Re: Rendre persistante la cmde echo 1 > /proc/sys/net/netfilter/nf_conntrack_acct

[Olivier]

Voici les infos demandées:

# uname -a
Linux gsapilot 5.10.0-13-amd64 #1 SMP Debian 5.10.106-1 (2022-03-17)
x86_64 GNU/Linux

# sysctl -a|grep nf_conntrack_acct
0

# sysctl -p /etc/sysctl.d/foo.conf
net.ipv4.ip_forward = 1
net.netfilter.nf_conntrack_acct = 1

# sysctl -a|grep nf_conntrack_acct
1

Si je comprends bien, la commande "sysctl -p " déclenche
la mise à jour du paramètre net.netfilter.nf_conntrack_acct
mais cette commande n'est pas exécutée au démarrage ou bien elle est
exécutée mais son exécution ne donne pas l'effet escompté.

Le mer. 4 mai 2022 à 11:28, NoSpam  a écrit :
>
> Bonjour. Quelle version de kernel ? Que dit sysctl -p ? Puis sysctl -n
> net.netfilter.nf_conntrack_acct ?
>
> Le 04/05/2022 à 11:17, Olivier a écrit :
> > Bonjour,
> >
> > Pour activer l'accounting de conntrack, j'utilise:
> > echo 1 > /proc/sys/net/netfilter/nf_conntrack_acct
> >
> > Comment rendre cette commande persistante (ie qu'elle soit
> > automatiquement lancée au démarrage) ?
> >
> > J'ai essayé avec un fichier /etc/sysctl.d/foo.conf et le contenu ci-après.
> > net.ipv4.ip_forward=1
> > net.netfilter.nf_conntrack_acct=1
> >
> > J'observe que seule la première ligne produit l'effet escompté:
> > # sysctl net.ipv4.ip_forward
> > 1
> > # sysctl net.netfilter.nf_conntrack_acct
> > 0
> >
> > Je ne vois aucun message d'erreur dans les logs.
> >
> > Slts
>

Rendre persistante la cmde echo 1 > /proc/sys/net/netfilter/nf_conntrack_acct

[Olivier]

Bonjour,

Pour activer l'accounting de conntrack, j'utilise:
echo 1 > /proc/sys/net/netfilter/nf_conntrack_acct

Comment rendre cette commande persistante (ie qu'elle soit
automatiquement lancée au démarrage) ?

J'ai essayé avec un fichier /etc/sysctl.d/foo.conf et le contenu ci-après.
net.ipv4.ip_forward=1
net.netfilter.nf_conntrack_acct=1

J'observe que seule la première ligne produit l'effet escompté:
# sysctl net.ipv4.ip_forward
1
# sysctl net.netfilter.nf_conntrack_acct
0

Je ne vois aucun message d'erreur dans les logs.

Slts

Re: Comment réserver à un seul fichier des logs en provenance d'une application donnée

[Olivier]

Malheureusement, pour une raison bien mystérieuse, l'option --log
ampute les logs des colonnes IPfw et Portfw (on conserve les IPsrc,
IPdst mais pas l'IPfw) !
Dans l'hypothèse où cette amputation ne serait réversible, il faut
jouer avec les logs complets qui sont présents dans journald, syslog
etc ...

Le jeu. 14 avr. 2022 à 00:27, didier gaumet  a écrit :
>
> Salut,
>
> Je n'ai jamais utilisé natlog
>
> mais sa page man me suggère de s'intéresser à son fichier de configuration et 
> aux options de lancement:
>  --log=argument (pour désactiver le log système en activant le log dans un 
> fichier particulier)
> et
>  --log-rotate=spec (pour la rotation et la rétention)
>
> par exemple
>
> pour spécifier où atterrit le logging:
> --log=/chemin/de/ton/fichier.log
> et pour une rotation d'un jour et une rétention de 365 jours, peut-être (je 
> ne suis pas sûr d'avoir compris la spécification du format):
> --log-rotate=time[1]365
>

Comment réserver à un seul fichier des logs en provenance d'une application donnée

[Olivier]

Bonjour,

Je teste l'application natlog sur Bullseye.
Comme son nom l'indique, elle loggue le détail de connexions NATées
avec des lignes comme:

NATLOG: from 1338990672:55588 thru 1338990747:807100 (UTC): tcp
192.168.19.72:4467 (via: 129.125.90.132:4467) to
to 200.49.219.180:443; sent: 802, received: 7669

Ces lignes se distinguent des autres par le préfixe NATLOG: en début de ligne.
Mon soucis premier, pour des raisons de:
1. maîtrise de l'espace disque
2. de confidentialité
3. d'appliquer une politique de rétention spécifique (1 an pour les
données de natlog, 7 jours pour le reste)
est dans dans un premier d'éviter que ces lignes soient répétées dans
les différents journaux de log, qu'ils soient binaires ou textuels.

En particulier, par défaut, la commande journalctl m'affiche ces
lignes NATLOG. J'imagine qu'elles sont donc présentes dans les
fichiers du répertoire /var/log/journal.
D'autre part, j'observe la présence de ces lignes dans les fichiers
daemon.log et syslog.

J'imagine deux voies:
A. Paramétrer rsyslog pour dupliquer une fois de plus ces données en
les consignant dans un fichier à part, et appliquer une rétention
spécifique sur ce fichier (avec logrotate)

B. Paramétrer les outils de log (journal ? rsyslogd ?) pour qu'ils
ignorent ces lignes dans leurs propres journaux (est-ce simplement
possible ?) tout en les mettant à disposition des autres daemons de
log en aval.

Que conseillez-vous ?

Slts

[RESOLU] Re: Wireshark ne décode pas certains AVP Radius, pourtant présents dans ses dictionnaires

[Olivier]

Le lun. 11 avr. 2022 à 15:13, Roberto C. Sánchez  a écrit :
>
> On Mon, Apr 11, 2022 at 08:29:45AM +0200, Olivier wrote:
> > @Roberto:
> > Je souhaiterai que Wireshark décode les attributs 186, 187 ou 188 au
> > lieu d'afficher Unknown-Attribute.
> >
> > J'avais imaginé qu'une erreur de config ou un choix d'option de
> > compilation empêchait wireshark d'utiliser le dictionnaire
> > /usr/share/wireshark/radius/dictionnaru.rfc7268 contenant la
> > définition de ces attributs.
> >
>
> Sur mon PC (Buster, avec wireshark 2.6.20-0+deb10u3), il y a le suivant
> aux premières lignes du fichier /usr/share/wireshark/radius/dictionary:
>
> # 2014-11-03 Comment out
> # dictionary.rfc7155
> # dictionary.rfc7268
>
> Ensuite plus bas (ligne 125):
>
> #$INCLUDE dictionary.rfc7268
>
> Peut-être que décommenter cette ligne pourrait donner le résultat
> souhaité.
>
> Salut,
>
> -Roberto
>
> --
> Roberto C. Sánchez
>

En effet, dé-commenter la ligne "#$INCLUDE dictionary.rfc7268":

- provoque une erreur sur les lignes 26 et 37 du fichier dictionnary.rfc7268
- mais permet en échange une lecture correcte des paramètres AVP 186, 187 etc.

Une première solution serait sans doute de corriger ce fichier
dictionary.rfc7268 (et le rfc7155 qui doit lui aussi avoir une
erreur).

Merci à tous !

Merci infiniment à tous pour vos réponses

Re: Wireshark ne décode pas certains AVP Radius, pourtant présents dans ses dictionnaires

[Olivier]

@Roberto:
Je souhaiterai que Wireshark décode les attributs 186, 187 ou 188 au
lieu d'afficher Unknown-Attribute.

J'avais imaginé qu'une erreur de config ou un choix d'option de
compilation empêchait wireshark d'utiliser le dictionnaire
/usr/share/wireshark/radius/dictionnaru.rfc7268 contenant la
définition de ces attributs.

Le sam. 9 avr. 2022 à 14:16, Roberto C. Sánchez  a écrit :
>
> On Tue, Apr 05, 2022 at 02:46:06PM +0200, Olivier wrote:
> > Bonjour,
> >
> > En analysant du trafic Radius avec wireshark, sur Bullseye, je me rend
> > compte que certains attributs des messages Radius ne sont pas décodés.
> >
> > Plus précisément, dans un message Accounting-Request, il y a 3 AVP,
> > 186, 187 et 188 qui sont affichés avec t=Unkown-Attribute(186).
> >
> > Pourtant, dans /usr/share/wireshark/radius/dictionnaru.rfc7268, j'ai:
> >
> > # 8.4.2.27.2 of [IEEE-802.11], with values of OUI and Suite Type drawn
> > # from Table 8-99.
> > ATTRIBUTEWLAN-Pairwise-Cipher186integer
> >
> > # same as WLAN-Pairwise-Cipher
> > ATTRIBUTEWLAN-Group-Cipher187integer
> >
> > # in Suite selector format as specified in Figure 8-187
> > # within Section 8.4.2.27.2 of [IEEE-802.11], with values of OUI and
> > # Suite Type drawn from Table 8-101:
> > ATTRIBUTEWLAN-AKM-Suite188integer
> >
> >
> > Comment changer cela ?
> >
> Bonjour Olivier,
>
> Comment changer quoi ?  Tu voudrais changer la sortie de la commande
> wireshark ou le contenu du fichier ?
>
> Salut,
>
> -Roberto
>
> --
> Roberto C. Sánchez
>

Wireshark ne décode pas certains AVP Radius, pourtant présents dans ses dictionnaires

[Olivier]

Bonjour,

En analysant du trafic Radius avec wireshark, sur Bullseye, je me rend
compte que certains attributs des messages Radius ne sont pas décodés.

Plus précisément, dans un message Accounting-Request, il y a 3 AVP,
186, 187 et 188 qui sont affichés avec t=Unkown-Attribute(186).

Pourtant, dans /usr/share/wireshark/radius/dictionnaru.rfc7268, j'ai:

# 8.4.2.27.2 of [IEEE-802.11], with values of OUI and Suite Type drawn
# from Table 8-99.
ATTRIBUTEWLAN-Pairwise-Cipher186integer

# same as WLAN-Pairwise-Cipher
ATTRIBUTEWLAN-Group-Cipher187integer

# in Suite selector format as specified in Figure 8-187
# within Section 8.4.2.27.2 of [IEEE-802.11], with values of OUI and
# Suite Type drawn from Table 8-101:
ATTRIBUTEWLAN-AKM-Suite188integer


Comment changer cela ?

Slts

Re: [HS] Comment diffusez-vous les certificats aux utilisateurs WiFi ?

[Olivier]

Le mar. 22 mars 2022 à 16:24, Baptiste Chappe
 a écrit :
>
> Hello,
>
> Je pense que tu parles de 802.1X ?
Oui avec PEAP/MSCHAPv2

> Mise en place sur du Windows pour 2000 postes. 600 switchs et 3000 devices 
> exotiques (iphone).
>
> Pour windows, tu utilises une PKI qui émet un certificat machine+utilisateur.
> Ton radius se base sur ce cert et sur la PKI interne pour valider les auth.
>
> Pour les iphones, tu enrolls dans un MDM
Par curiosité, lequel ?

> et tu push un certificat. Ton tél aura le cert et pourras se connecter à ton 
> wifi.
> Conseil : Prépare ton process et ton intérêt à avoir du poste carré pour 
> éviter les problèmes. Bonne chance :)
>
> ++
>
> On Tue, Mar 22, 2022 at 4:11 PM Olivier  wrote:
>>
>> Hello,
>>
>> J'envisage de mettre en place un réseau WiFi WPA2 Entreprise auprès
>> d'utilisateurs :
>> - dont les connaissances informatiques varient du tout au tout (depuis
>> l'expert jusqu'au néophite),
>> - qui possèdent et gèrent leurs propres appareils (des smartphones
>> Android et PC sous Windows 10, en grande majorité, mais aussi quelques
>> Mac/iphone/machines Linux).
>>
>> Avec Android 11 a disparu la possibilité de se connecter à un réseau
>> WiFi WPA2 Entreprise sans validation des certificats.
>> Aussi j'imaginais utiliser un certificat auto-signé auprès des
>> utilisateurs avec le workflow suivant:
>>
>> - avant leur arrivée, les utilisateurs téléchargent le certificat
>> depuis le site web institutionnel,
>> - ils ajoutent ce certificat à leur trousseau en double-cliquant sur
>> ce certificat,
>> - une fois sur place, ils se connectent au réseau WiFi en désignant le
>> certificat préalablement téléchargé.
>>
>> En y réfléchissant de plus près:
>>
>> - je ne suis pas sûr que sur Windows/Android 10/11, il existe une
>> application "gérant les certificats"
>> - j'imagine qu'une (grande) majorité des utilisateurs ne téléchargera
>> rien à l'avance et s'attendra à télécharger depuis le réseau cible, ce
>> qu'il faut pour se connecter au réseau cible (on se mord la queue),
>> - les appareils acceptent-ils tous des durées de validité des
>> certificats du même ordre de grandeur ?
>>
>> 1. Avez-vous de l'expérience à partager sur le sujet ?
>> 2. Connaissez-vous un certificat commercial miraculeux universel qui
>> évite le chargement préalable ?
>> 3. Conseils ? Suggestions ?
>>
>> Slts
>>

[HS] Comment diffusez-vous les certificats aux utilisateurs WiFi ?

[Olivier]

Hello,

J'envisage de mettre en place un réseau WiFi WPA2 Entreprise auprès
d'utilisateurs :
- dont les connaissances informatiques varient du tout au tout (depuis
l'expert jusqu'au néophite),
- qui possèdent et gèrent leurs propres appareils (des smartphones
Android et PC sous Windows 10, en grande majorité, mais aussi quelques
Mac/iphone/machines Linux).

Avec Android 11 a disparu la possibilité de se connecter à un réseau
WiFi WPA2 Entreprise sans validation des certificats.
Aussi j'imaginais utiliser un certificat auto-signé auprès des
utilisateurs avec le workflow suivant:

- avant leur arrivée, les utilisateurs téléchargent le certificat
depuis le site web institutionnel,
- ils ajoutent ce certificat à leur trousseau en double-cliquant sur
ce certificat,
- une fois sur place, ils se connectent au réseau WiFi en désignant le
certificat préalablement téléchargé.

En y réfléchissant de plus près:

- je ne suis pas sûr que sur Windows/Android 10/11, il existe une
application "gérant les certificats"
- j'imagine qu'une (grande) majorité des utilisateurs ne téléchargera
rien à l'avance et s'attendra à télécharger depuis le réseau cible, ce
qu'il faut pour se connecter au réseau cible (on se mord la queue),
- les appareils acceptent-ils tous des durées de validité des
certificats du même ordre de grandeur ?

1. Avez-vous de l'expérience à partager sur le sujet ?
2. Connaissez-vous un certificat commercial miraculeux universel qui
évite le chargement préalable ?
3. Conseils ? Suggestions ?

Slts

Re: [HS] Android pour la bureautique

[Olivier]

Merci pour toutes ces réponses.
Un chromebook aurait du sens mais pouvoir modifier des documents sans
accès à Internet est important.

Après réflexion, je pense que je vais chercher un PC portable sous Linux:
- plus facile à administrer,
- plus sûr,
- interface utilisateur avec moins de fioriture.

Le lun. 21 mars 2022 à 13:01, Wallace  a écrit :
>
> Bonjour,
>
> Je ne recommande pas les tablettes pour faire de la bureautique, plusieurs 
> clients qui ont testé c'est pas pratique, quand on rédige on a souvent soit 
> une page web soit d'autres documents à côté or le multi fenêtre sous Android 
> c'est pas terrible et pratique.
>
> Si tu souhaites le côté portable d'une tablette, autant partir sur les 
> tablettes windows, en occasion ou en neuf ça fera l'affaire et tu as un vrai 
> système en dessous Windows ou Linux.
>
> Sinon partir sur des ultra portables ça peut être aussi compact que tablette.
>
> Bonne journée
>
> Le 21/03/2022 à 10:54, Olivier a écrit :
>
> Bonjour,
>
> Pour différentes raisons, j'envisage de remplacer un PC portable par
> une tablette Android avec clavier.
>
> Ce PC portable est quasi-exclusivement utilisé pour du surf sur
> Internet et l'édition de documents LibreOffice, échangés par courriel.
>
> Autant le surf sur Internet me parait dans les cordes d'une tablette,
> autant l'utilisation de LibreOffice ne me parait pas si évidente que
> cela, tant d'un point de vue matériel (qualité du clavier des
> tablettes, ...) que logiciel.
>
> J'ai lu dans le magasin d'application Android, des commentaires sur la
> version de LibreOffice publiée par Collabora.
> Je trouve ces commentaires assez "déconcertants".
>
> C'est pourquoi je préfère poser la question ici.
>
> 1. Que pensez-vous de LibreOffice sur Android ?
> Est-ce utilisable au quotidien pour quelqu'un habitué à utiliser
> l'explorateur de fichiers pour trouver ses documents ?
>
> 2. Quel dispositions en terme de sécurité (antivirus, contrôle du
> téléchargement d'applications) (*) ?
>
> Slts
>
> (*) Une des raisons du passage à Android serait d'obtenir pour moi un
> peu de répit de la part de personnes convaincues tous les 2 jours
> d'avoir un virus, à la moindre anomalie ;-))
>

Python3: comment importer des données dans /usr/local/etc ?

[Olivier]

Bonjour,

J'ai quelques scripts rédigés en Python3.
J'aimerai les organiser de la façon suivante:

/usr/local/
|
---etc/
||
|   maconfig.py
|
--- bin/
 |
 --- monpackage/
  |
  --- __init__.py
  --- monscript.py

Dans mon fichier maconfig.py, j'ai simplement:
FOO = 'foo'

Dans mon fichier monscript.py, j'aimerai avoir quelque chose comme

from maconfig import FOO
print(FOO)

Mes questions:

1. Est-ce possible (en évitant des liens symboliques entre les
sous-répertoires bin et etc) ? Si oui, que mettre dans __init__.py ?
Que modifier dans les fichiers maconfi.py et monscript.py ?

2. Si non, quelle organisation conseillez-vous  pour rester le plus
conforme à la FHS ?

Slts

Re: Quels problèmes posés par un NAT sur plusieurs liens Internet ?

[Olivier]

À chaud, je pense qu'un algo répartissant le trafic en n'utilisant que
l'IP Source (ie l'IP privée) devrait mieux me convenir: un
utilisateur,
pendant la même session, est toujours vu avec la même IP publique, ce
qui colle assez bien à l'utilisation d'Internet avec un CPE classique.
Si l'IP publique change d'une session à l'autre, c'est pas grave.

Alternativement, on peut remplacer un routage dynamique par un routage
déterministe qui force pour chaque utilisateur un chemin donné mais ma
question demeure:
quelles sont les applications "fragiles" ou sensibles au load balancing ?

Le lun. 21 mars 2022 à 10:51, Pierre Malard  a écrit :
>
> Salut,
>
> Peut-être un simple problème de route ambiguë !
>
> Le 21 mars 2022 à 09:47, Olivier  a écrit :
>
> Bonjour,
>
> Je travaille sur des système sous Debian Bullseye devant implémenter
> la fonction routage vers Internet et NAT pour 100 à 200 utilisateurs
> d'un réseau WiFi.
> Pour améliorer les performances et la continuité de service, ces
> routeurs seront connectés à deux liens FTTH en mode actif-actif.
>
> J'observe que dans sa configuration par défaut, la fonction Equal Cost
> Multi Path de Linux s'appuie sur un 5-uplet IP Srce/Dest, Port
> Srce/Dest, type de protocole IP pour choisir le lien en sortie.
> Choisir avec ce 5-uplet fait, si j'ai bien compris, que le noyau peut,
> pour une application comme SIP, faire sortir le flux de signalisation
> par le lien n°1, et le flux media par le lien n°2 puisque ces 2 flux
> utilisent des ports différents.
>
> On peut considérer que la capacité d'une "application Internet" à bien
> fonctionner dans un environnement où un utilisateur est simultanément
> actif via plusieurs IP publiques distinctes est du ressort de celui
> qui met en ligne ces applications. En d'autres termes, à charge pour
> l'exploitant du service SIP de notre exemple de se débrouiller.
>
> Néanmoins, je serai très intéressé de connaître les "utilisations
> classiques d'Internet pouvant être mises à mal par le passage d'une à
> plusieurs IP publiques" et de comprendre la raison pour laquelle ces
> applications dys-fonctionnent quand on introduit l'ECMP ou quelque
> chose d'équivalent.
>
> Connaissez-vous une norme, une étude, un lien qui liste ces
> applications perturbées par la répartition de charge ?
>
> Avec mon moteur de recherche, des choses comme "ECMP breaks" ne donne
> rien de bien pertinent.
>
> Slts
>
>
> --
> Pierre Malard
>
>
>|\  _,,,---,,_
>/,`.-'`'-.  ;-;;,_
>   |,4-  ) )-,_. ,\ (  `'-'
>  '---''(_/--'  `-'\_) πr
>
> perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  ) )-,_. 
> ,\ (  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_): 
> 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
> - --> Ce message n’engage que son auteur <--
>

[HS] Android pour la bureautique

[Olivier]

Bonjour,

Pour différentes raisons, j'envisage de remplacer un PC portable par
une tablette Android avec clavier.

