Re: comment trouver (sur Debian ou Ubuntu) le pays géographique d'une adresse IPv4 ou IPv6?

[Daniel Huhardeaux]

Bonjour, par pays

/usr/bin/curl 
https://raw.githubusercontent.com/ipverse/rir-ip/master/country/fr/ipv4-aggregated.txt


/usr/bin/curl 
https://raw.githubusercontent.com/ipverse/rir-ip/master/country/fr/ipv6-aggregated.txt


Le 04/12/2022 à 13:41, Basile Starynkevitch a écrit :


Bonjour,

Soit une adresse IPv6 telle que 2002:a05:6358:50c4:b0:df:c970:db78 ou 
une adresse IPv4 telle que 195.83.118.1  On suppose que ce sont 
des adresses IP fixes!


Comment (quelles commandes utiliser, ou quelles bibliothèques 
logicielles libres ) trouver le pays géographique (ou même la 
région) où se trouvent ces machines (probablement Unix ou Linux toutes 
les deux)?



(Pour 195.83.118.1 c'est probablement à Paris LIP6 Jussieu, où j'ai 
soutenu ma thèse en 1990).



Bon dimanche.

NB. Je cherche des partenaires intéressés par le logiciel libre 
embryonnaire RefPerSys en http://refpersys.org/  Contactez moi 
alors aussi par courriel au bureau (CEA LIST ) 
en basile.starynkevi...@cea.fr



--
Basile Starynkevitch
(only mine opinions / les opinions sont miennes uniquement)
92340 Bourg-la-Reine, France
web page: starynkevitch.net/Basile/

Re: insserv: FATAL: service mountkernfs is missed

[Daniel Huhardeaux]

Le 07/01/2020 à 14:17, Pascal Hambourg a écrit :
[...]

Je réitère ma question :
Si mountkernfs.sh figure dans : initscripts: /etc/init.d/
peut-on supprimer sans conséquences "initscripts" ?


Non, car le paquet ifupdown (qui installe le service networking) en dépend.


Non, pas sous Buster en tous cas:

dh@pabx16:~$ sudo aptitude search ifupdown
i   ifupdown - Outils de haut niveau pour configurer les interfaces réseau
p   ifupdown-extra - scripts de réseau pour ifupdown 


p   ifupdown-multi - multiple default gateway support for ifupdown
p   ifupdown2 - Network Interface Management tool similar to ifupdown

dh@pabx16:~$ sudo aptitude search initscripts
p   initscripts - scripts pour initialiser et arrêter le système

--
Daniel

Re: insserv: FATAL: service mountkernfs is missed

[daniel huhardeaux]

Le 06/01/2020 à 16:09, ajh-valmer a écrit :

On Monday 06 January 2020 15:19:41 Daniel Huhardeaux wrote:

Le 06/01/2020 à 15:06, ajh-valmer a écrit :



Comment installer ou réinstaller un paquet inexistant ?
(mountkernfs).



Comme démontré par ma commande dpkg -S, mountkernfs.service (qui est
dans le titre de ton message) est fourni par systemd. Donc,



dpkg -L systemd|grep mountkern
/lib/systemd/system/mountkernfs.service



Soit ton systemd est mal installé soit pas du tout.


mon systemd est bien installé :

# dpkg -L systemd|grep mountkernfs
/lib/systemd/system/mountkernfs.service

# apt-get install systemd --reinstall
Paramétrage de systemd (241-7~deb10u2) ...
(pas de message d'erreur)

# service mountkernfs.sh start
"Failed to start mountkernfs.service: Unit mountkernfs.service is masked".

Pas d'applis "mountkernfs" sous Buster.



Pourquoi diantre veux tu lancer le service mountkernfs puisqu'il est 
géré par systemd !


Si tu fais un dpkg -L systemd comme donné lors d'un précédent message tu 
verras qu'il n'existe pas de fichier /etc/init.d/mountkernfs.sh dans le 
paquet systemd.


S'il en existe un sur ta machine il s'agit d'un reste de configuration 
d'une version précédente ce que je confirme cherchant sur une 9.11


/etc/init.d/mountkernfs.sh
/etc/rcS.d/S01mountkernfs.sh
/lib/systemd/system/mountkernfs.service

dh@keewi:~$ dpkg -S mountkernfs
systemd: /lib/systemd/system/mountkernfs.service
initscripts: /etc/init.d/mountkernfs.sh

C'est donc le paquet initscripts qui fournit mountkernfs.sh Or si tu 
utilise systemd plus besoin de ce paquet (qui d'ailleurs n'est pas 
installé sur la Buster à partir de laquelle j'exécute les commandes).

--
Daniel

Re: insserv: FATAL: service mountkernfs is missed

[Daniel Huhardeaux]

Le 06/01/2020 à 15:06, ajh-valmer a écrit :

On Monday 06 January 2020 13:07:30 Daniel Huhardeaux wrote:

Le 06/01/2020 à 12:54, ajh-valmer a écrit :

On Sunday 05 January 2020 23:50:26 Pascal Hambourg wrote:

Le 05/01/2020 à 21:57, ajh-valmer a écrit :

"S01mountkernfs.sh" est dans /etc/rcS.d
mais pas de mountkernfs.sh dans "sysv-rc-conf".
Aucun "S01mountkernfs.sh" dans les rc1.d à rc6.d.



Bizarre. Il faut peut-être réinstaller les liens avec
update-rc.d mountkernfs.sh defaults



# apt-cache search mountkernfs
ne donne aucun résultat...
L'ordinateur est sous Debian Buster.



La bonne commande est  dpkg -S mountkernfs
systemd: /lib/systemd/system/mountkernfs.service


# dpkg -S mountkernfs
ne donne aucun résultat...

Pas de daemon mountkernfs par la commande
# ps aux | grep mountkernfs
et pas existant dans "sysv-rc-conf".

# apt-get install mountkernfs.sh
"E: Impossible de trouver le paquet mountkernfs".

https://packages.debian.org/search?suite=buster-backports=i386=contents=mountkernfs.sh
"Désolé, votre recherche n'a renvoyé aucun résultat".

Comment installer ou réinstaller un paquet inexistant ?
(mountkernfs).



Comme démontré par ma commande dpkg -S, mountkernfs.service (qui est 
dans le titre de ton message) est fourni par systemd. Donc,


dpkg -L systemd|grep mountkern
/lib/systemd/system/mountkernfs.service

Soit ton systemd est mal installé soit pas du tout.

Note: toutes les commandes données sont exécutées à partir d'une Buster
--
Daniel

Re: insserv: FATAL: service mountkernfs is missed

[Daniel Huhardeaux]

Le 06/01/2020 à 12:54, ajh-valmer a écrit :

On Sunday 05 January 2020 23:50:26 Pascal Hambourg wrote:

Le 05/01/2020 à 21:57, ajh-valmer a écrit :

"S01mountkernfs.sh" est dans /etc/rcS.d
mais pas de mountkernfs.sh dans "sysv-rc-conf".
Aucun "S01mountkernfs.sh" dans les rc1.d à rc6.d.


Bizarre. Il faut peut-être réinstaller les liens avec
update-rc.d mountkernfs.sh defaults


# apt-cache search mountkernfs
ne donne aucun résultat...
L'ordinateur est sous Debian Buster.


La bonne commande est  dpkg -S mountkernfs
systemd: /lib/systemd/system/mountkernfs.service

--
Daniel

Re: Erreur d'URL pour la liste debian user french

[daniel huhardeaux]

Le 15/12/2019 à 17:51, G2PC a écrit :

Le 15/12/2019 à 17:17, daniel huhardeaux a écrit :

Le 15/12/2019 à 17:10, G2PC a écrit :

https://www.debian.org/doc/manuals/fr/debian-fr-howto/ch1.html

Le lien suivant ne fonctionne pas :

La dernière version de ce document se trouve à l'adresse :
|http://www.poleia.lip6.fr/~sabouret/debian/debian-french.html|.



Bonsoir,

je ne comprends pas ton message mais je peux dire, si tel était
l'affirmation,  que le lien debian.org fonctionne et celui de lip6.fr
non.



C'est bien ça, sur le premier lien, la référence du second lien n'est
pas fonctionnel.


Et, quel est le message que tu veux passer ?
--
Daniel

Re: Erreur d'URL pour la liste debian user french

[daniel huhardeaux]

Le 15/12/2019 à 17:10, G2PC a écrit :

https://www.debian.org/doc/manuals/fr/debian-fr-howto/ch1.html

Le lien suivant ne fonctionne pas :

La dernière version de ce document se trouve à l'adresse : 
|http://www.poleia.lip6.fr/~sabouret/debian/debian-french.html|.




Bonsoir,

je ne comprends pas ton message mais je peux dire, si tel était 
l'affirmation,  que le lien debian.org fonctionne et celui de lip6.fr non.


--
Daniel

Re: [1/2HS] Serveur de messagerie perso, mails considérés comme spams et blacklistés

[Daniel Huhardeaux]

Le 06/12/2019 à 17:20, ajh-valmer a écrit :

On Friday 06 December 2019 12:22:42 BERTRAND Joël wrote:

Free est généralement extrêmement laxiste sur les transactions SMTP.
Je n'ai jamais vu un message qui n'était pas accepté par leurs serveurs.

ajh-valmer a écrit :

Free blackliste l'IP de mon serveur venant d'un formulaire complété sur
mon site.
Le mail est envoyé sans incident par le SMTP (/var/log/mail : deferred,
deleted), ensuite il est purement détruit par le service POP de Free.
Il n'est même pas dans la boîte spams.



C'est bien ce que je dis, il est _accepté_. Mais il est détruit après
parce que l'IP est dans une liste quelque part. C'est un autre problème.


Accepté par le serveur POP de Free ?


Le serveur POP c'est pour récupéré les courriels, pas pour les envoyer.


A quelle étape est-il détruit ?
Et comment retirer l'IP de la liste des IP blacklistés de Free ?


C'est un autre problème :

Non, je fais parti des IP blacklistés alors que je n'envoie aucun spam.


As tu lu ca ?

https://www.spamhaus.org/pbl/query/PBL232218

Re: Grub - Augmenter la taille de police au démarrage

[daniel huhardeaux]

Le 05/12/2019 à 19:08, Étienne Mollier a écrit :

On 05/12/2019 18.10, Daniel Huhardeaux wrote:

Question: comment faire pour augmenter la taille de police en mode console et 
lors des messages de démarrage. J'ai tenté un GRUB_GFXMODE=1280x1024 accompagné 
d'un GRUB_FONT=/boot/grub/fonts/DejaVuSansMono24.pf2, rien n'y fait.


Bonsoir,

Passé 640x480, Grub a également besoin de la profondeur de
couleur.  Essayez l'option suivante, ça devrait aider :

GRUB_GFXMODE=1280x1024x32
  ^^^
et puis "update-grub" pour prendre en compte le changement au
prochain redémarrage.


Alors ceci n'a pas fonctionné comme dit dans mon message d'origine (sans 
la profondeur de couleur il est vrai). Par contre, en laissant 
GRUB_GFXMODE commenté et en passant GRUB_GFXPAYLOAD_LINUX=1920x1440x32 
ça fonctionne.




Une fois que le système est démarré, la console peut être réglée
avec le fichier de configuration /etc/default/console-setup et
setupcon(1) (ou bien avec "dpkg-reconfigure console-setup").
Dans ce fichier, j'utilise entre autres options :

FONTFACE="TerminusBold"
FONTSIZE="12x24"

Exécuter "setupcon" après modification du fichier permet
d'appliquer le changement sur la console.  De mémoire, la
FONTSIZE="16x32" devrait être disponible, et peut-être même
lisible sur un écran 4K de 13,3 pouces.


Oui, j'ai mis Terminus en 16x32. C'est bien mieux mais si Monsieur Plus 
pouvait passer ce ne serait pas de refus ;)




Sinon, il est aussi possible de réduire la résolution de la
console après démarrage avec l'option :

GRUB_GFXPAYLOAD_LINUX=keep


Pas testé vu que la manip donnée plus haut est fonctionnelle. Merci !

--
Daniel

Grub - Augmenter la taille de police au démarrage

[Daniel Huhardeaux]

Bonjour,

sur un portable 13,3" de résolution 3840x2060 je n'arrive pas à lire les 
messages au démarrage ni l'invite en console (Ctrl+Alt+Fx) tellement ils 
sont petits.


En mode graphique j'ai demandé un accroissement de 300% afin de pouvoir 
correctement visualiser du texte.


Question: comment faire pour augmenter la taille de police en mode 
console et lors des messages de démarrage. J'ai tenté un 
GRUB_GFXMODE=1280x1024 accompagné d'un 
GRUB_FONT=/boot/grub/fonts/DejaVuSansMono24.pf2, rien n'y fait.


Une idée ?

Merci et bonne soirée
--
Daniel

Re: Comment transferer une centaine d'image d'un telephone RedMi note 7 phone model M1901F7G vers un desktop Debian

[Daniel Huhardeaux]

Le 24/11/2019 à 18:22, Dethegeek a écrit :

Bonjour

Pour ce genre de transfert, l'appli syncopoli pour Android est pas mal. 
Dispo sur f-droid.


ES Explorer en WIFI est mon choix

--
Daniel

Re: Migration Stretch vers Buster : plus de mode graphique

[Daniel Huhardeaux]

Le 11/11/2019 à 19:58, ajh-valmer a écrit :
[...]

Connexion ssh possible ? Peux tu te connecter sur une console
(Ctrl+Alt+F1 à F6)


Comme je l'avais écrit :

Si je lance X, l'écran devient noir, rien,
plus de clavier, bloqué, seule solution : hard reboot.


Cela n'empêche pas ssh d'être fonctionnel ...

--
Daniel

Re: Migration Stretch vers Buster : plus de mode graphique

[Daniel Huhardeaux]

Le 11/11/2019 à 19:24, ajh-valmer a écrit :

Bonsoir à tous,


Bonsoir



J'ai migré de Stretch vers Buster.
Carte graphique Nvidia geforce proprio,
qui marchait parfaitement sous Stretch.

En rebootant, j'ai ce message d'erreur au début :
"Failed to start openIPMI driver init script".
(openIPMI est bien installé),
ainsi que linux-headers-4.19... et linux-image-4.19...


Est ce un serveur ? As tu besoin de IPMI ? En tous cas rien à voir avec 
ton problème.




modprobe nvidia n'affiche pas d'erreur.

Si je lance X, l'écran devient noir, rien,
plus de clavier, bloqué, seule solution : hard reboot.


Connexion ssh possible ? Peux tu te connecter sur une console 
(Ctrl+Alt+F1 à F6)


--
Daniel

Re: unattended-upgrade

[Daniel Huhardeaux]

Le 06/11/2019 à 15:35, BERTRAND Joël a écrit :

Bonjour à tous,

Depuis hier, je constate sur ma machine de bureau une occupation CPU
anormale. Visiblement, elle est due à ceci :

/usr/bin/python3 /usr/bin/unattended-upgrade

J'ai donc tenté la chose en ligne de commande et j'obtiens ceci :

root@hilbert:~# /usr/bin/python3 /usr/bin/unattended-upgrade -v
Initial blacklist:
Initial whitelist:
Démarrage du script de mise à niveau automatique
Les origines permises sont :
origin=Debian,codename=bullseye,label=Debian,
origin=Debian,codename=bullseye,label=Debian-Security,
origin=Debian,codename=bullseye-security,label=Debian-Security

et plus rien sauf une occupation CPU à 100%. Je n'ai rien trouvé de
probant (et récent) concernant une telle "fonctionnalité".


Si fonctionnalité est unattended-upgrade, ce paquet maintient à jour le 
système


https://wiki.debian.org/UnattendedUpgrades

d'après ce lien -d est l'option pour déboguer



Suis-je le seul dans ce cas ?


Sous Stretch/Buster/Ubuntu[16|18].04 pas de problème à signaler



Configuration spéciale : ma machine de travail est une station diskless
sur un serveur NetBSD (NFSv3/TCP).

Cordialement,

JKB



--
Daniel

Re: Mails @free envoyés depuis un serveur non reçus

[Daniel Huhardeaux]

Le 15/10/2019 à 12:28, ajh-valmer a écrit :

Ou est hébergé ce serveur ? :

sur un server perso internet hébergé chez Online.

Voici ce que dit le log "mail.info" :

Oct 15 12:17:33 postfix/smtp[4691]: 266CEC60071: to=<.@free.fr>,
relay=mx1.free.fr[212.27.48.6]:25, delay=0.17, delays=0.12/0.01/0.05/0,
dsn=5.6.7, status=bounced (SMTPUTF8 is required, but was not offered
by host mx1.free.fr[212.27.48.6]).

On y lit :
"relay=mx1.free.fr ...
status=bounced (SMTPUTF8 is required, but was not offered
by host mx1.free.fr[212.27.48.6])"

Le mail n'est pas envoyé vers le pop de Free selon
le message ci-dessus, pourquoi ?


Déja le service SMTP (port 25) n'est PAS du POP (port 110) comme le 
montre relay=mx1.free.fr[212.27.48.6]:25


Le message est clair, ton serveur demande du SMTPUTF8 et le serveur de 
FREE ne le propose pas. Pose toi la question du pourquoi required de ton 
serveur.

--
Daniel

Re: Mails @free envoyés depuis un serveur non reçus

[Daniel Huhardeaux]

Le 14/10/2019 à 18:08, BERTRAND Joël a écrit :
[...]


Ce qui est important, c'est côté MX (plus que SMTP) parce que les
rejets sont gérés côté MX.


Je persiste: si le serveur SMTP d'envoi de l'OP log une erreur pas la 
peine d'aller chercher celle-ci autre part.


--
Daniel

Re: Mails @free envoyés depuis un serveur non reçus

[Daniel Huhardeaux]

Le 14/10/2019 à 15:18, BERTRAND Joël a écrit :

Daniel Huhardeaux a écrit :

Il doit forcément y avoir des logs, que le message soit accepté ou
refusé. Quel logiciel serveur d'envois ?


Pas forcément. Le message peut être traité par un mécanisme après
l'acceptation (typiquement un milter) qui le supprime silencieusement.
Seuls les logs du MX seraient pertinents.



Le serveur réceptionnaire acquiterait la réception du message et 
l'effacerai ensuite sans en informer l'émetteur ? Connais tu de 
semblables cas et pourrais les exposer ? Je n'ai jamais rencontré cela ...


Ceci dit, on ne sait pas si les messages envoyés par le serveur de l'OP 
sont effectivement acquités/refusés par le destinataire, donc les logs 
de l'échange doivent exister sur le serveur de l'émetteur.

--
Daniel

Re: Mails @free envoyés depuis un serveur non reçus

[Daniel Huhardeaux]

Le 14/10/2019 à 15:03, ajh-valmer a écrit :

Bonjour à tous,


Bonjour



J'ai un petit serveur de messagerie internet perso avec postfix et dovecot.

On va dire que son nom de domaine est "machin.org",
donc "smtp.machin.org" est le facteur.
Tout est OK avec le DNS.


Ou est hébergé ce serveur ?



Les mails @free envoyés depuis ce serveur
n'arrivent pas dans la boite Free,
et ni dans les répertoires pourriels et commerciaux.

Aucune information dans /var/log/mail.info ou mail.err


Il doit forcément y avoir des logs, que le message soit accepté ou 
refusé. Quel logiciel serveur d'envois ?




D'autres mails n'arrivent pas non plus, tel @sfr.fr...
Par contre les méls @gmail.com sont bien transférés.

L'IP du serveur n'est pas blacklisté par Free.


Elle peut l'être par d'autres. Perso j'utilise spamhaus avant d'accepter 
des messages. Et je fais du greylisting.


Beaucoup d'opérateurs demandent aussi que le reverse DNS pointe sur le 
FQDN. Tu peux tester ton serveur à cette adresse par ex.


https://mxtoolbox.com/diagnostic.aspx

[...]

Re: plantage de ma debian avec un dell g5 15 5587

[Daniel Huhardeaux]

Le 11/10/2019 à 00:59, Jérémy Prego a écrit :

bonjour,

Bonjour

[...]



Ce que j'ai prévu de tester:
- installation d'une debian de zéro avec l'iso netinstall


Installe une Debian stable afin d'éviter d'éventuels problèmes liés au 
noyau 5.x


[...]
--
Daniel

Re: HS: Un debianiste confirmé de 60 ans peut-il encore trouver un emploi (en CDD) en France ?

[Daniel Huhardeaux]

Le 03/10/2019 à 13:32, bas...@starynkevitch.net a écrit :


On Thursday, October 03, 2019 10:49 CEST, "Sébastien NOBILI" 
 wrote:

Bonjour,

3 octobre 2019 09:35 "Daniel Huhardeaux"  a écrit:
> un debianiste de 60 ans devrait savoir que cette liste est une liste 
d'entre-aide et non de

> business et à minima tagué le sujet en HS.

