Re: Envoyer mail avec autre IP que le sien

2019-09-21 Par sujet Basile Starynkevitch 


On 9/21/19 11:22 AM, ajh-valmer wrote:

On Saturday 21 September 2019 00:10:55 Pascal Hambourg wrote:

Le 20/09/2019 à 10:27, ajh-valmer a écrit :

Est-il possible et si oui une piste,
afin d'envoyer un mail avec numéro IP autre que le sien :

Pour pouvoir répondre, il faudrait que tu définisses précisément ce que
tu entends par là :

Que le n° IP de ton FAI ne figure pas dans le mail reçu
par le destinataire, c'est à dire un IP LAN (192.168...)
ou un autre.


Ça peut paraitre bizarre, mais parfois c'est bien utile,

Utile à quoi ? :
https://protonmail.com

Cacher au destinataire qui a envoyé le mail,
suffit de réfléchir un peu, c'est parfois nécessaire :-)



A non, le mél n'a pas été conçu pour ça. Au départ, c'était (comme le 
Web) un outil de communication entre chercheurs et l'anonymat est 
contraire à l'éthique académique.



Et documente toi un peu plus sur SMTP . 
Les adresses IP (ou les noms de machine, notamment celles relayant ton 
email) y sont forcément connues.



Pour cacher ton identité (mais pourquoi ne pas avoir le courage de ses 
opinions? pour moi c'est un comportement adulte que de les assumer 
nominativement), crées donc un compte pseudo sur protonmail 
 ou autre et/ou utilise une interface webmail.


--
Basile STARYNKEVITCH   == http://starynkevitch.net/Basile
opinions are mine only - les opinions sont seulement miennes
Bourg La Reine, France; 
(mobile phone: cf my web page / voir ma page web...)

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

2019-09-21 Par sujet G2PC 
J'ai bien compris que le Port Knocking n'est pas réellement de la
sécurité mais surtout de l'obfuscation.
J'ai voulu le mettre en place tout de même.

Oui pour fail2ban, il est en place mais je dois renforcer les règles.

Le 21/09/2019 à 21:42, Daniel Huhardeaux a écrit :
> Oublie le port knocking. Change le port d'écoute ssh et tout ira bien.
> Si tu veux tout de même encore plus te protéger installe fail2ban.
> Encore mieux: ouvre un VPN entre toi et ton serveur.

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

2019-09-21 Par sujet Daniel Huhardeaux 

Le 21/09/2019 à 20:18, G2PC a écrit :

Merci de ce retour, je vais faire des recherches complémentaires, car,
même si ta réponse est bien formulée, je décroche un peu.
Fondamentalement, je veux bien te croire, mais, il va falloir que je
vérifie, comment faire pour l'activer, et, pour vérifier son activation.


De mon côté, j'ai rajouté le Port Knocking par Iptables, que j'ai placé
tout à la fin de mon script, juste au dessus de COMMIT.
Ça a l'air fonctionnel, mais, j'ai l'impression que ça manque de
réactivité, et, je me demande si je n'ai pas des règles qui pourraient
entrer en conflit, comprendre, se répéter inutilement.

Le script Iptables :
https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#R.C3.A8gle_personnalis.C3.A9e_pour_configurer_Iptables_filter

Le script Port Knocking :
https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#Mise_en_place_du_Port_Knocking


J'aimerais bien pouvoir gagner un peu de souplesse, au moment du Port
Knocking, car, j'ai l'impression que ça pédale dans la choucroute.
Peut être un problème de perf de serveur, un VPS 1Go, ce serait déjà
trop light vu que j'ai quelques virtualhosts dessus.

Quoi qu'il en soit, j'ai tenté de me connecter directement en SSH, et,
le port knocking semble bien faire le boulot, la connexion n'est pas
établie.
Par contre, si je décommente les 2 lignes autorisant le port SSH dans
mon script principale, le script du Port Knocking ne semble pas arriver
à m'ouvrir le port 22.
J'ai donc une autorisation de SSH port 22 en input et output depuis mon
script principale, tout comme j'ai, tout à la fin de ce script
principale, le script Port Knocking, qui me réautorise le port 22 si les
frappes aboutissent.
Je ne suis pas sur que ce soit normal, d'avoir à autoriser le port SSH,
puis, à le réauthoriser avec le port knocking.
Il me semble que le port knocking devrait suffir à gérer l'ouverture et
la fermeture du port SSH.

Il faut que je revérifie.