Ce PC portable est quasi-exclusivement utilisé pour du surf sur
Internet et l'édition de documents LibreOffice, échangés par courriel.

Autant le surf sur Internet me parait dans les cordes d'une tablette,
autant l'utilisation de LibreOffice ne me parait pas si évidente que
cela, tant d'un point de vue matériel (qualité du clavier des
tablettes, ...) que logiciel.

J'ai lu dans le magasin d'application Android, des commentaires sur la
version de LibreOffice publiée par Collabora.
Je trouve ces commentaires assez "déconcertants".

C'est pourquoi je préfère poser la question ici.

1. Que pensez-vous de LibreOffice sur Android ?
Est-ce utilisable au quotidien pour quelqu'un habitué à utiliser
l'explorateur de fichiers pour trouver ses documents ?

2. Quel dispositions en terme de sécurité (antivirus, contrôle du
téléchargement d'applications) (*) ?

Slts

(*) Une des raisons du passage à Android serait d'obtenir pour moi un
peu de répit de la part de personnes convaincues tous les 2 jours
d'avoir un virus, à la moindre anomalie ;-))

Quels problèmes posés par un NAT sur plusieurs liens Internet ?

[Olivier]

Bonjour,

Je travaille sur des système sous Debian Bullseye devant implémenter
la fonction routage vers Internet et NAT pour 100 à 200 utilisateurs
d'un réseau WiFi.
Pour améliorer les performances et la continuité de service, ces
routeurs seront connectés à deux liens FTTH en mode actif-actif.

J'observe que dans sa configuration par défaut, la fonction Equal Cost
Multi Path de Linux s'appuie sur un 5-uplet IP Srce/Dest, Port
Srce/Dest, type de protocole IP pour choisir le lien en sortie.
Choisir avec ce 5-uplet fait, si j'ai bien compris, que le noyau peut,
pour une application comme SIP, faire sortir le flux de signalisation
par le lien n°1, et le flux media par le lien n°2 puisque ces 2 flux
utilisent des ports différents.

On peut considérer que la capacité d'une "application Internet" à bien
fonctionner dans un environnement où un utilisateur est simultanément
actif via plusieurs IP publiques distinctes est du ressort de celui
qui met en ligne ces applications. En d'autres termes, à charge pour
l'exploitant du service SIP de notre exemple de se débrouiller.

Néanmoins, je serai très intéressé de connaître les "utilisations
classiques d'Internet pouvant être mises à mal par le passage d'une à
plusieurs IP publiques" et de comprendre la raison pour laquelle ces
applications dys-fonctionnent quand on introduit l'ECMP ou quelque
chose d'équivalent.

Connaissez-vous une norme, une étude, un lien qui liste ces
applications perturbées par la répartition de charge ?

Avec mon moteur de recherche, des choses comme "ECMP breaks" ne donne
rien de bien pertinent.

Slts

Re: Disques ssd sensibles aux coupures brutales ?

[Olivier]

Le sam. 12 mars 2022 à 00:30, Daniel Caillibaud  a écrit :
>
> Bonjour,
>
> Je reviens sur ce thread parce que :
>
> Le 04/03/22 à 17:21, Olivier  a écrit :
> > Mon objectif est d'éviter d'endommager un disque (toujours de type SSD ou 
> > NVMe) à cause d'une
> > coupure brutale de courant.
>
> m'étonne un peu.
>
> Un disque ssd est vraiment sensible à une coupure brutale ?
>
> Je me souviens™ du devoir de parquer les disques avant d'éteindre un PC, mais 
> c’était au siècle
> dernier !
>
>
La question est vraiment très intéressante.
Merci beaucoup de la poser.

Au 21ème siècle, j'ai eu de multiples pannes de machines refusant de
démarrer à cause d'une incohérence dans le système de fichier.
La solution était souvent de déclencher un simple fsck.
C'est une opération assez difficile sur des machines headless sans
aucun informaticien aux alentours.

Par contre, si ma mémoire ne me trompe pas, je crois n'avoir rencontré
ce cas qu'avec des disques SATA.
Je sais que j'ai eu des coupures électriques sauvages et sans
conséquence avec des disques NVMe mais je ne sais pas si on peut
attribuer l'absence de conséquence à la chance ou à autre chose.

Néanmoins, je crois que des disques NVMe ont des mécanismes qui les
protègent contre les coupures sauvages.
Couplés à des onduleurs télé-administrables et des cartes mères
supportant la fonction "Power ON: Last State", on a peut-être une
solution simple re-démarrant automatiquement même si la route est
longue (cf [1])

[1] https://www.tomshardware.com/news/sk-hynix-sabrent-rocket-ssds-data-loss

Outil en CLI pour convertir une IPv4 en entier et réciproquement

[Olivier]

Bonjour,

Qui connait le nom d'un paquet Debian comprenant un outil de
conversion d'IPv4 en entier et réciproquement ?
Sauf erreur ipcalc et ipcalc-ng ne font pas cette conversion.

J'ai trouvé des exemples en bash, ici ou là mais regarderai volontiers
un outil dédié.

Slts

Re: Quel(s) serveur(s) DHCP pour 250 LAN de petite taille (/28) ?

[Olivier]

Très intéressant !
Je n'y a avais pas pensé du tout !

Dans mon labo, le serveur DHCP fait office de routeur mais sur
l'implémentation cible, il est possible que ce rôle soit confié à une
machine tierce.
Dans les 2 cas, il faudra savoir configurer en masse les réseaux et
les relais DHCP.

Le ven. 11 mars 2022 à 14:43, Erwan David  a écrit :
>
> Le 11/03/2022 à 12:48, Olivier a écrit :
> > Bonjour,
> >
> > Je souhaite mettre en place sur une machine Bullseye, un service DHCP
> > traitant 250 réseaux locaux de petite taille (/28 soit 16 adresses)
> > mais chacun avec 1 ou 2 machines connectées, au maximum.
> >
> > 1. Qui a déjà mis en oeuvre ce type de chose ? Avec quels composants ?
> > Quel retour d'expérience ?
> >
> > 2. Je connais le serveur DHCP d'ISC. J'ai l'habitude de lister les
> > interfaces sur lesquelles il écoute
> > en complétant la ligne INTERFACESv4 du fichier /etc/default/interfaces.
> > Existe-t-il une autre façon de fournir la liste des interfaces ?
>
> Plutôt que d'avoir ton serveur avec une interface dans chacun de tes 250
> réseaux, tu peux utiliser un relais dhcp (par exemple sur le ou les
> touteurs qui relient tes réseaux) C'est plus simple puisque ton serveur
> DHCP n'a qu'une uinterface. Le relais lui envoie l'adresse de
> l'interface qui a reçu la reqêute et ton serveur trouve le pool
> correspondant.
>
> C'est très simple à mettre en place
>

Quel(s) serveur(s) DHCP pour 250 LAN de petite taille (/28) ?

[Olivier]

Bonjour,

Je souhaite mettre en place sur une machine Bullseye, un service DHCP
traitant 250 réseaux locaux de petite taille (/28 soit 16 adresses)
mais chacun avec 1 ou 2 machines connectées, au maximum.

1. Qui a déjà mis en oeuvre ce type de chose ? Avec quels composants ?
Quel retour d'expérience ?

2. Je connais le serveur DHCP d'ISC. J'ai l'habitude de lister les
interfaces sur lesquelles il écoute
en complétant la ligne INTERFACESv4 du fichier /etc/default/interfaces.
Existe-t-il une autre façon de fournir la liste des interfaces ?

3. Suggestions ? Conseils ?

Slts

[RESOLU] Re: Comment utilise-t-on un proxy SOCKS ?

[Olivier]

J'ai (enfin) testé l'option -D de SSH: pour quelqu'un qui passait son
temps à faire des ssh -L, elle change la vie et permet facilement de
travailler sur des réseaux distants !
J'ai trouvé que le lien [1] expliquait bien son objet.

En configurant  manuellement chromium ou firefox (ie en spécifiant des
paramètres de proxy), on accède facilement aux interfaces de gestion
des équipements sur un réseau distant.
J'ai brièvement testé Foxyproxy sur Firefox: ça fonctionne !

À l'inverse, une commande "chromium
--proxy-server=socks5://localhost:1234" n'a pas fonctionné.
Je n'ai pas poussé mes investigations.

Encore merci à tous pour votre aide

[1] https://ma.ttias.be/socks-proxy-linux-ssh-bypass-content-filters/

Le ven. 4 mars 2022 à 08:49, Olivier  a écrit :
>
> Le jeu. 3 mars 2022 à 14:07, Sébastien NOBILI
>  a écrit :
> >
> > Bonjour,
> >
> > Foxyproxy [1] permet de définir plusieurs configurations de proxy et des
> > règles (regex) pour l'utilisation de l'une ou l'autre. C'est idéal pour
> > ce type de besoin.
> >
> >  1: https://addons.mozilla.org/fr/firefox/addon/foxyproxy-standard/
> >
> > Sébastien
> >
> En effet, Foxyproxy a l'air parfaitement utile et existe aussi pour Chrome !
>
> Toutefois, en lançant une instance dédiée de FF via un script, j'ai
> l'espoir de lancer à la fois la commande SSH et la configuration du
> proxy associé.
> En consultant "man firefox", je vois qu'il est possible de désigner des 
> Profils.
> Peut-être qu'un profil contient des paramètres de proxy ?
>
> Par contre, "man chrome" montre un paramètre --proxy-server qui a
> l'air de bien correspondre.
>
> Il ne me reste qu'à essayer tout ça !

Re: Re : Comment éteindre un serveur proprement pour permettre le redémarrage automatique ?

[Olivier]

@Benoit:
C'est toute la question !
La doc de NUT détaille l'arrêt propre (par défaut à base de shutdown)
mais pour le démarrage "automatique": il n'y a rien.

Je ne sais pas si le Wake-on-LAN est nécessaire pour démarrer même si
jepense que non, d'après les message de Daniel et Sébastien.

À ce stade, je pense que j'ai besoin d'un onduleur:
- d'un onduleur
- capable d'arrêter ou démarrer individuellement ou successivement
deux prises de courant (une prise pour les équipements vitaux
nécessaires au démarrage, une autre pour d'autres équipements
secourus)
- capable de communiquer par le réseau (ou par USB avec un Pi sur
lequel NUT est installé), pour l'arrêt propre des machines
- de serveurs:
- capables d'exécuter les commandes d'arrêt (émises par l'onduleur
ou ses relais)
- capables de démarrer seuls quand le courant revient ( l'option
du BIOS "AfterPower Failure: Power On" ).

Le lun. 7 mars 2022 à 09:47, Benoît SZCZYGIEL  a écrit :
>
> Bonjour,
> En fait tu n'aura peut-être jamais de coupure de courant sur ton ordinateur. 
> Je m'explique, coupure secteur, l'onduleur prend le relais. Quand sa batterie 
> va baisser, il va envoyer ton ordinateur va s'arrêter. Si le courant revient 
> avant la fin de batterie de l'onduleur, ton ordinateur ne sera pas coupé 
> électriquement. Tu va devoir passer par un wakeonlan. Vérifie également que 
> ton onduleur redémarre automatiquement au retour du secteur, ce n'est pas 
> toujours le cas.
> Benoît
>

Re: Re : Comment éteindre un serveur proprement pour permettre le redémarrage automatique ?

[Olivier]

Le ven. 4 mars 2022 à 23:54, Sébastien Dinot  a écrit :
>
> nicolas.patr...@gmail.com a écrit :
>
> https://wiki.ipfire.org/addons/nut/detailed
>
Je vais de ce pas étudier ce doc.

Pour moi, avant de lire ce doc, le mystère c'est "arrêter le système
proprement" et "démarrer quand le courant revient".
Est-ce que l'option du BIOS "AfterPower Failure: Power On" correspond
à "démarrer quand le courant revient" ?
Signifie-t-elle que si pour une raison quelconque, je souhaite
éteindre le serveur, je dois arrêter ses services puis couper
l'alimentation par une action sur l'onduleur et non sur l'hôte
lui-même ?
Si c'est le cas, cela implique-t-il qu'a minima, l'onduleur doive être
pilotable par deux hôtes "indépendants" (un pour allumer l'hôte qui
est éteint) ?

Comment éteindre un serveur proprement pour permettre le redémarrage automatique ?

[Olivier]

Bonjour,

J'envisage de protéger des serveurs distants (de type NUC) avec un
"onduleur administrable". Mon objectif est d'éviter d'endommager un
disque (toujours de type SSD ou NVMe) à cause d'une coupure brutale de
courant.

J'accepte que les services soient interrompus tant que dure la panne
de courant mais j'aimerai qu'idéalement, les services redémarrent sans
intervention humaine quand le courant revient (si par chance, celui-ci
devait revenir sans action humaine).


Imaginons qu'un serveur distant protégé par cet onduleur
administrable, reçoive de ce dernier ou d'ailleurs, la notification
d'une panne de courant prolongée.

Quelle commande d'extinction-hibernation doit-il émettre afin :
1- qu'il consomme le minimum d'énergie tant que dure la panne de courant
2- qu'il re-démarre dès que le courant revient.

J'ai vu dans le BIOS une option "After Power Failure: Stay Off/Power
On Normal Boot/Power On PXE". Je l'ai essayé mais elle ne fonctionne
après une commande poweroff, ce qui me semble logique.

Une idée ?

Slts

Re: Utiliser Scrapy pour scripter des actions

[Olivier]

Le jeu. 3 mars 2022 à 11:19, Sabri KHEMISSA  a écrit :
>
> Bonjour,
>
> Tes équipements proposent-ils des fonctionnalités de gestion autres qu'une 
> interface web ?
> Exemples : ligne de commande, SNMP, API
> Ces fonctionnalités sont plus simples à scripter.

Excellente remarque !

En effet, la plupart des équipements ont soit une API accessible par
HTTP soit une interface en ligne de commande (SSH ou telnet).
Il est clair que ces interfaces sont plus stables dans le temps
(surtout pour les opérations simples que j'envisage) et sont justement
conçues pour la télé-gestion.
Par contre, ces interfaces sont assez différentes d'un produit ou d'un
constructeur à l'autre et reposent sur des protocoles réseau
différents (HTTP, telnet, SSH, ...) qu'il peut être fastidieux à
mettre en place pour une télé-administration.

Je me demandais si apprendre une bonne fois pour toute, des techniques
de scraping ne serait pas plus efficace sur la durée, face à la
variété des équipements.
En gros, je passe 2 jours pour scripter un premier équipement puis 1h
par nouvel équipement tandis qu'au niveau réseau, je n'ai que du HTTP
là où j'aurai mis 3h avec les API spécifiques.

Le témoignage d'un utilisateur de Scrapy serait très intéressant.

Re: Comment utilise-t-on un proxy SOCKS ?

[Olivier]

Le jeu. 3 mars 2022 à 14:07, Sébastien NOBILI
 a écrit :
>
> Bonjour,
>
> Foxyproxy [1] permet de définir plusieurs configurations de proxy et des
> règles (regex) pour l'utilisation de l'une ou l'autre. C'est idéal pour
> ce type de besoin.
>
>  1: https://addons.mozilla.org/fr/firefox/addon/foxyproxy-standard/
>
> Sébastien
>
En effet, Foxyproxy a l'air parfaitement utile et existe aussi pour Chrome !

Toutefois, en lançant une instance dédiée de FF via un script, j'ai
l'espoir de lancer à la fois la commande SSH et la configuration du
proxy associé.
En consultant "man firefox", je vois qu'il est possible de désigner des Profils.
Peut-être qu'un profil contient des paramètres de proxy ?

Par contre, "man chrome" montre un paramètre --proxy-server qui a
l'air de bien correspondre.

Il ne me reste qu'à essayer tout ça !

Re: Comment utilise-t-on un proxy SOCKS ?

[Olivier]

Le jeu. 3 mars 2022 à 10:40, NoSpam  a écrit :
>
>
> Le 03/03/2022 à 10:36, NoSpam a écrit :
> > Bonjour
> >
> > ssh -nNTCD 3180 user@ip_distante
> >
> > puis dans FF paramètres réseau => utiliser un proxy manue => Hote
> > soks=localhost Port=3180 Socks v5
> >
> > À partir de ce moment on a accès à toutes les machines du réseau
> > distant en http/https
> en allant sur
> http-s://ip_locale_sur_le_reseau_distant_que_lon_veut_atteindre
> >
Comme il me parait important de pouvoir continuer à surfer
(documentation, ...) pendant que j'opère sur un ou deux équipements
distants, n'aurai-je pas intérêt à lancer une instance de FF en lui
passant ces paramètres de proxy ?

En tout cas, merci des infos déjà communiquées: je vais les tester dès
que possible.
>

Utiliser Scrapy pour scripter des actions

[Olivier]

Bonjour,

Je me connecte souvent à des interfaces web de gestion d'équipements
informatiques (commutateurs, IP Phone, ...) pour y effectuer des
actions précises (rebooter, changer la configuration PoE d'une
interface Ethernet, ...).

À chaque fois, j'opère en :
1. ouvrant un onglet de mon navigateur Internet, sur une adresse et un
port particulier (très souvent, mon navigateur m'alerte car le
certificat de l'équipement est auto-signé)
2. en fournissant un login et un mot de passe
3. en cliquant alternativement sur des éléments de menu, des éléments
au centre de la page web et des boutons plus ou moins furtifs.

J'apprécierai de remplacer ces actions manuelles par un script.
J'ai lu quelques lignes sur le Web scraping.
Les exemples que j'ai vu ne correspondent pas exactement à ce que
j'opère (il s'agit souvent d'importer en masse des données).

Ma question est très simple:
- le Webscrping et un outil comme Scrapy sont-ils bien adaptés à ce
que je vise ?
- est-il facile de passer outre des alertes pour les certificats ?
- un tel script est-il robuste (j'accepte d'avoir à le refaire après
un changement de firmware) ?

Slts

Comment utilise-t-on un proxy SOCKS ?

[Olivier]

Bonjour,

J'ai découvert hier l'existence de l'option -D de SSH.
Je n'arrive pas à bien comprendre son utilisation.

Imaginons un serveur Debian sur un réseau "local distant".
J'ai un client VPN installée sur ce serveur.
Ce client VPN me permet de me connecter à distance au serveur depuis
mon PC portable.

1. Puis-je utiliser bine l'option -D de SSH pour me connecter, sans
modifier la configuration réseau du serveur, à des machines du même
réseau local que le serveur distant ?
(J'ai compris que c'était la raison d'être de cette option mais je
n'en suis pas sûr du tout).

2. Sur ce réseau local, j'ai un équipement quelconque (commutateur, IP
Phone, ...) qui possède une interface web de management.
Je souhaite atteindre cette interface web depuis un navigateur
Internet sur mon propre PC.
Comment procéder ?
En d'autres termes comment à la fois indiquer l'adresse et le port de
l'équipement et la passerelle SOCKS à utiliser ?
Doit-on changer le paramétrage réseau de mon PC portable ? de mon
navigateur Internet ?

Slts

Re: [HS] Construire une VM Android pour des tests de WiFi [RESOLU]

[Olivier]

Je n'avais pas pensé aux Raspberry mais je trouve que c'est une
excellente idée pour mon projet.

Merci beaucoup pour toutes ces réponses !

Re: Certificats RGS**

[Olivier]

J'ai lu https://linuxfr.org/users/aymerick-2/journaux/rgs-et-open-source
Les certificats ChamberSign semblent supporter Linux (à 220 E.HT/3 ans !)

Le jeu. 17 févr. 2022 à 17:47,  a écrit :
>
> Petits compléments en >> ci-dessous.
>
> Mathieu ROSSI
> Tél. 06 80 95 66 82
>
> -Message d'origine-
> De : Alain Vaugham 
> Envoyé : jeudi 17 février 2022 17:27
> À : debian-user-french@lists.debian.org
> Objet : Re: Certificats RGS**
>
> Le Thu, 17 Feb 2022 09:57:49 +0100,
> Luc Novales  a écrit :
>
> > c'est bien la mairie qui te donne ton adresse postale
> >> Mais parfois dans les petites villes, ni la Poste ni la Mairie ne 
> >> coopèrent vraiment à l'effort d'unification. On aboutit à des situations 
> >> ubuesques (ma seule adresse reconnue par le facteur n'est connue ni de la 
> >> Poste ni de certains logiciels d'achats en ligne). À gérer au cas par cas.
>
> Pour prouver son adresse physique on nous demande la facture de services 
> payants tel que l'eau/gaz/électricité/téléphone.
> >> Bien que le site Service Public dise qu'une facture de téléphone mobile 
> >> seul est un justificatif valable, de nombreuses administrations continuent 
> >> de les refuser. Prudence
>
> --
> Alain Vaugham
> Clef GPG : 0xDB77E054673ECFD2
>
>

Ouvrir un PDF signé avec Docusign. Associer un fichier à une application spécifique

[Olivier]

Bonjour,

J'ai dernièrement reçu un fichier PDF correspondant à un devis signé
avec Docusign.

Sur Debian Buster, l'application Visonneur de Document m'affiche "PDF
document is damaged".
Par contre, je peut ouvrir ledit fichier avec Firefox.

J'ai pensé à créer une extension de fichier comme docusignpdf, à
renommer mon fichier avec cette extension et à associer cette
extension à Firefox

Existe-t-il un moyen plus approprié pour associer une application
particulière (ici Firefox) à un fichier particulier ?