Houla, surtout pas malheureux ! Ce genre de remarque n'est pas bien 
prise par un debianiste

de 60 ans, tu pourrais t'en douter !

> Je trouve que cette liste devient de plus en plus une sorte de 
défouloir hors sujet.


Moi aussi et c'est dommage car il existe tant d'autres endroits où les 
sujets HS seront mieux

traités.

Poster un message au bon endroit c'est maximiser ses chances d'obtenir 
des réponses pertinentes.
Poster un message au mauvais endroit, en dehors de la gêne 
occasionnée, c'est la presque assurance

d'obtenir des réponses insuffisantes, inadaptées ou fausses.

Ça paraît pourtant tellement évident…

Sébastien




Désolé mesdames et messieurs, mais ça fait des lustres que Debian French 
User ne parle pas de Debian, ou au moins n'est pas le bon (ou le 
meilleur) canal pour poser des questions techniques sur l'utilisation de 
Debian (specifiquement)


D'abord, la plupart des questions Debian sont des questions Ubuntu car 
les deux distributions sont très proches.


Ensuite, une question spécifique Debian a plus de chance d'avoir une 
réponse si elle est posée en anglais, car les forums anglais ont plus de 
locuteurs.


En particulier, et pragmatiquement, dès qu'on est capable de rédiger une 
question en anglais, https://unix.stackexchange.com/ est un meilleur 
endroit aujourdhui pour ça.


Et si on est pas capable de rédiger en anglais, il vaut vraiement mieux 
utiliser Ubuntu, dont la "localisation" (localization & 
internationalization) est plus aboutie.


Un exemple de question technique que je ne poserais plus ici.

J'attends la livraison, ce soir, d'un clavier Corsair Gaming K66 - 
Cherry MX Red (disposition AZERTY) acheté d'occasion chez materiel.net


Je suis à peu prêt sur que la configuration du clavier (que je sais 
faire) est plus simple sur Ubuntu récent que sur Debian/Testing.


Donc, si on veut restreindre debian-user-french aux questions techniques 
sur Debian, il n'y a aurait pas grand monde.
 
D'ailleurs, si on me demandait mon avis, je prônerais la fermeture de 
cette liste. Elle est aussi obsolète que moi. Il y a mieux, mais 
ailleurs (et même en français).


Le principal rôle actuel de cette liste est précisément de servir de 
défouloir. Si on cherche son utilité originelle, elle ne l'a presque plus.


Librement
--
Basile Starynkevitch http://starynkevitch.net/Basile/


À lire ta prose DUF n'est pas le meilleur endroit pour des questions 
techniques mais l'est pour une recherche d'emploi: c'est un point de 
vue. J'imagine que si une personne est intéressée par ton profil elle 
risque de reconsidérer sa position à la lecture de ce message.


Quand au fait que tu décides que DUF est un défouloir, je t'engage à 
oublier cette liste au nom de ceux qui la prenne toujours pour ce pour 
quoi elle existe.


Ah oui, j'aimerai que tu déposes ta recherche d'emplois chez 
stackexchange/stackoverflow/debian US/... et que tu reviennes nous dire 
quel a été l'accueil reçu (attention, je suis inscris sur certaines de 
ces listes).


--
Daniel

HS: Un debianiste confirmé de 60 ans peut-il encore trouver un emploi (en CDD) en France ?

[Daniel Huhardeaux]

Le 03/10/2019 à 07:50, Basile Starynkevitch a écrit :


Bonjour,

Mon CV en anglais (fait avec LaTeX) est en ligne en 
http://starynkevitch.net/Basile/cv-Basile-Starynkevitch.pdf
Je cherche un job, même un CDD d'un an.
Mes critères sont explicités en début de ma page web en 
http://starynkevitch.net/Basile/
Ca pourrait être même dans une grande ville de province accessible en TGV, si 
le télétravail partiel y est possible.
Si vous connaissez quelque chose, n'hésitez pas à transmettre.
Pour mes prétentions salariales, je cherche à ne pas perdre en salaire. Au CEA, 
à diplôme et âge égal, je suis parmi les relativement mal payés.


Cordialement

PS. La raison pour laquelle je cherche un job, c'est le bore-out. Je n'ai pas 
parlé technique depuis un an au boulot (mais livrables H2020, telcos de 
coordination, etc...). Je code du logiciel libre (voir 
http://github.com/bstarynk/bismon ) mais personne ne le compile (pas même 
mes collègues ou partenaires européens). Ca me manque de ne plus parler 
technique, au point de me rendre malade.



Bonjour,

un debianiste de 60 ans devrait savoir que cette liste est une liste 
d'entre-aide et non de business et à minima tagué le sujet en HS.


Je trouve que cette liste devient de plus en plus une sorte de défouloir 
hors sujet.


--
Daniel

Re: Détecter si une imprimante est allumée

[Daniel Huhardeaux]

Le 01/10/2019 à 12:56, Seb a écrit :


[...] Peut-on faire plus simple, et idéalement régler le système 
plutôt que trafiquer le hardware ?
Dans la configuration CUPS de ton imprimante as tu bien ErrorPolicy 
retry-job ?


Oui:

~>sudo grep ErrorPolicy /etc/cups/printers.conf
ErrorPolicy retry-job


Cela ne veut rien dire ! Si tu as plus d'une imprimante définie comment 
sais tu que ce paramètre s'applique bien à ce modèle ?


--
Daniel

Re: Détecter si une imprimante est allumée

[Daniel Huhardeaux]

Le 01/10/2019 à 11:42, Seb a écrit :


Bonjour,


Bonjour

[...] Peut-on
faire plus simple, et idéalement régler le système plutôt que trafiquer 
le hardware ?


Dans la configuration CUPS de ton imprimante as tu bien ErrorPolicy 
retry-job ?


--
Daniel

Re: Free Tux TV - Quels codecs ?

[Daniel Huhardeaux]

https://www.molotov.tv/

Le 26/09/2019 à 15:11, G2PC a écrit :

Je suis sur Orange, mais, dans l'absolu, je pense qu'il faudrait trouver
des flux qui ne dépendent pas du FAI. Ton adresse ne fonctionne pas pour
moi.

Sur le site :
https://www.iptv4sat.com/dl-france-iptv/

Depuis le fichier :
https://www.iptv4sat.com/download-attachment/JCQTqdYGPsd60C86hw1V_9CO-aZ2DUhFbG2H1JQw_p8,

Les canaux suivants fonctionnent avec VLC, et, j'utilise donc Media /
ouvrir un fichier ( 1.. 3... 4... 7... 8... ) :

1 Cannal J

3 3ème rue

4 TF1

7 Bein Sports

8 Canal +


En somme, c'est très peu, et, peu pratique. Je trouve difficilement des
informations à jour à ce sujet.


Le 26/09/2019 à 14:15, Jean Bernon a écrit :

J'utilise VLC régulièrement pour regarder les chaînes du bouquet Free. J'ai 
abandonné freetux depuis longtemps.
Sur VLC tu choisis "Media" "Ouvrir un flux réseau" ou plus directement Ctrl+N 
et tu entres l'adresse suivante
http://mafreebox.freebox.fr/freeboxtv/playlist.m3u
C'est fait ! Tu es connecté à toutes les chaînes de ta box, ce dans un 
environnement VLC beaucoup plus riche que freetux.

- Mail original -


De: "G2PC" 
À: debian-user-french@lists.debian.org
Envoyé: Jeudi 26 Septembre 2019 13:48:21
Objet: Re: Free Tux TV - Quels codecs ?
Simple, je révise mes connaissances de l'existant.
Je reprend mes notes sur mon wiki.
J'améliore la partie multimédia.
Cette thématique est délaissée, donc, je ne sais pas comment les
programmes et les projets évoluent.
Certes je sais que VLC fait la même chose, mais, je ne l'exploite
pas,
donc, je n'ai pas les informations, donc, je ne l'utilise pas.
Si tu as des informations fonctionnelles, et à jour, je veux bien
voir
ça de plus près.

Pourquoi réinstalles-tu Freetux TV. Il me semble que VLC fait la
même chose en mieux.

- Mail original -

Je viens de tenter de réinstaller Free Tux TV mais, je n'ai que
deux
chaines, ARTE et NRJ12.
L'image ne fonctionne pas pour ARTE, j'ai seulement le son.
Pour NRJ 12, le lien semble mort.
La base de données de FreeTuxTV : http://database.freetuxtv.net

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

[Daniel Huhardeaux]

Le 24/09/2019 à 18:36, Daniel Caillibaud a écrit :

Le 24/09/19 à 17:27, Daniel Huhardeaux  a écrit :

Modifier le port de connexion de services connus comme ssh +
identification par clé suffit pour ne pas avoir à rajouter une couche.


En quoi changer le port améliorerait la sécurité ?


Modifie le port ssh et tu verras la diminution drastique des tentatives 
(iptables log les connexions vers mes ports exotiques).





Personnellement, en dehors des ports réputés figés, aucun service ne
tourne sur les ports traditionnels.


C'est peut-être du "sentiment de sécurité" mais ça ne sécurise rien du tout (et 
à priori
plutôt l'inverse, un faux sentiment de sécurité est pas très bon, ça peut 
conduire à qq
négligences).


Une connexion avec clé me parait sécurisé. Ne serait ce qu'un sentiment ? ;)


Le scan de ports c'est tout le temps et ça se voit pas dans les logs, un port 
déplacé ne
protège de rien du tout (ok, pour le ssh ça peut limiter les messages dans le 
auth.log, mais
y'a d'autres moyens pour ça ;-)).
Les "méchants" ne s'embêtent pas ou peu à scanner: ils ont assez de 
boulot avec les ports traditionnels. J'utilise au bureau une UTM qui 
hebdomadairement remonte les statistiques. Ex pour la semaine passée:


Les 10 principaux services abandonnés   
Nombre total de paquets abandonnés : 102 578
Principal Nom du service Protocole Service Paquets  %
1 TELNET TCP   23  5 8695.72 %
2 T9C0   ICMP  t9c03 6893.60 %
3 MICROSOFT-DS   TCP   445 2 3202.26 %
4 SSHTCP   22  1 4021.37 %
5 T11C1  ICMP  t11c1   1 0961.07 %
6 HTTP   TCP   80  1 0231.00 %
7 PERSONAL-AGENT TCP   998  0.97 %
8 SIPUDP   5060887  0.86 %
9 HTTP-ALT   TCP   8080882  0.86 %
10DOMAIN UDP   53  815  0.79 %



Et pour moi le port 22 du ssh est un port "figé", comme le 80/443 pour le web, 
le 53 pour le
dns, 25/487 pour le mail… et c'est valable pour tous les ports ouverts sur mes 
ip publiques.
Je ne vois rien de cela dans mes logs


Que le 80,443,53,25,487 (liste non exhaustive) soient ouverts me parait 
normal. C'est ce que j'ai appelé les ports figés.



Je comprends qu'on mette un service "privé" sur une ip publique par commodité, 
mais dans ce cas
faut assumer et gérer sa sécurité, le mettre sur un port exotique ne 
l'améliorera pas.


Je ne parlai pas de service "privé", je parle de service "publique" que 
l'on peut déplacer. Et j'assume.


Ce débat a déjà eu lieu et revient périodiquement. À chacun selon son 
niveau/besoin/"sentiment"/... de traiter


--
Daniel

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

[Daniel Huhardeaux]

Le 24/09/2019 à 12:26, Olivier a écrit :
Le sam. 21 sept. 2019 à 21:42, Daniel Huhardeaux <mailto:no-s...@tootai.net>> a écrit :



Oublie le port knocking.
Daniel

Simple curiosité:
Pourquoi oublier le port knocking ?
Je ne l'ai jamais utilisé mais ça m'avait l'air assez utile


Modifier le port de connexion de services connus comme ssh + 
identification par clé suffit pour ne pas avoir à rajouter une couche.


Personnellement, en dehors des ports réputés figés, aucun service ne 
tourne sur les ports traditionnels.





Le sam. 21 sept. 2019 à 21:42, Daniel Huhardeaux <mailto:no-s...@tootai.net>> a écrit :


Le 21/09/2019 à 20:18, G2PC a écrit :
 > Merci de ce retour, je vais faire des recherches complémentaires,
car,
 > même si ta réponse est bien formulée, je décroche un peu.
 > Fondamentalement, je veux bien te croire, mais, il va falloir que je
 > vérifie, comment faire pour l'activer, et, pour vérifier son
activation.
 >
 >
 > De mon côté, j'ai rajouté le Port Knocking par Iptables, que j'ai
placé
 > tout à la fin de mon script, juste au dessus de COMMIT.
 > Ça a l'air fonctionnel, mais, j'ai l'impression que ça manque de
 > réactivité, et, je me demande si je n'ai pas des règles qui
pourraient
 > entrer en conflit, comprendre, se répéter inutilement.
 >
 > Le script Iptables :
 >

https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#R.C3.A8gle_personnalis.C3.A9e_pour_configurer_Iptables_filter
 >
 > Le script Port Knocking :
 >

https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#Mise_en_place_du_Port_Knocking
 >
 >
 > J'aimerais bien pouvoir gagner un peu de souplesse, au moment du Port
 > Knocking, car, j'ai l'impression que ça pédale dans la choucroute.
 > Peut être un problème de perf de serveur, un VPS 1Go, ce serait déjà
 > trop light vu que j'ai quelques virtualhosts dessus.
 >
 > Quoi qu'il en soit, j'ai tenté de me connecter directement en
SSH, et,
 > le port knocking semble bien faire le boulot, la connexion n'est pas
 > établie.
 > Par contre, si je décommente les 2 lignes autorisant le port SSH dans
 > mon script principale, le script du Port Knocking ne semble pas
arriver
 > à m'ouvrir le port 22.
 > J'ai donc une autorisation de SSH port 22 en input et output
depuis mon
 > script principale, tout comme j'ai, tout à la fin de ce script
 > principale, le script Port Knocking, qui me réautorise le port 22
si les
 > frappes aboutissent.
 > Je ne suis pas sur que ce soit normal, d'avoir à autoriser le
port SSH,
 > puis, à le réauthoriser avec le port knocking.
 > Il me semble que le port knocking devrait suffir à gérer
l'ouverture et
 > la fermeture du port SSH.
 >
 > Il faut que je revérifie.

Oublie le port knocking. Change le port d'écoute ssh et tout ira bien.
Si tu veux tout de même encore plus te protéger installe fail2ban.
Encore mieux: ouvre un VPN entre toi et ton serveur.

 >
 > Le 21/09/2019 à 13:46, Pascal Hambourg a écrit :
 >> Le 21/09/2019 à 12:39, G2PC a écrit :
 >>>
 >>> # Mon serveur ne retrouve pas les deux lignes de configuration
 >>> suivantes, que je commente. A SUIVRE !
 >>> # sysctl: cannot stat
/proc/sys/net/netfilter/nf_conntrack_tcp_loose:
 >>> Aucun fichier ou dossier de ce type
 >>> # sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_max:
Aucun
 >>> fichier ou dossier de ce type
 >>
 >> Ces sysctls n'existent que si le module nf_conntrack_ipv4 ou
 >> nf_conntrack_ipv6 est chargé, ce qui est fait automatiquement à la
 >> création de la première règle utilisant le suivi de connexion
(state,
 >> conntrack, connmark...) ou au chargement de la table nat.
 >>
 >> Pour pouvoir les initialiser via /etc/sysctl{,.d/*}.conf, il faut
 >> charger un de ces modules via /etc/modules{,-load.d/*.conf}.
 >>
 >

-- 
Daniel

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

[Daniel Huhardeaux]

Le 21/09/2019 à 20:18, G2PC a écrit :

Merci de ce retour, je vais faire des recherches complémentaires, car,
même si ta réponse est bien formulée, je décroche un peu.
Fondamentalement, je veux bien te croire, mais, il va falloir que je
vérifie, comment faire pour l'activer, et, pour vérifier son activation.


De mon côté, j'ai rajouté le Port Knocking par Iptables, que j'ai placé
tout à la fin de mon script, juste au dessus de COMMIT.
Ça a l'air fonctionnel, mais, j'ai l'impression que ça manque de
réactivité, et, je me demande si je n'ai pas des règles qui pourraient
entrer en conflit, comprendre, se répéter inutilement.

Le script Iptables :
https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#R.C3.A8gle_personnalis.C3.A9e_pour_configurer_Iptables_filter

Le script Port Knocking :
https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#Mise_en_place_du_Port_Knocking


J'aimerais bien pouvoir gagner un peu de souplesse, au moment du Port
Knocking, car, j'ai l'impression que ça pédale dans la choucroute.
Peut être un problème de perf de serveur, un VPS 1Go, ce serait déjà
trop light vu que j'ai quelques virtualhosts dessus.

Quoi qu'il en soit, j'ai tenté de me connecter directement en SSH, et,
le port knocking semble bien faire le boulot, la connexion n'est pas
établie.
Par contre, si je décommente les 2 lignes autorisant le port SSH dans
mon script principale, le script du Port Knocking ne semble pas arriver
à m'ouvrir le port 22.
J'ai donc une autorisation de SSH port 22 en input et output depuis mon
script principale, tout comme j'ai, tout à la fin de ce script
principale, le script Port Knocking, qui me réautorise le port 22 si les
frappes aboutissent.
Je ne suis pas sur que ce soit normal, d'avoir à autoriser le port SSH,
puis, à le réauthoriser avec le port knocking.
Il me semble que le port knocking devrait suffir à gérer l'ouverture et
la fermeture du port SSH.

Il faut que je revérifie.


Oublie le port knocking. Change le port d'écoute ssh et tout ira bien. 
Si tu veux tout de même encore plus te protéger installe fail2ban. 
Encore mieux: ouvre un VPN entre toi et ton serveur.




Le 21/09/2019 à 13:46, Pascal Hambourg a écrit :

Le 21/09/2019 à 12:39, G2PC a écrit :


# Mon serveur ne retrouve pas les deux lignes de configuration
suivantes, que je commente. A SUIVRE !
# sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_tcp_loose:
Aucun fichier ou dossier de ce type
# sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_max: Aucun
fichier ou dossier de ce type


Ces sysctls n'existent que si le module nf_conntrack_ipv4 ou
nf_conntrack_ipv6 est chargé, ce qui est fait automatiquement à la
création de la première règle utilisant le suivi de connexion (state,
conntrack, connmark...) ou au chargement de la table nat.

Pour pouvoir les initialiser via /etc/sysctl{,.d/*}.conf, il faut
charger un de ces modules via /etc/modules{,-load.d/*.conf}.





--
Daniel

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

[Daniel Huhardeaux]

Le 20/09/2019 à 18:57, G2PC a écrit :

Quel est le rôle de :
# This server is a GW for Intranet
$IPTABLES -t nat    -A POSTROUTING  -j MASQUERADE

Le 18/09/2019 à 18:50, Daniel Huhardeaux a écrit :

# This server is a GW for Intranet
$IPTABLES -t nat    -A POSTROUTING  -j MASQUERADE




Si ce serveur fait routeur et est passerelle pour le réseau alors les 
machines du lan continueront à accéder à Internet et/ou à tout autre 
réseau derrière cette passerelle lorsque les règles du pare-feu sont 
désactivées.

--
Daniel

Re: Envoyer mail avec autre IP que le sien

[Daniel Huhardeaux]

Le 20/09/2019 à 14:51, Daniel Caillibaud a écrit :

Le 20/09/19 à 13:52, "ajh-valmer"  a écrit :

Il est possible de cacher/dévoyer son IP,
par un serveur de messagerie virtuel installé sur sa machine,
mais je cherche le mode opératoire...


Tu ne peux pas masquer l'ip du serveur qui va causer au serveur de destination.

Si tu installe un smtp qq part pour envoyer un mail à f...@example.org, le 
serveur MX de
example.org va ajouter l'ip de ce smtp dans un header Received (dans les 
en-têtes du mail qui
sera finalement livré).

Si tu joue avec du nat ou du vpn pour que ton smtp soit vu du dehors avec une 
autre ip que la
sienne, je te conseille quand même de tester en t'envoyant un mail pour 
vérifier les headers du
mail reçu et les ip qui y apparaissent.



San compter que le serveurs SMTP font un reverse DNS sur le nom de 
serveur afin de savoir si l'IP présentée est bien la propriété du dit 
serveur.


