La problématique d'iptables est qu'une des actions les plus fréquentes et de journaliser (target *LOG) puis bloquer ce même paquet (target DROP). Comme les règles *LOG ne sont pas terminales, il est nécessaire d'utiliser deux règles pour fixer cela (une LOG suivi d'une DROP). On a donc deux fois plus de règles que nécessaire.
Une méthode de contournement consiste à créer une chaine utilisateur LOGDROP qui journalise puis bloque les paquets. On utilise alors -j LOGDROP (-j pour JUMP) pour journaliser et bloquer les paquets en une seule règle.
En permettant l'utilisation de plusieurs targets dans une même règle, nftables simplifie cela.
Oui et ma mère est sous Linux, elle n'a donc pas de problème de cache sur les hotspots qui corromprait le cache de son ordinateur. Mais tout le monde n'est pas ma mère.
Plus sérieusement, quand on monte un hotspot, l'objectif est de rendre le service à tout le monde, y compris à ceux qui ne savent pas ce qu'est le DNS (ce qui représente au moins une bonne moitié de la population ciblée).
Sinon pour ce qui est de l'automatisme du redémarrage : là, comme il faut de nouveau se connecter sur le hotspot pour sortir, on tourne en rond. Le cache est corrompu à chaque fois et les applications ne sont pas joignables. Il ne reste donc comme seul opportunité que le vidage du cache. Et on tombe sur mon premier argument.
Il y a certains OS (qu'on ne citera pas ici) qui implémentent un cache DNS d'assez longue durée. Si on leur ment une fois, il faut leur mentir 1000 fois en redirigeant les flux destinés à l'adresse usurpée sinon ils ne peuvent plus joindre les services qu'ils souhaitent atteindre car l'adresse en cache est fausse.
La majeure partie des membres de la Coreteam de Netfilter devrait être présente lors de l'événement.
Mais ce ne sera pas tout puisque des personnes comme David Miller (Responsable de la couche réseau de Linux) et Stephen Hemminger (Développeur majeur de la couche réseau avec des réalisations comme netem) seront sans doute de la partie.
Une nouvelle version du LiveCD, NuFW.Live v 1.1, contenant la dernière version de nuface a été publiée et est disponible sur le site http://live.nufw.org.
Pas tout à fait, Nuface génère un jeu de règles et applique le jeu de règles sur le parefeu. C'est donc assez utile de l'avoir sur la machine.
Cela dit, rien ne s'opposerait à faire cela sur une machine externe, puis à transférer le jeu de règles.
L'idée d'un service hébergé n'est pas stupide mais par pure paranoia je ne donnerais jamais mes règles de pare-feu à générer à un tiers ;)
Si cette initiative est retenue, il sera vraiment tentant pour les organisateurs de nommer la personne au parcours le plus trollifère possible de manière à s'autodescerner le prix l'année d'après au vu des émeutes engendrées par la nomination.
La question est mieux posée dans le sujet que dans le corps du message. Il y a en effet deux choses séparées :
le passage d'un langage à un framework
le passage de PHP à Python
Le choix 1 est simple : J'ai commencé à travaillé sur nulog 1 (connu comme ulog-php à l'époque) aux alentours de 2001/2002 . La notion de framework n'était pas encore bien implantée (voir même n'existait pas). Début 2007, nulog commençait à devenir difficille à faire évoluer et nous avons donc décidé de lancer un projet de réécriture au sein d'INL (dont je fais parti). Le projet Nulog 2 a ainsi été initié avec dès le départ la décision d'utiliser un framework et une architecture MVC.
Le choix 2 s'explique par plusieurs points:
Grandes qualités du framework Twisted, notamment capacité à offrir des vues dans des protocoles variés (SOAP, XML-RPC, IRC, HTTP).
Présence de bons développeurs Python à INL, développeurs capable d'épauler Romain Bignon, développeur principal de Nulog 2.
Langage PHP trop laxiste et surtout lié au web alors que l'on souhaitait ne pas se limiter à ce media.
L'ensemble de ces raisons nous ont fait abandonner PHP pour passer à Python/Twisted.
Juste pour recadrer un peu, il ne faut pas confondre NuFW et une interface de configuration.
NuFW est une application qui enrichit les critères de filtrages de Netfilter/iptables en ajoutant les notions :
d'utilisateurs
de groupes
d'applications
de système d'exploitation
Pas grand chose à voir donc avec une distribution dédiée pare-feu dont le but est de fournir une interface "simplifiée" d'administration.
Laisse la place ? Non pas vraiment, il y a eu une élection et Harald s'est logiquement incliné devant Patrick qui a réalisé l'essentiel du travail sur Netfilter ces deux dernières années.
conntrackd de Pablo Neira, membre de la Coreteam de Netfilter, est d'ors et déjà intégré à Netfilter puisqu'il se base sur du code déjà existant au niveau noyau.
Le projet est utilisable et n'attends plus que les utilisateurs.
Oui, certaines applications utilisant /dev/rtc (et donc une interaction directe avec le noyau) ne sont pas supportés. C'est le cas d'un logiciel "important" comme mplayer.