Slts

[HS] Construire une VM Android pour des tests de WiFi

[Olivier]

Bonjour,

J'ai besoin de temps de tester la connectivité de clients WiFi à une
infrastructure Unifi s'appuyant sur WPA2 Entreprise.

Comme les clients Android représentent une part importante des clients
WiFi et qu'en plus, la méthode de connexion d'Android a pas mal évolué
(entre la 10 et 12), je me demande s'il est possible d'utiliser une
machine virtuelleplutôt que d'acquérir:emprunter/détourner un
smartphone ou une tablette de chaque version.

J'anticipe 3 difficultés:
1. Trouver une distribution Android qui suit les derniers
développements d'Android et s'installe dans KVM/virtManager ou
alternative
2. Configurer la VM pour utiliser une clé WiFi "compatible"
3. Utiliser une VM Android avec clavier souris à la place d'un écran tactile.

Alternativement, si quelqu'un connaît une tablette Android 11 ou 12,
pas trop chère (<300 E.HT) ...

Slts

Re: Certificats RGS**

[Olivier]

Le mar. 15 févr. 2022 à 16:13,  a écrit :
>
> moi ça me coûte 240€ tous les 3 ans
>
Je trouve que c'est une somme extrêmement importante pour le service
rendu même si en surfant, j'ai vu des offres à 3 fois ce montant, la
moins chère étant de mémoire à 110 E.HT !

1. Par quoi se matérialisent ces certificats, quand on ne travaille
que sur Debian ? Par une clé  USB, par un logiciel, par un simple
fichier ?
2. D'un côté, Infogreffe donne une liste très limitée de fournisseurs
agréés (entre rentiers (*), on se serre les coudes), de l'autre,
j'imagine (naïvement) que l'on ne peut pas s'auto-proclamer
fournisseur RGS** sans réussir des tests d'interop.
Puis-je sans crainte me fournir chez le premier fournisseur RGS** venu
pour déposer mes comptes chez Infogreffe, pour ne pas les nommer ?

(*) Pour Infogreffe, les seuls certificats acceptés sont des avocats
et experts-comptables.

Re: Certificats RGS**

[Olivier]

Le mar. 15 févr. 2022 à 13:06, Wallace  a écrit :
>
> Les entreprises doivent de plus en plus dépenser des sommes inutiles à des 
> rentiers pour des services quasi nuls.
+1000 ;-)))

Certificats RGS**

[Olivier]

Bonjour,

Pour le dépôt de comptes en ligne, le site Infogreffe annonce "La
signature de la formalité est effectuée par le titulaire d''un
certificat électronique RGS**".

Comment obtenir un tel certificat RGS**, en évitant, si possible et
des raisons "sentimentales", ceux comme Certigreffe vendus par des
rentiers.

Slts

Re: Installer un scanner Canon MX320 sous Buster

[Olivier]

Merci beaucoup, Didier, pour l'info.
J'ai pu installer Scangear mais j'ai toujours le même message d'erreur
(enigmatique) avec scanimage.
Peut-être que scanimage (ou sane plus généralement) n'utilise tout
simplement ni Scangear ni les pilotes apportés par Scangear ?

Le mar. 8 févr. 2022 à 14:06, didier gaumet  a écrit :
>
> une petite recherche "scangear deb" amène sur le site canadien de Canon où la 
> version scangear2 4.10 relativement récente (2020) est téléchargeable, 
> comprenant les versions 32 et 64 bits:
> https://canoncanadafr.custhelp.com/app/answers/answer_view/a_id/1034243/~/scangear-mp-v.-4.10-for-linux-%28debian-packagearchive%29
>

Re: Re : bulleye et vieille carte graphique nvidia

[Olivier]

@Luc
J'avais compris que la principale raison de l'abandon par Nouveau des
vieilles cartes graphiques était l'impossibilité d'implémenter des
fonctions comme l'hibernation.

J'ai pour ma part une GeForce 8400 GS Rev. 2:
- dont le firmware ne se charge pas dans Bullseye
- qui fonctionne normalement (pour l'utilisation très simple que j'en ai)
- mais qui m'affiche un écran gris illisible en sortie de mise en
veille (au point de devoir re-démarrer)

Dois-je comprendre que dans ce cas de figure, les pilotes fournis par
NVidia sont plus complets ou bien au contraire, qu'ils sont au même
niveau fonctionnel que ceux de Nouveau ?


 [  42.401020] nouveau :01:00.0: firmware: failed to load
nouveau/nv98_fuc084 (-2)
 [  42.401029] firmware_class: See https://wiki.debian.org/Firmware
for information about missing firmware

Le lun. 7 févr. 2022 à 18:26, Luc Novales  a écrit :
>
> Bonsoir,
>
> Le 03/02/2022 à 20:20, Jose CHARTERS a écrit :
>
> Le 02/02/2022 à 09:32, nicolas.patr...@gmail.com a écrit :
>
> Le 01/02/2022 21:11:30, Jose CHARTERS a écrit :
> ...
>
> nvidia-detect, et celui ci me dit :
> Detected NVIDIA GPUs:
> 04:00.0 VGA compatible controller [0300]: NVIDIA Corporation G72
> [GeForce 7200 GS / 7300 SE] [10de:01d3] (rev a1)
> Checking card:  NVIDIA Corporation G72 [GeForce 7200 GS / 7300 SE]
> (rev a1)
> Your card is only supported by the 304 legacy drivers series, which is
> only available up to stretch.
>
> nvidia-ndetect a raison, ta carte n'est plus supportée dans le legacy-340.
>
> La dernière version du pilote qui la supporte est le 304, si le pilote 
> nouveau ne te suffit pas, celui ci devrait convenir.
>
> https://www.nvidia.fr/Download/driverResults.aspx/123849/fr
>
> Bonne soirée,
>
> Luc.
>
>

Re: Installer un scanner Canon MX320 sous Buster

[Olivier]

J'ai vu la même chose que toi: des pilotes canon mais pour une machine
i386 alors que la mienne est x86_64.

Par chance, la machine à laquelle est connecté ce scanner héberge des VM (KVM).
Peut-être qu'en dédiant une VM 32 bits à ça, je pourrai retomber sur mes pattes.

Le lun. 7 févr. 2022 à 21:04, Christophe Musseau
 a écrit :
>
>
>
> Le lun. 7 févr. 2022 à 19:55, Olivier  a écrit :
>>
>> Bonjour,
>>
>> J'ai une vieille multi-fonction Canon MX320 dotée d'une interface USB.
>> Je souhaite, dans un premier temps, l'utiliser comme scanner en ligne
>> de commande sur une machine sous Buster (les fonctions d'impression ne
>> m'intéressent pas).
>>
>> Elle est correctement détectée :
>> # scanimage -L
>> device `pixma:04A91736_154338' is a CANON Canon PIXMA MX320
>> multi-function peripheral
>>
>> Par contre :
>> # scanimage -d "pixma:04A91736_154338" > /tmp/foo.bar
>> scanimage: sane_read: Error during device I/O
>> ou
>> $scanimage -d "pixma:04A91736_154338" > /tmp/toto
>> scanimage: sane_read: Error during device I/O
>>
>> Dans mes logs je vois aussi quand j'allume le scanner:
>> systemd-udevd[11797]: Process '/bin/setfacl -m g:scanner:rw ' failed
>> with exit code 2.
>>
>> 1. Quelqu'un a-t-il utilisé avec succès la fonction scanner sous
>> Buster/x86_64 avec une machine Canon Pixma quelconque ? et sous
>> Bullseye ?
>>
>> 2. Un conseil ?
>>
>> Slts
>>
>>
>
>> Bonjour
>
>
> Sur le site de Canon on trouve divers pilotes pour des machines sous 
> Gnu/Linux. Y compris des paquets .deb. J'ai pu (et encore aujourd'hui) 
> utiliser trois ou quatre modèles Pixma avec Debian, sans souci. Pour le 
> modèle MX320 j'ai vu (rapidement) qu'il n'y avait que des pilotes pour i386.
>
> Bonne journée
>

Installer un scanner Canon MX320 sous Buster

[Olivier]

Bonjour,

J'ai une vieille multi-fonction Canon MX320 dotée d'une interface USB.
Je souhaite, dans un premier temps, l'utiliser comme scanner en ligne
de commande sur une machine sous Buster (les fonctions d'impression ne
m'intéressent pas).

Elle est correctement détectée :
# scanimage -L
device `pixma:04A91736_154338' is a CANON Canon PIXMA MX320
multi-function peripheral

Par contre :
# scanimage -d "pixma:04A91736_154338" > /tmp/foo.bar
scanimage: sane_read: Error during device I/O
ou
$scanimage -d "pixma:04A91736_154338" > /tmp/toto
scanimage: sane_read: Error during device I/O

Dans mes logs je vois aussi quand j'allume le scanner:
systemd-udevd[11797]: Process '/bin/setfacl -m g:scanner:rw ' failed
with exit code 2.

1. Quelqu'un a-t-il utilisé avec succès la fonction scanner sous
Buster/x86_64 avec une machine Canon Pixma quelconque ? et sous
Bullseye ?

2. Un conseil ?

Slts

Re: Test unitaire de réseau

[Olivier]

J'ai trouvé Flent, qui a l'air très (trop ?) complet et est déjà empaqueté.

[1] https://flent.org/index.html

Le lun. 7 févr. 2022 à 15:29, Pierre Couderc  a écrit :
>
> LXD peut être sympa pour cela, en regroupant plusieurs VM dans une
> machine,  même s'il passe - sous debian - par le discutable snap...
>
> On 2/7/22 14:56, Olivier wrote:
> > Bonjour,
> >
> > Il m'arrive souvent de livrer des équipements réseau (serveurs Debian,
> > routeurs, ...) dont l'assemblage doit satisfaire à des règles du type:
> > - une machine du VLAN11 doit pouvoir communiquer avec une machine du VLAN12
> > - une machine du VLAN11 doit pas pouvoir communiquer avec une machine du 
> > VLAN13
> > 
> >
> > Pour ce faire j'utilise deux ou trois PC connectés aux différents
> > équipements et je lance à la main quelques commandes du type ping,
> > iperf3, nc ou wget.
> >
> > J'aimerai mécaniser tout ce cela, à la manière des tests unitaires en
> > développement logiciel principalement pour éviter les régressions et
> > avoir une plus grande confiance.
> >
> > Plutôt qu'utiliser plusieurs machines, j'aimerai n'en utiliser qu'une
> > seule (j'imagine qu'il est plus simple de lancer les tests et lire
> > leurs résultats sur une seule machine), dotée de plusieurs interfaces
> > réseau, et de lancer un script unique lançant chaque test unitaire
> > mais s'il faut en utiliser plusieurs, j'en utiliserai plusieurs.
> >
> > Qui a déjà essayé un truc équivalent ?
> >
> > Slts
> >
>

Test unitaire de réseau

[Olivier]

Bonjour,

Il m'arrive souvent de livrer des équipements réseau (serveurs Debian,
routeurs, ...) dont l'assemblage doit satisfaire à des règles du type:
- une machine du VLAN11 doit pouvoir communiquer avec une machine du VLAN12
- une machine du VLAN11 doit pas pouvoir communiquer avec une machine du VLAN13


Pour ce faire j'utilise deux ou trois PC connectés aux différents
équipements et je lance à la main quelques commandes du type ping,
iperf3, nc ou wget.

J'aimerai mécaniser tout ce cela, à la manière des tests unitaires en
développement logiciel principalement pour éviter les régressions et
avoir une plus grande confiance.

Plutôt qu'utiliser plusieurs machines, j'aimerai n'en utiliser qu'une
seule (j'imagine qu'il est plus simple de lancer les tests et lire
leurs résultats sur une seule machine), dotée de plusieurs interfaces
réseau, et de lancer un script unique lançant chaque test unitaire
mais s'il faut en utiliser plusieurs, j'en utiliserai plusieurs.

Qui a déjà essayé un truc équivalent ?

Slts

Re: Clavier-souris sans-fil Logitech Bolt

[Olivier]

>
> Si tu souhaite basculer d’un PC à l’autre sur le même bureau (ou
> proche) je te conseillerai plutôt des outils de partage clavier/souris
> comme Barrier (OpenSource https://github.com/debauchee/barrier) ou
> Synergy (payant https://symless.com/synergy). Ils fonctionnent
> très bien, sont multi-plateformes et font cela en transparence.

Je ne connaissait pas Barrier et ça m'a l'air très intéressant car mon
objectif était de jongler entre un PC de bureau (sous Bullseye) et un
PC portable (bientôt sou Ubuntu 22.04).

Est-ce que Barrier, fonctionne:
sous Bullseye/Wayland
avec des serveurs "sans pile graphique" (ie sans Gnome, KDE, ...)
avec des versions de Barrier hétérogènes (celle de Bullseye avec celle
de Buster, par exemple).

Re: Gnome Fichiers: comment utiliser le signet Favoris

[Olivier]

Mea culpa:
Après
$ echo foo > ~/Documents/foo.txt

le fichier foo.txt est marquable comme favori !

Sur ma machine:
$ dpkg -l *nautilus*
Souhait=inconnU/Installé/suppRimé/Purgé/H=à garder
| 
État=Non/Installé/fichier-Config/dépaqUeté/échec-conFig/H=semi-installé/W=attend-traitement-déclenchements
|/ Err?=(aucune)/besoin Réinstallation (État,Err: majuscule=mauvais)
||/ Nom   Version  Architecture Description
+++-=---==>
ii  libnautilus-extension1a:amd64 3.38.2-1+deb11u1 amd64
libraries for nautilus components - runtime version
ii  nautilus  3.38.2-1+deb11u1 amd64
file manager and graphical shell for GNOME
ii  nautilus-data 3.38.2-1+deb11u1 all
data files for nautilus
ii  nautilus-extension-brasero3.12.2-6 amd64
CD/DVD burning integration for Nautilus
ii  nautilus-extension-gnome-terminal 3.38.3-1 amd64
GNOME terminal emulator application - Nautilus extensi>
un  nautilus-sendto
(aucune description n'est disponible)


En testant avec d'autres emplacements standard comme Images, Musique
ou Téléchargement: ça marche (ie le menu contextuel apparaît).
Par contre, le dossier /home/dupont/FOO: le menu contextuel n'apparaît pas !

Autres échecs:
cd /home/dupont/Images
ln -s ../FOO/bar.txt

cd /home/dupont/FOO
ln -s ../Images/foo.txt


Une idée ?

Le mer. 2 févr. 2022 à 12:27, didier gaumet  a écrit :
>
> peut-être y a-t-il une différence si on lance nautilus sous Gnome ou sous un 
> autre environnement, je ne sais pas.
> voilà ce qui est installé chez moi en rapport avec Nautilus:
> didier@hp-notebook14:~$ dpkg -l *nautilus*
> Souhait=inconnU/Installé/suppRimé/Purgé/H=à garder
> | 
> État=Non/Installé/fichier-Config/dépaqUeté/échec-conFig/H=semi-installé/W=attend-traitement-déclenchements
> |/ Err?=(aucune)/besoin Réinstallation (État,Err: majuscule=mauvais)
> ||/ Nom   Version  Architecture 
> Description
> +++-=---=
> ii  gir1.2-nautilus-3.0:amd64 3.38.2-1+deb11u1 amd64libraries 
> for nautilus components - gir bindings
> ii  libnautilus-extension1a:amd64 3.38.2-1+deb11u1 amd64libraries 
> for nautilus components - runtime version
> ii  nautilus  3.38.2-1+deb11u1 amd64file 
> manager and graphical shell for GNOME
> ii  nautilus-data 3.38.2-1+deb11u1 all  data 
> files for nautilus
> ii  nautilus-extension-brasero3.12.2-6 amd64CD/DVD 
> burning integration for Nautilus
> ii  nautilus-extension-burner:amd64   3.0.9-1  amd64CD/DVD 
> burning integration for Nautilus
> ii  nautilus-extension-gnome-terminal 3.38.3-1 amd64GNOME 
> terminal emulator application - Nautilus extension
> ii  nautilus-filename-repairer0.2.0-3  amd64Nautilus 
> extension for filename encoding repair
> ii  nautilus-sendto   3.8.6-3.1amd64easily 
> send files via email from within Nautilus
> ii  nautilus-share0.7.3-2+b1   amd64Nautilus 
> extension to share folder using Samba
> un  python-nautilus (aucune 
> description n'est disponible)
> ii  python3-nautilus  1.2.3-3+b1   amd64Python 
> binding for Nautilus components (Python 3 version)
> ii  seahorse-nautilus 3.11.92-4amd64Nautilus 
> extension for Seahorse integration
>

Re: Gnome Fichiers: comment utiliser le signet Favoris

[Olivier]

Je n'ai pas de menu contextuel Supprimer.
Quand je sélectionne Mettre à la corbeille, le fichier sélectionné est
déplacé dans l'emplacement Corbeille et y reste tant que je ne vide
pas la corbeille

Le mer. 2 févr. 2022 à 11:07, elguero eric  a écrit :
>
> Le mercredi 2 février 2022, 11:01:49 UTC+1, Olivier  a 
> écrit :
>
> Dans mon menu contextuel, je n'ai pas d'entrée "Marquer comme favori".
> (J'ai Ouvrir, Couper, Copier, Déplacer vers, Copier vers,  Mettre à la
> corbeille, Renommer, Compresser, Propriétés)
>
>
> pareil chez moi. Quelle est d'ailleurs la différence
> entre "mettre à la corbeille" et "supprimer" ?
>
> Eric Elguero
>

Re: Gnome Fichiers: comment utiliser le signet Favoris

[Olivier]

Dans mon menu contextuel, je n'ai pas d'entrée "Marquer comme favori".
(J'ai Ouvrir, Couper, Copier, Déplacer vers, Copier vers,  Mettre à la
corbeille, Renommer, Compresser, Propriétés)

Faut-il ajouter un greffon pour obtenir cette entrée ?

Le mer. 2 févr. 2022 à 10:18, didier gaumet  a écrit :
>
> bonjour,
>
> tu sélectionnes ce que tu veux mettre en favori et tu fais un clic droit pour 
> faire apparaître un menu contextuel dans lequel tu cliques sur "Marquer comme 
> favori". Par contre je n'ai pas trouvé comment supprimer le favori sans 
> supprimer l'entité...
>

Gnome Fichiers: comment utiliser le signet Favoris

[Olivier]

Bonjour,

J'ai installé Bullseye sur mon PC principal.
Dans l'application Gnome Fichiers, il y a sur la partie gauche de
l'écran, une liste de signets dont les signets Récents, Favoris et
Dossier personnel.

Comment utilise-t-on ce signet Favoris ?

J'ai imaginé que l'on pouvait marquer certains fichiers ou dossiers
comme favoris mais je n'ai pas trouvé la procédure correspondante
(j'ai trouvé une procédure pour ajouter un signet).
J'ai aussi imaginé qu'il existait un dossier nommé Favoris comme il
existe un dossier Téléchargement mais ce n'est pas le cas sur ma
machine.

Slts

Clavier-souris sans-fil Logitech Bolt

[Olivier]

Bonjour,

J'envisage d'acquérir un clavier et une souris sans fil pour faire de
l'administration système ou de la programmation.
Un peu par hasard, j'ai découvert une nouvelle gamme de produit sans
fil de Logitech nommée Bolt.

À l'inverse d'Unifying, celle-ci s'appuie sur Bluetooth.

1. Logitech Bolt est-il compatible avec Bullseye ? Si oui, est-ce que
le fonctionnement est stable et satisfaisant (latence, ...) ? Doit-on
installer le paquet solaar  ou autre chose pour communiquer avec un
hôte Debian ?

2. J'ai un PC portable doté du Bluetooth. Le dongle USB de Logitech
est-il indispensable ?

3. Est-il possible et facile d'utiliser un unique clavier avec 2 PC ?
Avec un smartphone ou une tablette ?

4. Un modèle à conseiller ?

Slts

[RESOLU] Re: Coupures OpenVPN (Inactivity timeout)

[Olivier]

Je me sens un peu bête mais j'avais deux instances du client OpenVPN
qui "tournaient en parallèle". En supprimant l'une des deux instances,
tout est rentré dans l'ordre.

Merci pour votre aide !