--
Daniel

Re: lecteur vlc bloqué + question un peu H-S

[Daniel Huhardeaux]

Le 19/09/2019 à 18:39, Francois Meyer a écrit :

Bonjour à tous


Bonsoir



Le hors-sujet, maintenant :

lors d'1 discussion entre enseignants d'informatique en lycée, 
concernant la présence (ou plutôt l'absence) d'os libres dans le milieu 
scolaire, une collègue écrit que microsoft win10 aurait un noyau linux. 
Quelqu'un saurait-il si c'est la vérité ? (sachant qu'évidemment ça n'en 
ferait pas un os libre pour autant).


https://www.zdnet.fr/actualites/windows-10-disposera-de-son-propre-noyau-linux-39884377.htm

--
Daniel

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

[Daniel Huhardeaux]

Le 18/09/2019 à 18:12, G2PC a écrit :

Ok super, je vais faire comme tu le proposes.
Enregistrer le fichier regles-iptables-inactives doit permettre de
revenir rapidement en arrière en cas de blocage, je suppose.


Plus simple, faire un script comme

# Flush all
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t mangle -F
$IPTABLES -t mangle -X

# Accept all by default
$IPTABLES -P INPUT  ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARDACCEPT
$IPTABLES -t nat-P OUTPUT   ACCEPT
$IPTABLES -t mangle -P INPUTACCEPT
$IPTABLES -t mangle -P OUTPUT   ACCEPT

# This server is a GW for Intranet
$IPTABLES -t nat-A POSTROUTING  -j MASQUERADE

et le tour est joué



Ok pour * filter que je vais commenter.

Par contre, sur certains tutoriels, je lisais qu'il était conseillé
d'appliquer les règles suivantes à la fin du script.
Est ce qu'on ne risque pas d'être déconnecté du serveur distant,
immédiatement après la lecture des 3 premières lignes ?
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP


Non, sauf si ton script plante en cours d'exécution. Une bonne hygiène 
est de régler ton script FW en étant devant la console, ou alors à 
distance *SANS* activer le script au démarrage de la machine. Une 
session ssh (ou tout autre service) déjà ouverte ne sera pas interrompue 
si le script fonctionne bien.






Le 18/09/2019 à 18:05, Daniel Huhardeaux a écrit :

Le 18/09/2019 à 17:41, G2PC a écrit :

Très bien je prend note, j'appliquerais après avoir flush :

sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT


Non !

Les flush, puis:

sudo iptables -A INPUT ACCEPT
sudo iptables -A FORWARD ACCEPT
sudo iptables -A OUTPUT ACCEPT

$IPTABLES-save > /path/vers/le/fichier/iptablesInactif

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP

Mais vu que déjà tu t'emmêles les pédales ;) et ne veux pas
sauvegarder les règles inactives, laisse tomber: fais les flush puis
les DROP


Si * filter est implicite, je n'ai donc pas à l'ajouter dans mon script
, on est bien d'accord sur ce point ?


Oui, voir le man iptables.

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

[Daniel Huhardeaux]

Le 18/09/2019 à 17:41, G2PC a écrit :

Très bien je prend note, j'appliquerais après avoir flush :

sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT


Non !

Les flush, puis:

sudo iptables -A INPUT ACCEPT
sudo iptables -A FORWARD ACCEPT
sudo iptables -A OUTPUT ACCEPT

$IPTABLES-save > /path/vers/le/fichier/iptablesInactif

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP

Mais vu que déjà tu t'emmêles les pédales ;) et ne veux pas sauvegarder 
les règles inactives, laisse tomber: fais les flush puis les DROP





Si * filter est implicite, je n'ai donc pas à l'ajouter dans mon script
, on est bien d'accord sur ce point ?


Oui, voir le man iptables.



Merci pour ses précisions.


Le 18/09/2019 à 14:11, Daniel Huhardeaux a écrit :

Le 18/09/2019 à 13:49, G2PC a écrit :

Je dis des bêtises, cette règle sert à flush, elle n'est pas
directement ajoutée à mon script de protection, elle est dans les
prémices :
-F
-X
-t nat    -F
-t nat    -X
-t mangle -F
-t mangle -X

J'ai lu que je devrais appliquer cette règle avant de flush, ton avis ?

sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT


Je le fais après le flush puis sauve les règles iptables dans un
fichier nommé inactive (c'est mon truc pour avoir quelque part zéro
règles, jamais utilisé) puis applique les policy DROP et le reste.

La table filter étant implicite je ne la mentionne pas: les règles
flush s'appliquent à toutes les tables (mentionnées ou non).

J'insiste, ceci est _ma_ manière de faire.




Ensuite, pour le début du script, je mettrais :

   # Début de la règle.
   *filter
     # Fermer tous les ports pour les connexions entrantes.
   # REJECT les paquets est plus propre mais DROP est plus sécurisé !
   # Avec DROP, si un paquet arrive et n'est pas accepté, on l'efface.
Le client attendra de son côté une réponse en vain, jusqu'au timeout.
   # Avec REJECT, si un paquet non sollicité arrive, on renvoie au
client une erreur et il n'attend plus car il a une réponse négative.
   # En cas d'envoi de paquets à répétition sur un mauvais port, avec
DROP le serveur ne traitera pas les requêtes, alors qu'avec REJECT le
serveur prendra le temps de répondre.
   # -A INPUT -j DROP
   # Interdire toutes les autres connexions entrantes et sortantes.
   # Les connexions entrantes seront bloquées par défaut.
   -P INPUT -j DROP
   # Les connexions destinées à être forwardées seront bloquées par
défaut.
   -P FORWARD -j DROP
   # Les connexions sortantes seront bloquées par défaut.
   -P OUTPUT -j DROP


Je ne suis pas sur pour le *filter si je dois l'appliquer, au tout
début, ou, après les blocages. Merci de ton avis.



Le 18/09/2019 à 13:41, G2PC a écrit :


Hum, ok, à la fin du script, j'avais :


Donc, la, je rajoute ceci au début de mon script :

-F
-X
-t nat    -F
-t nat    -X
-t mangle -F
-t mangle -X


Le 17/09/2019 à 20:15, Daniel Huhardeaux a écrit :

Le 17/09/2019 à 19:58, G2PC a écrit :
[...]

Ok, donc, je n'ai pas besoin d'ajouter les règles pour DROP le
multicast
et / ou IGMP.


Si tu DROP par défaut

[...]


La règle que je suis entrain d'écrire, mais, pas encore appliquée,
est
la suivante :
https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#R.C3.A8gle_personnalis.C3.A9e_propos.C3.A9e_pour_configurer_Iptables_par_d.C3.A9faut



Mais tu ne DROP _PAS_ par défaut. Tes règles devraient commencer par:

# Flush all Rules
$IPTABLES   -F
$IPTABLES   -X
$IPTABLES -t nat    -F
$IPTABLES -t nat    -X
$IPTABLES -t mangle -F
$IPTABLES -t mangle -X

# *** Now we start to setup our rules ***

# Deny all by default
$IPTABLES -P INPUT  DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD    DROP

Puis tu définis tes règles qui acceptent du flux comme par exemple

###

## Special Chain ALLOW_PORTS
## Rules to allow packets based on port number. This sort of thing
is generally
## required only if you're running services on(!!!) the firewall or
if you have a
## FORWARD policy of DROP(which we don't right now).

     $IPTABLES -N ALLOW_PORTS
     $IPTABLES -F ALLOW_PORTS


##

##
## ACCEPT TCP traffic based on port number.

     for PORT in $TCP_PORTS_ALLOWED; do
     $IPTABLES -A ALLOW_PORTS -p tcp -m state --state NEW \
     --dport $PORT -j ACCEPT
     done


##

##
## ACCEPT UDP traffic based on port number.

     for PORT in $UDP_PORTS_ALLOWED; do
     $IPTABLES -A ALLOW_PORTS -p udp -m state --state NEW \
     --dport $PORT -j ACCEPT
     done





Merci de vos avis, si quelque chose n'est pas cohérent, que je puisse
améliorer ce scr

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

[Daniel Huhardeaux]

Le 18/09/2019 à 13:49, G2PC a écrit :
Je dis des bêtises, cette règle sert à flush, elle n'est pas directement 
ajoutée à mon script de protection, elle est dans les prémices :

-F
-X
-t nat    -F
-t nat    -X
-t mangle -F
-t mangle -X

J'ai lu que je devrais appliquer cette règle avant de flush, ton avis ?

sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT


Je le fais après le flush puis sauve les règles iptables dans un fichier 
nommé inactive (c'est mon truc pour avoir quelque part zéro règles, 
jamais utilisé) puis applique les policy DROP et le reste.


La table filter étant implicite je ne la mentionne pas: les règles flush 
s'appliquent à toutes les tables (mentionnées ou non).


J'insiste, ceci est _ma_ manière de faire.




Ensuite, pour le début du script, je mettrais :

  # Début de la règle.
  *filter
  
  # Fermer tous les ports pour les connexions entrantes.

  # REJECT les paquets est plus propre mais DROP est plus sécurisé !
  # Avec DROP, si un paquet arrive et n'est pas accepté, on l'efface. Le client 
attendra de son côté une réponse en vain, jusqu'au timeout.
  # Avec REJECT, si un paquet non sollicité arrive, on renvoie au client une 
erreur et il n'attend plus car il a une réponse négative.
  # En cas d'envoi de paquets à répétition sur un mauvais port, avec DROP le 
serveur ne traitera pas les requêtes, alors qu'avec REJECT le serveur prendra 
le temps de répondre.
  # -A INPUT -j DROP
  # Interdire toutes les autres connexions entrantes et sortantes.
  # Les connexions entrantes seront bloquées par défaut.
  -P INPUT -j DROP
  # Les connexions destinées à être forwardées seront bloquées par défaut.
  -P FORWARD -j DROP
  # Les connexions sortantes seront bloquées par défaut.
  -P OUTPUT -j DROP


Je ne suis pas sur pour le *filter si je dois l'appliquer, au tout 
début, ou, après les blocages. Merci de ton avis.




Le 18/09/2019 à 13:41, G2PC a écrit :


Hum, ok, à la fin du script, j'avais :


Donc, la, je rajoute ceci au début de mon script :

-F
-X
-t nat    -F
-t nat    -X
-t mangle -F
-t mangle -X


Le 17/09/2019 à 20:15, Daniel Huhardeaux a écrit :

Le 17/09/2019 à 19:58, G2PC a écrit :
[...]
Ok, donc, je n'ai pas besoin d'ajouter les règles pour DROP le 
multicast

et / ou IGMP.


Si tu DROP par défaut

[...]


La règle que je suis entrain d'écrire, mais, pas encore appliquée, est
la suivante :
https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#R.C3.A8gle_personnalis.C3.A9e_propos.C3.A9e_pour_configurer_Iptables_par_d.C3.A9faut 



Mais tu ne DROP _PAS_ par défaut. Tes règles devraient commencer par:

# Flush all Rules
$IPTABLES   -F
$IPTABLES   -X
$IPTABLES -t nat    -F
$IPTABLES -t nat    -X
$IPTABLES -t mangle -F
$IPTABLES -t mangle -X

# *** Now we start to setup our rules ***

# Deny all by default
$IPTABLES -P INPUT  DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD    DROP

Puis tu définis tes règles qui acceptent du flux comme par exemple

### 


## Special Chain ALLOW_PORTS
## Rules to allow packets based on port number. This sort of thing is 
generally
## required only if you're running services on(!!!) the firewall or 
if you have a

## FORWARD policy of DROP(which we don't right now).

    $IPTABLES -N ALLOW_PORTS
    $IPTABLES -F ALLOW_PORTS


## 


##
## ACCEPT TCP traffic based on port number.

    for PORT in $TCP_PORTS_ALLOWED; do
    $IPTABLES -A ALLOW_PORTS -p tcp -m state --state NEW \
    --dport $PORT -j ACCEPT
    done


## 


##
## ACCEPT UDP traffic based on port number.

    for PORT in $UDP_PORTS_ALLOWED; do
    $IPTABLES -A ALLOW_PORTS -p udp -m state --state NEW \
    --dport $PORT -j ACCEPT
    done





Merci de vos avis, si quelque chose n'est pas cohérent, que je puisse
améliorer ce script.
Je l'utilise ici pour un VPS OVH, sur Debian, qui est utilisé pour
serveur web avec Apache , mariaDB, et, avec un serveur FTP ProFTPd.


Le 17/09/2019 à 12:19, Daniel Huhardeaux a écrit :

Le 17/09/2019 à 12:12, G2PC a écrit :

Bonjour,
Du coup, si je bloque tout ce dont je n'ai pas besoin, mais, que IPV6
en aurait besoin, je ne suis pas plus avancé.


iptables est pour ipv4 ip6tables est pour ipv6, ce ne sont pas les
mêmes commandes. Pour nft n'utilises pas inet mais ip ou ipv6 si tu
veux différencier.



Bon, je n'utilise pas IPV6 pour le moment, mais, j'aurais aimé avoir
plus d'informations sur les règles présentées, pour savoir justement
si il y a du sens à les mettre en place, les autoriser, ou, les 
refuser.

C'est bien car je ne sais pas que j'ai posté cette demande. J'ai pu
voir de nombreux sites proposer

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

[Daniel Huhardeaux]

Le 17/09/2019 à 19:58, G2PC a écrit :
[...]

Ok, donc, je n'ai pas besoin d'ajouter les règles pour DROP le multicast
et / ou IGMP.


Si tu DROP par défaut

[...]


La règle que je suis entrain d'écrire, mais, pas encore appliquée, est
la suivante :
https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#R.C3.A8gle_personnalis.C3.A9e_propos.C3.A9e_pour_configurer_Iptables_par_d.C3.A9faut


Mais tu ne DROP _PAS_ par défaut. Tes règles devraient commencer par:

# Flush all Rules
$IPTABLES   -F
$IPTABLES   -X
$IPTABLES -t nat-F
$IPTABLES -t nat-X
$IPTABLES -t mangle -F
$IPTABLES -t mangle -X

# *** Now we start to setup our rules ***

# Deny all by default
$IPTABLES -P INPUT  DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARDDROP

Puis tu définis tes règles qui acceptent du flux comme par exemple

###
## Special Chain ALLOW_PORTS
## Rules to allow packets based on port number. This sort of thing is 
generally
## required only if you're running services on(!!!) the firewall or if 
you have a

## FORWARD policy of DROP(which we don't right now).

$IPTABLES -N ALLOW_PORTS
$IPTABLES -F ALLOW_PORTS


##
##
## ACCEPT TCP traffic based on port number.

for PORT in $TCP_PORTS_ALLOWED; do
$IPTABLES -A ALLOW_PORTS -p tcp -m state --state NEW \
--dport $PORT -j ACCEPT
done


##
##
## ACCEPT UDP traffic based on port number.

for PORT in $UDP_PORTS_ALLOWED; do
$IPTABLES -A ALLOW_PORTS -p udp -m state --state NEW \
--dport $PORT -j ACCEPT
done





Merci de vos avis, si quelque chose n'est pas cohérent, que je puisse
améliorer ce script.
Je l'utilise ici pour un VPS OVH, sur Debian, qui est utilisé pour
serveur web avec Apache , mariaDB, et, avec un serveur FTP ProFTPd.


Le 17/09/2019 à 12:19, Daniel Huhardeaux a écrit :

Le 17/09/2019 à 12:12, G2PC a écrit :

Bonjour,
Du coup, si je bloque tout ce dont je n'ai pas besoin, mais, que IPV6
en aurait besoin, je ne suis pas plus avancé.


iptables est pour ipv4 ip6tables est pour ipv6, ce ne sont pas les
mêmes commandes. Pour nft n'utilises pas inet mais ip ou ipv6 si tu
veux différencier.



Bon, je n'utilise pas IPV6 pour le moment, mais, j'aurais aimé avoir
plus d'informations sur les règles présentées, pour savoir justement
si il y a du sens à les mettre en place, les autoriser, ou, les refuser.
C'est bien car je ne sais pas que j'ai posté cette demande. J'ai pu
voir de nombreux sites proposer de DROP ou ACCEPT ces paquets, mais,
sans plus d'informations que cela.


Ce que dit Pascal c'est que tu DROP par défaut et ensuite tu acceptes
ce qui t'es nécessaire. Du coup tu ne t'occupes pas du multicast (ou
tout autre) sauf si tu veux l'ouvrir.



Merci de vos avis.

# DROP le Multicast :
# Ce système est plus efficace que l'unicast pour diffuser des
contenus simultanément vers une large audience. (Audio, Vidéo.)
-A INPUT -m pkttype --pkt-type multicast -j DROP
-A FORWARD -m pkttype --pkt-type multicast -j DROP
-A OUTPUT -m pkttype --pkt-type multicast -j DROP

# DROP IGMP :
# Également pour bloquer le multicast ? Quelle méthode préférer, les
deux ?
# Si nécessaire, tenter de logger tout paquet igmp sans spécifier de
source pour voir ce que ça donne dans "/var/log/syslog".
# iptables -A INPUT -p igmp -j LOG --log-level info --log-prefix
"IGMP:"
# L'IGMP est un protocole standard utilisé par la suite de protocoles
TCP/IP pour la multidiffusion dynamique, le multicast.
-A INPUT -p igmp -j DROP
-A FORWARD -p igmp -j DROP
-A OUTPUT -p igmp -j DROP



Le 16/09/2019 à 20:48, Pascal Hambourg a écrit :

Le 16/09/2019 à 12:57, G2PC a écrit :

Bonjour,

Je ne pense pas en avoir besoin pour le moment, d'utiliser le
multicast, il me semble de ce fait inutile de l'autoriser dans ma
configuration Iptables ?


Il ne s'agit pas de penser mais de savoir. Si tu n'utilises pas le
multicast, tu n'as pas besoin de l'autoriser.


Par contre, je trouve deux types de règles via mes recherches, et,
je ne suis pas très sur de la bonne façon de l'interdire.


Il suffit de ne pas l'autoriser. Tu interdis tout par défaut et
n'autorises que ce dont tu as besoin, n'est-ce pas ?


# DROP IGMP :
# Également pour bloquer le multicast ? Quelle méthode préférer,
les deux ?


IGMP n'est pas le multicast, ce n'est que le protocole de gestion du
multicast. Tous les flux multicast ne font pas forcément l'objet
d'un abonnement avec IGMP. J'ignore si tout le trafic IGMP est aussi
en multicast.

Note que si tu fais aussi du filtrage pour IPv6, réfléchis à deux
fois avant de bloquer du trafic multicast. Certains flux multicast
sont indispensables au bon fonctionnement d'IPv6.

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

[Daniel Huhardeaux]

Le 17/09/2019 à 12:12, G2PC a écrit :

Bonjour,
Du coup, si je bloque tout ce dont je n'ai pas besoin, mais, que IPV6 en 
aurait besoin, je ne suis pas plus avancé.


iptables est pour ipv4 ip6tables est pour ipv6, ce ne sont pas les mêmes 
commandes. Pour nft n'utilises pas inet mais ip ou ipv6 si tu veux 
différencier.




Bon, je n'utilise pas IPV6 pour le moment, mais, j'aurais aimé avoir 
plus d'informations sur les règles présentées, pour savoir justement si 
il y a du sens à les mettre en place, les autoriser, ou, les refuser.
C'est bien car je ne sais pas que j'ai posté cette demande. J'ai pu voir 
de nombreux sites proposer de DROP ou ACCEPT ces paquets, mais, sans 
plus d'informations que cela.


Ce que dit Pascal c'est que tu DROP par défaut et ensuite tu acceptes ce 
qui t'es nécessaire. Du coup tu ne t'occupes pas du multicast (ou tout 
autre) sauf si tu veux l'ouvrir.




Merci de vos avis.

# DROP le Multicast :
# Ce système est plus efficace que l'unicast pour diffuser des contenus 
simultanément vers une large audience. (Audio, Vidéo.)
-A INPUT -m pkttype --pkt-type multicast -j DROP
-A FORWARD -m pkttype --pkt-type multicast -j DROP
-A OUTPUT -m pkttype --pkt-type multicast -j DROP

# DROP IGMP :
# Également pour bloquer le multicast ? Quelle méthode préférer, les deux ?
# Si nécessaire, tenter de logger tout paquet igmp sans spécifier de source pour voir ce 
que ça donne dans "/var/log/syslog".
# iptables -A INPUT -p igmp -j LOG --log-level info --log-prefix "IGMP: "
# L'IGMP est un protocole standard utilisé par la suite de protocoles TCP/IP 
pour la multidiffusion dynamique, le multicast.
-A INPUT -p igmp -j DROP
-A FORWARD -p igmp -j DROP
-A OUTPUT -p igmp -j DROP



Le 16/09/2019 à 20:48, Pascal Hambourg a écrit :

Le 16/09/2019 à 12:57, G2PC a écrit :

Bonjour,

Je ne pense pas en avoir besoin pour le moment, d'utiliser le 
multicast, il me semble de ce fait inutile de l'autoriser dans ma 
configuration Iptables ?


Il ne s'agit pas de penser mais de savoir. Si tu n'utilises pas le 
multicast, tu n'as pas besoin de l'autoriser.


Par contre, je trouve deux types de règles via mes recherches, et, je 
ne suis pas très sur de la bonne façon de l'interdire.