Oublie le port knocking. Change le port d'écoute ssh et tout ira bien. 
Si tu veux tout de même encore plus te protéger installe fail2ban. 
Encore mieux: ouvre un VPN entre toi et ton serveur.




Le 21/09/2019 à 13:46, Pascal Hambourg a écrit :

Le 21/09/2019 à 12:39, G2PC a écrit :


# Mon serveur ne retrouve pas les deux lignes de configuration
suivantes, que je commente. A SUIVRE !
# sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_tcp_loose:
Aucun fichier ou dossier de ce type
# sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_max: Aucun
fichier ou dossier de ce type


Ces sysctls n'existent que si le module nf_conntrack_ipv4 ou
nf_conntrack_ipv6 est chargé, ce qui est fait automatiquement à la
création de la première règle utilisant le suivi de connexion (state,
conntrack, connmark...) ou au chargement de la table nat.

Pour pouvoir les initialiser via /etc/sysctl{,.d/*}.conf, il faut
charger un de ces modules via /etc/modules{,-load.d/*.conf}.





--
Daniel

Capture avec avconv

2019-09-21 Par sujet Pierre ESTREM 

Bonsoir,

Je ne parviens pas à faire de ces 2 commandes ci-dessous une seule commande.

Pour les speakers :

$ avconv -f pulse -i alsa_output.pci-_00_1b.0.analog-stereo.monitor
-f x11grab -r 30 -s 1920x1080 -i :0.0 -vcodec libx264 -preset ultrafast
-threads 4 -y speakers.mp4

Pour le mic :

$ avconv -f pulse -i alsa_input.usb-AKM_AK5370-00-AK5370.analog-mono -f
x11grab -r 30 -s 1920x1080 -i :0.0 -vcodec libx264 -preset ultrafast
-threads 4 -y mic.mp4

Si je réunis les 2 commandes l'enregistrement du mic passe à la trappe
(en position 2) :

$ avconv -f pulse -i alsa_output.pci-_00_1b.0.analog-stereo.monitor
-f pulse -i alsa_input.usb-AKM_AK5370-00-AK5370.analog-mono -f x11grab
-r 30 -s 1920x1080 -i :0.0 -vcodec libx264 -preset ultrafast -threads 4
-y speakers-mic.mp4

Comment n'en faire qu'une ligne ?

Merci
pierre estrem

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

2019-09-21 Par sujet G2PC 
Merci de ce retour, je vais faire des recherches complémentaires, car,
même si ta réponse est bien formulée, je décroche un peu.
Fondamentalement, je veux bien te croire, mais, il va falloir que je
vérifie, comment faire pour l'activer, et, pour vérifier son activation.


De mon côté, j'ai rajouté le Port Knocking par Iptables, que j'ai placé
tout à la fin de mon script, juste au dessus de COMMIT.
Ça a l'air fonctionnel, mais, j'ai l'impression que ça manque de
réactivité, et, je me demande si je n'ai pas des règles qui pourraient
entrer en conflit, comprendre, se répéter inutilement.

Le script Iptables :
https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#R.C3.A8gle_personnalis.C3.A9e_pour_configurer_Iptables_filter

Le script Port Knocking :
https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#Mise_en_place_du_Port_Knocking


J'aimerais bien pouvoir gagner un peu de souplesse, au moment du Port
Knocking, car, j'ai l'impression que ça pédale dans la choucroute.
Peut être un problème de perf de serveur, un VPS 1Go, ce serait déjà
trop light vu que j'ai quelques virtualhosts dessus.

Quoi qu'il en soit, j'ai tenté de me connecter directement en SSH, et,
le port knocking semble bien faire le boulot, la connexion n'est pas
établie.
Par contre, si je décommente les 2 lignes autorisant le port SSH dans
mon script principale, le script du Port Knocking ne semble pas arriver
à m'ouvrir le port 22.
J'ai donc une autorisation de SSH port 22 en input et output depuis mon
script principale, tout comme j'ai, tout à la fin de ce script
principale, le script Port Knocking, qui me réautorise le port 22 si les
frappes aboutissent.
Je ne suis pas sur que ce soit normal, d'avoir à autoriser le port SSH,
puis, à le réauthoriser avec le port knocking.
Il me semble que le port knocking devrait suffir à gérer l'ouverture et
la fermeture du port SSH.

Il faut que je revérifie.