Le jeu. 27 janv. 2022 à 16:54, NoSpam  a écrit :
>
> Bonjour
>
> Le 27/01/2022 à 16:41, Olivier a écrit :
> > Bonjour,
> >
> > J'ai un serveur OpenVPN sur Debian 9, sur une machine fournie par un
> > hébergeur Internet.
> > À ce serveur, j'ai une cinquantaine de clients OpenVPN sur machine
> > Debian de toutes les générations (Jessie, à Bullseye).
> > Depuis quelques mois, j'observe des déconnexions temporaires.
> >
> > Sur une nouvelle machine dotée de Bullseye, j'ai décidé d'investiguer.
> >
> > Dans les logs du client, j'ai la séquence ci-après répétée toutes les
> > 230 sec.2022-01-27 15:41:24 [server] Inactivity timeout
> > (--ping-restart), restarting
> > 2022-01-27 15:41:24 SIGUSR1[soft,ping-restart] received, process restarting
> > 2022-01-27 15:41:29 WARNING: No server certificate verification method
> > has been enabled.  See http://openvpn.net/howto.html#mitm for more
> > info.
> > 2022-01-27 15:41:29 TCP/UDP: Preserving recently used remote address:
> > [AF_INET]1.2.3.4:1194
> > 2022-01-27 15:41:29 UDP link local: (not bound)
> > 2022-01-27 15:41:29 UDP link remote: [AF_INET]1.2.3.4:1194
> > 2022-01-27 15:41:29 [server] Peer Connection Initiated with
> > [AF_INET]1.2.3.4:1194
> > 2022-01-27 15:41:30 Preserving previous TUN/TAP instance: tun0
> > 2022-01-27 15:41:30 Initialization Sequence Completed
> >
> > Voici la config du client:
> > client
> > dev tun
> > proto udp
> > remote 1.2.3.4 1194
> > resolv-retry infinite
> > nobind
> > user nobody
> > group nogroup
> > persist-key
> > persist-tun
> > ca /etc/openvpn/client/ca.crt
> > cert /etc/openvpn/client/client_vie.crt
> > key /etc/openvpn/client/client_vie.key
> > comp-lzo
> > verb 1
> > ping 30
>
>
> Je remplacerai ping 30 par keep-alive 10 60 et rajouterai tun-mtu 1500,
> sur le serveur également. Pas de mssfix ?
>
>
> >
> >
> > Voici la config du serveur:
> > port 1194
> > proto udp
> > dev tun
> > topology subnet
> > ca /etc/openvpn/easy-rsa/keys/ca.crt
> > cert /etc/openvpn/easy-rsa/keys/server.crt
> > key /etc/openvpn/easy-rsa/keys/server.key
> > dh /etc/openvpn/easy-rsa/keys/dh1024.pem
> > server 10.19.0.0 255.255.254.0
> > ifconfig-pool-persist /etc/openvpn/server1/ipp.txt
> > client-to-client
> > keepalive 10 120
> > comp-lzo
> > user nobody
> > group nogroup
> > persist-key
> > persist-tun
> > status /etc/openvpn/server1/openvpn-status.log
> > verb 1
> >
> > Je lance en parallèle deux séries de ping:
> > ping -c120 -q 1.2.3.4
> > ping -c120 -q 10.19.0.1
> >
> > Aucune perte, sur la première. des pertes significatives sur la deuxième.
> >
> > Naivement, je pensais que le ping 10.19.0.1 a lieu seul, génère de
> > l'activité OpenVPN qui interdit en retour le inactivity Timeout.
> >
> > Qu'en pensez-vous ?
> > Dans quelle direction chercher ?
> >
> > Slts
>

Coupures OpenVPN (Inactivity timeout)

[Olivier]

Bonjour,

J'ai un serveur OpenVPN sur Debian 9, sur une machine fournie par un
hébergeur Internet.
À ce serveur, j'ai une cinquantaine de clients OpenVPN sur machine
Debian de toutes les générations (Jessie, à Bullseye).
Depuis quelques mois, j'observe des déconnexions temporaires.

Sur une nouvelle machine dotée de Bullseye, j'ai décidé d'investiguer.

Dans les logs du client, j'ai la séquence ci-après répétée toutes les
230 sec.2022-01-27 15:41:24 [server] Inactivity timeout
(--ping-restart), restarting
2022-01-27 15:41:24 SIGUSR1[soft,ping-restart] received, process restarting
2022-01-27 15:41:29 WARNING: No server certificate verification method
has been enabled.  See http://openvpn.net/howto.html#mitm for more
info.
2022-01-27 15:41:29 TCP/UDP: Preserving recently used remote address:
[AF_INET]1.2.3.4:1194
2022-01-27 15:41:29 UDP link local: (not bound)
2022-01-27 15:41:29 UDP link remote: [AF_INET]1.2.3.4:1194
2022-01-27 15:41:29 [server] Peer Connection Initiated with
[AF_INET]1.2.3.4:1194
2022-01-27 15:41:30 Preserving previous TUN/TAP instance: tun0
2022-01-27 15:41:30 Initialization Sequence Completed

Voici la config du client:
client
dev tun
proto udp
remote 1.2.3.4 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca /etc/openvpn/client/ca.crt
cert /etc/openvpn/client/client_vie.crt
key /etc/openvpn/client/client_vie.key
comp-lzo
verb 1
ping 30


Voici la config du serveur:
port 1194
proto udp
dev tun
topology subnet
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 10.19.0.0 255.255.254.0
ifconfig-pool-persist /etc/openvpn/server1/ipp.txt
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /etc/openvpn/server1/openvpn-status.log
verb 1

Je lance en parallèle deux séries de ping:
ping -c120 -q 1.2.3.4
ping -c120 -q 10.19.0.1

Aucune perte, sur la première. des pertes significatives sur la deuxième.

Naivement, je pensais que le ping 10.19.0.1 a lieu seul, génère de
l'activité OpenVPN qui interdit en retour le inactivity Timeout.

Qu'en pensez-vous ?
Dans quelle direction chercher ?

Slts

[RESOLU] Re: Comment ajouter à Firefox le moteur de recherche Debian Package Search ?

[Olivier]

En effet, le module Debian Queries reprend et développe les fonctions
assurées par le mdoule Debian Package Search.

Merci infiniment !

Le mer. 26 janv. 2022 à 19:43, Lamourec Alain  a écrit :
>
> Il faut ajouter l'extension (add-on) Debian queries par
> outils/Modules complémentaires
>
> Cordialement
>
> Olivier writes:
>
> > Bonjour,
> >
> > Je viens d'installer une nouvelle machine Bullseye.
> > Je note que Firefox n'y intègre pas le moteur de recherche
> > Debian
> > Package Search qui permet de retrouver des paquets dans les
> > dépôts
> > Debian.
> >
> > Comment ajouter ce moteur ?
> > J'ai trouvé [1] puis [2] mais je n'arrive pas à suivre les
> > instructions.
> >
> > [1] https://forums.debian.net/viewtopic.php?p=723242
> > [2]
> > https://mycroftproject.com/install.html?id=19956=all-debian-packages=ico=Debian+Packages+-+Names+%28All%29
> >
> > Slts
>
>
> --
> Lamourec Alain
>

Comment ajouter à Firefox le moteur de recherche Debian Package Search ?

[Olivier]

Bonjour,

Je viens d'installer une nouvelle machine Bullseye.
Je note que Firefox n'y intègre pas le moteur de recherche Debian
Package Search qui permet de retrouver des paquets dans les dépôts
Debian.

Comment ajouter ce moteur ?
J'ai trouvé [1] puis [2] mais je n'arrive pas à suivre les instructions.

[1] https://forums.debian.net/viewtopic.php?p=723242
[2] 
https://mycroftproject.com/install.html?id=19956=all-debian-packages=ico=Debian+Packages+-+Names+%28All%29

Slts

Re: Bridger deux VLAN avec systemd network

[Olivier Lange]

Euh, si t'es en wifi, non. Ton tag est sur tes équipements, et pas sur les
équipements utilisateurs. Sauf si tu fournis un port réseau pour les
visiteurs. Et encore, la tu configure en untag vid visiteur le port de ton
switch.

Olivier

Le ven. 21 janv. 2022 à 14:03, Luc Novales  a écrit :

> Bonsoir,
>
> Je rajouterai qu'il vaut mieux taguer le VLAN normal. Taguer le VLAN
> invité, c'est obliger les invit·és à utiliser une configuration difficile à
> mettre en place, voire impossible sur certains équipements.
>
> Bonne soirée,
>
> Luc.
>
>
> Le 21/01/2022 à 16:26, Olivier Lange a écrit :
>
> Bonjour
>
> Je pense que tu as une ereur d'architecture. si tu veux avoir un réseau
> invité dédié et sécurisé, il te faut un vlan dédié, et un subnet (/24)
> dédié. Ce qui va te permettre de mettre en place des règles spécifiques,
> autant au niveau 3/4/6 (via ton subnet et ton routeur) que 2 (via ton vlan).
>
> Tenter de bridger tout ca, au mieux ca devient une usine a gaz ingérable
> avec plein de vulnérabilité, au pire ton réseau ne fonctionnera pas.
>
> C'est mon avis.
> Olivier
>
> Le ven. 21 janv. 2022 à 10:06, Patrick ZAJDA  a écrit :
>
>> Bonjour,
>>
>>
>> Le contexte est le suivant :
>>
>> J'utilise des TP-Link Deco M5 pour avoir un réseau wifi maillé et
>> souhaite activé le réseau wifi invité.
>>
>> La seule chose qui sépare ces réseau c'est un VLAN tagué pour le réseau
>> invité.
>>
>> Les adresses IP sont dans le même rang pour les deux réseaux, les
>> paramètres DHCP sont en tout point similaires pour les réseau principal et
>> invité. Il n'y a aucun paramètre DHCP séparé pour le réseau invité.
>>
>>
>> Sur un Raspberry Pi, j'ai installé Adguard et souhaite donc l'utiliser
>> comme résolveur au niveau de tout le réseau.
>>
>> Je pourais très bien spécifier l'adresse IP du Deco principal comme
>> résolveur et faire en sorte que celui-ci prenne Adguard comme résolveur
>> mais ça voudrait dire que toutes les requêtes viendraient de la même
>> adresse IP, ce qui ne convient pas.
>>
>>
>> Il faudrait donc que ce résolveur soit joignable depuis le réseau
>> principal comme invité et ce, en utilisant la même adresse IP.
>>
>>
>> J'espère avoir pu expliquer clairement pourquoi il n'y a pas d'autre
>> solution qu'une seule IP qui serait joignable sur les deux VLAN...
>>
>>
>>
>> Le 21/01/2022 à 14:10, JUPIN Alain a écrit :
>>
>> Bonjour,
>>
>> Je comprends pas trop le concept.
>> Pour moi l’intérêt des VLAN c'est d'isoler les réseaux (en utilisant les
>> même équipements réseaux, switch par exemple).
>> En général on relie les VLAN entre eux par du routage, du moins j'ai
>> toujours pratiqué de cette manière !
>>
>> Bridger des VLAN, si c'est pour du test/apprentissage pourquoi pas, mais
>> pour de la prod je me méfierait des effets de bords au niveau de la
>> sécurité.
>>
>> Alain JUPIN
>>
>> Le 20/01/2022 à 14:51, Patrick ZAJDA a écrit :
>>
>> Bonjour,
>>
>>
>> Est-il possible de bridger deux VLAN ?
>>
>>
>> Le but étant d'avoir une adresse IP commune aux deux VLAN pour que les
>> deux puissent utiliser le même résolveur entre les réseaux principal et
>> invité.
>>
>> Si une autre méthode que le bridge est possible, je reste bien entendu
>> ouvert aux alternatives :)
>>
>>
>> Pour le moment, j'ai testé ceci (en anglais) sans succès :
>> https://www.variantweb.net/blog/creating-vlan-bridges-with-systemd-networkd/
>>
>>
>> Il utilise deux bridges mais le raspberry Pi sur lequel je le fait ne
>> passe jamais en ligne.
>>
>> J'ai tenté de n'utiliser qu'un seul bridge, avec le même résultat.
>>
>>
>> --
>> Patrick ZAJDA
>>
>>
>> --
>> Patrick ZAJDA
>>
>

Re: Bridger deux VLAN avec systemd network

[Olivier Lange]

Bonjour

Je pense que tu as une ereur d'architecture. si tu veux avoir un réseau
invité dédié et sécurisé, il te faut un vlan dédié, et un subnet (/24)
dédié. Ce qui va te permettre de mettre en place des règles spécifiques,
autant au niveau 3/4/6 (via ton subnet et ton routeur) que 2 (via ton vlan).

Tenter de bridger tout ca, au mieux ca devient une usine a gaz ingérable
avec plein de vulnérabilité, au pire ton réseau ne fonctionnera pas.

C'est mon avis.
Olivier

Le ven. 21 janv. 2022 à 10:06, Patrick ZAJDA  a écrit :

> Bonjour,
>
>
> Le contexte est le suivant :
>
> J'utilise des TP-Link Deco M5 pour avoir un réseau wifi maillé et souhaite
> activé le réseau wifi invité.
>
> La seule chose qui sépare ces réseau c'est un VLAN tagué pour le réseau
> invité.
>
> Les adresses IP sont dans le même rang pour les deux réseaux, les
> paramètres DHCP sont en tout point similaires pour les réseau principal et
> invité. Il n'y a aucun paramètre DHCP séparé pour le réseau invité.
>
>
> Sur un Raspberry Pi, j'ai installé Adguard et souhaite donc l'utiliser
> comme résolveur au niveau de tout le réseau.
>
> Je pourais très bien spécifier l'adresse IP du Deco principal comme
> résolveur et faire en sorte que celui-ci prenne Adguard comme résolveur
> mais ça voudrait dire que toutes les requêtes viendraient de la même
> adresse IP, ce qui ne convient pas.
>
>
> Il faudrait donc que ce résolveur soit joignable depuis le réseau
> principal comme invité et ce, en utilisant la même adresse IP.
>
>
> J'espère avoir pu expliquer clairement pourquoi il n'y a pas d'autre
> solution qu'une seule IP qui serait joignable sur les deux VLAN...
>
>
>
> Le 21/01/2022 à 14:10, JUPIN Alain a écrit :
>
> Bonjour,
>
> Je comprends pas trop le concept.
> Pour moi l’intérêt des VLAN c'est d'isoler les réseaux (en utilisant les
> même équipements réseaux, switch par exemple).
> En général on relie les VLAN entre eux par du routage, du moins j'ai
> toujours pratiqué de cette manière !
>
> Bridger des VLAN, si c'est pour du test/apprentissage pourquoi pas, mais
> pour de la prod je me méfierait des effets de bords au niveau de la
> sécurité.
>
> Alain JUPIN
>
> Le 20/01/2022 à 14:51, Patrick ZAJDA a écrit :
>
> Bonjour,
>
>
> Est-il possible de bridger deux VLAN ?
>
>
> Le but étant d'avoir une adresse IP commune aux deux VLAN pour que les
> deux puissent utiliser le même résolveur entre les réseaux principal et
> invité.
>
> Si une autre méthode que le bridge est possible, je reste bien entendu
> ouvert aux alternatives :)
>
>
> Pour le moment, j'ai testé ceci (en anglais) sans succès :
> https://www.variantweb.net/blog/creating-vlan-bridges-with-systemd-networkd/
>
>
> Il utilise deux bridges mais le raspberry Pi sur lequel je le fait ne
> passe jamais en ligne.
>
> J'ai tenté de n'utiliser qu'un seul bridge, avec le même résultat.
>
>
> --
> Patrick ZAJDA
>
>
> --
> Patrick ZAJDA
>

Re: [HS] Touches A, Q, X inopérante sous Ubuntu 20.04 depuis mise à jour

[Olivier]

Bonjour,

Après avoir appliqué plusieurs mises à jour intermédiaires, la
dernière mise à jour de ce lundi a rétabli l'usage normal du clavier,
aussi brutalement que celle de mi-novembre l'avait interdit.

Comme je n'ai pas la possibilité de me plonger dans les logs de dpkg
pour cerner les paquets fautifs et salvateurs, je ne marque pas ce fil
comme résolu.

Moralité:
Ne pas faire de mise à jour, c'est dangereux !
Les faire chaque semaine, c'est dangereux, aussi !

Slts

Le mar. 16 nov. 2021 à 18:24, Olivier  a écrit :
>
> Bonjour,
>
> J'ai un PC portable tactile Lenovo assez récent sur lequel j'ai installé 
> Ubuntu 20.04.
> Après sa mise à jour hebdomadaire de lundi (hier), j'ai constaté que:
>
> plusieurs touches du clavier "n'entraient" rien,
> d'autres avaient une action inhabituelle,
> le clavier logiciel, quand le PC est en mode tablette, fonctionne normalement.
>
> Les touches inopérantes sont assez nombreuses:
> A, Q, X
>
> La touche S génère une copie d'écran. La touche W génère un beep.
>
> Beaucoup d'autres touches fonctionnent normalement.
>
> J'ai pensé à une simple passage à un clavier Qwerty au lieu d'Azerty mais ce 
> n'est visiblement pas le cas.
>
> Voici les paquets mis à jour lundi:
> python3-ldb, linux-modules, linux-image, linux-modules-extra, linux-hwe, 
> linux-headers
>
>
> Dans quelle direction chercher ?
> Comment décrire cette anomalie ?
> Qui a déjà vécu ça ?
>
> Slts
>
>
>
>

[HS] Témoignages sur IPv6 en Entreprise (TPE/PME)

[Olivier]

Bonjour,

J'ai longtemps hésité avant de rédiger le présent message.
En prenant mon courage à deux mains, voici mes questions, assez
générales, par rapport à notre OS préféré.

1. Avez-vous déjà déployé de l'IPv6 en Enterprise, dans un contexte de
TPE ou PME ? Si oui, quel retour d'expérience ? Quels conseils ?

2. Quels sont les types d'appareils (smartphones, IP phones,
imprimantes, ...) qui en 2022, et en général ne supportent pas l'IPv6
?

3. Les opérateurs fournissent-ils en général une connectivité IPv6 native ?

Slts

Re: mime-construct: envoi de texte avec retour à la ligne [RESOLU]

[Olivier]

Le mar. 28 déc. 2021 à 13:27, didier gaumet  a
écrit :

>
> D'après
> https://foss-scripting.narkive.com/hGKEywJH/newlines-in-mime-construct ,
> essaie plutôt:
> mime-construct --string $'Bonjour,\nÀ bientôt' ...
> (l'option -type text/plain est inutile, c'est l'option par défaut)
>
>
Merci beaucoup à tous pour vos réponses.

J'ai obtenu ce que je souhaitais avec

cat << EOF > ${MSGFILE}
Foo
Bar
Baz
EOF

cat ${MSGFILE}|mime-construct --file - ...

Pour une raison inconnue, la construction --string $'Bonjour,\nÀ bientôt'
n'a pas fonctionné.

Encore merci à vous deux.

mime-construct: envoi de texte avec retour à la ligne

[Olivier]

Bonjour,

Une question toute simple: comment émettre, depuis une machine sous Buster,
un courriel avec mime-construct, dont le texte intègre un ou plusieurs
retours à la ligne ?

J'ai essayé:
mime-construct --string "Bonjour,\nÀ bientôt"   -type text/plain ...

Le message est bien envoyé mais la séquence \n est transmise littéralement:
quand j'ouvre le message reçu avec mon client de messagerie, j'ai une
séquence \n visible au lieu d'un saut à la ligne.

Une idée ?

Slts

Re: pan1 ?

[Olivier]

Que donne "ss -tulnp" ?
Vois-tu un process en écoute sur les adresses en 10.x.x.x ?

Le mer. 22 déc. 2021 à 11:33, Txo  a écrit :

> Bonjour,
>
> Depuis 2 ou 3 jours j'ai au démarrage une notification disant que je je
> suis connecté à Pan1.
> Et un ifconfig le confirme, j'ai bien une interface en 10.x.x.x alors
> que mon réseau est sur la plage 192.168.1.x.
> je soupçonne que le bluetooth sans matériel pour serait dans le coup.
> J'ai aussi des «BNP (ethernet emulation)» dans /var/log/messages.
>
> Quel est donc le sagouin qui vient m'imposer un réseau que je n'ai
> jamais demandé
>
> Merci.
>
> --
> -- Dominique Marin http://txodom.free.fr  --
>   « Si tu ne participes pas à la lutte,
>   tu participeras à la défaite »
> --   Brecht   --
>
>

firewalld : quand le service dhcp est-il nécessaire ?

[Olivier]

Bonjour,

Je découvre firewalld et sa configuration. Celle-ci comprend, si j'ai bien
compris, un paramètre nommé services qui correspond à une liste de couples
port-protocole autorisés entre un membre d'une zone et la machine qui
héberge firewalld (équivalent de INPUT dans le vocabulaire IPTables).

Quand j'installe un serveur ISC-DHCP sur la machine hébergeant firewalld,
la configuration ci-après semble suffisante pour que des clients (connectés
par l'interface ens9) récupèrent une adresse.

# firewall-cmd --info-zone=internal
internal (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens9
  sources:
  services: dhcpv6-client mdns samba-client ssh
  ports:
  protocols:
  forward: no
  masquerade: yes
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

J'avais vaguement en tête que "les échanges DHCP ne pouvaient pas être
contrôlés par IPTables car le DHCP utilise nécessairement des raw sockets
qui contournent les moyens utilisés par IPTables pour appliquer des règles.

Est-ce toujours le cas avec nftables/firewalld ?
Quand le service dhcp est-il nécessaire ?
Quel test (pas trop compliqué) me permettrait de répondre moi-même à cette
question ?

Slts

Contrôler le trafic HTTP de téléphones IP

[Olivier]

Bonjour,

Sur plusieurs réseaux locaux dédiés à des téléphones IP, je souhaite mieux
contrôler les accès à Internet.
Plus précisément, je souhaite que:
1. les téléphones membres de ces réseaux locaux ne puissent qu'émettre des
requêtes HTTP vers certaines URL et interdire toutes les autres requêtes
HTTP.
2. la machine ultime servant les réponses HTTP puisse connaître l'IP
d'origine du demandeur (à des fins de log)

Le paramétrage réseau des téléphones ne connaît pas la notion de proxy HTTP.