Il s'agit cependant d'une infime minorité des programmes existants. L'absence de "s" à application dans ton post doit être un lapsus révélateur :P
> En passant, à part le confort (pas d'obligation d'avoir un autre OS, etc), dans quel cas de figure cela est-il vraiment intéressant ?
Certains ont fait fortune avec des softs an 2000. Là on prend de l'avance pour le gros bug de « 2038-01-19 04:14:07 » ;)
Plus sérieusement, lors que l'on vérifie une application critique, il est nécessaire de ne négliger aucun paramètre. La date d'exécution en fait partie. Ce logiciel permet donc de tester facilement les applications à date de mise en oeuvre.
De plus, comme il permet d'effectuer des sauts, la validation peut ainsi passer les périodes non interessantes par exemple quand une sonde fait 0.1 année lumière en ligne droite sans croiser âme qui vive. On se déplace ainsi aux périodes critiques de manière facile.
> J'ai peut être une crise de modestie énormissime, mais je ne vois pas la difficulté dans l'envoi d'un mail anti-daté
La problématique auquel répond Macfly est en effet plus complexe que le simple décalage dans le temps d'un envoi de mail.
L'idée est de pouvoir, sans changer la date système :
tester des applications à des dates précises
déclencher des décalages de temps
passer une période sans événements
...
Cela permet de valider des systèmes complexes sur la durée et sans trop de perte de temps.
[^] # Re: Attention, jargon
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche nftables, successeur d'iptables. Évalué à 7.
La problématique d'iptables est qu'une des actions les plus fréquentes et de journaliser (target *LOG) puis bloquer ce même paquet (target DROP). Comme les règles *LOG ne sont pas terminales, il est nécessaire d'utiliser deux règles pour fixer cela (une LOG suivi d'une DROP). On a donc deux fois plus de règles que nécessaire.
Une méthode de contournement consiste à créer une chaine utilisateur LOGDROP qui journalise puis bloque les paquets. On utilise alors -j LOGDROP (-j pour JUMP) pour journaliser et bloquer les paquets en une seule règle.
En permettant l'utilisation de plusieurs targets dans une même règle, nftables simplifie cela.
[^] # Re: Vos commentaires !
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche PepperSpot, Portail Captif nouvelle génération. Évalué à 1.
Plus sérieusement, quand on monte un hotspot, l'objectif est de rendre le service à tout le monde, y compris à ceux qui ne savent pas ce qu'est le DNS (ce qui représente au moins une bonne moitié de la population ciblée).
Sinon pour ce qui est de l'automatisme du redémarrage : là, comme il faut de nouveau se connecter sur le hotspot pour sortir, on tourne en rond. Le cache est corrompu à chaque fois et les applications ne sont pas joignables. Il ne reste donc comme seul opportunité que le vidage du cache. Et on tombe sur mon premier argument.
[^] # Re: Vos commentaires !
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche PepperSpot, Portail Captif nouvelle génération. Évalué à 0.
[^] # Re: Mise à dispo des articles
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche Les éditions Diamond répondent à vos questions. Évalué à 2.
Ce site des éditions diamond contient entre autre des versions web d'articles de magazines passés.
[^] # Re: Mais où est donc passé pbpg ?
Posté par Eric Leblond (site web personnel) . En réponse au journal Contre publicité openoffice ?. Évalué à 1.
Après qu'on lui offre des cadeaux ou des fleurs, il n'y a qu'un pas. Je viens enfin de comprendre la publicité :P
[^] # Re: des fleurs à 0 euros
Posté par Eric Leblond (site web personnel) . En réponse au journal Contre publicité openoffice ?. Évalué à 1.
Merci à tous pour vos idées et remarques.
[^] # Re: des fleurs à 0 euros
Posté par Eric Leblond (site web personnel) . En réponse au journal Contre publicité openoffice ?. Évalué à 1.
Pour tout dire, à la maison c'est plus elle qui utilise openoffice.
[^] # Re: Ouais
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche Toulibre : rencontre bi-mensuelle et présentation LaTeX. Évalué à 2.
# Il y aura du monde
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche La convention Netfilter en 2008 à Paris. Évalué à 4.
Mais ce ne sera pas tout puisque des personnes comme David Miller (Responsable de la couche réseau de Linux) et Stephen Hemminger (Développeur majeur de la couche réseau avec des réalisations comme netem) seront sans doute de la partie.
[^] # Re: BFG90000
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche Sortie de Wolfotrack 1.0. Évalué à 1.
Ah mince, personne n'avait internet et wikipedia n'existait pas ...
[^] # Re: BFG90000
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche Sortie de Wolfotrack 1.0. Évalué à 4.
# D'autres OS que IOS ?
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche GNS3, nouveau simulateur réseau graphique !. Évalué à 8.
Pour reformuler ma boutade de manière plus constructive : y a-t-il une implémentation d'autres OS de prévu dans le projet ?
[^] # Re: Tester Nuface 2 avec un LiveCD
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche Configurez votre pare-feu Netfilter avec Nuface 2.0. Évalué à 1.
