp/587) : Effectivement, il s'est passé un truc chez eux la semaine passée, c'est sûr... Le fonctionnement de leurs serveurs SMTP a toujours été à géométrie variable : - SMTP qui résout différemment derrière un lien xDSL Orange et derrière un lien d'un autre FAI (dommage pour ceux qui ont plusieurs liens) - En général, envoyer en SMTP authentifié fonctionne "mieux", sauf quand çà ne fonctionne pas du tout - En faisant du "POP before", on peut envoyer en SMTP non authentifié, uniquement sur un lien Orange. Enfin, pas toujours. Je n'ai jamais réussi à établir de règle claire qui fonctionne partout et tout le temps. Ce ce qui fonctionne à un moment donné, risque de ne plus fonctionner du jour au lendemain. A toute chose, malheur est bon : cette semaine nous aura au moins permis d'identifier certaines vieilles configs qui forwardaient toujours vers smtp.orange.fr :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Parefeu NGN pour besoin personnel
Le 29/05/2020 à 19:00, Daniel via frnog a écrit : En suivant cette discussion très intéressante j'ai regardé ce qui se passait sous Linux. En fait 2 distributions resortent, ClearOS et OpenWRT ce dernier essentiellement pour sa protection WIFI (on va dire point mis en avant). J'aime beaucoup OpenWRT. C'est un véritable couteau suisse, avec au choix : une GUI correcte, un cli et des fichiers de config. Chose appréciable, il y a très rarement d'incohérence entre la GUI et le CLI (ce qui n'est pas le cas d'autres systèmes). Seul petit reproche, entre guillemets, c'est qu'il n'est supporté que sur des hardwares d'entrée de gamme et/ou résidentiels, genre le dernier routeur WiFi ToToLink avec 17 antennes au look tout droit sorti de Star Trek. Chez UBNT, par exemple, OpenWRT n'est disponible que sur le EdgeRouter X (le plus petit). Mais c'est aussi sa force : fonctionner sur du tout petit hardware à 20 ou 40 €. C'est une excellente solution pour la maison ou les associations. J'en ai même un dans ma voiture ;-) Ceci étant, rien n'empêche d'installer OpenWRT sur une plateforme x86/x64 plus conséquente en terme de hardware. OpenWRT est par exemple utilisé par OVH dans sa solution d'agrégation de liens OverTheBox. En revanche, à ma connaissance, pas de possibilité de NGFW/ UTM. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [ML] [FRnOG] [MISC] Orange, SMTP et DNS....
On l’a vu par chez nous : Le simple fait de rendre la vie un peu plus difficile aux spameurs (nécessité de contact au support) suffit a ce que la vaste majorité d’entre eux aillent voir ailleurs. Visiblement ils n’ont pas trop de temps à perdre à contacter un support, qui risque de leur demander des détails supplémentaires, ou qui risque de cramer la situation si le mec a commandé 10 VM en 24h.. - Charley Le ven. 29 mai 2020 à 23:46, David Ponzone a écrit : > C’est quoi l’idée ? > Ca bloque pas les spammers qui louent des VM/VPS, mais ça bloque ceux qui > hackent les VM/VPS des autres ? > C’est toujours ça! > > > Le 29 mai 2020 à 21:20, Manuel Guesdon a écrit : > > > > On Fri, 29 May 2020 14:45:21 +0200 > > David Ponzone wrote: > > > >> | Je connais pas d’hébergeur qui ose filtrer le 25, ça serait très > compliqué à tenir comme position :) > > > > VULTR le fait par défaut mais tu peux demander au support le déblocage. > > Une partie de moi est heureuse, l'autre pleure... > > > > Manuel > > > > -- > > __ > > Manuel Guesdon - OXYMIUM > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- - Charley --- Liste de diffusion du FRnOG http://www.frnog.org/