Pour mettre en place ce que je recherche, j'imagine implémenter "une sorte
de proxy HTTP" qui va:
1. écouter les requêtes sur le réseau dédié aux téléphones
2. émettre une requête équivalente vers un serveur ultime, en lui
fournissant l'IP d'origine du demandeur
3. recevoir la réponse retournée par le serveur ultime
4. émettre la réponse vers le demandeur initial.

Mis à part une appli web développée pour l'occasion, existe-t-il un
logiciel (présent dans les dépôt Debian) qui me permettre de de faire
simplement cela ?

Slts

Conseils pour dessiner sur ordinateur

[Olivier]

Bonjour,

Mon fils de 13 ans se passionne depuis peu pour le dessin et les mangas. Il
dessine sur papier uniquement.

Pour Noël, j'envisage de lui offrir une tablette graphique de type Watcom.
Il est déjà équipé d'un Raspberry 4 sous Raspbian (Buster).

1. Quel appareil choisir ? Quels sont les principaux critères à prendre en
compte ?
2. Quel logiciel choisir pour dessiner ?
3. Quel logiciel choisir pour dessiner une planche de bande dessinée ?
4. Avez-vous un retour d'expérience sur le passage du mode papier-crayon au
mode sur ordinateur  ? Passé un stade d'apprentissage, quel mode conserve
la préférence des dessinateurs ?
L'apprentissage est-il difficile ?
Conseils et remarques ?

Slts

Re: Re : [HS] Utilisation d'une alimentation universelle de PC portable [RESOLU]

[Olivier]

Merci à tous pour vos réponses !

Il semble donc que les PC portables acceptent dans les faits, une plage de
tension plutôt qu'une tension fixe unique, ce qui explique que certaines
alimentations universelles ne proposent aucun mécanisme de sélection de
tension.
 Encore merci.

Re: Re : Re: Re : [HS] Touches A, Q, X inopérante sous Ubuntu 20.04 depuis mise à jour

[Olivier]

@Benoit:
Veux-tu dire que keysym, c'est ce qu'envoie le clavier et keycode c'est ce
qu'il interprète ou bien  est-ce le contraire ?
Si c'est le 1er cas, alors oui, les 2 claviers émettent le même keycode,
sinon ils émettent des keysym différents.


Le lun. 22 nov. 2021 à 11:47, benoit  a écrit :

> Alors là... Je ne comprend pas pourquoi ça ne va pas !
>
> KeyPress event, serial 37, synthetic NO, window 0x81,
> root 0x522, subw 0x0, time 200309, (125,78), root:(247,192),
> state 0x0, *keycode 24 (keysym 0x61, a)*, same_screen YES,
> XLookupString gives 1 bytes: (61) "a"
>
> Tes deux claviers retournent la même chose lors de la pression de la
> touche A :
> *keycode 24 (keysym 0x61, a)*
>
> Normalement ça devrait aller ...
>
> --
> Benoit
> Sent with ProtonMail <https://protonmail.com/> Secure Email.
>
> ‐‐‐ Original Message ‐‐‐
> Le lundi 22 novembre 2021 à 08:47, Olivier  a écrit :
>
> De mon message précédent, je déduis:
> la touche A du clavier d'origine émet des événements,
> ces événements suivent "une table de correspondance" inhabituelle avec
> l'émission d'un keycode 211 au lieu d'un keycode attendu 24,
> visiblement, deux claviers physiques connectés à une même machine (l'un
> par USB, l'autre par XXX), suivent chacun leur propre table de
> correspondance
>
> En cherchant, je n'ai pas trouvé de nom à l'interface entre la carte mère
> d'un PC portable et son clavier d'origine. Je l'ai baptisée XXX ci-dessus.
>
> Qu'en pensez-vous ? Que faire ?
>
> Le lun. 22 nov. 2021 à 08:23, Olivier  a écrit :
>
>>
>> KeyPress event, serial 37, synthetic NO, window 0x81,
>> root 0x522, subw 0x0, time 200309, (125,78), root:(247,192),
>> state 0x0, keycode 24 (keysym 0x61, a), same_screen YES,
>> XLookupString gives 1 bytes: (61) "a"
>> XmbLookupString gives 1 bytes: (61) "a"
>> XFilterEvent returns: False
>>
>> KeyRelease event, serial 37, synthetic NO, window 0x81,
>> root 0x522, subw 0x0, time 200508, (125,78), root:(247,192),
>> state 0x0, keycode 24 (keysym 0x61, a), same_screen YES,
>> XLookupString gives 1 bytes: (61) "a"
>> XFilterEvent returns: False
>>
>> KeyPress event, serial 37, synthetic NO, window 0x81,
>> root 0x522, subw 0x0, time 215527, (125,78), root:(247,192),
>> state 0x0, keycode 211 (keysym 0x1008ff44, XF86Launch4), same_screen
>> YES,
>> XLookupString gives 0 bytes:
>> XmbLookupString gives 0 bytes:
>> XFilterEvent returns: False
>>
>> KeyRelease event, serial 37, synthetic NO, window 0x81,
>> root 0x522, subw 0x0, time 215527, (125,78), root:(247,192),
>> state 0x0, keycode 211 (keysym 0x1008ff44, XF86Launch4), same_screen
>> YES,
>> XLookupString gives 0 bytes:
>> XFilterEvent returns: False
>>
>> Voici ci-dessus une capture avec xev.
>> Les 2 premiers évènements sont consécutifs à un appui sur la touche A
>> d'un clavier USB Azerty connecté au PC portable.
>> Les 2 suivants sont consécutifs à un appui sur la touche du clavier
>> Azerty d'origine du PC portable.
>>
>> KeyPress event, serial 37, synthetic NO, window 0x81,
>> root 0x522, subw 0x0, time 200309, (125,78), root:(247,192),
>> state 0x0, keycode 24 (keysym 0x61, a), same_screen YES,
>> XLookupString gives 1 bytes: (61) "a"
>> XmbLookupString gives 1 bytes: (61) "a"
>> XFilterEvent returns: False
>>
>> KeyRelease event, serial 37, synthetic NO, window 0x81,
>> root 0x522, subw 0x0, time 200508, (125,78), root:(247,192),
>> state 0x0, keycode 24 (keysym 0x61, a), same_screen YES,
>> XLookupString gives 1 bytes: (61) "a"
>> XFilterEvent returns: False
>>
>> KeyPress event, serial 37, synthetic NO, window 0x81,
>> root 0x522, subw 0x0, time 215527, (125,78), root:(247,192),
>> state 0x0, keycode 211 (keysym 0x1008ff44, XF86Launch4), same_screen
>> YES,
>> XLookupString gives 0 bytes:
>> XmbLookupString gives 0 bytes:
>> XFilterEvent returns: False
>>
>> KeyRelease event, serial 37, synthetic NO, window 0x81,
>> root 0x522, subw 0x0, time 215527, (125,78), root:(247,192),
>> state 0x0, keycode 211 (keysym 0x1008ff44, XF86Launch4), same_screen
>> YES,
>> XLookupString gives 0 bytes:
>> XFilterEvent returns: False
>>
>>
>>
>> Le jeu. 18 nov. 2021 à 17:29, benoit  a écrit :
>>
>>> Perso j’essayerais en premier un test simple sur une touche au c

[HS] Utilisation d'une alimentation universelle de PC portable

[Olivier]

Bonjour,

J'ai dernièrement acheté une nouvelle alimentation universelle de PC
portable.
Sa fiche technique indique qu'elle supporte plusieurs tensions en sortie
(18V, 19V, ...) pour une puissance maximale de 90W.
Elle est livrée avec plusieurs embouts (PC power tips) permettant une
connexion physique à une multitude de modèles de PC portable.

Pourtant, je suis surpris que cette alimentation ne possède aucune commande
de sélection du voltage en sortie, comme si la sélection du bon embout
déterminait magiquement le bon voltage.
J'en possède une autre, beaucoup plus ancienne qui elle possède un moyen de
sélection et de visualisation du voltage.

1. Existe-t-il une norme, une référence, dans le domaine des PC portables,
qui décrit la relation entre un embout et des caractéristiques électriques ?

2. Une alimentation de PC portable est-elle capable de découvrir, de
négocier ou de s'adapter à une alimentation universelle ou bien les valeurs
couramment rencontrées sont-elles suffisamment proches pour que "tout
marche" ?

3. Par simple curiosité, connaissez-vous des PC portables qui ne
fonctionnent pas en 19V ?

4. Connaissez-vous des alimentation de PC avec embout coaxial dont la
polarité n'est pas avec le moins sur la surface extérieure ?

Slts

Re: Re : [HS] Touches A, Q, X inopérante sous Ubuntu 20.04 depuis mise à jour

[Olivier]

De mon message précédent, je déduis:
la touche A du clavier d'origine émet des événements,
ces événements suivent "une table de correspondance" inhabituelle avec
l'émission d'un keycode 211 au lieu d'un keycode attendu 24,
visiblement, deux claviers physiques connectés à une même machine (l'un par
USB, l'autre par XXX), suivent chacun leur propre table de correspondance

En cherchant, je n'ai pas trouvé de nom à l'interface entre la carte mère
d'un PC portable et son clavier d'origine. Je l'ai baptisée XXX ci-dessus.

Qu'en pensez-vous ? Que faire ?

Le lun. 22 nov. 2021 à 08:23, Olivier  a écrit :

>
> KeyPress event, serial 37, synthetic NO, window 0x81,
> root 0x522, subw 0x0, time 200309, (125,78), root:(247,192),
> state 0x0, keycode 24 (keysym 0x61, a), same_screen YES,
> XLookupString gives 1 bytes: (61) "a"
> XmbLookupString gives 1 bytes: (61) "a"
> XFilterEvent returns: False
>
> KeyRelease event, serial 37, synthetic NO, window 0x81,
> root 0x522, subw 0x0, time 200508, (125,78), root:(247,192),
> state 0x0, keycode 24 (keysym 0x61, a), same_screen YES,
> XLookupString gives 1 bytes: (61) "a"
> XFilterEvent returns: False
>
> KeyPress event, serial 37, synthetic NO, window 0x81,
> root 0x522, subw 0x0, time 215527, (125,78), root:(247,192),
> state 0x0, keycode 211 (keysym 0x1008ff44, XF86Launch4), same_screen
> YES,
> XLookupString gives 0 bytes:
> XmbLookupString gives 0 bytes:
> XFilterEvent returns: False
>
> KeyRelease event, serial 37, synthetic NO, window 0x81,
> root 0x522, subw 0x0, time 215527, (125,78), root:(247,192),
> state 0x0, keycode 211 (keysym 0x1008ff44, XF86Launch4), same_screen
> YES,
> XLookupString gives 0 bytes:
> XFilterEvent returns: False
>
> Voici ci-dessus une capture avec xev.
> Les 2 premiers évènements sont consécutifs à un appui sur la touche A d'un
> clavier USB Azerty connecté au PC portable.
> Les 2 suivants sont consécutifs à un appui sur la touche du clavier Azerty
> d'origine du PC portable.
>
> KeyPress event, serial 37, synthetic NO, window 0x81,
> root 0x522, subw 0x0, time 200309, (125,78), root:(247,192),
> state 0x0, keycode 24 (keysym 0x61, a), same_screen YES,
> XLookupString gives 1 bytes: (61) "a"
> XmbLookupString gives 1 bytes: (61) "a"
> XFilterEvent returns: False
>
> KeyRelease event, serial 37, synthetic NO, window 0x81,
> root 0x522, subw 0x0, time 200508, (125,78), root:(247,192),
> state 0x0, keycode 24 (keysym 0x61, a), same_screen YES,
> XLookupString gives 1 bytes: (61) "a"
> XFilterEvent returns: False
>
> KeyPress event, serial 37, synthetic NO, window 0x81,
> root 0x522, subw 0x0, time 215527, (125,78), root:(247,192),
> state 0x0, keycode 211 (keysym 0x1008ff44, XF86Launch4), same_screen
> YES,
> XLookupString gives 0 bytes:
> XmbLookupString gives 0 bytes:
> XFilterEvent returns: False
>
> KeyRelease event, serial 37, synthetic NO, window 0x81,
> root 0x522, subw 0x0, time 215527, (125,78), root:(247,192),
> state 0x0, keycode 211 (keysym 0x1008ff44, XF86Launch4), same_screen
> YES,
> XLookupString gives 0 bytes:
> XFilterEvent returns: False
>
>
>
> Le jeu. 18 nov. 2021 à 17:29, benoit  a écrit :
>
>> Perso j’essayerais en premier un test simple sur une touche au choix :
>>
>> – avec xev, je regarderais le numéro de la touche du clavier, par exemple
>> chez moi la touche A c’est keycode 24.
>>
>> - Tu regardes avec xev ce que renvois cette touche défectueuse (toujours
>> pour A)
>>
>> keycode 24 (keysym 0x61, a)
>>
>> - Si xev ne réagit pas à la pression d’une touche défectueuse t’es mal et
>> il faut aller l’associer, je ne sais plus comment.
>>
>> - Si tu obtiens un truc qui ne correspond pas, tu lui affectes a comme
>> premier test :
>>
>> xmodmap -e "keycode 24 = a"
>>
>> Et puis il faut aller lire la doc de l’ordre des modificateurs tels que
>> Shif, Alt, Ctrl…
>>
>> Voici l’ordre dans le man xmodmap :
>>
>> «Le premier keysym est utilisé quand aucune touche de modificateur n'est
>> pressée en même temps que la touche, le second quand la touche majus‐cule
>> (Shift) est pressée, le troisième en combinaison avec la touche Mode_switch
>> (Alt Gr) et le quatrième en combinaison avec les touches majuscule et
>> Mode_switch.»
>>
>> Ce qui donne en suivant l’ordre indiqué dans le man :
>>
>> xmodmap -e "keycode 24 = a A @"
>>
>> Et si tu arrives à t’en sortir comme ça p

Re: Re : [HS] Touches A, Q, X inopérante sous Ubuntu 20.04 depuis mise à jour

[Olivier]

KeyPress event, serial 37, synthetic NO, window 0x81,
root 0x522, subw 0x0, time 200309, (125,78), root:(247,192),
state 0x0, keycode 24 (keysym 0x61, a), same_screen YES,
XLookupString gives 1 bytes: (61) "a"
XmbLookupString gives 1 bytes: (61) "a"
XFilterEvent returns: False

KeyRelease event, serial 37, synthetic NO, window 0x81,
root 0x522, subw 0x0, time 200508, (125,78), root:(247,192),
state 0x0, keycode 24 (keysym 0x61, a), same_screen YES,
XLookupString gives 1 bytes: (61) "a"
XFilterEvent returns: False

KeyPress event, serial 37, synthetic NO, window 0x81,
root 0x522, subw 0x0, time 215527, (125,78), root:(247,192),
state 0x0, keycode 211 (keysym 0x1008ff44, XF86Launch4), same_screen
YES,
XLookupString gives 0 bytes:
XmbLookupString gives 0 bytes:
XFilterEvent returns: False

KeyRelease event, serial 37, synthetic NO, window 0x81,
root 0x522, subw 0x0, time 215527, (125,78), root:(247,192),
state 0x0, keycode 211 (keysym 0x1008ff44, XF86Launch4), same_screen
YES,
XLookupString gives 0 bytes:
XFilterEvent returns: False

Voici ci-dessus une capture avec xev.
Les 2 premiers évènements sont consécutifs à un appui sur la touche A d'un
clavier USB Azerty connecté au PC portable.
Les 2 suivants sont consécutifs à un appui sur la touche du clavier Azerty
d'origine du PC portable.

KeyPress event, serial 37, synthetic NO, window 0x81,
root 0x522, subw 0x0, time 200309, (125,78), root:(247,192),
state 0x0, keycode 24 (keysym 0x61, a), same_screen YES,
XLookupString gives 1 bytes: (61) "a"
XmbLookupString gives 1 bytes: (61) "a"
XFilterEvent returns: False

KeyRelease event, serial 37, synthetic NO, window 0x81,
root 0x522, subw 0x0, time 200508, (125,78), root:(247,192),
state 0x0, keycode 24 (keysym 0x61, a), same_screen YES,
XLookupString gives 1 bytes: (61) "a"
XFilterEvent returns: False

KeyPress event, serial 37, synthetic NO, window 0x81,
root 0x522, subw 0x0, time 215527, (125,78), root:(247,192),
state 0x0, keycode 211 (keysym 0x1008ff44, XF86Launch4), same_screen
YES,
XLookupString gives 0 bytes:
XmbLookupString gives 0 bytes:
XFilterEvent returns: False

KeyRelease event, serial 37, synthetic NO, window 0x81,
root 0x522, subw 0x0, time 215527, (125,78), root:(247,192),
state 0x0, keycode 211 (keysym 0x1008ff44, XF86Launch4), same_screen
YES,
XLookupString gives 0 bytes:
XFilterEvent returns: False



Le jeu. 18 nov. 2021 à 17:29, benoit  a écrit :

> Perso j’essayerais en premier un test simple sur une touche au choix :
>
> – avec xev, je regarderais le numéro de la touche du clavier, par exemple
> chez moi la touche A c’est keycode 24.
>
> - Tu regardes avec xev ce que renvois cette touche défectueuse (toujours
> pour A)
>
> keycode 24 (keysym 0x61, a)
>
> - Si xev ne réagit pas à la pression d’une touche défectueuse t’es mal et
> il faut aller l’associer, je ne sais plus comment.
>
> - Si tu obtiens un truc qui ne correspond pas, tu lui affectes a comme
> premier test :
>
> xmodmap -e "keycode 24 = a"
>
> Et puis il faut aller lire la doc de l’ordre des modificateurs tels que
> Shif, Alt, Ctrl…
>
> Voici l’ordre dans le man xmodmap :
>
> «Le premier keysym est utilisé quand aucune touche de modificateur n'est
> pressée en même temps que la touche, le second quand la touche majus‐cule
> (Shift) est pressée, le troisième en combinaison avec la touche Mode_switch
> (Alt Gr) et le quatrième en combinaison avec les touches majuscule et
> Mode_switch.»
>
> Ce qui donne en suivant l’ordre indiqué dans le man :
>
> xmodmap -e "keycode 24 = a A @"
>
> Et si tu arrives à t’en sortir comme ça pour chaque touche défectueuse, ce
> n’est qu’une cafouille logiciel facile à régler provisoirement avec un peu
> de patience.
>
> Pour pérenniser le résultat, tu écris chaque ligne ainsi
>
> keycode 24 = a A @
>
> dans le fichier $HOME/.xmodmaprc
>
> Pour les signes, ils ont tous un nom à écrire en toute lettre.
>
> Ex :
>
> keycode 105 = less greater backslash
>
> xmodmap -pk
>
> Te donnera la liste complète.
> --
> Benoit
> Sent with ProtonMail <https://protonmail.com/> Secure Email.
>
> ‐‐‐ Original Message ‐‐‐
> Le mardi 16 novembre 2021 à 18:24, Olivier  a écrit :
>
> Bonjour,
>
> J'ai un PC portable tactile Lenovo assez récent sur lequel j'ai installé
> Ubuntu 20.04.
> Après sa mise à jour hebdomadaire de lundi (hier), j'ai constaté que:
>
> plusieurs touches du clavier "n'entraient" rien,
> d'autres avaient une action inhabituelle,
> le clavier logiciel, quand le PC est en mode tablette, fonctionne
> normalement.
>
> 

Re: [HS] Touches A, Q, X inopérante sous Ubuntu 20.04 depuis mise à jour

[Olivier]

1. En branchant (à tout moment) un clavier USB, ce dernier est totalement
opérationnel (layout français, ...). Sa présence ne change rien au
comportement des 2 autres clavier (le physique et le virtuel).

2. Grâce au clavier USB (et sa touche ESC), j'ai pu (assez difficilement)
accéder au menu Grub et choisir parmi 2 versions du noyau, chacun en 2
variantes (normal et recovery). En démarrant sur chacune des 4, le clavier
reste inopérant.

En tout cas, je suis certain que le clavier marchait normalement lundi:
sans lui, je n'aurai pas pu opérer la modification.


Le mer. 17 nov. 2021 à 07:12, Jean-Michel OLTRA 
a écrit :

>
> Bonjour,
>
>
> Le mardi 16 novembre 2021, Olivier a écrit...
>
>
> > Voici les paquets mis à jour lundi:
> > python3-ldb, linux-modules, linux-image, linux-modules-extra, linux-hwe,
> > linux-headers
> >
> > Dans quelle direction chercher ?
>
> Revenir au noyau précédent, si tu ne l'as pas supprimé ? Ça permettrait
> déjà
> de voir si c'est la mise à jour du noyau qui perturbe le clavier.
>
> --
> jm
>
>

Re: Comment transformer un vieil ordinateur portable sous Buster en routeur ?

[Olivier]

Le mer. 17 nov. 2021 à 17:14, benoit  a écrit :

> Bonjour à tou·te·s,
>
> Comme je suis d’une incompétence crasse en réseau et sécurité, j’ai
> installé une Buster sur un vieil ordinateur portable et pour avoir une
> sécurité de base, j’ai installé Yunohost par-dessus.
>
> J’utilise la prise RJ45 de l’ordi pour le connecter à la box internet et
> j’ai une autre prise RJ45 via USB ainsi que la carte WiFi. J’aimerais que
> ça me serve pour le trafic entrant et ressortir sur internet via le VPN que
> j’ai péniblement réussi à configurer… J’aimerais aussi avoir accès à
> l’imprimante réseau câblé et les autres ordi(un routeur quoi). Je ne sais
> ni où il faut aller pour changer les règles NAT et de routage ni comment on
> fait.
>
Le paramétrage du NAT s'opère sur le firewall (iptables, nftables, ...)