Voici les liens directs pour le téléchargement :
- http://live.nufw.org/dl/nufwlive-fr-v1.1.iso.torrent
- http://live.nufw.org/dl/nufwlive-fr-v1.1.iso
[^] # Re: Interface web mais pas sur le web ?
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche Configurez votre pare-feu Netfilter avec Nuface 2.0. Évalué à 2.
Pas tout à fait, Nuface génère un jeu de règles et applique le jeu de règles sur le parefeu. C'est donc assez utile de l'avoir sur la machine.
Cela dit, rien ne s'opposerait à faire cela sur une machine externe, puis à transférer le jeu de règles.
L'idée d'un service hébergé n'est pas stupide mais par pure paranoia je ne donnerais jamais mes règles de pare-feu à générer à un tiers ;)
[^] # Re: Nouveau prix
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche Remise des prix de la Fondation pour le Logiciel Libre. Évalué à 2.
[^] # Re: De PHP à un framework Python
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche Nulog 2 est disponible. Évalué à 10.
le passage d'un langage à un framework
le passage de PHP à Python
Le choix 1 est simple : J'ai commencé à travaillé sur nulog 1 (connu comme ulog-php à l'époque) aux alentours de 2001/2002 . La notion de framework n'était pas encore bien implantée (voir même n'existait pas). Début 2007, nulog commençait à devenir difficille à faire évoluer et nous avons donc décidé de lancer un projet de réécriture au sein d'INL (dont je fais parti). Le projet Nulog 2 a ainsi été initié avec dès le départ la décision d'utiliser un framework et une architecture MVC.
Le choix 2 s'explique par plusieurs points:
Grandes qualités du framework Twisted, notamment capacité à offrir des vues dans des protocoles variés (SOAP, XML-RPC, IRC, HTTP).
Présence de bons développeurs Python à INL, développeurs capable d'épauler Romain Bignon, développeur principal de Nulog 2.
Langage PHP trop laxiste et surtout lié au web alors que l'on souhaitait ne pas se limiter à ce media.
L'ensemble de ces raisons nous ont fait abandonner PHP pour passer à Python/Twisted.
[^] # Re: Intéressant !
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche Sortie d'OpenBSD 4.2. Évalué à 1.
- d'utilisateurs
- de groupes
- d'applications
- de système d'exploitation
Pas grand chose à voir donc avec une distribution dédiée pare-feu dont le but est de fournir une interface "simplifiée" d'administration.[^] # Re: Changement de leader de la Netfilter Coreteam
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche Compte rendu en temps réel de l'atelier Netfilter 2007. Évalué à 2.
[^] # Re: Merci
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche Compte rendu en temps réel de l'atelier Netfilter 2007. Évalué à 6.
conntrackd de Pablo Neira, membre de la Coreteam de Netfilter, est d'ors et déjà intégré à Netfilter puisqu'il se base sur du code déjà existant au niveau noyau.
Le projet est utilisable et n'attends plus que les utilisateurs.
[^] # Re: Très bonne idée
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche Voyagez dans le temps avec Macfly 1.0. Évalué à 5.
Il s'agit cependant d'une infime minorité des programmes existants. L'absence de "s" à application dans ton post doit être un lapsus révélateur :P
[^] # Re: Ah, les pirates !
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche Voyagez dans le temps avec Macfly 1.0. Évalué à 5.
Certains ont fait fortune avec des softs an 2000. Là on prend de l'avance pour le gros bug de « 2038-01-19 04:14:07 » ;)
Plus sérieusement, lors que l'on vérifie une application critique, il est nécessaire de ne négliger aucun paramètre. La date d'exécution en fait partie. Ce logiciel permet donc de tester facilement les applications à date de mise en oeuvre.
De plus, comme il permet d'effectuer des sauts, la validation peut ainsi passer les périodes non interessantes par exemple quand une sonde fait 0.1 année lumière en ligne droite sans croiser âme qui vive. On se déplace ainsi aux périodes critiques de manière facile.
[^] # Re: Ah, les pirates !
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche Voyagez dans le temps avec Macfly 1.0. Évalué à 5.
La problématique auquel répond Macfly est en effet plus complexe que le simple décalage dans le temps d'un envoi de mail.
L'idée est de pouvoir, sans changer la date système :
tester des applications à des dates précises
déclencher des décalages de temps
passer une période sans événements
...
Cela permet de valider des systèmes complexes sur la durée et sans trop de perte de temps.
# Wormux ?
Posté par Eric Leblond (site web personnel) . En réponse à la dépêche Rencontre Logiciels Libres et conférence "Hachoir" à Strasbourg. Évalué à 1.
Désolé, je sors
[^] # Re: Et ?
Posté par Eric Leblond (site web personnel) . En réponse au journal Vous êtes l'Homme de l'année. Évalué à 4.
"On la file à tout le monde et ils sauront pas partager..."
Non pas d'argent en jeu pour le prix Time (D'habitude le vainqueur en a bien assez donc ce n'est pas nécessaire.)
# Plagiat
Posté par Eric Leblond (site web personnel) . En réponse au journal Un (autre) court métrage en creative common. Évalué à 1.