Le 21/09/2019 à 13:46, Pascal Hambourg a écrit :
> Le 21/09/2019 à 12:39, G2PC a écrit :
>>
>> # Mon serveur ne retrouve pas les deux lignes de configuration
>> suivantes, que je commente. A SUIVRE !
>> # sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_tcp_loose:
>> Aucun fichier ou dossier de ce type
>> # sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_max: Aucun
>> fichier ou dossier de ce type
>
> Ces sysctls n'existent que si le module nf_conntrack_ipv4 ou
> nf_conntrack_ipv6 est chargé, ce qui est fait automatiquement à la
> création de la première règle utilisant le suivi de connexion (state,
> conntrack, connmark...) ou au chargement de la table nat.
>
> Pour pouvoir les initialiser via /etc/sysctl{,.d/*}.conf, il faut
> charger un de ces modules via /etc/modules{,-load.d/*.conf}.
>

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

2019-09-21 Par sujet Pascal Hambourg 

Le 21/09/2019 à 12:39, G2PC a écrit :


# Mon serveur ne retrouve pas les deux lignes de configuration suivantes, que 
je commente. A SUIVRE !
# sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_tcp_loose: Aucun 
fichier ou dossier de ce type
# sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_max: Aucun fichier 
ou dossier de ce type


Ces sysctls n'existent que si le module nf_conntrack_ipv4 ou 
nf_conntrack_ipv6 est chargé, ce qui est fait automatiquement à la 
création de la première règle utilisant le suivi de connexion (state, 
conntrack, connmark...) ou au chargement de la table nat.


Pour pouvoir les initialiser via /etc/sysctl{,.d/*}.conf, il faut 
charger un de ces modules via /etc/modules{,-load.d/*.conf}.

Re: Envoyer mail avec autre IP que le sien

2019-09-21 Par sujet Pascal Hambourg 

Le 21/09/2019 à 11:22, ajh-valmer a écrit :

On Saturday 21 September 2019 00:10:55 Pascal Hambourg wrote:

Le 20/09/2019 à 10:27, ajh-valmer a écrit :

Est-il possible et si oui une piste,
afin d'envoyer un mail avec numéro IP autre que le sien :



Pour pouvoir répondre, il faudrait que tu définisses précisément ce que
tu entends par là :


Que le n° IP de ton FAI ne figure pas dans le mail reçu
par le destinataire, c'est à dire un IP LAN (192.168...)
ou un autre.


Qu'appelles-tu "numéro IP de ton FAI" ?
S'il s'agit de l'adresse IP publique attribuée par le FAI qui fournit 
l'accès internet "primaire" (pas un FAI par VPN ou un hébergeur), c'est 
possible en passant par un intermédiaire qui ne transmet pas l'adresse 
IP source dans les en-têtes techniques : certains prestataires de 
courrier, VPN, proxy anonymisant, TOR...



Ça peut paraitre bizarre, mais parfois c'est bien utile,



Utile à quoi ? :


Cacher au destinataire qui a envoyé le mail,


Quel rapport avec l'anti-spam (à part pour s'y soustraire) ?

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

2019-09-21 Par sujet G2PC 
Ok, j'en prend note, même si je n'ai pas encore ce besoin.


Configurer le noyau du système pour mettre en place certaines règles de
protection

J'ai lu que je pouvais configurer le noyau du système, ce que j'ai fais
ainsi, par contre, j'ai une erreur sur :
netfilter/nf_conntrack_tcp_loose: Aucun fichier ou dossier de ce type

# Mon serveur ne retrouve pas les deux lignes de configuration suivantes, que 
je commente. A SUIVRE !
# sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_tcp_loose: Aucun 
fichier ou dossier de ce type
# sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_max: Aucun fichier 
ou dossier de ce type

Source :
https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#Configurer_le_noyau_du_syst.C3.A8me_pour_mettre_en_place_certaines_r.C3.A8gles_de_protection


Pour le reste, j'ai pu avancer en mettant en place le script suivant, en
prenant en compte au possible, vos recommandations.
Pour le moment, et, ça se passe bien, toujours accès au serveur, et,
j'ai bien DROP partout par défaut.
J'ai pu entrevoir également les tables raw et mangle, pour lesquelles
j'ai ajouté quelques lignes de configuration.