Il suffit de ne pas l'autoriser. Tu interdis tout par défaut et 
n'autorises que ce dont tu as besoin, n'est-ce pas ?



# DROP IGMP :
# Également pour bloquer le multicast ? Quelle méthode préférer, les 
deux ?


IGMP n'est pas le multicast, ce n'est que le protocole de gestion du 
multicast. Tous les flux multicast ne font pas forcément l'objet d'un 
abonnement avec IGMP. J'ignore si tout le trafic IGMP est aussi en 
multicast.


Note que si tu fais aussi du filtrage pour IPv6, réfléchis à deux fois 
avant de bloquer du trafic multicast. Certains flux multicast sont 
indispensables au bon fonctionnement d'IPv6.

Re: Dnsmasq: interdire /etc/hosts aux requètes provenant d'un VLAN particulier

[daniel huhardeaux]

Le 16/09/2019 à 20:31, Pascal Hambourg a écrit :

Le 16/09/2019 à 08:26, Olivier a écrit :

Ma question n'était sans doute pas très bien formulée.

Elle ne portait pas sur la façon de router le DNS, mais d'avoir plusieurs
résolutions locales différenciées.


Si, c'était très clair (excepté le titre qui n'est pas terrible). Ce que 
tu veux faire s'appelle du "split DNS". Dans BIND 9, cela correspondrait 
à des "vues" (views). Malheureusement je ne connais pas bien dnsmasq et 
ignore s'il possède une fonctionnalité équivalente.




L'OP devrait pouvoir s'en sortir en utilisant addn-hosts pour les 
différents fichiers hosts et les noms de domaine locaux gérés par 
dnsmasq (auth-server, auth-zone, localise-queries).


Pas testé.

--
Daniel

Re: Dnsmasq: interdire /etc/hosts aux requètes provenant d'un VLAN particulier

[Daniel Huhardeaux]

Le 13/09/2019 à 16:18, Olivier a écrit :

Bonjour,

Une question toute simple:
j'ai une machine sous Debian Stretch avec deux interfaces eth0 et eth0.123
Comment faire pour qu'
1. aux requètes reçues via eth0, Dnsmasq réponde en consultant un 
fichier /etc/hosts puis le serveur 1.1.1.1
2. aux requètes reçues via eth0.123, Dnsmasq réponde en consultant un 
fichier /etc/hosts123 puis le serveur 8.8.8.8.


En d'autres termes, je ne veux pas que les utilisateurs du VLAN123 
puisse indirectement accéder au contenu du fichier /etc/hosts.


J'imagine qu'il est possible d'atteindre ce résultat avec deux instances 
de Dnsmasq tournant sur la même machine.
J'ai lu que l'option local-queries pouvait peut-être (pas testé) avoir 
l'effet de bord souhaité mais elle ne me plait pas car pas prévue pour 
ça mais pour un hôte à plusieurs interfaces reste plus facilement 
atteignable)

Est-ce possible de faire autrement et plus simple ?


Utilise les TAG puis les options router et dns

Ex:
# Telephones - Plage 10.10.12.190 à 10.10.12.191 






dhcp-range = tag:voice,10.10.12.190,10.10.12.191,255.255.255.0,2m
dhcp-option = tag:voice, option:router, 10.10.12.254
dhcp-option = tag:voice, option:dns-server, 10.10.12.254

Re: [HS] Richard stallman chez microsoft !

[Daniel Huhardeaux]

Le 09/09/2019 à 12:05, Jo Engo a écrit :

Le Sun, 08 Sep 2019 19:50:01 +0200, ajh-valmer a écrit :


Aucun autre article, semble t-il, sur cette nouvelle surprenante,
que le site zdnet.


« www.zdnet.fr/blogs/l-esprit-libre/ »
~

Ce n'est même pas le (la responsabilité électorale) fait de zdnet mais
d'un blogueur hébergé par zdnet. Niveau crédibilité : 0.


Avant de raconter n'importe quoi il faudrait se renseigner. Tapez 
Stallman microsoft dans votre navigateur préféré et voyez le  résultat. Ex:


https://news.slashdot.org/story/19/09/05/1720205/free-software-advocate-richard-stallman-spoke-at-microsoft-research-this-week

Sans compter

https://www.zdnet.com/article/free-software-advocate-richard-stallman-spoke-at-microsoft-research-this-week/

Tiens, zdnet sans blogs ...
--
Daniel

Re: /etc/network/interfaces et inet6

[Daniel Huhardeaux]

Le 04/09/2019 à 10:06, BERTRAND Joël a écrit :

Daniel Huhardeaux a écrit :

Bonjour,

j'ai eu un problème au démarrage/sortie hibernation ou sysctl
n'appliquait pas les règles ipv6. Mon post-up dans interfaces lance un
sctipt dans if-up.d dans lequel entre autres j'active sysctl par "sysctl
-p 1>&2>/dev/null" J'adapte également la mtu à 1492 ayant également eu
des soucis sans cette adaptation.


Je ne saisis pas bien la réponse. Dans mon cas, l'adresse IPv6 est bien
prise. Ce sont les scripts qui ne se lancent pas.


Dans mon cas également l'adresse ipv6 était prise: c'est la gw par 
défaut qui ne l'était pas. En lançant manuellement c'était tout bon, 
comme toi.


Tu as bien

net.ipv6.conf.lo.disable_ipv6 = 0
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0

dans sysctl.conf ?



Sep  4 05:35:27 rayleigh avahi-daemon[1350]: Joining mDNS multicast
group on interface br0.IPv6 with address 2001:7a8:a8ed:1::1.
Sep  4 05:35:27 rayleigh avahi-daemon[1350]: New relevant interface
br0.IPv6 for mDNS.
Sep  4 05:35:27 rayleigh avahi-daemon[1350]: Registering new address
record for 2001:7a8:a8ed:1::1 on br0.*.
Sep  4 05:35:27 rayleigh systemd[1]: NetworkManager-dispatcher.service:
Succeeded.
Sep  4 05:35:33 rayleigh ifup[1368]: Waiting for DAD... Timed out
Sep  4 05:35:33 rayleigh ifup[1368]: ifup: failed to bring up br0
Sep  4 05:35:33 rayleigh systemd[1]: networking.service: Main process
exited, code=exited, status=1/FAILURE
Sep  4 05:35:33 rayleigh systemd[1]: networking.service: Failed with
result 'exit-code'.

Root rayleigh:[/var/log] > systemctl status networking.service
● networking.service - Raise network interfaces
Loaded: loaded (/lib/systemd/system/networking.service; enabled;
vendor preset: enabled)
Active: failed (Result: exit-code) since Wed 2019-09-04 05:35:33
CEST; 4h 29min ago
  Docs: man:interfaces(5)
   Process: 1368 ExecStart=/sbin/ifup -a --read-environment (code=exited,
status=1/FAILURE)
  Main PID: 1368 (code=exited, status=1/FAILURE)

sept. 04 05:35:16 rayleigh ifup[1368]: Cannot find device "tap1"
sept. 04 05:35:16 rayleigh ifup[1368]: interface tap1 does not exist!
sept. 04 05:35:16 rayleigh ifup[1368]: Cannot find device "tap2"
sept. 04 05:35:16 rayleigh ifup[1368]: interface tap2 does not exist!
sept. 04 05:35:17 rayleigh ifup[1368]: Waiting for br0 to get ready
(MAXWAIT is 32 seconds).
sept. 04 05:35:33 rayleigh ifup[1368]: Waiting for DAD... Timed out
sept. 04 05:35:33 rayleigh ifup[1368]: ifup: failed to bring up br0
sept. 04 05:35:33 rayleigh systemd[1]: networking.service: Main process
exited, code=exited, status=1/FAILURE
sept. 04 05:35:33 rayleigh systemd[1]: networking.service: Failed with
result 'exit-code'.
sept. 04 05:35:33 rayleigh systemd[1]: Failed to start Raise network
interfaces.

tap1 et tap2 n'existent pas encore (il faut du temps pour qu'ils
montent). Mais visiblement, ce qui ne lui plaît pas, c'est "Waiting for
DAD... Timed out". Or je suis en adressage IPv6 _statique_. Je ne vois
pas trop ce que les paquets DAD viennnt faire ici.

JKB




--
Daniel Huhardeaux
+33.368460...@tootai.netsip:8...@sip.tootai.net
+41.445532...@swiss-itech.ch  tootaiNET

Re: /etc/network/interfaces et inet6

[Daniel Huhardeaux]

Le 04/09/2019 à 08:03, BERTRAND Joël a écrit :

Bonjour à tous,

Un petit truc me chagrine dans la configuration d'IPv6 sur un serveur.
Ayant un fournisseur d'accès que je qualifierais d'"internet pour les
ploucs" (Wimax avec tous les ports fermés ou presque...), je suis
contraint d'utiliser un serveur dans un bureau distant comme broker IPv6
(et accès IPv4 entrant tant qu'à faire). Comme le FAI (celui d'internet
pour les ploucs) coupe autoritairement les ports mêmes utilisés, j'ai
bricolé un VPN sur deux ports avec du stp. Ça fonctionne. J'ai juste un
souci avec IPv6 au démarrage.

En effet, lors d'un redémarrage du serveur, tout fonctionne sauf le
routage IPv6 (comprendre : br0 a bien une adresse IPv6, mais la route
vers le sous réseau au bout de br0 n'est pas montée) :

ifconfig retourne :
br0: flags=4163  mtu 1336
 inet 192.168.1.1  netmask 255.255.255.0  broadcast 192.168.1.255
 inet6 fe80::64b9:94ff:fe3b:1b5  prefixlen 64  scopeid 0x20
 inet6 2001:7a8:a8ed:1::1  prefixlen 64  scopeid 0x0
 ether 66:b9:94:3b:01:b5  txqueuelen 1000  (Ethernet)
 RX packets 14018  bytes 1126600 (1.0 MiB)
 RX errors 0  dropped 0  overruns 0  frame 0
 TX packets 14995  bytes 25922932 (24.7 MiB)
 TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
...
tap1: flags=4163  mtu 1336
 ether 9e:74:8c:46:30:19  txqueuelen 100  (Ethernet)
 RX packets 14018  bytes 1322852 (1.2 MiB)
 RX errors 0  dropped 0  overruns 0  frame 0
 TX packets 28464  bytes 26748756 (25.5 MiB)
 TX errors 0  dropped 3 overruns 0  carrier 0  collisions 0

tap2: flags=4163  mtu 1336
 ether 66:b9:94:3b:01:b5  txqueuelen 100  (Ethernet)
 RX packets 0  bytes 0 (0.0 B)
 RX errors 0  dropped 0  overruns 0  frame 0
 TX packets 4895  bytes 250208 (244.3 KiB)
 TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Or, dans /etc/network/interface, j'ai bien :

auto br0
iface br0 inet static
 bridge_stp on
 mtu 1336
 bridge_ports tap1 tap2
 address 192.168.1.1
 netmask 255.255.255.0
 network 192.168.1.0
 post-up /sbin/route add -net 192.168.10.0/24 gw 192.168.1.2
 pre-down /sbin/route del -net 192.168.10.0/24

iface br0 inet6 static
 address 2001:7a8:a8ed:1::1
 netmask 64
 post-up /sbin/route -A inet6 add 2001:7a8:a8ed:10::/64 gw
2001:7a8:a8ed:1::2
 pre-down /sbin/route -A inet6 del 2001:7a8:a8ed:10::/64 gw
2001:7a8:a8ed:1::2

J'avoue que je ne comprends pas bien. Pourquoi br0 prend-elle la bonne
adresse IPv6 sans prendre la route associée ? Il suffit en effet que je
lance à la main :

/sbin/route -A inet6 add 2001:7a8:a8ed:10::/64 gw 2001:7a8:a8ed:1::2

pour que le routage IPv6 fonctionne à nouveau.

Le serveur est un Linux debian/testing, le client est un NetBSD (côté
NetBSD aucun problème de ce genre, le routage IPv6 est persistant).

Toute idée sera la bienvenue.


Bonjour,

j'ai eu un problème au démarrage/sortie hibernation ou sysctl 
n'appliquait pas les règles ipv6. Mon post-up dans interfaces lance un 
sctipt dans if-up.d dans lequel entre autres j'active sysctl par "sysctl 
-p 1>&2>/dev/null" J'adapte également la mtu à 1492 ayant également eu 
des soucis sans cette adaptation.


Ubuntu 16.04 tout comme Debian 9
--
Daniel

Re: Debian sur clé USB

[Daniel Huhardeaux]

Le 27/08/2019 à 15:07, nicolas.patr...@gmail.com a écrit :

Bonjour,


Bonjour



J’ai installé Debian sur une clé USB pour un EEEPC 900 (la clé est sur la prise 
USB de gauche).
Je n’ai pas trouvé comment la rendre persistante, c’est-à-dire comment 
conserver ce que je fais.


Lorsqu'elle est montée, elle est bien en rw ?

Ex mount:
/dev/sdXN on / type  
(rw,relatime,discard,errors=remount-ro,data=ordered)


--
Daniel

Re: Apache2 et interprétation du php

[Daniel Huhardeaux]

Le 26/08/2019 à 13:13, G2PC a écrit :



Mais pourquoi Chromium n'est pas sensible à tout ça ?

Comme Chrome, il utilise énormément le cache et donc souvent n'interroge
pas le serveur. Tu peux éteindre apache pour voir...



J'allais proposer la même chose, le cache pourrait poser des problèmes,
mais, d'après moi, seulement si tu l'as configuré ...
Tu peux configurer tes deux navigateurs pour supprimer le cache
totalement quand tu le quittes, et, pense à vider manuellement les
fichiers de cache de Chrome car je crois qu'il conserve des fichiers
malgré tout.

Tu peux aussi installer d'autres navigateurs pour être bien sur que le
site tourne sur d'autres browser, généralement, je test sur 4 ou 5
navigateurs quand je rencontre des problèmes de cache.

https://wiki.visionduweb.fr/index.php?title=Navigateurs_pour_GNU_Linux


Le plus simple restant d'utiliser la navigation privée pour les tests...

--
Daniel

Re: revenir à /etc/network/interfaces

[Daniel Huhardeaux]

Le 23/08/2019 à 08:28, Pierre Malard a écrit :

Bonjour

[...]  Voici comment revenir à l’appellation ethN :

   - https://www.p3ter.fr/debian-ubuntu-eth0-c-est-fini.html
   - 
https://memo-linux.com/debian-9-retrouver-les-noms-des-interfaces-reseaux-eth/


[...]

La solution donnée par François est plus souple et ne nécessite pas de 
reboot


https://lists.debian.org/debian-user-french/2019/08/msg00085.html

--
Daniel

Re: DNS : pas de résolution en local

[Daniel Huhardeaux]

Le 21/08/2019 à 07:34, Pascal Hambourg a écrit :

Le 20/08/2019 à 11:00, Daniel Huhardeaux a écrit :

Le 20/08/2019 à 10:55, Daniel Caillibaud a écrit :

Le 20/08/19 à 00:47, Migrec  a écrit :

Ça peut paraître logique car la box n'a pas connaissance de mon réseau
local (elle est juste en liaison avec le serveur). Mais pourquoi 
l'échec

de la résolution ne passe pas la main au serveur DNS local ?


Parce qu'il me semble que la résolution n'utilise le 2e dns que si le 
1er ne répond pas.


En effet. Ou alors répond qu'une erreur interne l'empêche de fournir une 
réponse (SERVFAIL, REFUSED...). En revanche NXDOMAIN (domaine 
inexistant) n'est pas considéré comme une absence de réponse.



Ici le 1er répond que le nom n'existe pas, donc ça s'arrête là.


En fait ici il ne dit pas que le nom n'existe pas, sinon il aurait 
répondu avec status=NXDOMAIN. Il répond avec status=NOERROR et ANSWER=0, 
ce qui signifie normalement que le nom existe mais qu'il n'a pas 
d'enregistrement du type demandé (A=adresse IPv4). Pour un client cela 
revient au même, mais cette réponse n'est pas correcte. Si je fais la 
même requête à mon serveur DNS, j'obtiens bien status=NXDOMAIN.


Ou alors les nameserver sont interrogés en même temps et la réponse du 
1er répondant est utilisée.


Non.


Si. Exemple avec dnsmasq: si on ne met pas strict-order celui ci 
interroge tous les serveurs qui sont up et prend la réponse du 1er 
serveur qui a répondu. Ceci n'enlève rien à ton explication.


Extrait du fichier de conf:

# By  default,  dnsmasq  will  send queries to any of the upstream 



# servers it knows about and tries to favour servers to are  known 



# to  be  up.  Uncommenting this forces dnsmasq to try each query 



# with  each  server  strictly  in  the  order  they   appear   in 



# /etc/resolv.conf 



#strict-order



Conclusion : tous les DNS mentionnés dans resolv.conf doivent être 
équivalents.

--
Daniel

Re: DNS : pas de résolution en local

[Daniel Huhardeaux]

Le 20/08/2019 à 10:55, Daniel Caillibaud a écrit :

Le 20/08/19 à 00:47, Migrec  a écrit :

Ça peut paraître logique car la box n'a pas connaissance de mon réseau
local (elle est juste en liaison avec le serveur). Mais pourquoi l'échec
de la résolution ne passe pas la main au serveur DNS local ?


Parce qu'il me semble que la résolution n'utilise le 2e dns que si le 1er ne 
répond pas.
Ici le 1er répond que le nom n'existe pas, donc ça s'arrête là.


Ou alors les nameserver sont interrogés en même temps et la réponse du 
1er répondant est utilisée.





Si j'inverse les 2 IP dans /etc/resolv.conf, ça fonctionne.


C'est donc tout à fait logique ;-)

Mais si tu as un resolver local, tu ne devrais utiliser que celui-là, ce sera 
plus efficace
(celui des box laissant parfois à désirer…)


+1

--
Daniel

Re: Laptop pour Debian

[Daniel Huhardeaux]

Le 27/07/2019 à 12:05, Erwan David a écrit :
Mon vénérable Thinkpad T530 vient de rendre l'âme (sauf miracle lundi). 
Donc je me renseigne pour le remplacer.


Mes critères :

15"

16G de RAM

500 G SSD

pas trop fin (pour pas chauffer), et avec connectique intégrée 
suffisante (carte SD, 2 USB, RJ45)


possibilité de dock

autonomie (quand je vois des batteries 3 cellules intégré et pas 
rempaçables...)


Supporté sopus debian testing (j'accepte les firmware proprios s'ils 
sont dans non-free).


Si vous avez des idées...


Dell fait des machines Ubuntu/Debian friendly.

--
Daniel

Re: mare de google

[Daniel Huhardeaux]

Le 19/07/2019 à 17:56, Georges a écrit :

Bonjour,


Bonjour

un HS dans le sujet serait bien vu.



  Je ne supporte plus que à la moindre manipulation de mon téléphone une
  application Google/Android me demande une autorisation d'accéder à mes
  données, photos et autres.
  Connaissez vous un téléphone GSM avec lequel je pourrait téléphoner,
  utiliser les SMS, l'appareil photos sans cet énorme inquisition ?
  Le mieux en Open Source ;-)

  Merci d'avance

  ps : J'utilise Debian depuis potato



https://www.androidpit.com/alternatives-to-android Fairphone en particulier.

--
Daniel

Re: Buster problème réseau étonnant

[daniel huhardeaux]

Le 18/07/2019 à 14:26, Jean Bernon a écrit :

Pour moi Networkmanager fonctionne très bien sans que j'ai rien eu à configurer 
sinon les mots de passe Wifi (et le driver wifi, mais c'est une autre 
question). Comme déjà suggéré ici, ton problème ne vient-il pas du fait que tu 
utilises des méthodes de configuration concurrentes ? As-tu essayé de tout 
virer sauf Networkmanager justement ? Voici par exemple le contenu de mon 
/etc/network/interfaces

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

Je n'y ai jamais touché et depuis les applets réseau de Gnome sous 
Networkmanager, je vois mes réseaux et peux configurer lorsque nécessaire.


Network manager et /etc/network/interfaces peuvent cohabiter: si une 
interface est dans présente dans le second, network-manager ne s'en 
occupe pas (devrait ne pas s'en occuper).


Cela dit, j'ai toujours eu des problèmes avec network-manager et trouve 
Wicd nettement moins problématique si l'on veut du graphique. Le fichier 
interfaces reste à mes yeux la meilleure solution.


PS: Ubuntu en rajoute une couche en voulant passer à netplan.

Daniel


- Mail original -


De: "roger tarani" 
À: "Liste Debian" 
Envoyé: Jeudi 18 Juillet 2019 14:01:28
Objet: Re: Buster problème réseau étonnant



- Original Message -

From: "Pascal Hambourg" 



J'ai tout simplement l'impression que le nouveau paramètrage est
enregistré mais pas appliqué immédiatement par cet outil (lequel
d'ailleurs ? l'applet NetworkManager ?), et qu'il n'est appliqué
qu'à
la
prochaine activation de l'interface.