> Je n’ai pas trouvé ça dans la doc de Yunohost et cherche un bon tuto pour
> me guider pas à pas au départ de mes connaissances proches de zéro.
>
> Merci d’avance,
>
> –
>
> Benoit
>
> Sent with ProtonMail  Secure Email.
>
>

Comment logguer le NAT avec NFTables ?

[Olivier]

Bonjour,

NFtables remplace IPTables depuis Buster/Bullseye (même si la transition
s'opère progressivement).

1. Sur une machine Buster faisant office de routeur et s'appyant sur
NFTablles (et non IPTables), comment émettre des stats Netflow vers un
collecteur local ou distant ?

2. Alternativement comment logguer le NAT avec le tuplet complet (IP src/IP
dst/port source/dst ...) ?

Slts

Re: [HS] Touches A, Q, X inopérante sous Ubuntu 20.04 depuis mise à jour

[Olivier]

Le mar. 16 nov. 2021 à 18:46, Sabri KHEMISSA  a
écrit :

> Bonjour,
>
> (Les questions sont purement prospectives pour le moment)
>
> Quel type de portable Lenovo ?
>
IdeaPad Flex 5

>
> Que se passe-t-il au niveau de la saisie avec une console virtuelle (ctrl
> + alt + f1) ?
>
Impossible d'accéder aux touches Ctrl sur le clavier virtuel

>
> Quel gestionnaire de fenêtres utilises-tu ?
>
ubuntu:GNOME

>
> Le but est de comprendre si le problème vient de la gestion du clavier au
> niveau du kernel, suite à la mise à jour de ce dernier, ou d'une autre
> source !
>
>
> On Tue, Nov 16, 2021, 18:24 Olivier  wrote:
>
>> Bonjour,
>>
>> J'ai un PC portable tactile Lenovo assez récent sur lequel j'ai installé
>> Ubuntu 20.04.
>> Après sa mise à jour hebdomadaire de lundi (hier), j'ai constaté que:
>>
>> plusieurs touches du clavier "n'entraient" rien,
>> d'autres avaient une action inhabituelle,
>> le clavier logiciel, quand le PC est en mode tablette, fonctionne
>> normalement.
>>
>> Les touches inopérantes sont assez nombreuses:
>> A, Q, X
>>
>> La touche S génère une copie d'écran. La touche W génère un beep.
>>
>> Beaucoup d'autres touches fonctionnent normalement.
>>
>> J'ai pensé à une simple passage à un clavier Qwerty au lieu d'Azerty mais
>> ce n'est visiblement pas le cas.
>>
>> Voici les paquets mis à jour lundi:
>> python3-ldb, linux-modules, linux-image, linux-modules-extra, linux-hwe,
>> linux-headers
>>
>>
>> Dans quelle direction chercher ?
>> Comment décrire cette anomalie ?
>> Qui a déjà vécu ça ?
>>
>> Slts
>>
>>
>>
>>
>>

[HS] Touches A, Q, X inopérante sous Ubuntu 20.04 depuis mise à jour

[Olivier]

Bonjour,

J'ai un PC portable tactile Lenovo assez récent sur lequel j'ai installé
Ubuntu 20.04.
Après sa mise à jour hebdomadaire de lundi (hier), j'ai constaté que:

plusieurs touches du clavier "n'entraient" rien,
d'autres avaient une action inhabituelle,
le clavier logiciel, quand le PC est en mode tablette, fonctionne
normalement.

Les touches inopérantes sont assez nombreuses:
A, Q, X

La touche S génère une copie d'écran. La touche W génère un beep.

Beaucoup d'autres touches fonctionnent normalement.

J'ai pensé à une simple passage à un clavier Qwerty au lieu d'Azerty mais
ce n'est visiblement pas le cas.

Voici les paquets mis à jour lundi:
python3-ldb, linux-modules, linux-image, linux-modules-extra, linux-hwe,
linux-headers


Dans quelle direction chercher ?
Comment décrire cette anomalie ?
Qui a déjà vécu ça ?

Slts

Quel usage pour ip monitor ?

[Olivier]

Bonjour,

Je viens de découvrir "ip monitor" (cf [1]).

À part constituer des logs, quel usage peut-on faire d'un tel outil ?

[1] https://man7.org/linux/man-pages/man8/ip-monitor.8.html

Slts

Re: Nftables/Conntrack: confusion ctmark/fwmark

[Olivier]

D'après mes essais, il semble que la marque appelée fwmark dans ip rule
correspond à une marque sur le paquet (mark) et pas celle sur les
connexions (connmark).

J'espère que ça pourra aider quelqu'un d'autre.
Slts

Le lun. 18 oct. 2021 à 16:18, Olivier  a écrit :

> Dans [1], j'ai lu:
> nft add rule inet classify output ip daddr 1.1.1.1 ct mark set numgen inc
> mod 3 offset 390
> nft add rule inet classify output ip daddr 1.1.1.1 meta mark set ct mark
>
> Qui pourrait m'expliquer ces 2 lignes ?
>
> [1] https://forums.gentoo.org/viewtopic-t-1136379-start-0.html
>
> Le lun. 18 oct. 2021 à 16:17, Olivier  a écrit :
>
>> Bonjour,
>>
>> Je découvre nftables sur une machine équipée de Bullseye.
>>
>> Sur cette machine j'ai les règles:
>>
>> # ip rule show
>> 0: from all lookup local
>> 0: from all fwmark 0x2 lookup link2
>> 32766: from all lookup main
>> 32767: from all lookup default
>>
>> J'aimerai que nftables ajoute une marque donnée pour le trafic non-marqué
>> reçu sur une interface Ethernet donnée, auto-configurée par DHCP.
>> Comment l'obtenir ?
>>
>> J'ai essayé (sans succès) où ens3.432 est le nom de l'interface
>> (virtuelle) sur laquelle le trafic est reçu:
>>
>> add rule ip mangle input iifname "ens3.432" meta mark 0 log prefix
>> "Rule42-A1" counter ct mark set 0x2
>>
>> La table mangle et sa chaine input sont définies par:
>>
>> table mangle {
>> chain prerouting { type filter hook prerouting priority -150; }
>> chain input { type filter hook input priority -150; }
>> chain forward { type filter hook forward priority -150; }
>> chain output { type route hook output priority -150; }
>> chain postrouting { type filter hook postrouting priority -150; }
>> }
>>
>> Dans les faits, j'observe que:
>>
>> - la règle mangle ci-dessus est exécutée car je elle figure dans les logs
>> et la commande "conntrack -L -o id,extended" montre qu'une marque est
>> appliquée sur le rafic avec l'émetteur
>>
>> - la réponse est émise vers l'émetteur avec la bonne adresse source mais
>> une autre interface (celle par défaut).
>>
>> Ces deux observations me laissent pense que la règle "fwmark 0x2 lookup
>> link2" est ignorée.
>> Cette conviction est renforcée par le fait que quand je remplace cette
>> règle par une règle basée sur l'IP source ("from 192.168.17.0/24 lookup
>> link2"), l'émetteur reçoit la réponse via la bonne interface.
>> Comme l'interface est configurée par DHCP, j'aimerai autant que possible
>> ne pas utiliser de règle faisant intervenir des données que je ne maîtrise
>> pas (ie celles fournies par le serveur DHCP).
>>
>> J'ai l'impression que:
>> soit il y a une confusion de ma part entre les marques de conntrack et
>> celles de nftables,
>> soit il y a une erreur dans la définition de la chaine input ou sa table
>> mangle,
>> soit encore autre chose.
>>
>> Qui pourrait me mettre sur la bonne voie ?
>>
>> Slts
>>
>>
>>

Re: Nftables/Conntrack: confusion ctmark/fwmark

[Olivier]

Dans [1], j'ai lu:
nft add rule inet classify output ip daddr 1.1.1.1 ct mark set numgen inc
mod 3 offset 390
nft add rule inet classify output ip daddr 1.1.1.1 meta mark set ct mark

Qui pourrait m'expliquer ces 2 lignes ?

[1] https://forums.gentoo.org/viewtopic-t-1136379-start-0.html

Le lun. 18 oct. 2021 à 16:17, Olivier  a écrit :

> Bonjour,
>
> Je découvre nftables sur une machine équipée de Bullseye.
>
> Sur cette machine j'ai les règles:
>
> # ip rule show
> 0: from all lookup local
> 0: from all fwmark 0x2 lookup link2
> 32766: from all lookup main
> 32767: from all lookup default
>
> J'aimerai que nftables ajoute une marque donnée pour le trafic non-marqué
> reçu sur une interface Ethernet donnée, auto-configurée par DHCP.
> Comment l'obtenir ?
>
> J'ai essayé (sans succès) où ens3.432 est le nom de l'interface
> (virtuelle) sur laquelle le trafic est reçu:
>
> add rule ip mangle input iifname "ens3.432" meta mark 0 log prefix
> "Rule42-A1" counter ct mark set 0x2
>
> La table mangle et sa chaine input sont définies par:
>
> table mangle {
> chain prerouting { type filter hook prerouting priority -150; }
> chain input { type filter hook input priority -150; }
> chain forward { type filter hook forward priority -150; }
> chain output { type route hook output priority -150; }
> chain postrouting { type filter hook postrouting priority -150; }
> }
>
> Dans les faits, j'observe que:
>
> - la règle mangle ci-dessus est exécutée car je elle figure dans les logs
> et la commande "conntrack -L -o id,extended" montre qu'une marque est
> appliquée sur le rafic avec l'émetteur
>
> - la réponse est émise vers l'émetteur avec la bonne adresse source mais
> une autre interface (celle par défaut).
>
> Ces deux observations me laissent pense que la règle "fwmark 0x2 lookup
> link2" est ignorée.
> Cette conviction est renforcée par le fait que quand je remplace cette
> règle par une règle basée sur l'IP source ("from 192.168.17.0/24 lookup
> link2"), l'émetteur reçoit la réponse via la bonne interface.
> Comme l'interface est configurée par DHCP, j'aimerai autant que possible
> ne pas utiliser de règle faisant intervenir des données que je ne maîtrise
> pas (ie celles fournies par le serveur DHCP).
>
> J'ai l'impression que:
> soit il y a une confusion de ma part entre les marques de conntrack et
> celles de nftables,
> soit il y a une erreur dans la définition de la chaine input ou sa table
> mangle,
> soit encore autre chose.
>
> Qui pourrait me mettre sur la bonne voie ?
>
> Slts
>
>
>

Nftables/Conntrack: confusion ctmark/fwmark

[Olivier]

Bonjour,

Je découvre nftables sur une machine équipée de Bullseye.

Sur cette machine j'ai les règles:

# ip rule show
0: from all lookup local
0: from all fwmark 0x2 lookup link2
32766: from all lookup main
32767: from all lookup default

J'aimerai que nftables ajoute une marque donnée pour le trafic non-marqué
reçu sur une interface Ethernet donnée, auto-configurée par DHCP.
Comment l'obtenir ?

J'ai essayé (sans succès) où ens3.432 est le nom de l'interface (virtuelle)
sur laquelle le trafic est reçu:

add rule ip mangle input iifname "ens3.432" meta mark 0 log prefix
"Rule42-A1" counter ct mark set 0x2

La table mangle et sa chaine input sont définies par:

table mangle {
chain prerouting { type filter hook prerouting priority -150; }
chain input { type filter hook input priority -150; }
chain forward { type filter hook forward priority -150; }
chain output { type route hook output priority -150; }
chain postrouting { type filter hook postrouting priority -150; }
}

Dans les faits, j'observe que:

- la règle mangle ci-dessus est exécutée car je elle figure dans les logs
et la commande "conntrack -L -o id,extended" montre qu'une marque est
appliquée sur le rafic avec l'émetteur

- la réponse est émise vers l'émetteur avec la bonne adresse source mais
une autre interface (celle par défaut).

Ces deux observations me laissent pense que la règle "fwmark 0x2 lookup
link2" est ignorée.
Cette conviction est renforcée par le fait que quand je remplace cette
règle par une règle basée sur l'IP source ("from 192.168.17.0/24 lookup
link2"), l'émetteur reçoit la réponse via la bonne interface.
Comme l'interface est configurée par DHCP, j'aimerai autant que possible ne
pas utiliser de règle faisant intervenir des données que je ne maîtrise pas
(ie celles fournies par le serveur DHCP).

J'ai l'impression que:
soit il y a une confusion de ma part entre les marques de conntrack et
celles de nftables,
soit il y a une erreur dans la définition de la chaine input ou sa table
mangle,
soit encore autre chose.

Qui pourrait me mettre sur la bonne voie ?

Slts

libvirt/KVM sur un hôte avec interface 2.5, 5 ou 10 Gb/s

[Olivier]

Bonjour,

J'envisage l'acquisition d'un adaptateur 2.5Gb/s sur port USB. Je n'ai pas
encore choisi le modèle.

Il semble que ceux basés sur une puce Realtek 8125 soient utilisables sous
Bullseye moyennant l'installation d'un paquet realtek-r8125-dkms (cf [1]).


1. Avez-vous utilisé avec succès sur Debian, un adaptateur 2.5Gb/s sur port
USB ? Si oui, lequel recommandez-vous ? S'installe-t-il facilement ?

2. Comment fournir à une VM libvirt/KVM invitée, l'accès aux performances
accrues (normalement) apportées par cette interface 2.5Gb/s ?
Doit-on sélectionner dans l'OS invité un driver réseau spécifique et/ou
exotique ou bien le driver virtio habituel suffit-il ?

[1] https://github.com/awesometic/realtek-r8125-dkms

Slts

Quel équivalent de mwan3 pour Debian

[Olivier]

Bonjour,

Je viens de découvrir le paquet mwan3 pour OpenWRT (cf [1]).

1. Connaissez-vous un équivalent pour Debian ?
2. Sinon, avez-vous déjà essayé et réussi d'adapter son contenu à
Debian/Nftables ?

[1] https://openwrt.org/docs/guide-user/network/wan/multiwan/mwan3

Slts

Policy-based routing sur une interface virtuelle configurée par DHCP

[Olivier]

Bonjour,

Je souhaite mettre en place un serveur sous Bullseye, "auto-configurable
faisant office de double passerelle réseau vers Internet".

Par auto-configurable, j'entends ici que:
1.les 2 interfaces WAN se configurent pas DHCP,
2. je veux éviter d'avoir à scripter le client DHCP lire et réutiliser les
adresses reçues.

Le serveur possède une seule interface Ethernet physique.
Sur cette interface physique, on définit 3 interfaces virtuelles (VLAN):
- une première vers le LAN
- une seconde vers Internet.
- une troisième vers Internet.
Le serveur est connecté à un commutateur lui-même connecté au LAN et aux 2
boxes des opérateurs fonctionnant en mode bridge.

LAN ---|
  |
Internet  Box1 - Commutateur - Serveur
  |
Internet  Box2 -|


J'arrive à configurer l'interface vers Box2 en utilisant les adresses
fournies par le 2ème opérateur mais je n'arrive pas à la configurer en
n'utilisant que le nom de l'interface virtuelle utilisée.

Qui a déjà résolu quelque chose d'analogue ?

Voici ce que j'obtiens:

- la 3ème interface se nomme ens3.125
- dans mon labo, elle reçoit l'adresse 192.168.33.240/24 d'une passerelle
en 192.168.33.1
- le serveur est une VM KVM
- je teste avec une commande équivalente à ssh foo@192.168.33.240

- ce qui marche

ip rule flush table2
ip rule add from 192.168.33.0/24 lookup table2

- ce qui ne marche pas:

ip rule flush table2
ip rule add iif ens3.125 lookup table2
ip rule add oif ens3.125 lookup table2

Quand ça ne marche pas j'observe que:
- la demande SSH est bien reçue sur l'interface ens3.125 et que la réponse
est émise via la 2ème interface.

J'ai pensé que le problème venait du fait que les 3 interfaces virtuelles
partageait la même adresse MAC.
J'ai fourni une adresse factice (ip link add link ens3 name ens3.125
address 00:0c:29:ed:ff:ff type vlan id 125) à la 3ème interface sans plus
de succès.

J'ai aussi essayé le marquage via nftables sans succès, pour l'instant car
je maîtrise mal les outils de nftables

add rule ip mangle prerouting iifname "ens3.125" counter meta mark set 0x2

ip rule flush table2
ip rule add fwmark 2 lookup table2


Je suis un peu a cours d'idées.

Slts

Conseils sur l'utilisation de firewalld

[Olivier]

Bonjour,

J'ai découvert firewalld tout dernièrement sur une machine sous Bullseye.

J'ai trouvé son utilisation assez intuitive avec son programme
firewalld-cmd pour changer de façon temporaire ou persistante, la
configuration du firewall.

Un point aussi très intéressant est le fait de fonctionner aussi bien avec
iptables qu'avec nftables.


Auparavant, j'avais l'habitude de consigner dans un scripts  exécutable
/etc/network/if-pre-up.d/fw, une longue liste de commandes iptables comme
suit:

#!/bin/sh

WAN_IF=ens9
LAN_IFS="ens3.3 ends3.15"


iptables -F
iptables -X
iptables -t nat -F
iptables -t mangle -F

iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -A POSTROUTING -o ${WAN_IF} -j MASQUERADE
for i in ${LAN_IFS}; do
  iptables ...
...


J'imaginais "traduire" le fichier ci-dessus en un fichier équivalent basé
sur des commandes firewall-cmd sans paramètre de persistance (puisque le
script est exécuté à chaque démarrage mais c'est à discuter).

Avant de me jeter dans la bataille, je serai très curieux de recevoir vos
conseils et suggestions sur des méthodes alternatives.

Slts

Re: serveur Debian testing avec deux ethernet (et routage)

[Olivier]

Il faut :
activer l'IP forwarding (
https://linuxconfig.org/how-to-turn-on-off-ip-forwarding-in-linux)
configurer le NAT (avec IPTables ou équivalent)

Slts

Le dim. 22 août 2021 à 22:07, Basile Starynkevitch 
a écrit :

> Bonjour la liste
>
> A la maison (de geek) j'ai plusieurs ordinateurs -tous sous Linux, mais
> pas forcément Debian-  et surtout de l'Ethernet (le wifi sert
> occasionnellement, surtout pour les tablettes).
>
> J'ai un serveur (de récupération, c'était un déchet d'une boite
> d'avocats) sous Debian testing avec deux interfaces réseaux:
>
> Voici la sortie de ifconfig pour les deux interfaces réseaux:
>
> eno1: flags=4163  mtu 1500
>  inet 192.168.2.2  netmask 255.255.255.0  broadcast 192.168.2.255
>  inet6 2a01:e0a:3d0:7b50:9e8e:99ff:fe64:fcc2  prefixlen 64
> scopeid 0x0
>  inet6 fe80::9e8e:99ff:fe64:fcc2  prefixlen 64  scopeid 0x20
>  ether 9c:8e:99:64:fc:c2  txqueuelen 1000  (Ethernet)
>  RX packets 3892  bytes 378141 (369.2 KiB)
>  RX errors 0  dropped 0  overruns 0  frame 0
>  TX packets 192  bytes 19267 (18.8 KiB)
>  TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
>  device interrupt 16
>
> eno2: flags=4163  mtu 1500
>  inet 192.168.1.20  netmask 255.255.255.0  broadcast 192.168.1.255
>  inet6 fe80::9e8e:99ff:fe64:fcc3  prefixlen 64  scopeid 0x20
>  ether 9c:8e:99:64:fc:c3  txqueuelen 1000  (Ethernet)
>  RX packets 113  bytes 13209 (12.8 KiB)
>  RX errors 0  dropped 0  overruns 0  frame 0
>  TX packets 107  bytes 10837 (10.5 KiB)
>  TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
>  device interrupt 17
>
> Où 192.168.2.x contient le modem Fibre-optique Free, et 192.168.1.y est
> un réseau local (avec l'imprimante dessus), et un PC interne (en
> ethernet) dans le cabinet de mon épouse (psychologue)
>
>
> Comment configurer le routage?
>
> J'ai l'impression que la commande route est obsolète
>
> Librement.
>
> --
> Basile Starynkevitch  
> (only mine opinions / les opinions sont miennes uniquement)
> 92340 Bourg-la-Reine, France
> web page: starynkevitch.net/Basile/
>
>

Conseils sur l'exploitation d'un cluster Keepalived

[Olivier]

Bonjour,

J'ai cluster Keepalived à deux noeuds sous Debian.
À chaque instant, l'un des deux est actif quand l'autre est passif.
Ces deux noeuds sont des VM hébergées sur des hôtes différents et
indépendants.

Pour faciliter les opérations de mise à jour (changement d'OS ou de version
de logiciel), je m'interroge sur l'intérêt de doubler le nombre de noeud
sur chaque hôte toute en ne conservant, normalement à chaque instant, qu'un
unique noeud actif.

Avant de tester cela, je serai très curieux de lire vos commentaires,
suggestions et retours d'expérience sur ce type de mises en oeuvre.

Mes questions en vrac, sont:

1. Le doc [1] mentionne un mécanisme de track file avec lequel il me semble
possible de changer à la volée la priorité d'un noeud et donc de forcer son
état Actif ou Passif. Ai-je bien compris ce mécanisme ? Y a-t-il des
alternatives ?

