Re: [FRnOG] [TECH] iptables me rendra fou
Salut, Est-ce que la table de routage de la machine sur 192.168.0.0/24 est correcte ? Ce genre d'oubli m'arrive assez souvent... Le ven. 25 janv. 2019 à 17:16, Dominique Rousseau a écrit : > Le Fri, Jan 25, 2019 at 05:07:14PM +0100, Kevin Thiou [ > kevinth...@gmail.com] a écrit: > > Bonjour, bonsoir, > > > > depuis quelques temps je me bats avec iptables pour un accès tout con > mais > > que je ne parviens pas à faire fonctionner. > > > > ce que je souhaite : > > > > -A FORWARD -s 172.22.0.0/24 -d 192.168.0.0/24 -j ACCEPT et le retour > > Juste au cas, où... que dit : sysctl net.ipv4.ip_forward > > > -- > Dominique Rousseau > Neuronnexion, Prestataire Internet & Intranet > 6 rue des Hautes cornes - 8 Amiens > tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Etude WAF hébergeur
David, Non tu n'es pas seul, dans mon cas ce fut en premier lieu Wife Acceptance Factor. Le réveil est difficile le lundi... Cordialement, Nathan ANTHONYPILLAI Le 26 janvier 2015 10:52, David Touitou da...@network-studio.com a écrit : Bonjour, je sais, c'est lundi seulement. Objet: [FRnOG] [TECH] Etude WAF hébergeur J'ai lu Etude Woman Acceptance Factor hébergeur. Donc je n'ai rien compris... Suis-je le seul ? David --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Etude WAF hébergeur
Salut, Déchiffrer du TLS (SSL, c'est tabou, on en viendra tous à bout), c'est toujours une entreprise risquée. Il n'y a (à ma connaissance) pas d'option éthiquement acceptable dans ce domaine, à moins d'avoir le consentement informé de toutes les parties concernées. Donc soit le WAF a la clé privée du serveur et peut le déchiffrer/rechiffrer à la volée, Ce n'est pertinent que dans les cas où la communication est chiffrée avec la clé publique du serveur derrière le WAF. Tu compromets donc le sécurité des communications de TOUTES les machines contactant le serveur de façon chiffrée. Dans ce cas autant se faire directement passer pour le serveur destination interne dès le début (ça sera plus facile au niveau de la gestion des clés). ou le WAF possède un serveur SSL (celui que le client voit) il décrypte les informations et les renvoient au travers d'une connexion sécurisée ou non. Là, le WAF se fait passer (MITM) pour le serveur destination externe (e.g. mabanqueenligne.com) en présentant une *fausse* clé publique. *Attention* : si l'entité en charge du certificat X.509 du serveur destination externe emploie un mécanisme d'audit (i.e. Google + Chrome) gare aux répercussions, car il va vite se rendre compte qu'une entité non autorisée se fait passer pour lui. Sachant que si on opte pour la première solution cela voudrait dire que le WAF possède toutes les clées SSL des clients derrières, personnellement je suis pas bien fan de l'idée ( votre opinion? ) Si les utilisateurs finaux sont d'accords, ça peut passer, mais il me semble qu'il y a tout de même certaines communications qu'on ne doit pas déchiffrer (à vérifier), à moins d'être habilité de ce pouvoir par le législateur (no troll intended). Cordialement, Nathan ANTHONYPILLAI --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Bonjour, Tu ne peux pas faire de répartition de charge avec VRRP seul. Tu penses peut-être à Linux Virtual Server (LVS) utilisé en combinaison avec keepalived (VRRP) pour faire de la haute disponibilité ? Cordialement, Nathan ANTHONYPILLAI Le 16 janvier 2015 09:21, Clement Cavadore clem...@cavadore.net a écrit : On Fri, 2015-01-16 at 09:10 +0100, ay pierre wrote: Savez vous si c'est un protocole utilisable sur 2 sites distant ? Oui, tu peux avoir une passerelle sur chacun de tes sites, dès l'instant que tu as un L2 entre les deux sites. Une topologie de type: [ROUTEUR-SITE1](vrrp)---[SWITCH-SITE2]---(vrrp)[ROUTEUR-SITE3] fonctionne parfaitement. Il semble que celaa gère le load balancing sur quoi s'appuis le protocol pour définir la priorité? Non, c'est de l'actif/passif, pas de la répartition de charge. En l'occurence, si tu reprends ma topo ci-dessus, tu n'as qu'un seul routeur actif à la fois, pour la passerelle des machines sur SWITCH-SITE2. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Je ne sais pas si Microsoft possède sa propre solution logicielle pour faire de la répartition de charge. Confier cette tâche à un équipement spécialisé (e.g. Cisco/GLBP) comme cité précédemment peut-être une solution, si tu es prêt à y mettre le prix. Cordialement, Nathan ANTHONYPILLAI Le 16 janvier 2015 10:27, Alexis Lameire alexis.lame...