PS



Je n'ai que le panneau Settings/Network qui apparaît aussi en haut à
droite
Je ne sais pas si c'est l'applet network-manager.
Nouveau : l'icone "connexion réseau" à côté du menu start/stop
apparaît grisé avec une ptite croix blanche.
Pourtant, la machine accède au réseau internet.



Si je fais
sudo service network-manager restart
l'icone disparaît.



Donc, oui, c'est bien network-manager qui est là et qui commence déjà
à m'empoisonner pour pas grand chose.



Comment faire le network-ménage là-dedans ?
merci

Re: Connexion SSH et utilisateur uid=0

[daniel huhardeaux]

Le 17/07/2019 à 15:54, Scala Francois a écrit :

Salut,


Je ne sais pas ou tu as trouvé cette histoire de nombre de connexions, 
mais je pense que tu fais fausse route.


Oui. J ai fais le test et me rend compte de mon erreur, désolé.

Merci de m'avoir rectifié.




Voici la ligne de code qui génère le log en question

pam_syslog(pamh, LOG_INFO, "session opened for user %s by %s(uid=%lu)", 
user_name, login_name, (unsigned long)getuid());
source: 
https://github.com/linux-pam/linux-pam/blob/16bd523f85ede9fa9115f80e826f2d803d7e61d4/modules/pam_unix/pam_unix_sess.c 




On voit clairement que uid=%lu est fourni par getuid().

De plus, comme sshd est lancé directement par systemd, le login_name est 
vide.



Cordialement.

François.


On 17/07/2019 15:31, daniel huhardeaux wrote:

Le 17/07/2019 à 15:19, G2PC a écrit :
Je découvre que par défaut, suite à l'installation de mon VPS OVH ( 
Debian Stretch ) que mon utilisateur " debian " affiche un uid=0 lors 
de la connexion SSH.


Vu depuis auth.log :

pam_unix(sshd:session): session opened for user debian by (uid=0)


J'en déduis que ce n'est pas une bonne chose.
J'ai demandé son avis à Bernard S. qui me conseille de supprimer 
l'utilisateur debian par défaut, au profit d'un nouvel utilisateur 
que j'ai déjà créé. Appelons le toto.


Je crée un utilisateur toto que je passe sudoers.

|usermod -a -G sudo toto|


Pourtant, la encore, suite à la connexion SSH de toto, je constate 
cet uid=0 dans les logs d'authentification.

Est-ce bien normal ?

pam_unix(sshd:session): session opened for user toto by (uid=0)



L'UID n'est pas celle de l'utilisateur. l’UID permet d’identifier le 
nombre de connexions présentes simultanément sur le service SSH. Ici 
avec la valeur “0“, aucune connexion hormis la tienne n’est active.


La toile est remplie de site qui explique bien cela.

Re: Connexion SSH et utilisateur uid=0

[daniel huhardeaux]

Le 17/07/2019 à 15:19, G2PC a écrit :
Je découvre que par défaut, suite à l'installation de mon VPS OVH ( 
Debian Stretch ) que mon utilisateur " debian " affiche un uid=0 lors de 
la connexion SSH.


Vu depuis auth.log :

pam_unix(sshd:session): session opened for user debian by (uid=0)


J'en déduis que ce n'est pas une bonne chose.
J'ai demandé son avis à Bernard S. qui me conseille de supprimer 
l'utilisateur debian par défaut, au profit d'un nouvel utilisateur que 
j'ai déjà créé. Appelons le toto.


Je crée un utilisateur toto que je passe sudoers.

|usermod -a -G sudo toto|


Pourtant, la encore, suite à la connexion SSH de toto, je constate cet 
uid=0 dans les logs d'authentification.

Est-ce bien normal ?

pam_unix(sshd:session): session opened for user toto by (uid=0)



L'UID n'est pas celle de l'utilisateur. l’UID permet d’identifier le 
nombre de connexions présentes simultanément sur le service SSH. Ici 
avec la valeur “0“, aucune connexion hormis la tienne n’est active.


La toile est remplie de site qui explique bien cela.
--
Daniel

Re: Configuration d'un ordinateur comme passerelle

[daniel huhardeaux]

Le 16/07/2019 à 17:38, ajh-valmer a écrit :
[...]


Juste de choisir une solution simple, qui te satisfaira.
La box fait office de hub aussi.


J'aimerai clarifier une chose: un hub est différent d'un commutateur 
(switch) et n'est plus utilisé depuis longtemps dans les réseaux actuels.


Il faut donc lire "la box inclue un commutateur"

--
Daniel

Re: openvpn privatvpn

[Daniel Huhardeaux]

Le 12/07/2019 à 06:02, Daniel Caillibaud a écrit :

Le 11/07/19 à 18h50, MERLIN Philippe  a
écrit :

Une analyse par Wireshark indique seulement que les DNS ne
fonctionnent pas.


Je ne connais pas l'origine du pb, mais tu peux installer un resolver
local, c'est très léger et ça rend pas mal de services (ça évite les dns
parfois menteurs des FAI, mais surtout ça marche toujours alors que
suivant les FAI la résolution dns laisse parfois à désirer, et en prime tu
va gagner un poil en perfs).

apt install unbound

et dans /etc/resolv.conf mettre
nameserver 127.0.0.1

(ou bien l'indiquer dans le network manager, ou ton système de gestion de
la résolution locale)


Attention si c'est systemd-resolved qui gère le DNS la valeur 127.0.0.1 
est à mettre dans /etc/systemd/resolved cle [Resolve] => DNS


--
Daniel

Re: openvpn privatvpn

[Daniel Huhardeaux]

Le 11/07/2019 à 18:50, MERLIN Philippe a écrit :

Bonsoir,


Bonsoir


Je suis confronté à un problème surprenant et j'ai besoin d'aides pour essayer
de  le résoudre.
Sur mon ordinateur système Debian AMD 64 je lance un script en étant root pour
activer un VPN privatVPN cette procédure fonctionne parfaitement à Paris ou je
suis connecté à une Freebox Mini 4K mais par contre ne fonctionne pas aux
environs de Royan connecté à une Freebox V5. Aucun message d'erreur au
lancement de la procédure mais je me retrouve sans réseau. Une analyse par
Wireshark indique seulement que les DNS ne fonctionnent pas.
Le script lancé est simple : openvpn /xx/xx/privatvpn.conf
A l'avance merci pour votre aide.
Philippe Merlin



Mettre le mode verbose 8 par ex. et regarder les logs. Loguer également 
le status.


--
Daniel

Re: full-upgrade to buster

[Daniel Huhardeaux]

Le 10/07/2019 à 11:07, hamster a écrit :

Le 09/07/2019 à 23:18, hamster a écrit :
[...]

Ah j'oubliais : reinstaller les memes paquets

sur l'ancien système :
dpkg --get-selections >liste-pkg
sauvegarder le fichier liste-pkg créé

sur le nouveau système :
dpkg --set-selections < pkg-list
apt-get dselect-upgrade


ou utiliser apt-clone

; sur la machine source, ceci génère un tar.gz que l'on copie sur la
; machine cible

sudo apt-clone clone `uname -n`

; Installation des paquets et dépendances sur la machine cible

sudo apt-clone restore 

--
Daniel

Re: Authentification failure

[daniel huhardeaux]

Le 07/06/2019 à 18:40, Florian Blanc a écrit :

le client va timeout


Sauf qu'un attaquant ne va pas utiliser des scanners habituels mais des 
outils spécifiques qui pour eux DROP ou REJECT ne change rien, leur 
timeout sera très court


Une lecture par ex.

http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject



Le ven. 7 juin 2019 à 18:39, Florian Blanc > a écrit :


 > si on peut lister les URL légitimes, un silent DROP systématique
permet de ne pas confirmer la présence d'une cible potentielle, non ?
exactement

Le ven. 7 juin 2019 à 18:34, Eric Degenetais mailto:edegenet...@henix.fr>> a écrit :

bonjour,
si on peut lister les URL légitimes, un silent DROP systématique
permet de ne pas confirmer la présence d'une cible potentielle,
non ?
À l'inverse, fail2ban, qui est utile quoi qu'il arrive pour
arrêter les tentatives de brute force qui atteignent le service
protégé, a besoin d'enregistrer un certain nombre d'échecs avant
de bannir, donc l'existence et la nature de la cible (sshd) sont
confirmées à l'attaquant.

Éric Dégenètais

Le ven. 7 juin 2019 17:48, Daniel Caillibaud mailto:m...@lairdutemps.org>> a écrit :

Le 07/06/19 à 16:39, Florian Blanc
mailto:florian.blanc@gmail.com>> a écrit :
 >  > Et ça change vraiment grand chose ?

 > cf. modele OSI ton firewall refusera les connexions layer
3/4.

Merci ;-)

Ce que je voulais dire, c'est que le gain de perfs[1] est
tellement
négligeable que je pense qu'on arrive même pas à le mesurer
sur une machine
en prod (qui bosse).

Mais ici le pb est pas tellement la perf, tu veux bloquer
des connexions
ssh avec un liste blanche d'ip (dynamique dans ton cas), ça
n'est pas
envisageable dans mon contexte (mes ssh publics doivent
rester accessibles
par trop d'ip ≠ qui changent tout le temps), et sur le fond
je vois pas
d'intérêt à sécuriser davantage ssh que de forcer la
connexion par clé.

[1] si y'en a un, faudrait comparer ce que coûte une règle
iptable
supplémentaire (qq cycles cpu sur tous les paquets reçus) vs
qq connexions
ssh inutiles (sshd doit attendre une clé qui ne vient pas
puis couper).

-- 
Daniel


La médecine est un métier dangereux :
les clients qui ne meurent pas peuvent porter plainte.
Coluche

Re: Authentification failure

[Daniel Huhardeaux]

Le 06/06/2019 à 20:10, Florian Blanc a écrit :
Lol tu réduis la charge serveur au lieu de laisser ssh écouter et 
répondre à tout le net... (valable pour tous les types 
d'authentification ssh)

Merci de me faire savoir si je me trompe 


Je pense que oui:

. avec tes règles ssh écoute également tout le net, il doit bien savoir 
si c'est toi qui tente une connexion

. tu génères du trafic cron inutile toutes les 20mn
. tu génères du trafic pour mettre noip à jour


T'es le meilleur Daniel


Je suis d'accord, sa solution est la meilleure



On Thu, Jun 6, 2019, 19:42 Daniel Caillibaud > wrote:


Le 06/06/19 à 16:51, Florian Blanc mailto:florian.blanc@gmail.com>> a écrit :
 > Bon je vais vous livrer un petit secret.
 > J'utilise des noip qui mettent à jour mon ip public cliente sur
un dns.
 >
 > Sur mon script principal iptables je crée une chain qui s'appelle
 > INDYNAMIC à partir de INPUT:
 > /sbin/iptables -A INPUT -j INDYNAMIC
 >
 > Ensuite j'ai un second script iptables pour écraser mes regles
dynamique
 > comme ceci:
 > /sbin/iptables -F INDYNAMIC # ici je flush
 > /sbin/iptables -A INDYNAMIC -m tcp -p tcp --src
 > lolilol.dyndnsnoiplalala.io 
--dport 22 -j ACCEPT # j'autorise
 > lolilol.dyndnsnoiplalala.io 
sur le port 22 (il fait la résolution comme
 > un grand).
 >
 > je crontab ce dernier script qui s'execute toutes les x minutes
(20 par
 > exemple).
 > tu le combine à fail2ban et c'est bon.

C'est bien ce que je disais :

 > > Pourquoi faire (compliqué) ?

Car je ne vois aucun avantage par rapport à ne rien faire (en dehors de
virer l'auth par mot de passe si c'est pas déjà le cas).

-- 
Daniel


Certaines zones de pêche commencent a être tellement polluées
par les hydrocarbures qu'on y pêche des turbots diesels.
Philippe Geluck, Le chat

Re: Problème d'iso

[Daniel Huhardeaux]

Le 04/06/2019 à 17:55, Numerik a écrit :
Bonjour, j'ai un gros problème d'iso. J'ai téléchargé 4 fois l'iso 
stable-net-install, je l'ai "graver" avec Etcher, Rufus, Unetbootin et a 
chaque fois, coup sur coup, impossible d'installer. Tout arrête a la 
seconde qu'il faut téléchargé ou installer les paquets. Ça me signal, 
que les fichiers sont corrompus. J'ai tester 3 clefs USB, j'ai tester 3 
programmes pour mettre l'iso sur les clefs et j'ai utiliser aussi 3 
ordinateur d'un un MacBook Pro, Donc 27 tentatives qui se sont solder a 
chaque fois par un échec. Pourriez-vous m'aider svp? Merci.


Un utilisateur de Debian!


Bonjour,

pour savoir s'il s'agit d'un problème d'iso, Debian met à disposition 
dans le même répertoire que l'iso un fichier md5sum.


Avez vous vérifier votre iso ?

--
Daniel

Re: Fwd: Recherche solution centre appels

[Daniel Huhardeaux]

Le 19/05/2019 à 14:52, David Pinson a écrit :

Bonjour à tous,

merci pour vos retours,
Je vais tester ça !

Elastix est passé chez 3CX, me semble-t-il ?


Oui


Sinon je vais essayer de revoir FreePBX (ex-Asterisknow).


Wazo (fork de Xivo) est en Français

http://wazo.community/


Le 18/05/2019 à 18:56, Bernard Schoenacker a écrit :



- Mail transféré -

De: "Bernard Schoenacker" 
À: "David Pinson" 
Envoyé: Samedi 18 Mai 2019 16:05:13
Objet: Re: Recherche solution centre appels


bonjour,
j'avais trouvé une solution combinée de helpdesk
à partir de mél et d'appel téléphoniques, mais
je ne sais plius du tout ce qu'il en est advenu

OTRS

apt-cache search otrs
otrs - Open Ticket Request System (OTRS 6)
otrs2 - Open Ticket Request System

https://packages.debian.org/search?keywords=otrs

Package: otrs
Source: otrs2
Version: 6.0.16-2
Installed-Size: 253
Maintainer: Patrick Matthäi 
Architecture: all
Depends: otrs2
Description-en: Open Ticket Request System (OTRS 6)
  OTRS is an Open source Ticket Request System (also well known as
  trouble ticket system) with many features to manage customer
  telephone
  calls and e-mails. The system is built to allow your support, sales,
  pre-sales, billing, internal IT, helpdesk, etc. department to react
  quickly to inbound inquiries.
  .
  This package depends on the otrs2 6.x series package.
Description-md5: eeb3231e0d9a99762a6f513c16559375
Homepage: https://www.otrs.com
Tag: devel::lang:sql, interface::web, network::server, role::program,
  web::application, works-with::bugs, works-with::db, works-with::mail
Section: non-free/web
Priority: optional
Filename: pool/non-free/o/otrs2/otrs_6.0.16-2_all.deb
Size: 247372
MD5sum: 88c227cbb66404610f493bd9db12da9c
SHA256:
13af875b671ebe828b6ab8b3540cf5422770dcb4adb1b809615853cb3ee182ae


autrement en iso toute prête, il y longtemps j'avais vu une iso
espagnole sur base rpm (j'ai perdu le nom)

(no sé?) :
https://www.elastix.org/


en image iso :
https://www.asterisk.org/downloads/asterisknow

les autres alternatives :
https://alternativeto.net/software/asterisk/


- Mail original -

De: "David Pinson" 
À: "mailing-list francais" 
Envoyé: Samedi 18 Mai 2019 15:04:14
Objet: Recherche solution centre appels

Bonjour la liste,

Je suis à la recherche d'un projet d'un iPBX à la sauce Debian.
Je ne retrouve que des solutions de centre d'appel sous forme de
campagne et je recherche plutôt l'inverse.

Voici que je recherche dans les fonctionnalités:

- Appels entrants
- Serveur vocal interactif
- gestion des opérateurs
- Gestion de la durée des appels
- Affichage des appels entrants, en cours, en attente, etc...
- Affichage durée moyenne par appel et possibilité de donner le
temps
d'attente d'un appel à l'appelant.

Ok pour Asterisk mais j'ai besoin d'avoir des tutos, des ISOs tout
prêt,
etc... Le temps nous manque et je sais qu'il y a déjà des projets
similaires.

J'ai déjà cherché sur les moteurs de recherche et il faut avoir le
temps
de les décortiquer !
Vos expériences sont les meilleurs atouts.

D'avance merci beaucoup pour vos idées et liens,
Librement vôtre,
David P.











--
Daniel Huhardeaux
+33.368460...@tootai.netsip:8...@sip.tootai.net
+41.445532...@swiss-itech.ch  tootaiNET

Re: Liste des fabricants de portable qui ne mettent pas de whitelist

[Daniel Huhardeaux]

Le 17/04/2019 à 08:22, Daniel Caillibaud a écrit :

Le 17/04/19 à 07:51, Benoit B  a écrit :

Une autre solution que j'ai testée sur mon portable actuel serait de
simplement changer le composant wifi...


Ça parait vraiment compliqué, autant acheter directement du matériel
compatible.


Mais mon ordi n'a pas été plus loin que le Power-on self-test.
Impossible de le démarrer tant que le composant s'y trouvait.
Il semblerait que certains fabricants mettent des whitelist dans le
bios... Existe-il une liste des fabricants de portable qui ne mettent pas
de whitelist ? ;)


Je sais pas, mais autant encourager les vendeurs qui livrent du matériel
préinstallé avec un linux, au moins tu es sûr de la compatibilité matérielle
https://bons-vendeurs-ordinateurs.info/
(je sais pas si la liste est à jour mais c'est un bon début)



Dell vend des portables avec Linux pré installé.

Daniel

Re: HS: iptables interface de sortie par la même que l'entrée.

[Daniel Huhardeaux]

Le 16/04/2019 à 18:44, Jérémy Prego a écrit :

Le 16/04/2019 à 07:05, Pascal Hambourg a écrit :

Le 16/04/2019 à 03:48, Jérémy Prego a écrit :


Le 15/04/2019 à 20:18, Pascal Hambourg a écrit :

Si je comprends bien tu veux marquer seulement les paquets des
connexions sortantes. Une solution consiste à utiliser le marquage de
connexion avec la cible CONNMARK et la correspondance connmark.


pourrais-tu m'éclaircir sur cette partie en me fournissant un exemple de
règle ? je trouve rien qui correspond vraiment après avoir testé
plusieurs règles trouvé et adapté ici et là ...

par exemple j'ai trouvé et adapté une règles comme ça:
iptables -t mangle -A ROUTING-POLICY -d jeremy.domain.net -m conntrack
--ctstate NEW -j CONNMARK --set-mark 0x3
iptables -t mangle -A ROUTING-POLICY -j CONNMARK --restore-mark

vu que ça ne correspond pas tout à fait à ce que tu indiques plus haut
et que le résultat n'est pas vraiment celui attendu je suppose que je
suis pas bon. Un peu d'aide afin de comprendre comment former ma règle
ne serait pas de refus.


La seconde règle ne doit marquer que les paquets à destination de
l'adresse distante. Il ne faut pas rerouter les paquets provenant de
cette adresse.



j'ai testé ça qui ne fonctionne pas non plus:
iptables -t mangle -D ROUTING-POLICY -d jeremy.domain.net -m conntrack
--ctstate NEW -j CONNMARK --set-mark 0x1
iptables -t mangle -A ROUTING-POLICY -d jeremy.domain.net -j CONNMARK
--restore-markc

de ce que j'ai lu, il semble falloir plusieurs règles par destination
une pour marquer les paquets et une autre  pour restaurer, mais une aide
supplémentaire ne serait pas de refus parce que là j'arrive pas a grand
chose. beaucoup de tuto que j'ai trouvé sur internet ne souhaite que
faire de la répartition de charge et pas faire du routage avancé dans le
sens un host // une connexion. ou alors, quand je trouve ça ça utilise
encore -J MARK donc comme je fais jusqu'à présent.

merci encore pour l'assistance.


Tu as bien

# marked packets go out through there route
ip rule add fwmark $markISP1 table isp1
ip rule add fwmark $markISP2 table isp2

?

--
Daniel Huhardeaux
+33.368460...@tootai.netsip:8...@sip.tootai.net
+41.445532...@swiss-itech.ch  tootaiNET

Re: HS: iptables interface de sortie par la même que l'entrée.

