Eric Leblond a écrit 245 commentaires

Justement, relis encore la page man ;)

La problématique d'iptables est qu'une des actions les plus fréquentes et de journaliser (target *LOG) puis bloquer ce même paquet (target DROP). Comme les règles *LOG ne sont pas terminales, il est nécessaire d'utiliser deux règles pour fixer cela (une LOG suivi d'une DROP). On a donc deux fois plus de règles que nécessaire.

Une méthode de contournement consiste à créer une chaine utilisateur LOGDROP qui journalise puis bloque les paquets. On utilise alors -j LOGDROP (-j pour JUMP) pour journaliser et bloquer les paquets en une seule règle.

En permettant l'utilisation de plusieurs targets dans une même règle, nftables simplifie cela.

Oui et ma mère est sous Linux, elle n'a donc pas de problème de cache sur les hotspots qui corromprait le cache de son ordinateur. Mais tout le monde n'est pas ma mère.

Plus sérieusement, quand on monte un hotspot, l'objectif est de rendre le service à tout le monde, y compris à ceux qui ne savent pas ce qu'est le DNS (ce qui représente au moins une bonne moitié de la population ciblée).

Sinon pour ce qui est de l'automatisme du redémarrage : là, comme il faut de nouveau se connecter sur le hotspot pour sortir, on tourne en rond. Le cache est corrompu à chaque fois et les applications ne sont pas joignables. Il ne reste donc comme seul opportunité que le vidage du cache. Et on tombe sur mon premier argument.

Il y a certains OS (qu'on ne citera pas ici) qui implémentent un cache DNS d'assez longue durée. Si on leur ment une fois, il faut leur mentir 1000 fois en redirigeant les flux destinés à l'adresse usurpée sinon ils ne peuvent plus joindre les services qu'ils souhaitent atteindre car l'adresse en cache est fausse.

L'article en question n'est pas disponible sur http://www.unixgarden.com/ ?

Ce site des éditions diamond contient entre autre des versions web d'articles de magazines passés.

"OS chéri" ?

Après qu'on lui offre des cadeaux ou des fleurs, il n'y a qu'un pas. Je viens enfin de comprendre la publicité :P

Effectivement, la contextualisation est difficile. J'ai pris en compte la remarque et mis à disposition le fichier XCF : http://home.regit.org/?p=161

Merci à tous pour vos idées et remarques.

Euh, non pas du tout, je préfère avoir ma compagne sous openoffice et lui offrir des fleurs.

Pour tout dire, à la maison c'est plus elle qui utilise openoffice.

Effectivement, il ne fallait pas oublier de tiret dans cette phrase.

La majeure partie des membres de la Coreteam de Netfilter devrait être présente lors de l'événement.
Mais ce ne sera pas tout puisque des personnes comme David Miller (Responsable de la couche réseau de Linux) et Stephen Hemminger (Développeur majeur de la couche réseau avec des réalisations comme netem) seront sans doute de la partie.

Ouais, je n'avais pas pensé à aller voir wikipedia il y a 15 ans :P

Ah mince, personne n'avait internet et wikipedia n'existait pas ...

Bon sang j'ai mis 15 ans à comprendre l'acronyme ! Merci beaucoup :D

C'est cool, on peut apprendre à utiliser du propriétaire avec du logiciel libre.

Pour reformuler ma boutade de manière plus constructive : y a-t-il une implémentation d'autres OS de prévu dans le projet ?

Une nouvelle version du LiveCD, NuFW.Live v 1.1, contenant la dernière version de nuface a été publiée et est disponible sur le site http://live.nufw.org.

Voici les liens directs pour le téléchargement :
- http://live.nufw.org/dl/nufwlive-fr-v1.1.iso.torrent
- http://live.nufw.org/dl/nufwlive-fr-v1.1.iso

> Si je comprends bien.

Pas tout à fait, Nuface génère un jeu de règles et applique le jeu de règles sur le parefeu. C'est donc assez utile de l'avoir sur la machine.
Cela dit, rien ne s'opposerait à faire cela sur une machine externe, puis à transférer le jeu de règles.

