Dans la mouvance des journaux actuels, j'ai décidé de montrer le mien (de réseau). En effet, je pense qu'il contient - aussi - certaines spécificités pouvant en intéresser d'autres que moi.
La partie WAN est constituée de deux Freebox V6 en mode bridge. Je ne les ai pas configurées en mode routeur parce que je considère tout simplement que ce n'est plus leur rôle à partir du moment où j'intercale un routeur "maison".
Le NAS (Synology DS214Play) est (…)
Salut les packets IP ;)
Mes connaissances en architectures réseaux sont un peu lointaines et j'aimerais profiter de cette manne de connaissances qu'est LinuxFr pour m'aider dans ma réflexion.
Avec la recrudescence des failles découvertes un peu partout en ce moment, les super h4ck3rs du dimanche s'en donnent à coeur joie dans les log Nginx notamment.
C'est l'occasion de revoir un peu l'aspect sécurité sur mes services auto-hébergés, notamment sur la gestion des IP/packets entrant vers mes services.
J'aimerais beaucoup exclure (…)
Haka est un framework/langage basé sur Lua et destiné à appliquer des règles sur du trafic réseau en temps réel. Il permet aussi bien de faire un pare-feu classique, filtrant « bêtement » sur les ports, qu'un pare-feu applicatif. Il utilise la notion de dissecteur qui, une fois la grammaire du langage décrite, permet de définir différents événements qui pourront être utilisés dans les règles définies.
Il faut noter que ce n'est que le tout début du langage, il manque encore certaines fonctionnalités critiques.
Haka est sous licence MPL 2.
Bonjour à tous,
Orange me propose d'héberger un firewall logiciel sur une VM linux dans leur data-center, le tout en sDSL 10Mbit/s en entrée et sortie.
Actuellement, je dispose d'une ligne aDSL 18 Mbit/s raccordé à un firewall physique (Watchguard firebox x550e).
Tous nos sites distants utilise cette ligne pour sortir sur internet.
Derrière mon firewall, j'ai un Business VPN me reliant aux 12 sites distants avec un temps de latence d'environ 25 ms en moyenne.
C'est sur ce Business (…)
Bonjour,
J'ai un serveur sous CentOS 4.9.
J'ai configuré plusieurs sous domaine pour mes sites dans /usr/local/apache/conf/vhosts :
www.xxx.com : site de base
boutique.xxx.com : la boutique du site
Ils sont tous sur le même serveur (même ip), et on y accède sans soucis depuis un navigateur.
Dans mon code PHP, j'utilise la méthode cURL pour accéder à des webservices.
Sauf que la fonction ne marche pas dès que j'appelle mes sous-domaines.
Voici l'erreur retournée :
$ curl boutique.xxx.com
curl: (…)
La version 2.1 de pfSense est sortie dimanche 15 septembre. pfSense est une distribution à base de FreeBSD, utilisable comme routeur/pare-feu. Cette version 2.1 apporte entre autre l'ipv6, qui manquait cruellement sur les versions précédentes.
Plus de détails dans la suite de la dépêche.
J'essaye de faire de la conf IPv6 sur mon firewall à la maison, j'essaye de faire un truc du style :
ip6tables -t filter -A FORWARD -d 2a01:e35:2e10:9ca0::fe7f:eda --dport 80 -j ACCEPT
mais ça me répond :
ip6tables v1.4.4: unknown option `--dport'
c'est sur une Ubuntu. Et en faisant "man ip6tables", l'option est bien documentée.
une idée ?
Cher journal,
Voilà presque deux ans (ça passe) que je bosse sur un outil (lsfw) qui permet de lister les règles de pare-feux appliquées entre deux points d'un réseau.
Le but est d'aider les administrateurs réseaux à répondre aux questions existentielles : « bon sang, quelles sont les règles de là à là, dit ? », ou « pourquoi ça passe [pas], hein ?». Ce qui n'est pas forcément trivial sur un gros réseau avec plein de règles et plusieurs (…)
Ma société travaille depuis plusieurs mois sur un projet de WAF, ou pare‐feu applicatif, articulé autour du serveur HTTP et proxy inverse nginx. Après une foule de tests et une épreuve du feu pour le moins tendue, la première version stable de NAXSI, c’est son nom, est disponible au téléchargement en code source et en paquet Debian.
NAXSI est sous licence GPL v2 et s’utilise conjointement avec nginx. Son principal but est de bloquer de manière efficace les attaques classiques de type injection SQL, Cross‐Site Scripting, Cross‐Site Request Forgery, ou encore inclusion de sources tierces locales ou distantes.
Au contraire des WAF déjà connus, NAXSI ne se base pas sur des signatures, mais plutôt sur la détection d’attaques connues en interceptant des caractères et autres chaînes suspectes dans les requêtes HTTP. Tel un système anti‐pourriel, NAXSI affecte un score à la requête et, lorsque ce dernier est trop élevé, le client est redirigé sur une page de type 503.
Malgré ses récents faits d’armes, NAXSI reste un projet jeune, et en tant que tel, nécessite plus de tests. Aussi, n’hésitez pas à lui donner sa chance, vos retours seront grandement appréciés !
Bonjour à tous,
Je commence sous Linux, et j'ai installé Debian 6.0.1 que j'ai trouve dans un magazine. Ayant une connexion à internet par satellite, j'ai voulu faire un script pour configurer iptables décris dans ce magazine, et quand j'ai redémarré mon système, je n'ai pas réussi à surfer sur le net. J'ai réussi à faire en sorte que le script ne s'écecute pas au démarrage, mais je n'ai pas la conscience tranquille d'être connecter sans firewall :(
Voici le (…)
Bonjour,
Je suis débutant sous Linux et je recherche des informations sur la chaine suivante "RH-Firewall-1-INPUT" que l'on retrouve dans les règles de filtrage Iptable de certains systèmes (Centos par exemple)
Que fait cette chaine ? est ce une chaine au sens propre d'Iptable ? Avec quelles tables fonctionne t'elle ? (RAW,FILTER,MANGLE,NAT) ?
Les quelques indications que j'ai pu trouver sur Internet ne m'ont pas donné plus d'informations.
Bref a quoi ça sert ?? et doit-on obligatoirement utiliser cette syntaxe (…)
Pour rappel, le contenu de la dépêche est copié ci-dessous :
D'apres Zdnet, le Cigref (Club informatique des grandes entreprises françaises), s'est penché sur la maturité et la gouvernance de l'Open Source en entreprise. Il s'est en particulier intéressé aux déploiements d'une solution emblématique du logiciel libre, à savoir OpenOffice.
Présenté comme la principale alternative à Microsoft Office, l'outil de travail bureautique Open Source dispose des qualités requises pour son adoption, même si les DSI des grandes entreprises étudient également (…)