@gmail.com a écrit : C'est un peut ce que fait hearthbeat au niveau équipement réseau quoi Cordialement Alexis Lameire Le 16 janvier 2015 10:19, Julien Schafer j.scha...@actilogie.com a écrit : On voit parfois des opérateurs qui proposent du GLBP (si routeur Cisco) à la place du VRRP. -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Nathan Anthonypillai Envoyé : vendredi 16 janvier 2015 10:00 À : ay pierre Cc : frnog-m...@frnog.org Objet : Re: [FRnOG] [MISC] [TECH] VRRP Bonjour, Tu ne peux pas faire de répartition de charge avec VRRP seul. Tu penses peut-être à Linux Virtual Server (LVS) utilisé en combinaison avec keepalived (VRRP) pour faire de la haute disponibilité ? Cordialement, Nathan ANTHONYPILLAI Le 16 janvier 2015 09:21, Clement Cavadore clem...@cavadore.net a écrit : On Fri, 2015-01-16 at 09:10 +0100, ay pierre wrote: Savez vous si c'est un protocole utilisable sur 2 sites distant ? Oui, tu peux avoir une passerelle sur chacun de tes sites, dès l'instant que tu as un L2 entre les deux sites. Une topologie de type: [ROUTEUR-SITE1](vrrp)---[SWITCH-SITE2]---(vrrp)[ROUTEUR-SITE3] fonctionne parfaitement. Il semble que celaa gère le load balancing sur quoi s'appuis le protocol pour définir la priorité? Non, c'est de l'actif/passif, pas de la répartition de charge. En l'occurence, si tu reprends ma topo ci-dessus, tu n'as qu'un seul routeur actif à la fois, pour la passerelle des machines sur SWITCH-SITE2. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ __ Information provenant d'ESET NOD32 Antivirus, version de la base des signatures de virus 11023 (20150116) __ Le message a �t� v�rifi� par ESET NOD32 Antivirus. http://www.eset.com --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] NSA
Bonjour, Tout d'abord : on s'en fout de ce genre de mail ça ne fait que polluer la liste . Merci beaucoup de parler au nom de toute la liste. C'est très gentil. Le 19 mai 2014 14:17, thomas.lorenz...@orange.fr a écrit : Je n'y crois plus. On a l'impression que Snowden connait tous les secrets de la NSA alors qu'il n'était que sysAdmin. Il balance les infos au compte gouttes, sans raisons... Les faits comme ils sont relatés par les principaux acteurs : il a confié une quantité astronomique de documents à certains journalistes (dont Glenn Greenwald). Explications de sa démarche (de l'intéressé lui même) : doutant de son propre jugement quand à son aptitude a estimer tel ou tel information / document comme étant publiable, il a préféré confié cette tâche à des professionnels dont c'est le métier : le journaliste (on a tendance à l'oublier, mais tout comme il y a encore des policier pour traquer et arrêter des criminels et des médecins pour traquer les maladies et les éradiquer/soigner, il y a encore des journalistes pour traquer, traiter, et publier des informations dans ce bas monde). Donc oui, les journalistes en possession des informations, publient au compte goûte. Mon avis sur le sujet : ils ont bien raison ces journalistes, parce que bon, c'est intéressant une, voire deux semaines au grand max, mais y'a plus important dans la vie des français/humains quand même (TF1, les polémiques PS - UMP, The Voice, Pekin Express, Koh Lanta, Top Chef, j'en passe et des meilleurs). Je doute vraiement... Douter vraiment sans se renseigner au préalable, c'est bien dommage. Des petits liens au passage : https://firstlook.org/theintercept/ (pour les anglophones) et http://reflets.info/ (pour les allergiques à la langue de Shakespeare). Overkill : parce que l'IETF a quand même sortie une RFC en réponse à ce fait divers (https://www.rfc-editor.org/rfc/rfc7258.txt http://www.bortzmeyer.org/7258.html). Mais bon après tout, Elvis, Jim, Micheal et les autres se cachent sur une île, on a jamais mis les pieds sur la Lune, et le complot judéo-maçonnique nous pend sous le nez. Je dis ça je dis rien. Bien cordialement, Un troll poilu Thomas Message du 19/05/14 11:32 De : Clarinettet A : fatiha boudj Copie à : frnog@frnog.org Objet : Re: [FRnOG] [MISC] NSA La NSA liege les routers americains et accuse les chinois de Pieger leurs routeurs. La realite j'ai bien peur que tous espionnent. Peut-etre que comme le dit Bernard Kouchner, les francais not moins de moyens de le faire. Comment SE fait-il que le email server du mechant Huawei que le FBI demande aux americains de ne pas travailler avec est justement sur le sol americain? TT Sent from my iPad On 19 May 2014, at 10:22, fatiha boudj wrote: PI http://www.numerama.com/magazine/29353-la-nsa-accusee-d-avoir-piege-les-routeurs-americains.html --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TCPbleed] Peut affecter les Juniper et les NetApp ?