Source :
https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#Configurer_Iptables_sur_un_serveur_distant


Le 21/09/2019 à 12:14, Daniel Huhardeaux a écrit :
> Le 20/09/2019 à 18:57, G2PC a écrit :
>> Quel est le rôle de :
>> # This server is a GW for Intranet
>> $IPTABLES -t nat    -A POSTROUTING  -j MASQUERADE
>>
>> Le 18/09/2019 à 18:50, Daniel Huhardeaux a écrit :
>>> # This server is a GW for Intranet
>>> $IPTABLES -t nat    -A POSTROUTING  -j MASQUERADE
>>
>
> Si ce serveur fait routeur et est passerelle pour le réseau alors les
> machines du lan continueront à accéder à Internet et/ou à tout autre
> réseau derrière cette passerelle lorsque les règles du pare-feu sont
> désactivées.

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

2019-09-21 Par sujet Daniel Huhardeaux 

Le 20/09/2019 à 18:57, G2PC a écrit :

Quel est le rôle de :
# This server is a GW for Intranet
$IPTABLES -t nat    -A POSTROUTING  -j MASQUERADE

Le 18/09/2019 à 18:50, Daniel Huhardeaux a écrit :

# This server is a GW for Intranet
$IPTABLES -t nat    -A POSTROUTING  -j MASQUERADE




Si ce serveur fait routeur et est passerelle pour le réseau alors les 
machines du lan continueront à accéder à Internet et/ou à tout autre 
réseau derrière cette passerelle lorsque les règles du pare-feu sont 
désactivées.

--
Daniel

Re: Installer un firmware non debian

2019-09-21 Par sujet F. Dubois 

Le 20/09/2019 à 23:51, Simeone Dominique a écrit :

Bonsoir,

J'ai essayé d'installer un firmware brcm .hcd donc non debian sur 
debian 10 .


Il me marque chemin insuffisant.

Pourrai-je avoir de l'aide ?

Bien cordialement.

Dominique

Envoyé depuis Yahoo Mail pour Android 



Bonjour,

Ça semble être un firmware Broadcom. Le fichier devrait ressembler à 
quelque chose comme BCM20702A1-0b05-17b5.hcd, à choisir selon le chipset 
de la carte. Il est chez moi copié dans /lib/firmware/brcm.


Plus d'info sinon serait effectivement pas mal.

Fabien

Re: Envoyer mail avec autre IP que le sien

2019-09-21 Par sujet ajh-valmer 
On Saturday 21 September 2019 00:10:55 Pascal Hambourg wrote:
> Le 20/09/2019 à 10:27, ajh-valmer a écrit :
> > Est-il possible et si oui une piste,
> > afin d'envoyer un mail avec numéro IP autre que le sien :

> Pour pouvoir répondre, il faudrait que tu définisses précisément ce que 
> tu entends par là :

Que le n° IP de ton FAI ne figure pas dans le mail reçu
par le destinataire, c'est à dire un IP LAN (192.168...)
ou un autre.

> > Ça peut paraitre bizarre, mais parfois c'est bien utile,

> Utile à quoi ? :

Cacher au destinataire qui a envoyé le mail,
suffit de réfléchir un peu, c'est parfois nécessaire :-)

Re: Envoyer mail avec autre IP que le sien

2019-09-21 Par sujet Daniel Caillibaud 
Le 20/09/19 à 23:19, "ajh-valmer"  a écrit :
> > > Tu ne peux pas masquer l'ip du serveur qui va causer au serveur de
> > > destination :  
> 
> Il parait que si, par un serveur de messagerie installé en virtuel,
> qui délivre un IP LAN dans le mail reçu.

Reçu par lui peut-être, c'est lui qui décide, mais le MX a qui il cause mettre 
l'ip sous
laquelle il voit ce serveur lui parler (virtuel ou pas change rien à l'affaire).

-- 
Daniel

Un artiste qui plaît à tout le monde,
ça deplaît à certains. Paradoxal, non ?
Philippe Geluck, Le chat

Re: Installer un firmware non debian

2019-09-21 Par sujet Yoann LE BARS 


Salut à tous !

Le 20/09/2019 à 23:51, Simeone Dominique a écrit :
> J'ai essayé d'installer un firmware brcm .hcd donc non debian sur debian
> 10 .
> 
> Il me marque chemin insuffisant. 
> 
> Pourrai-je avoir de l'aide ?

Il n’y a pas assez d’élément pour pouvoir donner de l’aide. Ce serait
bien de préciser où vous avez trouvé ce microprogramme, de donner les
étapes que vous avez réalisées et donner le contenu de la ligne de
commande pour chacune de ces étapes.

À bientôt.

-- 
Yoann LE BARS
http://le-bars.net/yoann/
Diaspora* : yleb...@framasphere.org