[daniel huhardeaux]

Le 15/04/2019 à 00:43, Jérémy Prego a écrit :

Bonjour,

en ce Dimanche nocturne je me décide à poser ma question ici. En effet,
je fais de la redirection d'IP en OUTPUT et en PREROUTING avec iptables.
depuis la machine routeur et le réseau local derrière c'est parfait la
machine jeremy.domain.net passe bien par la connexion que j'ai demandé a
Iptables.
Le souci est quand de la machine jeremy.domain.net qui se trouve donc
sur internet je cherche à contacter le routeur par son interface
principale, il se passe un truc très embêtant, Iptables renvoie les
réponses par l'interface que j'ai choisi pour ma redirection de
l'OUTPUT. Du coup, ça ne peut pas fonctionner, forcément.

est-ce qu'une solution existe pour que si ça arrive par l'interface
wan0, ça reparte par la même interface et que ça ne passe pas par les
règle que j'ai mis pour l'output ?

pour rappel, un petit exemple de ce que je fais:
##routage alternatif
iptables -t mangle -N ROUTING-POLICY
iptables -t mangle -A OUTPUT -j ROUTING-POLICY
iptables -t mangle -A PREROUTING -j ROUTING-POLICY
iptables -t mangle -D ROUTING-POLICY -d jeremy.domain.net -j MARK
--set-mark 0x3

une règle que j'ai testé mais sans succès vu que j'avais plus de
redirection vers 0x3 sur le routeur lui même:
iptables -t mangle -A ROUTING-POLICY -d jeremy.domain.tld ! -o wan0 -j
MARK --set-mark 0x3

merci beaucoup pour votre réponse :)


Il faut compléter par le routage genre

# marked packets go out through there route
ip rule add fwmark $markISP1 table isp1
ip rule add fwmark $markISP2 table isp2

en ayant créer les tables isp1 et isp2.

Supposant que tu as bien mis à jour /etc/iproute2/rt_tables ...

Daniel

Re: Que vaut Buster/Gnome avec un écran tactile ?

[daniel huhardeaux]

Le 11/03/2019 à 12:23, ajh-valmer a écrit :



Est-ce qu'un noyau Linux récent gère bien maintenant le tactile ?
(c'était il y a plus de 5 ans).


J'utilise un Dell Latitude tactile Ubuntu 16 (2013) et un chromebook 
Asus Flip avec crouton+Ubuntu 16 (1 an), tout fonctionne. J'ai également 
utilisé un Asus eeePC tactile sous Debian Squeeze, pas eu de problème 
non plus.


Daniel

Re: prise de contrôle d'accès distant d'un ordi

[Daniel Huhardeaux]

Le 07/03/2019 à 14:26, SB45730 a écrit :

Bonjour,

Pour info, qu'a t'il de mieux que https://www.dwservice.net/ ?


Anydesk a un client pour Android (donc Chromebook également).Cela 
dit,l'un n'empêche pas l'autre ...




Merci.

Cordialement.

Stéphane.

Le 07/03/2019 à 14:19, Olivier a écrit :

Merci à tous pour ces précieux conseils: Anydesk me semble à moi aussi
plus pertinent que TeamViewer.


Le jeu. 7 mars 2019 à 13:52, daniel huhardeaux mailto:no-s...@tootai.net>> a écrit :

 Le 07/03/2019 à 12:40, Olivier a écrit :
 >
 > Le jeu. 8 nov. 2018 à 09:45, Touch13 mailto:touc...@free.fr>
 > <mailto:touc...@free.fr <mailto:touc...@free.fr>>> a écrit :
 >
 >     Bonjour,
 >
 >     J'ai regardé rapidement 'dwservice.net <http://dwservice.net>
 <http://dwservice.net>', ça a
 >     l'air pas mal, mais est-ce
 >     que quelque sait qui est derrière ?
 >
 >     Cordialement.
 >     ---
 >     Christophe.
 >
 > Bonjour,
 >
 > Je recherche moi aussi une alternative à Teamviewer à qui je reproche:
 > - un prix assez élevé (30 E/mois)
 > - des difficultés fréquentes de compatibilité entre versions
 logicielles.
 >
 > Je viens de découvrir Chrome Remote Desktop (cf [1]).
 > Je ne l'ai pas encore utilisé et je serai ravi de connaître des
 retours
 > d'expérience sur son utilisation.

 J'ai eu les mêmes réflexions le mois dernier, pour terminer avec
 anydesk. Gratuit pour un usage privé, pas cher si on veut une
 licence et
 compatible Linux/Mac/Chromebook/Windows/Android/...

 Le problème de Chrome Remote Desktop est qu'il est trop lié aux comptes
 Google et difficile à télécharger et exécuter, comme d'habitude avec
 Google ou il faut passer par x pages pour trouver l'info.

 x2go mentionné dans un autre message est une alternative,
 l'installation
 cependant nécessite un accès à la machine car à mes yeux l'utilisateur
 lambda ne s'en sortira pas.

 >
 >
 > [1]
 >
 
https://www.ionos.com/digitalguide/server/tools/the-best-teamviewer-alternatives/
 >
 --
 Daniel

Re: prise de contrôle d'accès distant d'un ordi

[daniel huhardeaux]

Le 07/03/2019 à 12:40, Olivier a écrit :


Le jeu. 8 nov. 2018 à 09:45, Touch13 > a écrit :


Bonjour,

J'ai regardé rapidement 'dwservice.net ', ça a
l'air pas mal, mais est-ce
que quelque sait qui est derrière ?

Cordialement.
---
Christophe.

Bonjour,

Je recherche moi aussi une alternative à Teamviewer à qui je reproche:
- un prix assez élevé (30 E/mois)
- des difficultés fréquentes de compatibilité entre versions logicielles.

Je viens de découvrir Chrome Remote Desktop (cf [1]).
Je ne l'ai pas encore utilisé et je serai ravi de connaître des retours 
d'expérience sur son utilisation.


J'ai eu les mêmes réflexions le mois dernier, pour terminer avec 
anydesk. Gratuit pour un usage privé, pas cher si on veut une licence et 
compatible Linux/Mac/Chromebook/Windows/Android/...


Le problème de Chrome Remote Desktop est qu'il est trop lié aux comptes 
Google et difficile à télécharger et exécuter, comme d'habitude avec 
Google ou il faut passer par x pages pour trouver l'info.


x2go mentionné dans un autre message est une alternative, l'installation 
cependant nécessite un accès à la machine car à mes yeux l'utilisateur 
lambda ne s'en sortira pas.





[1] 
https://www.ionos.com/digitalguide/server/tools/the-best-teamviewer-alternatives/



--
Daniel

Re: Mon renouvellement de mon certificat multidomaine continue de me faire des blagues.

[Daniel Huhardeaux]

Merci de répondre à la liste

Le 28/02/2019 à 17:00, G2PC a écrit :



Mais, avec 1 seul et unique certificat, ou, un ensemble de certificats,
un certificat pour chaque domaine ?


Certains certificats sont pour plusieurs domaines différents et 
répertoires différents.


example.fr
luiestsuisse.ch
lautreest.com
encoreunen.net
lesite.alsace

etc.

Chaque site ayant son répertoire avec .well-known



Alors la, je ne sais pas, j'ai tenté le multidomaine, certif unique, 
répertoires différents, ça ne me tente plus trop ;)
Par contre, je n'ai toujours pas ce .well-know il faut le créer soit 
même, lors du renouvellement du certificat ? ( Challenge ? )


Non, il se cré lorsqu'il n'existe pas et est vide une fois la 
manipulation terminée


Tu affiches bien les fichiers cachés lorsue tu vérifie ;) Sinon, c'est 
bien www-data:www-data (ou l'UID & GID sous lesquels tournent apache) à 
qui appartient les répertoires ?


J'ai pu faire différentes créations de certificat la, mais, je ne vois 
pas ce dossier dans mon site ni dans le répertoire let's encrypt.


Par contre, j'ai lu :

# Après avoir lancé la commande de création de certificat, les éléments 
suivants sont affichés :
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None

*Je note que le plugin Authenticator webroot ne semble pas être 
installé, si je comprend bien ce message. Je n'ai pas cherché. *


Je ne comprends pas cette phrase

--
Daniel



--
Daniel Huhardeaux
+33.368460...@tootai.netsip:8...@sip.tootai.net
+41.445532...@swiss-itech.ch  tootaiNET

Re: Mon renouvellement de mon certificat multidomaine continue de me faire des blagues.

[daniel huhardeaux]

Le 28/02/2019 à 16:29, G2PC a écrit :


Le 28/02/2019 à 09:02, Daniel Huhardeaux a écrit :

Bonjour

Le 28/02/2019 à 00:21, G2PC a écrit :



Je pense pouvoir conclure qu'un certificat Let's Encrypt ne
fonctionne correctement que dans le cas ou les domaines pointent vers
le même emplacement.


Je n'utilise pas apache2 mais nginx, j'ai X sites web chacun ayant son
répertoire, certains avec des alias ou sous domaine. Mon port 80 est
redirigé automatiquement par nginx sur le 443, l'ensemble fonctionne
parfaitement.

Je renouvelle /opt/letsencrypt/letsencrypt-auto renew suivi d'un
reload de nginx. Tâche cron toutes les semaines.



Mais, avec 1 seul et unique certificat, ou, un ensemble de certificats,
un certificat pour chaque domaine ?


Certains certificats sont pour plusieurs domaines différents et 
répertoires différents.


example.fr
luiestsuisse.ch
lautreest.com
encoreunen.net
lesite.alsace

etc.

Chaque site ayant son répertoire avec .well-known

--
Daniel

Re: Mon renouvellement de mon certificat multidomaine continue de me faire des blagues.

[Daniel Huhardeaux]

Bonjour

Le 28/02/2019 à 00:21, G2PC a écrit :



Je pense pouvoir conclure qu'un certificat Let's Encrypt ne fonctionne 
correctement que dans le cas ou les domaines pointent vers le même emplacement.


Je n'utilise pas apache2 mais nginx, j'ai X sites web chacun ayant son 
répertoire, certains avec des alias ou sous domaine. Mon port 80 est 
redirigé automatiquement par nginx sur le 443, l'ensemble fonctionne 
parfaitement.


Je renouvelle /opt/letsencrypt/letsencrypt-auto renew suivi d'un reload 
de nginx. Tâche cron toutes les semaines.


--
Daniel

Re: [HS] Opérateur SDSL à conseiller

[daniel huhardeaux]

Le 27/02/2019 à 23:23, kaliderus a écrit :

Bonsoir chère liste,


Bonsoir



Auriez-vous quelques références d'opérateur (libriste ?) à me
recommander  proposant un service SDSL ?


Adista est mon partenaire, présent sur tout le territoire. Pas libriste 
mais efficace. Voir peut être du côté FDN si tu es éligible, je ne sais 
pas s'ils font de la SDSL




Il y a les gros bien connus, mais je préfère faire bosser les
artisans, en espérant qu'il y en ait un qui sorte du lot sur le long
terme (mon ami glouglou m'en propose beaucoup, mais je préfère des
retour de vrais gens).

Le besoin est pour une petite structure avec 10 utilisateurs maxi en permanence.
Budget en négociation, mais à priori en dessous des 300€/mois.
Idéalement avec ipv6 / TV / communications téléphoniques incluses.
Temps de rétablissement si il y a merdouille pas trop important.
Le débit ? Evolutif...


Pour ce tarif tu dois avoir un débit de 8M. Je ne connais aucun 
fournisseur SDSL qui fait du triple play, c'est pour le grand public 
(fibre ou ADSL). Adista fait de l'ipv6, GTR 4h/jour ouvré de base.


--
Daniel

Re: Informatique scolaire debian

[Daniel Huhardeaux]

Le 15/02/2019 à 20:43, Francois Meyer a écrit :

Bonjour à tous


Bonjour



Connaissez-vous des boites sérieuses qui pourraient vendre une vingtaine 
d'ulta-portables installés sous debian / ubuntu et assurer un peu de 
maintenance ?


Je sais qu'il y en a mais pas si elles bossent bien.

Je travaille dans un lycée, mais je n'ai pas la main sur le réseau (Dieu 
m'en garde !). Je voudrais des machines sur lesquelles je peux bricoler 
au besoin (installer des applis que je connais, restreindre les 
possibilités de connexion, etc) mais si possible ne pas avoir à me 
farcir trop de maintenance (faire les maj, gérer les pannes).


Actuellement la mode est de distribuer des tablettes apple qui sont 
faites pour le divertissement et remplissent très bien leur fonction au 
détriment de l'éducatif (pardon pour cette petite remarque H-S) et je 
voudrais éviter cela sans renoncer aux bénéfices de l'informatique dans 
l'éducation.


mon entreprise fait cela. Nous avons équipé une école de village avec 
des portables Dell (Ubuntu installé d'origine + suite GCompris), des 
Raspbery Pi (Ubuntu mate + suite GCompris), d'anciens portables HP 
Windows XP passés sous Primtux, l'ensemble relié à un serveur Ubuntu.


Ce setup peut parfaitement être adapté à Debian sachant que Primtux est 
déjà basé sur Debian.


--
Daniel

Re: Réseau hertzien et Debian

[Daniel Huhardeaux]

Le 13/02/2019 à 11:28, kaliderus a écrit :

Le bonjour la liste,


Bonjour



Je cogite sur comment mettre en oeuvre une liaison entre 2 habitations
sur réseau hertzien.
La distance point à point est d'environs 1,3km avec obstacles (arbres,
et quelques maisons).
Connaissez vous des équipements ad-hoc qui permettent cette topologie ?

Ce n'est pas un amplificateur wifi que je recherche mais une solution
autonome professionnelle,


En WIFI il existe des solutions professionnelles qui permettent d'aller 
à + de 15Km à un tarif abordable. Ce ne sont pas des amplificateurs. 
J'utilise des Ubiquiti Loco M5 qui ont une portée de 10km.


[...]

--
Daniel

Re: OpenVPN. Certificat ca.crt expiré. Comment éviter une redistribution de ca.crt

[Daniel Huhardeaux]

Le 28/01/2019 à 12:28, Olivier a écrit :

Bonjour,


Bonjour

[...]


2. Avez-vous mis en place une procédure particulière pour éviter ce 
genre de contre-temps ?


Reverse ssh
--
Daniel

Re: policykit polkit me crée des soucis

[Daniel Huhardeaux]

Le 26/01/2019 à 17:27, MERLIN Philippe a écrit :

Le samedi 26 janvier 2019, 15:18:08 CET Daniel Huhardeaux a écrit :

Le 26/01/2019 à 15:06, MERLIN Philippe a écrit :

Le samedi 26 janvier 2019, 14:40:45 CET Daniel Huhardeaux a écrit :

Le 26/01/2019 à 12:03, MERLIN Philippe a écrit :

Bonjour,





Tout d'abord gparted est une application qui se lance par le menu KDE et
je ne suis pas  tout à fait d'accord la fenêtre qui s'ouvre demande
expressément le mot de passe de root.


Dans ce cas je pense que le problème peut venir du fait que l'entrée
attendue est à faire avec un clavier QWERTY

Daniel

Tout d'abord, merci pour la réponse.
Cela pouvait être une bonne idée, j'ai essayé malheureusement j'ai eu le
message "Échec de l'authentification" .


Tu n'as pas dit ce qui se passait lorsque tu saisissais le mot de passe 
root ? Même message ? Que disent les logs ?



Je ne sais pas ou cherché .
Es ce normal que le répertoire /etc/polkit-1/localauthority n'est lisible que
par root ?


rwx soit 700


Tous les répertoires sous localauthority toujours sous etc sont vides ?


Oui. Je n'ai que (dans /localauthority.conf.d)

50-localauthority.conf
51-debian-sudo.conf

et (dans nullbackend.conf.d)

50-nullbackend.conf

Daniel

Re: policykit polkit me crée des soucis

[Daniel Huhardeaux]

Le 26/01/2019 à 15:06, MERLIN Philippe a écrit :

Le samedi 26 janvier 2019, 14:40:45 CET Daniel Huhardeaux a écrit :

Le 26/01/2019 à 12:03, MERLIN Philippe a écrit :

Bonjour,


Bonjour


Je suis en Sid Kde AMD64 et j'ai des soucis avec l'authentification du mot
de passe de root avec polkit.
Je prends un exemple qui montre le problème,  je suis  un utilisateur sans
privilège et je veux utiliser l'application gparted il me demande le mot
de
passe de root que je lui donne mais il n'est pas reconnu. Pourquoi ?


Je suppose que sudo est utilisé, il faut donc saisir le mot de passe de
l'utilisateur, pas celui de root.


Tout d'abord gparted est une application qui se lance par le menu KDE et je ne
suis pas  tout à fait d'accord la fenêtre qui s'ouvre demande expressément le
mot de passe de root.


Dans ce cas je pense que le problème peut venir du fait que l'entrée 
attendue est à faire avec un clavier QWERTY


Daniel

Re: policykit polkit me crée des soucis

[Daniel Huhardeaux]

Le 26/01/2019 à 12:03, MERLIN Philippe a écrit :

Bonjour,


Bonjour


Je suis en Sid Kde AMD64 et j'ai des soucis avec l'authentification du mot de
passe de root avec polkit.
Je prends un exemple qui montre le problème,  je suis  un utilisateur sans
privilège et je veux utiliser l'application gparted il me demande le mot de
passe de root que je lui donne mais il n'est pas reconnu. Pourquoi ?


Je suppose que sudo est utilisé, il faut donc saisir le mot de passe de 
l'utilisateur, pas celui de root.



A l'avance je réponds le mot de passe est correct et il marche très bien si
j'ouvre une fenêtre Konsole et je tape su -.


Ici c'est bien le mot de passe root à saisir.


Ce problème apparaît dans d'autres cas et même punition.
En examinant j'ai remarqué que le répertoire /etc/polkit-1/localauthority
n'est accessible que par root pas de droits de lecture par groupe ou Autres es
ce normal.
J'ai cherché sur Google mais je n'ai pas trouvé la solution ni un post parlant
de ce problème.
A l'avance merci pour vos suggestions.
Philippe Merlin



Daniel

Re: Conseils sur le routage de client à client avec OpenVPN

[Daniel Huhardeaux]

Le 24/01/2019 à 11:32, Olivier a écrit :



Le jeu. 24 janv. 2019 à 11:18, Daniel Huhardeaux <mailto:no-s...@tootai.net>> a écrit :




Rien ne t'empêche de mettre une seconde configuration VPN en parallèle
chez tes clients (et chez toi) sur un autre port !

Je suis d'accord.


Pour ma part, je réitère: un serveur VPN central sur lequel vont se
connecter les clients et toi, du réseau bureau ou déplacement.

                  serveur VPN
                  /     | ...\
              clt1    clt2    Cltx

Le lien est permanent pour les clients sauf pour toi (si tu le désire)


Je suis d'accord sauf peut-être sur la persistance des liens car ne 
l'oublions pas, j'ai des plages d'adresses identiques sur des sites 
différents et ça va rester.


Quelle techno de VPN te sembles la plus adaptée pour ça ?


tun

On garde OpenVPN (pas de logiciels supplémentaire à installer): juste 
une re-configuration au cas par cas pour la deuxième instance d'OpenVPN ?

Ça me semble une très bonne idée mais je préfère demander.


Oui




Pas de port ouvert sauf celui pour le VPN et ssh en secours. Cela veut
dire que tu pourras te connecter (ssh avec mot de passe) chez tes
clients à partir de n'importe quel matériel, pas seulement de ceux qui
te sont connus.


 >
 >
 >
 > Le mer. 23 janv. 2019 à 16:16, Pascal Hambourg
mailto:pas...@plouf.fr.eu.org>
 > <mailto:pas...@plouf.fr.eu.org <mailto:pas...@plouf.fr.eu.org>>>
a écrit :
 >
 >     Le 23/01/2019 à 15:58, Olivier a écrit :
 >      >
 >      > [1]
https://serverfault.com/questions/736274/openvpn-client-to-client
 >
 >     Ce lien confirme ce que j'écrivais ci-dessous :
 >
 >      > Le mer. 23 janv. 2019 à 15:46, Pascal Hambourg
 >     mailto:pas...@plouf.fr.eu.org>
<mailto:pas...@plouf.fr.eu.org <mailto:pas...@plouf.fr.eu.org>>> a
 >      > écrit :
 >      >
 >      >> Le 23/01/2019 à 14:39, Olivier Bitsch a écrit :
 >      >>>
 >      >>> 1. Oui tu as bien compris, client-to-client ne transite
pas le
 >     paquet par
 >      >>> le serveur. Du coup pas de filtrage possible si c'est option
 >     est activée.
 >      >>
 >      >> Si j'ai bien compris, plus précisément les paquets envoyés à
 >     l'intérieur
 >      >> du tunnel entre deux clients ne transitent pas par
l'interface
 >     tun/tap
 >      >> ni la pile réseau de la machine qui fait tourner le
serveur openvpn,
 >      >> mais les paquets transportant le tunnel passent quand
même par le
 >      >> serveur openvpn.
 >

Re: Conseils sur le routage de client à client avec OpenVPN

[Daniel Huhardeaux]

Le 24/01/2019 à 10:54, Olivier a écrit :

Bonjour,

La nuit porte conseil et en repensant à ce qui précède, je pense que mon 
besoin premier est d'utiliser mon VPN comme un tunnel laissant passer 
des flux entre deux clients du VPN

sans les interpréter lui-même.