2. Quels sont les risques d'un cluster dont des membres sont dans des
versions Debian différentes (le but est d'aider à la montée de version) ?

3. J'imagine mettre à niveau de la façon suivante:
3.1 le même jour, on immobilise deux noeuds passifs (1 sur chaque hôte de
virtualisation)
3.2 on met à jour les 2 noeuds immobilisés
3.3 à l'heure idoine, on bascule vers l'un des 2 noeuds à jour (avec retour
arrière en cas d'échec)
3.4 quelques temps après, on immobilise deux noeuds restants et on répète
les opérations 3.1 à 3.4
Voyez-vous une meilleure façon de procéder ?
Pour moi, ses inconvénients (qui me semblent acceptables) sont:
deux ruptures de service à chaque migration,
deux noeuds sont migrés sans véritablement avoir été testés.

[1] https://www.redhat.com/sysadmin/advanced-keepalived

Slts

Re: Postfix: configurer l'email de root [RESOLU]

[Olivier]

Le mar. 22 juin 2021 à 19:37, NoSpam  a écrit :

> Bonsoir
> Le 22/06/2021 à 18:21, Olivier a écrit :
>
> Merci à tous pour vos réponses.
>
> Dans /etc/aliases, j'ai:
> postmaster:  root
> root:f...@exemple.fr
> foo: f...@exemple.fr
>
> root: foo
> foo: f...@exemple.fr
>
> En appliquant dans /etc/aliases:
root: foo
foo: f...@exemple.fr

Alors:
echo Foo3 | mail -s Essai3 root   ne marche pas
echo Foo4 | mail -s Essai4 foomarche

Par contre, après modification du fichier /etc/postfix/canonical, les 2
commandes ci-dessus ont marché.

Contenu initial de /etc/postfix/canonical:
root:f...@sandbox123456.mailgun.org

Contenu modifié de /etc/postfix/canonical:
#root:f...@sandbox123456.mailgun.org

Merci infiniment à tous fpour votre aide.

Re: Postfix: configurer l'email de root

[Olivier]

Merci à tous pour vos réponses.

Dans /etc/aliases, j'ai:
postmaster:  root
root:f...@exemple.fr
foo: f...@exemple.fr

Ensuite:
# newaliases
# service postfix restart

# echo Test1 | mail -s Essai1 foo
# echo Test2 | mail -s Essai2 root

Le test Test1 fonctionne mais pas le test Test2.
Une piste ? Une explication ?


Le mar. 22 juin 2021 à 15:36, didier gaumet  a
écrit :

> Le mardi 22 juin 2021 à 15:10:03 UTC+2, Frédéric MASSOT a écrit :
>
> > Je me permet de compléter
> [...]
>
> Merci à toi :-)
>
>

Postfix: configurer l'email de root

[Olivier]

Bonjour,

Je souhaite revoir la config de serveurs sous Buster sur lesquels Postfix
est installé.

Comment faire en sorte que les courriels émis par le système vers root (en
cas d'échec dans un script cron, par exemple) soit envoyés vers un
destinataire extérieur (f...@exemple.fr) ?

Est-il possible que ce paramètre soit renseigné de telle sort qu'il soit
accessible à toutes les applications comme Postfix, Exim ou autre ?

Slts

Re: [HS] Utilisation de fibre dans des rocades inter-étages [RESOLU]

[Olivier]

Merci à tous et spécifiquement à Gabriel et Pierre, pour ces réponses.

Multimode vs Monomode:
J'avais en tête, une différence de prix importante dans le prix des modules
SFP/SFP+.
J'ai vu ce jour, que ce n'était plus exact et qu'à ce titre, une fibre OS1
ou OS2 pouvait être intéressante y compris en intérieur, sur des distances
assez courtes.

Assemblage de rocades:
Mon objectif est d'utiliser au maximum du prêt-à-porter pour des questions
de prix et pour éviter d'avoir à rechercher des intervenants locaux (je
travaille sur tout le territoire) sur une spécialité que je ne connais pas.
Dans mon cas, je me sens incapable de déterminer à l'avance à moins de 5m
mètre la longueur des rocades.
Véritablement, je ne connais ces longueurs qu'une fois avoir fait passer
une aiguille de tirage, le jour J.
C'est pourquoi, j'imaginais intervenir sur site avec deux ou trois rocades
(10, 20 et 30m, par exemple) et choisir la bonne après avoir fait passer
mon aiguille.

Je n'étais pas enthousiaste à l'idée d'assembler des longueurs (risques de
désassemblage, pertes optiques, télé-diagnostic diffcile...). Vos
témoignages confirment que ce n'est probablement pas une bonne idée.

Réflecto, mesure, recette:
Sans outil ni compétence fibre locale, j'ai objectivement un trou dans la
raquette.
(Que faire si la fibre est assez bonne pour laisser passer de la lumière
mais pas assez pour supporter le 10Gb/s ?)
À creuser.

MTP/LC:
Je pensais utiliser un module [3] à chaque extrémité du câble MTP.
[3] https://www.fs.com/fr/products/57037.html?attribute=4151=204874

Le mer. 16 juin 2021 à 16:53, Pierre Malard  a écrit :

> Bonjour,
>
> Je suis globalement d’accord avec toutes ces observations.
>
> Le 16 juin 2021 à 13:24, Gabriel Moreau <
> gabriel.mor...@legi.grenoble-inp.fr> a écrit :
>
>
> Mes questions:
> 1. Une rocade MTP 12 brins OM3 ou OM4 (cf [1]) doit-elle être protégée
> dans une gaîne sur toute sa longueur dans une colonne technique verticale
> ou bien ses propres protections sont-elles suffisantes, même en cas de
> tirage de câble à proximité ?
>
>
> Le mutlimode est de la daube. La fibre coûte bien plus cher et les
> transceiver mono ne sont plus très cher de nos jour. On trouve des
> transceiver simplex (1 fibre pour les deux sens) à 20 €.
>
> Il faut arrêter de mettre de la multimode... De la monomode OS1 est très
> bien.
>
> Si la rocade est accrochée très régulièrement au chemin de cable, il n'y a
> pas besoin de la mettre dans une gaine.
>
> 2. Même question avec une jarretière optique avec armature en acier (cf
> [2]) ?
>
>
> Mais si ce sont des bourrins, il y a des gaines aciers. Elles coûtent plus
> cher mais protège mieux.
>
>
> On peut aussi choisir de la fibre « blindée » avec une gaine de
> protection. Ce sont ces câbles qui sont passés en aérien. Mais c’est plus
> cher et le rayon de courbure plus grand.
>
>
> 3. Est-il admissible d'assembler deux jarretières pour obtenir une
> longueur spécifique (20m + 3m=23m) ? Si oui quels précautions pour le point
> où s'opère la jonction ?
>
>
> Non, on prends alors une 25 m
>
>
> Juste en ce qui concerne l’assemblage de 2 fibres courtes pour en avoir
> une plus longue, j’émettrai simplement une remarque :
>
>- c’est possible mais toute coupure coûte en qualité (perte de
>longueur max)
>- ça coûte cher car ceci ne se conçoit qu’un « soudant » les fibres,
>le matériel est onéreux et l’opération délicate
>- ça peut se faire aussi via un bandeau qui accueille chaque fibre et
>une jarretière pour connecter les 2 brins. Ça implique un coût qui n’est
>compréhensible que s’il y a plusieurs fibres (multibrins), c’est donc cher
>pour simplement rallonger un brin, ça fragilise le montage car une
>intervention malheureuse dans les communs peut tout casser et ça coûte
>également en qualité.
>
> Je suis pinailleur car la conclusion de tout ça c’est, comme l’écrivait
> Gabriel, à interdire de fait ce genre d’idée… ;-)
>
>
> 4. Est-il possible de lover 8m de longueur dans un tiroir optique mural ou
> 19" ?
>
>
> Il faudrait voir la taille du tiroir. Mais en général, on ne love qu'entre
> 1 à 3 m max de mémoire.
>
>
> Si je comprend bien l’objet de la question c’est que tu envisage d’acheter
> des fibres « à longueur » car, normalement, on les coupe à longueur avec
> une marge raisonnable. Une piste pourrait-être de discuter avec un
> poseur/fournisseur pour lui demander des câbles à façon.
>
>
> 5. Comment vérifie-t-on un câble optique après tirage ?
>
>
> On demande une recette optique. Il faut un reflecto. Il faut un technicien
> spécialisé si on n'a pas la machine (cher) ni la formation. Normalement, on
> demande toujours une recette optique suite à une pose.
>
> 6. Conseils ? Suggestions ?
>
>
> Tu as prévu une pieuvre MTP / LC (ou SC) UPC (ou APC) pour mettre dans les
> boîtiers ? Tu te branches comment en terminal ?
>
> Attention à prendre des commutateurs qui acceptent les transceivers
> génériques.
>
> gaby
> --
> Gabriel Moreau - IR 

[HS] Utilisation de fibre dans des rocades inter-étages

[Olivier]

Bonjour,

Voici des questions clairement indépendantes de Debian mais qui ne
manqueront pas, je pense, d'intéresser les administrateurs Debian qui
suivent cette liste.

D'ici quelques semaines j'envisage d'utiliser de la fibre optique à la
place de cuivre, pour inter-connecter des switches au sein d'un immeuble.
Les switches sont installés à quelques étages de distance (disons 40m max
pour donner un ordre de grandeur) les uns des autres.
Le switch central est installé dans un rack 19". Les autres sont installés
"au mieux" (ie à l'arrache) dans des colonnes techniques.
Les rocades empruntent normalement des colonnes techniques dédiées aux
courants faibles (ie aux télécoms) mais les tubes inter-étages de celles-ci
sont souvent "bien remplis" et rajouter des tubes n'est pas agréable ;-)))..

Pourquoi de la fibre ? Pour pouvoir si besoin:
- dépasser le Gigabit,
- dépasser les 100m,
- pouvoir plus facilement ajouter des switches dans les étages grâce à la
compacité de la fibre,
- occuper moins de place dans les tubes inter-étages voire utiliser des
colonnes dédiées à d'autres usages (courants forts, eau, ...) grâce à
l'immunité de la fibre.

Pour éviter les travaux sur site, j'imagine utiliser des rocades optiques
de longueurs standard (10m, 20m) en lovant à une extrémité l'excédent de
longueur.

Les prix des composants en fibre me semblent abordables.
Voici des exemples:
[1] https://www.fs.com/fr/products/80734.html?attribute=3821=170148
[2] https://www.fs.com/fr/products/41822.html?attribute=6485=259887

Je n'ai par contre aucune expérience de l'utilisation de fibre dans ce
contexte.
L'accès aux colonnes techniques n'est pas contrôlé : les sous-traitants des
opérateurs télécoms interviennent "sans prévenir" pour modifier le câblage
en cuivre ou optique (FTTH) existant. Même si je ne met pas en doute leurs
intentions, on peut imaginer que pendant leurs interventions, ils tirent ou
retirent des câbles dans les colonnes techniques et ses câbles peuvent
frotter contre mes rocades optiques.

Mes questions:
1. Une rocade MTP 12 brins OM3 ou OM4 (cf [1]) doit-elle être protégée dans
une gaîne sur toute sa longueur dans une colonne technique verticale ou
bien ses propres protections sont-elles suffisantes, même en cas de tirage
de câble à proximité ?
2. Même question avec une jarretière optique avec armature en acier (cf
[2]) ?
3. Est-il admissible d'assembler deux jarretières pour obtenir une longueur
spécifique (20m + 3m=23m) ? Si oui quels précautions pour le point où
s'opère la jonction ?
4. Est-il possible de lover 8m de longueur dans un tiroir optique mural ou
19" ?
5. Comment vérifie-t-on un câble optique après tirage ?
6. Conseils ? Suggestions ?

Slts

Comparaison de bases de données PostgreSQL

[Olivier]

Bonjour,

Quels outils et méthodes me conseillez-vous d'utiliser pour comparer deux
bases de données PostgreSQL (droits, structure, données) dans le cas où je
souhaite vérifier ma capacité à restaurer sur un nouvel hôte, une base de
données PostgreSQL sauvegardée avec barman.

L'ancien et le nouvel hôte sont des VM sous Debian Buster tout comme la
machine héberge barman.
PostgreSQL est la version du dépôt Debian stable.
Si l'opération est entièrement scriptable, ça serait apprécié (pour que je
puisse régulièrement) vérifier ma capacité de restauration.

Est-il possible d'utiliser les mêmes outils et méthodes pour faire la même
comparaison, quand un hôte est sous Bullseye ?

Slts

Re: Premiers pas avec proxmox. Snapshot impossible

[Olivier]

Merci à tous:
passer en LVMThin au lieu de LVM ajoute la possibilité de faire un snapshot
!

Pour ceux qui rencontreraient les mêmes difficultés que moi, voici des
notes qui m'ont été utiles:
- la suppression d'un disque s'opère en ligne de commande
- il n'est pas nécessaire (possible ?) de créer une partition sur un disque
que l'on "consacre entièrement à l'hébergement de VM"
- fdisk affiche le message ci-après quand on le lance sur un disque
précédemment utilisé par Proxmox. Une commande fdisk g puis w efface ce
message et rend le disque utilisable par l'interface graphique de Proxmox

Le jeu. 3 juin 2021 à 18:27, Fernand COSTA  a
écrit :

> Bonjour,
>
>
> selon le § 7.1 de la doc de Proxmox, seul certains stockages permettent le
> snapshot. On parle ici des stockages du serveur et non des VM !
>
> Lien pour la doc :
> https://proxmox.com/en/downloads?task=callelement=raw_id=398=f85c494b-2b32-4109-b8c1-083cca2b7db6=download
> [0]=b084ed87a949f475bc7904b86bb3133f
>
> Cordialement,
>
>
> Fernand COSTA
>
>
> Le 03/06/2021 à 15:49, Olivier a écrit :
>
> En effet, dans l'écran Hardware de la VM, j'ai:
> - un tableau avec plusieurs lignes dont une ligne Hard Disk (scsi0)
> - une rangée de boutons dont ceux nommés Edit, Resize disk et Move disk.
>
> Le formulaire de Move disk contient:
> Disk: scsci0
> Target storage:  trois choix possibles: aucune sélection, VM1 (de type
> lvm) et local-vm (de type lvmthin)
> Format:  raw (si VM1 ou local-vm) est sélectionné, qcow2 si rien n'est
> sélectionné dans Target storage.
>
> Visiblement, aucun des 2 stockages disponibles (local-vm créé par défaut,
> et VM1 que j'ai créé sur un disque vierge dédié) ne permet la sélection du
> format qcow2.
> J'ai peut-être sauté une étape.
>
> Dans quelle direction chercher ?
>
> Le mer. 2 juin 2021 à 16:31, Yahoo  a écrit :
>
>> regarde dans la partie Hardware de ta VM, clique sur la ligne "Hard Disk"
>> tu dois pouvoir faire un "Move" dans les choix d'options,
>>
>> normalement tu aura une proposition pour déplacé ton image disque et son
>> format.
>>
>>
>> Le 02/06/2021 à 16:09, Olivier a écrit :
>>
>> En cliquant un peu au hasard dans l'IHM de Proxmox, j'ai un écran qui
>> détaille tous les disques de mon disque VM1 (c'est son nom) qui est
>> d'ailleurs de type LVM:
>> vm-100-disk-0 Format: raw Size: 8GB
>>
>> Sur cet écran, je ne vois aucun menu contextuel pour transformer ce
>> disque de raw à qcow2.
>>
>>
>>
>> Le mer. 2 juin 2021 à 15:28, Yahoo  a écrit :
>>
>>> Salut,
>>>
>>> effectivement, si je ne dis pas d'erreur, il faut que ton image soit en
>>> qcow2,
>>>
>>> vérifie dans /var/lib/vz/100/ avec file pour savoir si
>>> ton fichier est en qcow2
>>>
>>> *file /var/lib/vz/images/100/*
>>>
>>>
>>> Le 02/06/2021 à 15:17, Olivier a écrit :
>>>
>>> Globalement, j'ai compris que l'on pouvait faire un snapshot:
>>> - si le format de l'image était de type qcow2
>>> - ou si le système de fichier était de type LVM2, ZFS, ...
>>>
>>> Je suis probablement dans l'un de ces deux cas (voire les deux cas).
>>>
>>>
>>>
>>> Le mer. 2 juin 2021 à 15:10, Alexandre GRIVEAUX 
>>> a écrit :
>>>
>>>> Le 02/06/2021 à 14:40, Olivier a écrit :
>>>> > Bonjour,
>>>> >
>>>> > Je débute avec Proxmox Ve 6.4 sous Buster.
>>>> > La machine possède deux disques dont 1 dédié aux VMs.
>>>> >
>>>> > J'ai créé ma première VM avec l'interface graphique intégrée de
>>>> Proxmox.
>>>> > Tout semble fonctionner excepté que l'onglet Snapshot de la nouvelle
>>>> > VM affiche:
>>>> > "This current guest configuration does not support taking new
>>>> snapshots".
>>>> >
>>>> > Voici sa config:
>>>> > # qm config 100
>>>> > boot: order=scsi0;ide2;net0
>>>> > cores: 1
>>>> > ide2: local:iso/firmware-10.9.0-amd64-i386-netinst.iso,media=cdrom
>>>> > memory: 512
>>>> > name: buster
>>>> > net0: virtio=4E:19:D6:B6:5B:1A,bridge=vmbr0,firewall=1
>>>> > numa: 0
>>>> > ostype: l26
>>>> > scsi0: VM1:vm-100-disk-0,size=8G
>>>> > scsihw: virtio-scsi-pci
>>>> > smbios1: uuid=76021483-5080-4370-b352-bd1cced84a2f
>>>> > sockets: 1
>>>> > vmgenid: 3974ef70-1335-42ea-abce-7edd2e1cc54e
>>>> >
>>>> > Comment permettre les snapshots ?
>>>> > Si besoin, je peux tout reprendre à zéro car je n'ai pas encore de
>>>> > données personnelles sur la machine Proxmox et ses invités.
>>>> >
>>>> > Slts
>>>>
>>>> Bonjour,
>>>>
>>>>
>>>> Les snapshot ne sont pas lier à l'utilisation de LVM2 ?
>>>>
>>>>
>>>> Merci.
>>>>
>>>>

Re: Premiers pas avec proxmox. Snapshot impossible

[Olivier]

En effet, dans l'écran Hardware de la VM, j'ai:
- un tableau avec plusieurs lignes dont une ligne Hard Disk (scsi0)
- une rangée de boutons dont ceux nommés Edit, Resize disk et Move disk.

Le formulaire de Move disk contient:
Disk: scsci0
Target storage:  trois choix possibles: aucune sélection, VM1 (de type lvm)
et local-vm (de type lvmthin)
Format:  raw (si VM1 ou local-vm) est sélectionné, qcow2 si rien n'est
sélectionné dans Target storage.

Visiblement, aucun des 2 stockages disponibles (local-vm créé par défaut,
et VM1 que j'ai créé sur un disque vierge dédié) ne permet la sélection du
format qcow2.
J'ai peut-être sauté une étape.

Dans quelle direction chercher ?

Le mer. 2 juin 2021 à 16:31, Yahoo  a écrit :

> regarde dans la partie Hardware de ta VM, clique sur la ligne "Hard Disk"
> tu dois pouvoir faire un "Move" dans les choix d'options,
>
> normalement tu aura une proposition pour déplacé ton image disque et son
> format.
>
>
> Le 02/06/2021 à 16:09, Olivier a écrit :
>
> En cliquant un peu au hasard dans l'IHM de Proxmox, j'ai un écran qui
> détaille tous les disques de mon disque VM1 (c'est son nom) qui est
> d'ailleurs de type LVM:
> vm-100-disk-0 Format: raw Size: 8GB
>
> Sur cet écran, je ne vois aucun menu contextuel pour transformer ce disque
> de raw à qcow2.
>
>
>
> Le mer. 2 juin 2021 à 15:28, Yahoo  a écrit :
>
>> Salut,
>>
>> effectivement, si je ne dis pas d'erreur, il faut que ton image soit en
>> qcow2,
>>
>> vérifie dans /var/lib/vz/100/ avec file pour savoir si
>> ton fichier est en qcow2
>>
>> *file /var/lib/vz/images/100/*
>>
>>
>> Le 02/06/2021 à 15:17, Olivier a écrit :
>>
>> Globalement, j'ai compris que l'on pouvait faire un snapshot:
>> - si le format de l'image était de type qcow2
>> - ou si le système de fichier était de type LVM2, ZFS, ...
>>
>> Je suis probablement dans l'un de ces deux cas (voire les deux cas).
>>
>>
>>
>> Le mer. 2 juin 2021 à 15:10, Alexandre GRIVEAUX 
>> a écrit :
>>
>>> Le 02/06/2021 à 14:40, Olivier a écrit :
>>> > Bonjour,
>>> >
>>> > Je débute avec Proxmox Ve 6.4 sous Buster.
>>> > La machine possède deux disques dont 1 dédié aux VMs.
>>> >
>>> > J'ai créé ma première VM avec l'interface graphique intégrée de
>>> Proxmox.
>>> > Tout semble fonctionner excepté que l'onglet Snapshot de la nouvelle
>>> > VM affiche:
>>> > "This current guest configuration does not support taking new
>>> snapshots".
>>> >
>>> > Voici sa config:
>>> > # qm config 100
>>> > boot: order=scsi0;ide2;net0
>>> > cores: 1
>>> > ide2: local:iso/firmware-10.9.0-amd64-i386-netinst.iso,media=cdrom
>>> > memory: 512
>>> > name: buster
>>> > net0: virtio=4E:19:D6:B6:5B:1A,bridge=vmbr0,firewall=1
>>> > numa: 0
>>> > ostype: l26
>>> > scsi0: VM1:vm-100-disk-0,size=8G
>>> > scsihw: virtio-scsi-pci
>>> > smbios1: uuid=76021483-5080-4370-b352-bd1cced84a2f
>>> > sockets: 1
>>> > vmgenid: 3974ef70-1335-42ea-abce-7edd2e1cc54e
>>> >
>>> > Comment permettre les snapshots ?
>>> > Si besoin, je peux tout reprendre à zéro car je n'ai pas encore de
>>> > données personnelles sur la machine Proxmox et ses invités.
>>> >
>>> > Slts
>>>
>>> Bonjour,
>>>
>>>
>>> Les snapshot ne sont pas lier à l'utilisation de LVM2 ?
>>>
>>>
>>> Merci.
>>>
>>>

Re: Premiers pas avec proxmox. Snapshot impossible

[Olivier]

En cliquant un peu au hasard dans l'IHM de Proxmox, j'ai un écran qui
détaille tous les disques de mon disque VM1 (c'est son nom) qui est
d'ailleurs de type LVM:
vm-100-disk-0 Format: raw Size: 8GB

Sur cet écran, je ne vois aucun menu contextuel pour transformer ce disque
de raw à qcow2.