Techniquement l'iOS se base sur Mac OS X (et les iPad tournent avec iOS), donc un kernel Mach (avec sa propre stack TCP/IP) différente de celle de FreeBSD (celle ci ne s'inspire de Mach que pour la gestion de la mémoire virtuelle). https://developer.apple.com/library/ios/documentation/iphone/conceptual/iphoneosprogrammingguide/TheiOSEnvironment/TheiOSEnvironment.html Donc à moins que l'iOS utilise la stack TCP/IP de FreeBSD dans son kernel, on assiste ici à un Trolldi anticipé (à cause du pont ?). :D -- Nathan Le 30 avril 2014 09:55, Renaud Chaput renc...@cocoa-x.com a écrit : Le Wed, 30 Apr 2014 08:57:41 +0200, Stephane Bortzmeyer bortzme...@nic.fr a écrit : Remplacer les routeurs Juniper par des iPad risque de ne pas aider, c'est aussi du FreeBSD :-) Je suis curieux de savoir comment tu fais tourner un iPad avec un kernel FreeBSD. -- Renaud --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TCPbleed] Peut affecter les Juniper et les NetApp ?
Et il se pourrait bien que ce soit effectivement le cas : http://en.wikipedia.org/wiki/Berkeley_Software_Distribution :D :D Le 30 avril 2014 10:30, Nathan Anthonypillai nathan.anthonypil...@gmail.com a écrit : Techniquement l'iOS se base sur Mac OS X (et les iPad tournent avec iOS), donc un kernel Mach (avec sa propre stack TCP/IP) différente de celle de FreeBSD (celle ci ne s'inspire de Mach que pour la gestion de la mémoire virtuelle). https://developer.apple.com/library/ios/documentation/iphone/conceptual/iphoneosprogrammingguide/TheiOSEnvironment/TheiOSEnvironment.html Donc à moins que l'iOS utilise la stack TCP/IP de FreeBSD dans son kernel, on assiste ici à un Trolldi anticipé (à cause du pont ?). :D -- Nathan Le 30 avril 2014 09:55, Renaud Chaput renc...@cocoa-x.com a écrit : Le Wed, 30 Apr 2014 08:57:41 +0200, Stephane Bortzmeyer bortzme...@nic.fr a écrit : Remplacer les routeurs Juniper par des iPad risque de ne pas aider, c'est aussi du FreeBSD :-) Je suis curieux de savoir comment tu fais tourner un iPad avec un kernel FreeBSD. -- Renaud --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] de nombreux bounce depuis les mx de free
Bonjour, Es-tu sûr que la boite mail du destinataire n'est pas pleine (quota d'espace disque) ? 550 5.2.2 user quota exceeded : les codes erreur de serveurs smtp vont toujours droit au but. Cordialement, Nathan Le 20 novembre 2013 12:45, Alexandre in...@opendoc.net a écrit : Merci Xavier pour ton retour, Je suis allé faire un tour sur http://mxtoolbox.com/ pour voir si mon mx était blacklisté. J'ai rien eu en retour, cela doit être un problème spécifique avec free. je vais regarder le threads que tu m'as indiqué. Merci. Alexandre. On 20/11/13 12:34, Xavier Beaudouin wrote: Hello, Le 20/11/2013 12:27, Alexandre a écrit : Bonjour à tous, Voici le contexte en quelques mots. Suite à l'inscription d'un client sur notre site, nous lui envoyons en document en PJ. Nous n'avions pas de problème jusqu'ici, mais depuis ce matin, les mx de free nous rejettent avec un 550 5.2.2 user quota exceeded (in reply to RCPT TO command)). Avez-vous le même problème ? Non. Si cela est un problème isolé, comment puis-je le corriger ? Ca ressemble a des mails qui sont pas vidés par ignorance ou simplement des boites mails oubliés. J'ai un mail loop qui tourne toutes les 10 minutes (en journée) sur mon infra qui essaye d'envoyer a un mail perso chez free = pas de pb. Donc je pense que tu as 2 possiblités : o les adresses mails sont fausses, oubliés, ou ultra spammées o ton serveur de mail fais partie des serveurs de mails qui envoient trop de mail chez free et tu es dans une liste grise chez eux (voir threads de il y a quelques mois : comment être sympa avec les mx de free / hotmail / yahoo?). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/