Le VPN est le seul lien que j'ai avec des sites distants et je ne peux 
pas risquer de perdre un lien en reconfigurant OpenVPN.
Or il me semble que les paramètres de routage d'OpenVPN ont une portée 
générale avec des précautions que j'ai du mal à respecter (adresses 
uniques, ...).


En conclusion:
1- je ne change pas ma configuration d'OpenVPN
2- s'il existe une technique pour utiliser ma configuration OpenVPN 
comme un "tunnel entre mon PC et un LAN distant" et sans le 
re-configurer, ça m'intéresse
3- s'il existe une autre technologie de VPN (IPSEC ? Wireguard ? ...) 
pour faire ce que je recherche et utilisable en parallèle à OpenVPN, ça 
m'intéresse aussi.


Pour le point 3, je n'ai pas besoin d'avoir un tunnel permanent entre 
mon PC et le LAN distant: j'ai juste besoin de pouvoir établir ce tunnel 
le temps d'une session de déboguage.
Je peux pouvoir initier ce tunnel quand je suis en déplacement et 
connecté à réseau local dont je ne pourrai pas modifier la configuration 
du routeur: je devrai donc passer par une machine tierce sur Internet 
qui aura les ports ouverts nécessaires.


Pour compléter mon cahier des charges:
- toutes les machines concernées (mon PC, machine tierce, routeur sur le 
LAN distant) sont sous Debian avec toutefois des versions variées 
(jessie, stretch, ...).


Conseils, remarques et suggestions bienvenues !


Rien ne t'empêche de mettre une seconde configuration VPN en parallèle 
chez tes clients (et chez toi) sur un autre port !


Pour ma part, je réitère: un serveur VPN central sur lequel vont se 
connecter les clients et toi, du réseau bureau ou déplacement.


serveur VPN
/ | ...\
clt1clt2Cltx

Le lien est permanent pour les clients sauf pour toi (si tu le désire)

Pas de port ouvert sauf celui pour le VPN et ssh en secours. Cela veut 
dire que tu pourras te connecter (ssh avec mot de passe) chez tes 
clients à partir de n'importe quel matériel, pas seulement de ceux qui 
te sont connus.







Le mer. 23 janv. 2019 à 16:16, Pascal Hambourg > a écrit :


Le 23/01/2019 à 15:58, Olivier a écrit :
 >
 > [1] https://serverfault.com/questions/736274/openvpn-client-to-client

Ce lien confirme ce que j'écrivais ci-dessous :

 > Le mer. 23 janv. 2019 à 15:46, Pascal Hambourg
mailto:pas...@plouf.fr.eu.org>> a
 > écrit :
 >
 >> Le 23/01/2019 à 14:39, Olivier Bitsch a écrit :
 >>>
 >>> 1. Oui tu as bien compris, client-to-client ne transite pas le
paquet par
 >>> le serveur. Du coup pas de filtrage possible si c'est option
est activée.
 >>
 >> Si j'ai bien compris, plus précisément les paquets envoyés à
l'intérieur
 >> du tunnel entre deux clients ne transitent pas par l'interface
tun/tap
 >> ni la pile réseau de la machine qui fait tourner le serveur openvpn,
 >> mais les paquets transportant le tunnel passent quand même par le
 >> serveur openvpn.

Re: Conseils sur le routage de client à client avec OpenVPN

[Daniel Huhardeaux]

Le 22/01/2019 à 19:18, Olivier a écrit :



Le mar. 22 janv. 2019 à 17:31, Daniel Huhardeaux <mailto:no-s...@tootai.net>> a écrit :


Le 22/01/2019 à 16:48, Olivier a écrit :
 > Bonjour,

Bonjour



1. les machines des réseaux de l'entreprise: un serveur OpenVPN en mode
tun, tous les serveurs des sites clients s'y connectent, je peux
joindre
n'importe quel machine sur ces autres réseaux, aucun n'a le même plan
d'adresses IP.

Comment le "routage" entre le réseau distant et les clients du VPN ?


Le serveur OpenVPN sait comment joindre chaque IP puisque chaque client 
pousse sa route. Pour que cela fonctionne aussi avec les machines 
Windows un masquerade fait son job. J'ai créé un script (cde up de la 
config openvpn) qui fait le travail lorsque le VPN est monté, script 
installé sur chaque client OpenVPN d'un site.


--
Daniel

Re: Conseils sur le routage de client à client avec OpenVPN

[Daniel Huhardeaux]

Le 22/01/2019 à 19:16, Olivier a écrit :

Merci Daniel pour ta réponse.

J'aurai pu le préciser mais j'arrive à me connecter ponctuellement aux 
équipements distants via des commandes SSH du type ssh -f -N foo@remote 
-L1234:192.168.151:80 mais c'est assez fastidieux car je dois désigner 
les ports distants, choisir des ports disponibles sur ma machine, 
ajouter un éventuel rebond.


Je recherche maintenant à re-configurer le réseau afin d'avoir une 
re-configuration ponctuelle plus générique


Justement, en centralisant les connexions sur un serveur, VPN et/ou ssh, 
tu ne reconfigures plus le réseau: le fichier ~/.ssh/config contiendra 
les commandes nécessaires afin de ne faire qu'un simple "ssh "


Je trouve d'ailleurs dommage que mosh ne gère pas le fichier config de ssh.



Le mar. 22 janv. 2019 à 17:31, Daniel Huhardeaux <mailto:no-s...@tootai.net>> a écrit :


Le 22/01/2019 à 16:48, Olivier a écrit :
 > Bonjour,

Bonjour

 >
 > J'ai plusieurs réseaux locaux distants dont le routeur est un
serveur
 > Debian sur lequel un client OpenVPN  est installé.
 >
 > Je souhaite pouvoir depuis mon propre PC sur lequel est aussi
installé
 > un client OpenVPN, atteindre les machines connectées des différents
 > réseaux locaux distants qui par ailleurs, sont à peu près tous
 > configurés de la même façon (tous en 192.168.1.0/24
<http://192.168.1.0/24>
 > <http://192.168.1.0/24>, par exemple).
 >
 > Pour fixer les choses, j'envisage d'opérer de la façon suivante:
 > +  sur mon PC:
 > A. je lance mon client OpenVPN
 > B. j'adapte ma configuration réseau en indiquant comment
atteindre les
 > machines d'un réseau distant
 > + sur mon serveur OpenVPN
 > C. j'adapte ma configuration réseau
 > + sur un routeur Debian distant particulier:
 > D. j'adapte la configuration réseau afin que les machines du réseau
 > local puissent communiquer avec mon PC (par chance, le routeur
Debian
 > est déjà la passerelle par défaut de ces machines).
 >
 > Le serveur OpenVPN est une machine sur le cloud.
 > J'ai découvert que je pouvais utiliser l'option client-to-client
 > d'OpenVPN pour permettre la communication directe entre deux clients
 > OpenVPN.
 > J'ai lu en [1], que cette communication s'opérait à "l'insu de la
 > configuration réseau du serveur OpenVPN" : les flux passaient
 > directement d'un client OpenVPN à un autre sans que je puisse,
avec le
 > firewall du serveur OpenVPN définir des régles très précises
comme celle
 > de n'autoriser que la communication depuis ou vers un ou deux
clients
 > OpenVPN.
 >
 > Mes questions:
 > 1. Ai-je bien compris [1] et [1] est-il bien toujours valable ?
 >
 > 2. J'imaginais configurer l'étape D si dessus par un simple NAT avec
 > iptables du type (10.8.1.70 est l'IP dans le VPN du routeur Debian):
 > iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 10.8.1.70
 > Qu'en pensez-vous ?
 >
 > 3. Que faire pour les étapes B et C ?
 > J'ai essayé sans trop de succès différentes commande "ip route
add" sans
 > succès pour l'instant.

Perso j'utilise 2 types d'organisations:

1. les machines des réseaux de l'entreprise: un serveur OpenVPN en mode
tun, tous les serveurs des sites clients s'y connectent, je peux
joindre
n'importe quel machine sur ces autres réseaux, aucun n'a le même plan
d'adresses IP.

L'inconvénient pour toi est que justement tous les réseaux auxquels tu
veux te joindre ont le même plan d'adressage IP

2. les réseaux des clients: j'utilise un serveur OpenVPN mode tun en DC
auquel les serveurs clients se connectent soit via OpenVPN soit en ssh
avec autossh (reverse ssh).

Dans les 2 cas, à partir de mon portable je peux joindre n'importe quel
machine derrière les réseaux clients en utilisant les commandes ssh
(pour le cas 2 essentiellement ProxyCommand pour tous les clients,
Hostname en plus pour ceux en VPN)

-- 
Daniel

Re: Conseils sur le routage de client à client avec OpenVPN

[Daniel Huhardeaux]

Le 22/01/2019 à 16:48, Olivier a écrit :

Bonjour,


Bonjour



J'ai plusieurs réseaux locaux distants dont le routeur est un serveur 
Debian sur lequel un client OpenVPN  est installé.


Je souhaite pouvoir depuis mon propre PC sur lequel est aussi installé 
un client OpenVPN, atteindre les machines connectées des différents 
réseaux locaux distants qui par ailleurs, sont à peu près tous 
configurés de la même façon (tous en 192.168.1.0/24 
, par exemple).


Pour fixer les choses, j'envisage d'opérer de la façon suivante:
+  sur mon PC:
A. je lance mon client OpenVPN
B. j'adapte ma configuration réseau en indiquant comment atteindre les 
machines d'un réseau distant

+ sur mon serveur OpenVPN
C. j'adapte ma configuration réseau
+ sur un routeur Debian distant particulier:
D. j'adapte la configuration réseau afin que les machines du réseau 
local puissent communiquer avec mon PC (par chance, le routeur Debian 
est déjà la passerelle par défaut de ces machines).


Le serveur OpenVPN est une machine sur le cloud.
J'ai découvert que je pouvais utiliser l'option client-to-client 
d'OpenVPN pour permettre la communication directe entre deux clients 
OpenVPN.
J'ai lu en [1], que cette communication s'opérait à "l'insu de la 
configuration réseau du serveur OpenVPN" : les flux passaient 
directement d'un client OpenVPN à un autre sans que je puisse, avec le 
firewall du serveur OpenVPN définir des régles très précises comme celle 
de n'autoriser que la communication depuis ou vers un ou deux clients 
OpenVPN.


Mes questions:
1. Ai-je bien compris [1] et [1] est-il bien toujours valable ?

2. J'imaginais configurer l'étape D si dessus par un simple NAT avec 
iptables du type (10.8.1.70 est l'IP dans le VPN du routeur Debian):

iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 10.8.1.70
Qu'en pensez-vous ?

3. Que faire pour les étapes B et C ?
J'ai essayé sans trop de succès différentes commande "ip route add" sans 
succès pour l'instant.


Perso j'utilise 2 types d'organisations:

1. les machines des réseaux de l'entreprise: un serveur OpenVPN en mode 
tun, tous les serveurs des sites clients s'y connectent, je peux joindre 
n'importe quel machine sur ces autres réseaux, aucun n'a le même plan 
d'adresses IP.


L'inconvénient pour toi est que justement tous les réseaux auxquels tu 
veux te joindre ont le même plan d'adressage IP


2. les réseaux des clients: j'utilise un serveur OpenVPN mode tun en DC 
auquel les serveurs clients se connectent soit via OpenVPN soit en ssh 
avec autossh (reverse ssh).


Dans les 2 cas, à partir de mon portable je peux joindre n'importe quel 
machine derrière les réseaux clients en utilisant les commandes ssh 
(pour le cas 2 essentiellement ProxyCommand pour tous les clients, 
Hostname en plus pour ceux en VPN)


--
Daniel

Re: récupérer son N° de tel free pour le mettre sur l'ordi

[Daniel Huhardeaux]

Le 21/01/2019 à 19:07, Sil a écrit :

Le 20/01/2019 à 21:45, Bernard Schoenacker a écrit :


bonjour,

cf sujet et comment faire ?

merci de votre aimable attention


Si ça a un rapport avec le compte sip de free...

https://artisan.karma-lab.net/comment-mettre-place-sa-telephonie-grace-a-asterisk 



Bonsoir,

à prendre avec beaucoup de pincettes !

- le document date
- Free a arrêté la Freephonie au 31/12/2018

--
Daniel

Re: Partitionnement d'un serveur web

[Daniel Huhardeaux]

Le 15/01/2019 à 08:52, Pierre L. a écrit :

[...]

Bonjour à tous,
Secundo, l'exécution de grub-install sur d'autres disques lors d'une
mise à jour du paquet grub-pc peut être automatisée dans la
configuration du paquet avec dpkg-reconfigure.
C'est donc ici qu'il serait intéressant de cocher les 2 disques /dev/sda
et /dev/sdb afin d'avoir ce GRUB2 qui se mettrait à jour comme tu nous
le dis précédemment ?
(première image trouvée sur le net... histoire d'illustrer)
https://manual.siduction.org/static/images-common/images-grub2/grub2-convert-1.png

Et donc sur une installation déjà faite, un dpkg-reconfigure grub-pc
pourrait remédier à ce manque et automatiser cette MAJ de GRUB2 sur les
2 disques à chaque update de kernel. Humm humm, c'est bon ca ! (si j'ai
bien compris le principe ?)


Sauf que le point crucial qu'a indiqué Pascal est que grub a besoin du 
fichier de config qui est dans /boot. Si cette partition est sur 
/dev/sda et non /dev/sdb (pas de Raid) tu as beau mettre ce que tu veux 
sur /dev/sdb il ne démarrera pas si /dev/sda est absent.


Ce que tu dis est vrai si /boot *est* en Raid.

--
Daniel

Re: Sortie d'hibernation hyper longue - Stretch

[daniel huhardeaux]

Le 05/01/2019 à 10:52, roger.tar...@free.fr a écrit :

Bonjour


Bonjour



Le test de sortie d'hibernation SANS FF ouvert est simple et concluant : la 
sortie est immédiate.
FF est le coupable le plus probable.


J'hiberne avec FF et 20 onglets ouverts + Chromium avec 10 onglets, 
retour immédiat.




Il faut vérifier qu'il n'a pas de complices.

Du coup, à part fermer FF avant chaque hibernation, que faut-il vérifier pour 
régler ce problème ?
Si je réinstalle ce monstre de FF, comment vérifier que c'est correct ?

Alternative : et pourquoi pas un navigateur plus simple et moins  gourmand ?

Merci


- Original Message -
From: roger tarani 
To: Liste Debian 
Sent: Wed, 02 Jan 2019 16:10:28 +0100 (CET)
Subject: Sortie d'hibernation hyper longue - Stretch

Bonjour
et meilleurs voeux à tous !

je crée un nouveau sujet juste pour la sortie d'hibernation qui n'est pas 
résolue (le pb FF est réglé).

En résumé :
Stretch, 8 Go de RAM, 8 Go de SWAP, un disque largement inoccupé.
RAM occupée à 48% et SWAP à 34% juste en sortie d'hibernation.

La mise en veille et sortie de veille sont immédiates.
Mais la sortie d'hibernation est laborieuse (voir détails dans l'ancien message 
que j'ai repris ici).

Jusqu'à il y a quelques mois, la sortie d'hibernation était rapide (je n'ai pas 
mesuré mais disons 1 mn, et ensuite la machine était disponible).
La dernière sortie d'hibernation a du prendre environ le même temps que 
l'avant-dernière (6-8 mn), avec une réactivité clavier-souris un peu 
supérieure. Il faut au total


Voici, ci-dessous les dernières mesures de 'w' avant et en sortie d'hibernation 
:
le tload est très élevé.

Avant mise en hibernation

$ w
  10:35:28 up 8 days, 13:54, 6 users, load average: 0.21, 0.26, 0.29
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
dev :0 :0 24Dec18 ?xdm? 31:00m 0.23s x-session-manag
dev pts/0 :0 24Dec18 7days 2.22s 2.22s bash
dev pts/9 :0 25Dec18 7days 0.05s 0.00s tmux attach-ses
dev pts/11 mosh- Thu20 5days 0.32s 0.32s -bash
dev pts/12 192.168.27.68- 10:34 10:21m 0.90s 2:41 mosh-server new
dev pts/15 192.168.27.68- 10:34 1.00s 0.10s 0.00s w


En sortie d'hibernation (avec toujours un peu de latence, pour copier-coller le 
présent texte, mais acceptable)

$ w
  16:13:07 up 37 days, 4:43, 5 users, load average: 0.88, 6.76, 5.40
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
dev tty7 :0 26Nov18 37days 9:18m 1.66s 
/usr/lib/gnome-session/gnome-session-binary
dev pts/3 tmux(21173).%11 Mon02 2days 24.68s 0.00s /bin/sh -c test
dev pts/7 tmux(21173).%6 Mon02 5:36m 9.12s 9.04s mosh-client
dev pts/8 tmux(21173).%7 Mon02 2days 15:46 15:46 htop
dev pts/10 tmux(21173).%10 Mon02 2days 0.09s 0.09s -bash
  
+18mn


  16:31:52 up 37 days, 5:02, 5 users, load average: 0.86, 1.04, 2.30
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
dev tty7 :0 26Nov18 37days 9:20m 1.66s 
/usr/lib/gnome-session/gnome-session-binary
dev pts/3 tmux(21173).%11 Mon02 2days 25.25s 0.00s /bin/sh -c test
dev pts/7 tmux(21173).%6 Mon02 5:55m 9.31s 9.23s mosh-client
dev pts/8 tmux(21173).%7 Mon02 2days 16:06 16:06 htop
dev pts/10 tmux(21173).%10 Mon02 2days 0.09s 0.09s -bash


Que dois-je vérifier d'autre pour trouver la cause de cette lenteur incroyable ?
Merci.


PRECEDENT MESSAGE


Bonjour

Le lun. 31 déc. 2018 16:19,  a écrit :

  Bonjour,

  La configuration avec FF tient bien. Je n'ai plus de problème.

  Je ne refais pas un message séparé
  MAIS je viens de faire un essai de mise en hibernation et de sortie.

  Waouh...
  1 mn d'écran noir
  3 mn de souris clavier muets
  6-8 mn avec un temps de réponse des fenêtres de 20+, puis 10, puis 5 s
  à +15 mn, j'ai retrouvé une machine réactive.

  La SWAP est de 8 Go pour 8 Go de RAM.
  RAM employée à 50%
  SWAP employée à 30%

Éric Dégenètais a écrit :
Assez naïvement, ce type de configuration m'a toujours posé question. La 
machine démarre et se retrouve à devoir sortir 4Go du swap pour retrouver son 
working set pré-hibernation. Je me demande quels mécanismes existent (c'est une 
vraie question, je ne suis pas ironique) pour que la machine ne soit pas dans 
la même panade qu'une machine sauvagement sous-dimensionnée qui croule sous le 
swap...

  J'ai un vague souvenir qu'il faudrait en SWAP 1,5 fois la RAM. C'est quoi la 
règle ?

  J'ai une JVM installée pour faire tourner quelques pgm Java.

  Pendant tout ce temps là, la machine ne tourne pas à plein régime pour des 
trucs comme des scripts dans le navigateur.
  htop ou System monitor, quand j'arrive à y accéder ne m'indique rien 
d'anormal (par rapport à mon niveau de compétence modeste)
  Rien d'extraordinaire, sauf load average apparemment élevé (2 coeurs)
  $ nproc
  2

  $ uptime
  16:05:16 up 35 days, 4:35, 5 users, load average: 1.77, 2.31, 4.98

  $ uptime
  16:16:16 up 35 days, 4:46, 5 users, load average: 0.74, 0.93, 2.83

  mesures sur 1/5/15 mn

  On voit bien qu'il y a eu la queue au portillon... mais pourquoi ?

  Que faut-il vérifier d'autre pour en savoir plus et corriger ça ?

  Merci

  - Original 

Re: Linux for kids

[daniel huhardeaux]

Le 28/12/2018 à 09:45, Klaus Becker a écrit :



Le 28/12/2018 à 09:38, Bernard Schoenacker a écrit :

bonjour,

j'essaye de voir pour choisir une version adaptée aux
bambins de classe maternelle (5ans) et je me suis penché
sur doudoulinux ...

le seul hic c'est que j'ai l'impression d'avoir affaire à une
version morte ...


en effet


qu'est ce qui reste comme solution ?



https://primtux.fr/
+1 Tu as 3 niveaux par classe d'âge, le contrôle parental. Dernière 
version sous Debian9.