Le mer. 2 juin 2021 à 15:28, Yahoo  a écrit :

> Salut,
>
> effectivement, si je ne dis pas d'erreur, il faut que ton image soit en
> qcow2,
>
> vérifie dans /var/lib/vz/100/ avec file pour savoir si ton
> fichier est en qcow2
>
> *file /var/lib/vz/images/100/*
>
>
> Le 02/06/2021 à 15:17, Olivier a écrit :
>
> Globalement, j'ai compris que l'on pouvait faire un snapshot:
> - si le format de l'image était de type qcow2
> - ou si le système de fichier était de type LVM2, ZFS, ...
>
> Je suis probablement dans l'un de ces deux cas (voire les deux cas).
>
>
>
> Le mer. 2 juin 2021 à 15:10, Alexandre GRIVEAUX 
> a écrit :
>
>> Le 02/06/2021 à 14:40, Olivier a écrit :
>> > Bonjour,
>> >
>> > Je débute avec Proxmox Ve 6.4 sous Buster.
>> > La machine possède deux disques dont 1 dédié aux VMs.
>> >
>> > J'ai créé ma première VM avec l'interface graphique intégrée de Proxmox.
>> > Tout semble fonctionner excepté que l'onglet Snapshot de la nouvelle
>> > VM affiche:
>> > "This current guest configuration does not support taking new
>> snapshots".
>> >
>> > Voici sa config:
>> > # qm config 100
>> > boot: order=scsi0;ide2;net0
>> > cores: 1
>> > ide2: local:iso/firmware-10.9.0-amd64-i386-netinst.iso,media=cdrom
>> > memory: 512
>> > name: buster
>> > net0: virtio=4E:19:D6:B6:5B:1A,bridge=vmbr0,firewall=1
>> > numa: 0
>> > ostype: l26
>> > scsi0: VM1:vm-100-disk-0,size=8G
>> > scsihw: virtio-scsi-pci
>> > smbios1: uuid=76021483-5080-4370-b352-bd1cced84a2f
>> > sockets: 1
>> > vmgenid: 3974ef70-1335-42ea-abce-7edd2e1cc54e
>> >
>> > Comment permettre les snapshots ?
>> > Si besoin, je peux tout reprendre à zéro car je n'ai pas encore de
>> > données personnelles sur la machine Proxmox et ses invités.
>> >
>> > Slts
>>
>> Bonjour,
>>
>>
>> Les snapshot ne sont pas lier à l'utilisation de LVM2 ?
>>
>>
>> Merci.
>>
>>

Re: Premiers pas avec proxmox. Snapshot impossible

[Olivier]

Globalement, j'ai compris que l'on pouvait faire un snapshot:
- si le format de l'image était de type qcow2
- ou si le système de fichier était de type LVM2, ZFS, ...

Je suis probablement dans l'un de ces deux cas (voire les deux cas).



Le mer. 2 juin 2021 à 15:10, Alexandre GRIVEAUX  a
écrit :

> Le 02/06/2021 à 14:40, Olivier a écrit :
> > Bonjour,
> >
> > Je débute avec Proxmox Ve 6.4 sous Buster.
> > La machine possède deux disques dont 1 dédié aux VMs.
> >
> > J'ai créé ma première VM avec l'interface graphique intégrée de Proxmox.
> > Tout semble fonctionner excepté que l'onglet Snapshot de la nouvelle
> > VM affiche:
> > "This current guest configuration does not support taking new snapshots".
> >
> > Voici sa config:
> > # qm config 100
> > boot: order=scsi0;ide2;net0
> > cores: 1
> > ide2: local:iso/firmware-10.9.0-amd64-i386-netinst.iso,media=cdrom
> > memory: 512
> > name: buster
> > net0: virtio=4E:19:D6:B6:5B:1A,bridge=vmbr0,firewall=1
> > numa: 0
> > ostype: l26
> > scsi0: VM1:vm-100-disk-0,size=8G
> > scsihw: virtio-scsi-pci
> > smbios1: uuid=76021483-5080-4370-b352-bd1cced84a2f
> > sockets: 1
> > vmgenid: 3974ef70-1335-42ea-abce-7edd2e1cc54e
> >
> > Comment permettre les snapshots ?
> > Si besoin, je peux tout reprendre à zéro car je n'ai pas encore de
> > données personnelles sur la machine Proxmox et ses invités.
> >
> > Slts
>
> Bonjour,
>
>
> Les snapshot ne sont pas lier à l'utilisation de LVM2 ?
>
>
> Merci.
>
>

Premiers pas avec proxmox. Snapshot impossible

[Olivier]

Bonjour,

Je débute avec Proxmox Ve 6.4 sous Buster.
La machine possède deux disques dont 1 dédié aux VMs.

J'ai créé ma première VM avec l'interface graphique intégrée de Proxmox.
Tout semble fonctionner excepté que l'onglet Snapshot de la nouvelle VM
affiche:
"This current guest configuration does not support taking new snapshots".

Voici sa config:
# qm config 100
boot: order=scsi0;ide2;net0
cores: 1
ide2: local:iso/firmware-10.9.0-amd64-i386-netinst.iso,media=cdrom
memory: 512
name: buster
net0: virtio=4E:19:D6:B6:5B:1A,bridge=vmbr0,firewall=1
numa: 0
ostype: l26
scsi0: VM1:vm-100-disk-0,size=8G
scsihw: virtio-scsi-pci
smbios1: uuid=76021483-5080-4370-b352-bd1cced84a2f
sockets: 1
vmgenid: 3974ef70-1335-42ea-abce-7edd2e1cc54e

Comment permettre les snapshots ?
Si besoin, je peux tout reprendre à zéro car je n'ai pas encore de données
personnelles sur la machine Proxmox et ses invités.

Slts

Re: Effacer plusieurs millions de fichiers d'un répertoire !

[Olivier]

Bonjour,

Plutôt que supprimer les fichiers indésirables, serait-il possible de
successivement
- déplacer les fichiers désirables dans un autre répertoire (j'imagine
qu'il y en a moins)
- supprimer le répertoire qui ne contient plus que des indésirables,
- ré-arranger le tout

Le dim. 4 avr. 2021 à 09:38, JUPIN Alain  a écrit :

> Bonjour
>
> Petit casse tête du dimanche matin !
>
> Sur un serveur LAMP à base de Debian10 (à jour en version 10.9), j'ai noté
> des lenteurs et le syslog est sans équivoque :
> [4958833.739887] EXT4-fs warning (device sda3): ext4_dx_add_entry:2258:
> Directory (ino: 18612230) index full, reach max htree level :2
> [4958833.739889] EXT4-fs warning (device sda3): ext4_dx_add_entry:2262:
> Large directory feature is not enabled on this filesystem
>
> Après analyse, je ne dépasse pas le nombre max d'inodes du système de
> fichier (j'en suis à 9% d'utilisé), par contre, le répertoire
> /var/lib/php/sessions/ contient 56 781 542 fichiers
> J'ai lancé hier soir un : find . -cmin +30 | xargs rm;
> Mais après plusieurs heures la commande échoue avec "trop d'arguments"
>
> Bref ce matin, il y a deux heures, je tente une nouvelle approche : rsync
> -a --delete /tmp/empty/ /var/lib/php/sessions/
> avec bien sur /tmp/empty qui est vide
> Mais après deux heures de fonctionnement, je n'ai aucun retour de la
> commande !
>
> Du coup connaissez vous une méthode "rapide" pour effacer plusieurs
> millions de fichiers d'un répertoire !
>
> PS : Par contre, je ne comprend pas la présence de ses fichiers, car j'ai
> bien un cron qui se lance toutes les demi-heures pour supprimer les
> sessions. Va falloir que j'élucide ce mystère !
>
>
> --
> Alain JUPIN
> Lumières d'Ici ... et d'Ailleurs 
>

Re: Configuration de Bind9

[Olivier]

Grâce à votre, j'ai réussi à faire focntionner Bind9 comme je le souhaitais.
Dès que j'en aurai la possibilité, je consignerai dans ce fil, les
paramètres retenus.

À suivre

Le jeu. 25 mars 2021 à 17:56, Philippe  a écrit :

> Salut la liste !
>
> Les forwarders, ce sont les IP des serveurs de noms qui peuvent prendre le
> service
> en charge lorsque les vôtres ne sont pas disponibles.
>
> Par exemple, le serveur de nom de vos bureaux d'enregistrement respectifs,
> s'ils en
> fournissent (213.186.33.99 pour OVH, par ex.).
>
> Des serveurs proposent un service de naming très performant, Google par
> exemple
> sur l'IP 8.8.8.8, bien entendu :
>
> https://www.bleepingtech.com/10-free-fast-public-dns-servers-to-increase-internet-speed-2013/
>
> Les fichiers de zone suivants sont incomplets, et ne sauraient rien
> résoudre :
> >> J'ai aussi essayé, sans plus de succès, avec:
> >>
> >> zone "foo.lan" {
> >>type master;
> >>forwarders { 192.168.1.1; }; # Adresse du serveur DNS sur foo.lan
> >> };
> >>
> >> zone "bar.lan" {
> >>type master;
> >>file "/etc/bind/db.bar.lan";
> >> };
>
> Dans le sens où il manque le lien avec le fichier de zone correspondant
> http://wiki.goldzoneweb.info/creation_d_une_zone
>
> https://www.digitalocean.com/community/tutorials/how-to-configure-bind-as-a-private-network-dns-server-on-ubuntu-14-04#configure-local-file
>
>
> Bind9 fonctionne aussi comme cache.
>
> Bonne continuation,
>
> Ph. Gras
>

Re: Configuration de Bind9

[Olivier]

@Christophe:
Merci pour ta réponse.

J'ai essayé en déplaçant la déclaration des forwarders dans le fichier
named.conf.options mais sans plus de succès, malheureusement.

J'ai l'impression que Bind fonctionne soit comme cache, soit comme Autorité
mais pas les deux en même temps.
La doc ne disant pas explicitement, j'ai un gros doute sur cette
affirmation.

Peut-être qu'il est nécessaire d'avoir une instance de Bind en "frontal"
qui fait office de cache et sait en coulisse interroger plusieurs autres
spécialisés par domaine ?
Mon expérience générale du DNS est que quand un client DNS configure
plusieurs serveurs DNS, le deuxième serveur DNS n'est pas interrogé quand
le premier à répondu "nom de domaine inconnu".
À ce titre, il serait logique qu'un serveur unique sache répondre à tout
quitte à chercher ailleurs les réponses qu'il ne connaît pas.

En d'autres termes, je suis un peu perdu ...

Le mer. 24 mars 2021 à 15:18, Christophe Maquaire  a
écrit :

> Le mercredi 24 mars 2021 à 14:41 +0100, Olivier a écrit :
>
> Bonjour,
>
> > J'ai aussi essayé, sans plus de succès, avec:
> >
> > zone "foo.lan" {
> >type master;
> >forwarders { 192.168.1.1; }; # Adresse du serveur DNS sur foo.lan
> > };
> >
> > zone "bar.lan" {
> >type master;
> >file "/etc/bind/db.bar.lan";
> > };
> >
> >
> >
> > >
> > > 1. Quelle modification apporter pour résoudre host2.foo.lan ?
> Je ne suis pas spécialiste de bind, mais je déclarerais forwarders en
> dehors des déclaration de zone.
> Pour le reste, je ne sais...
> > > 2. Est-il possible (et souhaitable) d'éviter l'envoi de requêtes
> > > host2.foo.lan.bar.lan ? Si oui, comment ?
> > >
> > > Slts
>
> Christophe
>
>

Debian et DNSSEC

[Olivier]

Bonjour,

En installant Bind9 sur une machine, j'ai lu plusieurs références à DNSSEC,
sujet que je connais très mal.

1. Par défaut, une machine Debian sous Buster ou Bullseye, est-elle
configurée pour utiliser DNSSEC plutôt que DNS ?

2. Qu'implique en terme d'administration, l'utilisation de DNSSEC ?
Faut-il gérer ou renouveler soi-même des certificats ?
Voit-on du traffic TCP/53 à la place d'UDP/53 ?

3. Les opérateurs des serveurs DNS 1.1.1.1, 8.8.8.8, ... supportent-ils
aussi le DNSSEC ?
Ceux-ci incitent-ils à l'utilisation d'une variante particulière (DNS over
TLS, DNS over HTTPS, ...).

4. En 2021, cela vaut-il le coup d'investir du temps et des moyens de
"passer ses équipements" (serveurs, terminaux, routeurs,...) au DNSSEC ?

5. Conseils ? Suggestions ?

Slts

Re: Configuration de Bind9

[Olivier]

J'ai aussi essayé, sans plus de succès, avec:

zone "foo.lan" {
   type master;
   forwarders { 192.168.1.1; }; # Adresse du serveur DNS sur foo.lan
};

zone "bar.lan" {
   type master;
   file "/etc/bind/db.bar.lan";
};


À noter que sur le PC émettant les requêtes DNS, resolv.conf vaut:
nameserver 192.168.2.1
search bar.lan

Le mer. 24 mars 2021 à 13:56, Olivier  a écrit :

> Bonjour,
>
> Je souhaite mettre en place un serveur Bind9 avec les points suivants:
>
> La machine qui héberge Bind9 est sous Buster.
> Elle possède deux interfaces Ethernet, chacune connectée à un réseau local
> (foo.lan et bar.lan).
> Elle est client DHCP sur un réseau local (foo.lan), et fait office de
> passerelle sur l'autre réseau (bar.lan).
> Le services DNS est réservé au réseau local pour lequelle la machine fait
> office de passerelle (bar.lan).
> Je souhaite que le serveur DNS puisse:
> résoudre quelques noms d'hôtes locaux (toto.bar.lan, www.bar.lan)
> résoudre par un moyen idoine (redirection ? récursion ? transfert ? ...)
> quelques noms d'hôtes sur l'autre réseau (pipo.foo.lan, www.foo.lan)
> réduire au maximum les temps de réponses aux requêtes DNS (cache, ...).
>
> Le serveur DNS/DHCP/GW sur foo.lan est un EdgeRouter d'Ubiquiti dont je ne
> maîtrise pas (encore) les moyens de debug.
>
> Voici quelques éléments de ma config
>
> zone "bar.lan" {
>type master;
>file "/etc/bind/db.bar.lan";
>forwarders { 192.168.1.1; }; # Adresse du serveur DNS sur foo.lan
> };
>
> resolv.conf:
> nameserver 192.168.1.1
> search foo.lan
>
> Une résolution depuis un PC sur bar.lan fonctionne avec host1.bar.lan mais
> ne fonctionne pas avec host2.foo.lan.
>
> J'observe que dans ce dernier cas, Bind9:
> - reçoit une requête sur host2.foo.lan puis sur host2.foo.lan.bar.lan
> - répond No such name à chaque fois
> - me semble ne relayer aucune requête vers le serveur en 192.168.1.1 avant
> de répondre mais relaie la requête vers un serveur DNS public
> qui n'a évidemment aucune connaissance de host2.foo.lan.
>
> 1. Quelle modification apporter pour résoudre host2.foo.lan ?
> 2. Est-il possible (et souhaitable) d'éviter l'envoi de requêtes
> host2.foo.lan.bar.lan ? Si oui, comment ?
>
> Slts
>

Configuration de Bind9

[Olivier]

Bonjour,

Je souhaite mettre en place un serveur Bind9 avec les points suivants:

La machine qui héberge Bind9 est sous Buster.
Elle possède deux interfaces Ethernet, chacune connectée à un réseau local
(foo.lan et bar.lan).
Elle est client DHCP sur un réseau local (foo.lan), et fait office de
passerelle sur l'autre réseau (bar.lan).
Le services DNS est réservé au réseau local pour lequelle la machine fait
office de passerelle (bar.lan).
Je souhaite que le serveur DNS puisse:
résoudre quelques noms d'hôtes locaux (toto.bar.lan, www.bar.lan)
résoudre par un moyen idoine (redirection ? récursion ? transfert ? ...)
quelques noms d'hôtes sur l'autre réseau (pipo.foo.lan, www.foo.lan)
réduire au maximum les temps de réponses aux requêtes DNS (cache, ...).

Le serveur DNS/DHCP/GW sur foo.lan est un EdgeRouter d'Ubiquiti dont je ne
maîtrise pas (encore) les moyens de debug.

Voici quelques éléments de ma config

zone "bar.lan" {
   type master;
   file "/etc/bind/db.bar.lan";
   forwarders { 192.168.1.1; }; # Adresse du serveur DNS sur foo.lan
};

resolv.conf:
nameserver 192.168.1.1
search foo.lan

Une résolution depuis un PC sur bar.lan fonctionne avec host1.bar.lan mais
ne fonctionne pas avec host2.foo.lan.

J'observe que dans ce dernier cas, Bind9:
- reçoit une requête sur host2.foo.lan puis sur host2.foo.lan.bar.lan
- répond No such name à chaque fois
- me semble ne relayer aucune requête vers le serveur en 192.168.1.1 avant
de répondre mais relaie la requête vers un serveur DNS public
qui n'a évidemment aucune connaissance de host2.foo.lan.

1. Quelle modification apporter pour résoudre host2.foo.lan ?
2. Est-il possible (et souhaitable) d'éviter l'envoi de requêtes
host2.foo.lan.bar.lan ? Si oui, comment ?

Slts

Re: [HS] Outils de déploiement à la sauce wapt

[Olivier Bitsch]

Étrange, ils ne font pas mention de cette fin de support de la version
communautaire sur leur site.

Personnellement, j'utilise chocolatey https://chocolatey.org/ qui permet
d'installer facilement des logiciels avec la commande "choco". Je crois
qu'on peut également avoir ses propres repos qui sont au format NuGet.

Olivier

Le jeu. 4 mars 2021 à 10:34, David Martin  a écrit :

> Bonjour à tous,
>
> J'utilise wapt en version community sur mon infra pour déployer les postes
> client, hors la version community va s'arréter.
>
> Est-ce que vous connaissez une solution similaire à utiliser ?
>
>
> --
> david martin
>
>

Re: Outil de surveillance et d'alerte des logs [RESOLU]

[Olivier]

J'ignorai que l'on pouvait personnaliser les actions déclenchées par
fail2ban.
C'est très intéressant d'autant que les actions habituelles de fail2ban
(bannissement d'adresse IP) m'intéressent elles aussi.

Merci à tous pour vos réponses

Le mer. 3 mars 2021 à 09:24, Gabriel Moreau <
gabriel.mor...@legi.grenoble-inp.fr> a écrit :

>
> > Je recherche un logiciel installable sur des serveurs Debian (Buster,
> > Stretch, Jessie, ...) opérant comme suit:
> >
> > - lecture en temps réel de fichiers de logs
> > - déclenchement de scripts personnalisés en cas d'occurrence
> > d'événements matérialisés par la présence d'expressions dans les
> > fichiers de logs surveillés.
>
>
> fail2ban est fait pour cela.
>
> gaby
> --
> Gabriel Moreau - IR CNRShttp://www.legi.grenoble-inp.fr
> LEGI (UMR 5519) Laboratoire des Ecoulements Geophysiques et Industriels
> Domaine Universitaire, CS 40700, 38041 Grenoble Cedex 9, France
> mailto:gabriel.mor...@legi.grenoble-inp.fr  tel:+33.476.825.015
>
>

Outil de surveillance et d'alerte des logs

[Olivier]

Bonjour,

Je recherche un logiciel installable sur des serveurs Debian (Buster,
Stretch, Jessie, ...) opérant comme suit:

- lecture en temps réel de fichiers de logs
- déclenchement de scripts personnalisés en cas d'occurrence d'événements
matérialisés par la présence d'expressions dans les fichiers de logs
surveillés.

Que conseillez-vous ?

Slts