L'idée d'un service hébergé n'est pas stupide mais par pure paranoia je ne donnerais jamais mes règles de pare-feu à générer à un tiers ;)

Si cette initiative est retenue, il sera vraiment tentant pour les organisateurs de nommer la personne au parcours le plus trollifère possible de manière à s'autodescerner le prix l'année d'après au vu des émeutes engendrées par la nomination.

La question est mieux posée dans le sujet que dans le corps du message. Il y a en effet deux choses séparées :
le passage d'un langage à un framework
le passage de PHP à Python

Le choix 1 est simple : J'ai commencé à travaillé sur nulog 1 (connu comme ulog-php à l'époque) aux alentours de 2001/2002 . La notion de framework n'était pas encore bien implantée (voir même n'existait pas). Début 2007, nulog commençait à devenir difficille à faire évoluer et nous avons donc décidé de lancer un projet de réécriture au sein d'INL (dont je fais parti). Le projet Nulog 2 a ainsi été initié avec dès le départ la décision d'utiliser un framework et une architecture MVC.

Le choix 2 s'explique par plusieurs points:

Grandes qualités du framework Twisted, notamment capacité à offrir des vues dans des protocoles variés (SOAP, XML-RPC, IRC, HTTP).
Présence de bons développeurs Python à INL, développeurs capable d'épauler Romain Bignon, développeur principal de Nulog 2.
Langage PHP trop laxiste et surtout lié au web alors que l'on souhaitait ne pas se limiter à ce media.


L'ensemble de ces raisons nous ont fait abandonner PHP pour passer à Python/Twisted.

Juste pour recadrer un peu, il ne faut pas confondre NuFW et une interface de configuration. NuFW est une application qui enrichit les critères de filtrages de Netfilter/iptables en ajoutant les notions :

• d'utilisateurs
• de groupes
• d'applications
• de système d'exploitation

Pas grand chose à voir donc avec une distribution dédiée pare-feu dont le but est de fournir une interface "simplifiée" d'administration.

Laisse la place ? Non pas vraiment, il y a eu une élection et Harald s'est logiquement incliné devant Patrick qui a réalisé l'essentiel du travail sur Netfilter ces deux dernières années.

Cela avance effectivement vite actuellement.

conntrackd de Pablo Neira, membre de la Coreteam de Netfilter, est d'ors et déjà intégré à Netfilter puisqu'il se base sur du code déjà existant au niveau noyau.

Le projet est utilisable et n'attends plus que les utilisateurs.

Oui, certaines applications utilisant /dev/rtc (et donc une interaction directe avec le noyau) ne sont pas supportés. C'est le cas d'un logiciel "important" comme mplayer.

Il s'agit cependant d'une infime minorité des programmes existants. L'absence de "s" à application dans ton post doit être un lapsus révélateur :P

> En passant, à part le confort (pas d'obligation d'avoir un autre OS, etc), dans quel cas de figure cela est-il vraiment intéressant ?

Certains ont fait fortune avec des softs an 2000. Là on prend de l'avance pour le gros bug de « 2038-01-19 04:14:07 » ;)

Plus sérieusement, lors que l'on vérifie une application critique, il est nécessaire de ne négliger aucun paramètre. La date d'exécution en fait partie. Ce logiciel permet donc de tester facilement les applications à date de mise en oeuvre.

De plus, comme il permet d'effectuer des sauts, la validation peut ainsi passer les périodes non interessantes par exemple quand une sonde fait 0.1 année lumière en ligne droite sans croiser âme qui vive. On se déplace ainsi aux périodes critiques de manière facile.

> J'ai peut être une crise de modestie énormissime, mais je ne vois pas la difficulté dans l'envoi d'un mail anti-daté

La problématique auquel répond Macfly est en effet plus complexe que le simple décalage dans le temps d'un envoi de mail.
L'idée est de pouvoir, sans changer la date système :
tester des applications à des dates précises
déclencher des décalages de temps
passer une période sans événements
...

Cela permet de valider des systèmes complexes sur la durée et sans trop de perte de temps.

On pourra jouer en réseau ?

Désolé, je sors

Pas bête, j'avais pas vu l'idée. Pas de fric pour payer une récompense :
"On la file à tout le monde et ils sauront pas partager..."

Non pas d'argent en jeu pour le prix Time (D'habitude le vainqueur en a bien assez donc ce n'est pas nécessaire.)

Movie is like sex is better when it's free