--
Daniel

Re: Ergonomie/lisibilité en CLI

[daniel huhardeaux]

Le 23/12/2018 à 15:51, roger.tar...@free.fr a écrit :

Bonjour la liste (de la veille de Noël ! )


Bonjour



Enfin un petit peu de temps pour aborder un sujet pas bien urgent.

En CLI, il arrive souvent que les programmes crachent des tonnes de messages

$$ aupointqu'onnesaitplustrop%%

==oùsetrouvelacommandeentrée**
dansceflotdetexte$$<<

J'utilise la console de manière "normale". Et je crois bien ne pas connaître 
toutes les ressources de la CLI.
Oui, il y a la commande history, mais...
Oui, il y a emacs, vi, etc. mais je parle juste de CLI.

Pour améliorer ça, j'ai quelques idées simples que j'aimerais discuter avec 
vous.
Déjà pour vérifier que ça n'existe pas déjà  :
- mettre automatiquement en inversion vidéo juste la commande entrée; ou au 
moins un saut de ligne
- insérer automatiquement quelques espaces et \n dans la réponse pour éviter du 
texte en continu
- dissocier la console en deux ou juxtaposer deux consoles (une sur stdin et 
une sur stdout) : on entre des commandes d'un côté et on obtient la réponse du 
programme de l'autre côté
- ajouter une possibilité de réduire/expanser des zones de messages 
(collapse/expand), ce qui suppose de les baliser (globalement, ou plus 
finement; voir analyseur ci-après)
- diriger les messages vers un analyseur pour en extraire ce qui compte 
(requiert de connaître l'API du programme)
- utiliser des règles de coloration syntaxique qui améliorent la lisibilité 
(tout en blanc sur fond noir via  ssh, ou en vert sur fond noir en local; et 
les couleurs psychédéliques de la commandes ls, au bout d'un moment... ben, on 
s'y habitue !); sur ce dernier point, je ne sais pas vous, mais je trouve ma 
console plutôt pas trop ergonomique.


Paquet tmux. À associer à mosh pour l'accès à distance, c'est parfait.

--
Daniel

Re: [HS] enquête nationale sur la réparabilité des objets

[daniel huhardeaux]

Le 20/12/2018 à 19:17, ajh-valmer a écrit :

On Thursday 20 December 2018 09:02:08 daniel huhardeaux wrote:

Le 19/12/2018 à 16:18, HERMITE OURS rebelle a écrit :

BLOCKCHAIN
www.google-analytique.com :

"Forbidden
You don't have permission to access / on this server".


Provenance : Courrier <https://go.microsoft.com/fwlink/?LinkId=550986>
pour Windows 10

Si je peux me permettre, critiquer Google alors que l'on est 100%
Microsoft (Windows10, outlook.fr, outlook.com) et qui au passage
représente le M de GAFAM, me fait sourire.

Windows10, outlook.fr, ne représente pas 100% :


Je parlai à

HERMITE OURS rebelle

lui est 100%

Je ne vous visais pas, faut savoir suivre ...


[...]

Outlook, c'est beaucoup plus faible.
(mais je ne sais même ce qu'est "outlook.fr et outlook.com)".


Afficher le source du message et on comprend: outlook.com est une daube 
qui cré ses propres règles comme par exemple en cas de refus de 
délivrance pour greylisting.


--
Daniel

Re: [HS] enquête nationale sur la réparabilité des objets

[daniel huhardeaux]

Le 19/12/2018 à 16:18, HERMITE OURS rebelle a écrit :


BLOCKCHAIN

www.google-analytique.com

Provenance : Courrier  
pour Windows 10




Bonjour,

si je peux me permettre, critiquer Google alors que l'on est 100% 
Microsoft (Windows10, outlook.fr, outlook.com) et qui au passage 
représente le M de GAFAM, me fait sourire.


Daniel



*De :* JC.EtiembleG 
*Envoyé :* Wednesday, December 19, 2018 3:58:43 PM
*À :* debian-user-french@lists.debian.org
*Objet :* Re: [HS] enquête nationale sur la réparabilité des objets
Le 19/12/2018 à 13:19, Bernard Schoenacker a écrit :

> 
https://www.halteobsolescence.org/indice-de-reparabilite-participez-a-lenquete-nationale/

>
> merci de votre aimable attention

Remplir un formulaire de "Google Forms" c'est continuer à "enrichir" et
en profiter pour envoyer ses propres informations à Google.
Donc 

Nota c'est écrit :
"Google Forms vous aide à collecter et analyser les données."

--
J-C Etiemble

Re: Tuto Debian-Facile/preseed: clé USB non bootable

[Daniel Huhardeaux]

Le 11/12/2018 à 14:46, Olivier a écrit :

Bonjour,


Bonjour



J'ai découvert ce tuto [1].
Malheureusement, celui-ci ne détaille pas la dernière étape qui 
consiste à copier le fichier .iso créé sur une clé USB bootable.


J'ai dans mon répertoire courant, le fichier :
$ file custom_install.iso
custom_install.iso: ISO 9660 CD-ROM filesystem data 'CDROM' (bootable)

À titre de comparaison, j'ai aussi:
$ file firmware-9.6.0-amd64-i386-netinst.iso
firmware-9.6.0-amd64-i386-netinst.iso: DOS/MBR boot sector ISO 9660 
CD-ROM filesystem data 'Debian 9.6.0 M-A 1' (bootable); partition 2 : 
ID=0xef, start-CHS (0x3ff,254,63), end-CHS (0x3ff,254,63), startsector 
4256, 1376 sectors


Ma cible est une clé de 8Go sur /dev/sdc.

La commande ci-après produit une clé bootable;
sudo cat firmware-9.6.0-amd64-i386-netinst.iso > /dev/sdc

Par contre, la clé n'est pas bootable avec celle ci-après:
sudo cat custom_install.iso > /dev/sdc

Qui a une explication ?
Quelle commande me permettrait de copier ce fichier custom_install.iso 
sur ma clé USB et faire que celle-ci soit bootable ?


Slts

[1] https://debian-facile.org/doc:install:preseed?s[]=preseed


dd if=firmware-9.6.0-amd64-i386-netinst.iso bs=4M of=/dev/sdc

--
Daniel

Re: Compresser avec 7z en ajoutant un mot de passe

[Daniel Huhardeaux]

Le 10/12/2018 à 12:47, G2PC a écrit :

[...]
Quand j'utilise OpenSSL et tar pour compresser et chiffrer, je ne peux
pas déchiffrer depuis Linux Mint.


Problème Linux Mint alors ou le logiciel utilisé. Pour ma part:

/bin/tar c -hT $fileslist -X $excludefileslist | /bin/gzip -9 | openssl 
enc -aes-256-cbc -salt -pass file:$file_key >$filedir/$filename.$filext


a toujours fonctionné  et la relecture se fait via

openssl enc -aes-256-cbc -d -in  -out name with appropriate extension like tar.gz or sql.gz>


Fonctionne peu importe le Linux utilisé

--
Daniel

Re: Occupation CPU de Thunderbird un peu grande.

[daniel huhardeaux]

Le 04/12/2018 à 18:12, contact a écrit :

Bonjour,


Bonjour



j'utilise la dernière version de Thunderbird et quand je lance la 
commande top dans un terminal, j'ai ceci


%Cpu(s): 25,1 us,  2,9 sy,  0,0 ni, 72,0 id,  0,1 wa,  0,0 hi,  0,0 
si,  0,0 st
KiB Mem :  8058544 total,  3162824 free,  2725008 used,  2170712 
buff/cache
KiB Swap: 23851004 total, 23851004 free,    0 used.  4883260 
avail Mem


  PID     USER    PR  NI    VIRT            RES        SHR S      
%CPU     %MEM TIME+ COMMAND
 2447        20   0     2658584     611352 144628     R 106,0  
    7,6          63:37.57 thunderbird



hors je constate que thunderbird est souvent lent, est ce normal.

SI quelqu'un a un idée sur la question.

Merci

Thunderbird a toujours été (chez moi) gourmand au fur et à mesure qu'il 
reste ouvert des jours même en cas d'hibernation. En le fermant et le 
rouvrant il s'assagit nettement.


--
Daniel

Re: clavier fatigué ou problème système ?

[Daniel Huhardeaux]

Le 25/11/2018 à 10:26, roger.tar...@free.fr a écrit :

J'ai fait les 2 tests :
- avec xev ces touches ne produisent aucun événement.
- le clavier USB externe produit des caractères et des événements)

Ce qui m'étonne c'est de pouvoir produire les caractères "absents" en pressant 
leur touche juste après une autre (enViRon 100-300 ms)
le Crtl-v maRche très bien.
A priori, un clavier est un réseau de câbles avec probablement des 
condensateurs et résistances (? ou autre composant); pResseR une autRe touche  
pourrait alimenter en courant la ligne défaillante. (dans ce cas... claVieR à 
RemplaceR; je ne cRois pas que la caRte puisse être endommaGée ?)
Qu'en pensez-vous ?


Nettoyer le clavier avec une bombe à air comprimé. Démonter les touches 
afin de voir si le contacteur réagit sans la touche.


--
Daniel

[HS] Re: créer un nouvel utilisateur système

[daniel huhardeaux]

Le 09/11/2018 à 11:07, Bernard Schoenacker a écrit :

bonjour,

pour l'instant j'ai ceci:

# créer un utilisateur système "opensim"
# -r = utilisateur système
# -U = crée le groupe du même nom
useradd -r -U opensim

et je souhaiterai pouvoir créer un user avec cette commande :

# alternative (à corriger)
adduser --disabled-password --disabled-login opensim


Bonjour,

suis je le seul à trouver que cette liste devient un support généraliste 
n'ayant que peu de lien avec Debian ? Sans oublier le tag HS qui n'est 
même plus positionné.


Bonne journée

PS destiné à l'OP: inutile de me téléphoner

Re: recherche possibilité pour gestion de stock

[daniel huhardeaux]

Le 03/10/2018 à 15:32, Christophe De Natale a écrit :

Le 03/10/2018 à 15:20, Bernard Schoenacker a écrit :

bonjour,

pour l'instant je n'ai pas trouvé grand chose pour
la gestion de stock et d'entrepôt ...

appellation :
Warehouse Management System

ce que j'ai sous la dent pour l'instant :

https://www.unibravo.com/openbravo-warehouse-management/
https://www.slideshare.net/unibravo/openbravo-wms-warehouse-management-system-and-software 


http://wiki.openbravo.com/wiki/ERP_2.50:Openbravo_ERP_installation/fr

et j'ai encore odoo sous le coude

merci

slt
bernard


Bonjour,

Si pas besoin du module caisse (le POS est parfaitement fonctionnel 
mais demande de posséder une certification si vente auprès de 
particuliers, ceci pour être dans les normes de la loi de finances 
2016) : https://www.dolibarr.fr/


De mes lectures ils ont la certification

--
Daniel

HS - Azure et Linux

[Daniel Huhardeaux]

Pour information

https://www.zdnet.fr/actualites/c-est-qui-le-patron-sur-microsoft-azure-linux-39874301.htm

--
Daniel Huhardeaux
+33.368460...@tootai.netsip:8...@sip.tootai.net
+41.445532...@tootai.nettootaiNET

HS - Azure et Linux

[daniel huhardeaux]

Pour information

https://www.zdnet.fr/actualites/c-est-qui-le-patron-sur-microsoft-azure-linux-39874301.htm

--
Daniel Huhardeaux
+33.368460...@tootai.netsip:8...@sip.tootai.net
+41.445532...@tootai.nettootaiNET

Re: Relayer les alertes de sites distants

[daniel huhardeaux]

Le 21/09/2018 à 20:12, Ph. Gras a écrit :

Hello,


À quel moment l'OP a t'il précisé que les alertes sont émises par son serveur 
courriel ? De ma lecture ce sont X machines qui envoient ces messages …

2ème ligne du message :
"Dans ces réseaux j'ai un une machine sous Debian qui émet de temps en temps (1 ou 2 
fois par an) des alertes par mail."

1 machine… qui émet… par mail.


Oui, mais cela ne veut toujours pas dire que c'est *cette* machine qui 
est le serveur courriel de l'organisation! C'est juste une machine qui 
émet. Sur le réseau de machines de l'OP il peut y en avoir une autre qui 
réceptionne l'ensemble des messages émis. Je persiste ...



[...]

De mon côté mon serveur mail est indépendant des machines distantes émettrices 
de ces messages. Utiliser gmail me permet une redondance.

OK, pourquoi pas la redondance, mais tu pourrais utiliser n'importe quoi 
d'autre pour l'obtenir, non ?


Quelle est ta définition de "n'importe quoi d'autre"? S'il s'agit de 
fournisseur de service courriel, oui bien sûr. Je pourrai moi même faire 
la redondance sur un second serveur MX de l'organisation. Même un 3ème. 
Le tout est de savoir ce que l'on veut et quels moyen(s) on est prêt à y 
mettre.


[...]

--
Daniel

Re: Relayer les alertes de sites distants

[daniel huhardeaux]

Le 21/09/2018 à 19:18, Ph. Gras a écrit :

Bonsoiiir


[...]
Envoyer vers ton propre serveur

Pas très malin, vu que les alertes sont envoyées depuis cette machine :-P


À quel moment l'OP a t'il précisé que les alertes sont émises par son 
serveur courriel ? De ma lecture ce sont X machines qui envoient ces 
messages ...


De mon côté mon serveur mail est indépendant des machines distantes 
émettrices de ces messages. Utiliser gmail me permet une redondance.


[...]

--
Daniel

Re: Relayer les alertes de sites distants

[daniel huhardeaux]

Le 21/09/2018 à 17:05, Olivier a écrit :

Bonjour,


Bonjour



J'ai plusieurs réseaux sur des sites géographiques éloignés.
Dans ces réseaux j'ai un une machine sous Debian qui émet de temps en 
temps (1 ou 2 fois par an) des alertes par mail.


Jusqu'à présent, ces alertes sont envoyées via un compte GMail, plus 
ou moins dédié à cet usage: plusieurs machines disséminées sur toute 
la France utilisent ce compte pour émettre  des alertes.


Malheureusement, une fois sur deux, pour ne pas dire plus, GMail 
bloque ces envois car ils sont pour lui un caractère suspect.


J'envoie à partir de différentes adresses corriel vers un compte gmail 
dédié, le message est systématiquement accepté. Dans les paramètres du 
compte gmail j'envoie également une copie vers une autre adresse.



[...]

Quels suggestions et retour d'expérience ?


Envoyer vers ton propre serveur

--
Daniel

Re: OpenVPN sous Stretch avec systemd

[daniel huhardeaux]

Le 12/09/2018 à 10:53, roger.tar...@free.fr a écrit :

Bonjour

Bonjour

[...]
Quel est le comportement normal que doit avoir un client VPN qui se met en 
veille/hibernation ?
Ne devrait-il pas au préalable se déconnecter du serveur VPN ?

Pour quelle-s raison-s ?

Je vais examiner les paramètres du serveur pour voir si on peut l'obliger à 
vérifier plus souvent que le client connecté est présent sur le réseau ou s'il 
est juste inactif.

Quel est l'intérêt ?


* network-manager
Il me semble que l'état des connexions du système est parfois incohérent entre 
l'état réel, ce qu'affiche le menu graphique et ce qu'affiche le System 
settings/Network.
Est-ce network-manager qui est responsable de ça ?
Peut-on le configurer (ou d'autres composants) pour que les connexions du 
système soient gérées par systemd, manuellement ou par network-manager de 
manière cohérente ?
J'ai entendu quelquefois des informaticiens se plaindre de network-manager 
apparemment pour les mêmes raisons.
Ceci est un autre débat. Il y a quelques temps NM était une catastrophe, 
je trouve qu'il c'est stabilisé. Cela dit je continue à la mano avec le 
fichier interfaces et Wicd.


Concrètement, comment dois-je procéder pour faire gérer le client OpenVPN par 
network-manager ?

Option VPN du menu de NM en ayant pris soin d'installer nm-openvpn


Qu'est-ce qui est le plus robuste à l'utilisation ?
Configuration manuelle de /etc/network/interfaces et d'OpenVPN ou bien 
network-manager ?

à toi de tester et choisir ce qui te conviens le mieux.

- Original Message -
From: daniel huhardeaux 
To: debian-user-french@lists.debian.org
Sent: Sun, 09 Sep 2018 23:14:24 +0200 (CEST)
Subject: Re: OpenVPN sous Stretch avec systemd

Le 09/09/2018 à 20:28, roger.tar...@free.fr a écrit :

[...] et un message d'erreur ("Authenticate/Decrypt packet error:
cipher final failed") trop discrets d'OpenVPN

Il n'y a rien de discret dans OpenVPN, il suffit de mettre un verbose
élevé (=5 par ex) lorsque l'on rencontre des soucis et de le passer à un
niveau inférieur lorsque le VPN est validé fonctionnel.


[...]

Il semble que l'absence d'accès au réseau internet était causée par
cette "transaction en échec en boucle" qui se prolongeait entre le
client et le server OpenVPN.

Non, elle est dûe au fait que le routage était en place mais le VPN non
fonctionnel (route par défaut vers le VPN)


2/ la connaissance du système de configuration des réseaux avec
Stretch est encore plus d'actualité.
En effet, quand ça marche c'est bien, mais quand ça foire il est
crucial de savoir ce qui se passe.
Et là,rien n'a indiqué ce qui était en train de clocher.
De plus, je comprends que ce serait un système en cours de transition.

Comment faudrait-il procéder pour savoir dans quel état se trouve la
configuration de composants logiciels réseaux et la configuration
réseau d'une machine Stretch ?

Il n'y a pas de différences (peu éventuellement) entre la gestion réseau
Jessie et Stretch. Les programmes et configurations ont éventuellement
évoluées, il s'agit surtout de savoir qui fait quoi. Dans ton cas, tu
cherches dans le fichier interfaces alors que c'est network-manager qui
semble gérer le réseau (qui n'utilise pas le fichier interfaces). Il
faudrait pour être cohérent faire gérer le VPN également par
network-manage (ou rien et utiliser interfaces + conf OpenVPN à la mano).


--
Daniel

Re: Recommandations pour un PC portable "réparable"

[daniel huhardeaux]

Le 11/09/2018 à 14:51, MAS Jean-Louis a écrit :

Le 10/09/2018 à 12:52, Olivier a écrit :


Auriez-vous une recommandation ?

Les grandes marques qui possèdent des gammes professionnelles répondent
à ce cahier des charges dès que l'on exclut les portables ultra-légers.

Nommément Dell, HP et Lenovo à ma connaissance.

[...]


Je confirme: je n'ai eu que des Dell Latitude, actuellement un E7440 
avec écran tactile, 2 soucis en tout: CM remplacée par un technicien 
venu au bureau sur un précédent modèle, clavier rétro-éclairé envoyé 
(option "oubliée" à la construction) et remplacé perso. La batterie est 
interchangeable, la RAM non collée, HD accessible. Bref, ce que tu 
cherches. Et livré d'origine avec Linux ;)


--
Daniel

Re: OpenVPN sous Stretch avec systemd

[daniel huhardeaux]

Le 09/09/2018 à 20:28, roger.tar...@free.fr a écrit :
[...] et un message d'erreur ("Authenticate/Decrypt packet error: 
cipher final failed") trop discrets d'OpenVPN


Il n'y a rien de discret dans OpenVPN, il suffit de mettre un verbose 
élevé (=5 par ex) lorsque l'on rencontre des soucis et de le passer à un 
niveau inférieur lorsque le VPN est validé fonctionnel.



[...]

Il semble que l'absence d'accès au réseau internet était causée par 
cette "transaction en échec en boucle" qui se prolongeait entre le 
client et le server OpenVPN.


Non, elle est dûe au fait que le routage était en place mais le VPN non 
fonctionnel (route par défaut vers le VPN)




2/ la connaissance du système de configuration des réseaux avec 
Stretch est encore plus d'actualité.
En effet, quand ça marche c'est bien, mais quand ça foire il est 
crucial de savoir ce qui se passe.

Et là,rien n'a indiqué ce qui était en train de clocher.
De plus, je comprends que ce serait un système en cours de transition.

Comment faudrait-il procéder pour savoir dans quel état se trouve la 
configuration de composants logiciels réseaux et la configuration 
réseau d'une machine Stretch ?


Il n'y a pas de différences (peu éventuellement) entre la gestion réseau 
Jessie et Stretch. Les programmes et configurations ont éventuellement 
évoluées, il s'agit surtout de savoir qui fait quoi. Dans ton cas, tu 
cherches dans le fichier interfaces alors que c'est network-manager qui 
semble gérer le réseau (qui n'utilise pas le fichier interfaces). Il 
faudrait pour être cohérent faire gérer le VPN également par 
network-manage (ou rien et utiliser interfaces + conf OpenVPN à la mano).


--
Daniel