De ce que je vois c'est un système qui permet de gérer la signature de zones DNS afin d'en faire des zones DNSSEC, et ce avant de publier ces zones dans un serveur DNS autoritaire
>L'avantage de mon fichier est l'ajout d'une notion assez puissante : les listes de services. En gros, je créé des listes de services qui contiennent plusieurs services, puis j'utilise ces listes dans la déclaration des "hosts".
Excuse moi, mais je ne vois pas l'avantage par rapport a la configuration "native": nagios te permet de le faire directement, certes dans l'autre sens (déclarer des services pour une liste de hosts) mais le résultat est le même.
>a/ .... hMailServer pourrait très bien nous permettre de ne pas dépendre du smtp d'Oleane, c'est bien cela?
En effet, de ce que je déduit de ton message précédent, votre dépendance à un relai smtp
externe est redondante.
>b/ ... Nous avons un nom de domaine societe.fr géré côté oleane (Gandi) et l'idée est
>d'utiliser côté Altitude un sous nom de domaine type altitude.societe.fr. Ces 2 serveurs de
>mail sont indépendants et doivent fonctionner tous seuls.
>D'après tes explications, on s'orienterait dans un premier temps à la configuration numéro 2, en plus simplifiée a priori.
En effet dans ce cas c'est assez simple.
>Je suis d'accord avec toi, passer par un smtp externe est forcément moins intéressant, mais en l'état de mes connaissances et vu le délais dont je dispose, je devrais malheureusement aller au plus simple dans un premier temps.
Attention a plusieurs choses:
- Un serveur mail ça se configure avec attention, il est très facile d'obtenir un open relai (ideal pour les spammers, moins pour vous) ou un "no relai" qui va refuser tout les mails.
Je déconseille l'utilisation des howto pour ça (il y a de très bon livres chez oreilly pour tout les serveurs mail, mon préféré étant postfix) vous passerez a coté de bcp d'options et surtout de la compréhension de ce qui est fait, très mauvais pour la maintenance.
- Rajouter une configuration de relai smtp à un serveur mail pour un réseau interne est très facile (rajouter les IP dans la liste des réseaux autorisés pour postfix), ne vous arrêtez pas à cette "difficultée".
Cela peut de plus vous permettre d'étendre votre messagerie dans un second temps pour les postes itinérants / pda / ... (via le SMTP AUTH qui permet d'authentifier les utilisateurs avant d'autoriser le relai)
Avant de lire des tutoriels, qui sont ce qu'ils sont, je te suggererai de te renseigner
sur le fonctionnement du mail en général.
En résumé, l'envoi et la réception des messages entre serveurs se fait via le protocole SMTP,
dont tu trouvera une implémentation open source dans: postfix, exim, courier, sendmail et dans une certaine mesure qmail.
Les serveurs SMTP se "découvrent" entre eux via l'usage des entrées DNS de type "MX" (Mail eXchanger), et communiquent ensuite en SMTP. Ils prennent en chargent ensuite le local delivery ou le délèguent à un autre programme.
Déjà je vois plusieurs points étranges dans ta configuration:
* Vous avez un serveur de mail sur le premier site, pourquoi utiliser un relai smtp externe ?
(le serveur SMTP Oleane)
* Vous voulez monter un second site avec un second serveur de mail, quel sera sont usage:
=> MX Primaire ?
=> sur quel domaine ?
=> MX Secondaire ?
=> Relai externe ?
=> si non, pourquoi utiliser celui d'altitude
Plusieurs choses a savoir, mettons que ta societe utilise le domaine societe.fr,
tu peut envisager les configurations suivantes (entre autre):
1/ un serveur principal pour @societe.fr (celui qui permettra la récupération des mails en pop/imap) sur un site, et un mx secondaire sur l'autre (qui recevra les mails depuis l'extérieur et les mettra en attente du retour du primaire)
Tout tes utilisateurs devrons donc récupérer les mails sur un seul serveur, il faut prévoir la connectivité associée.
2/ découpage du domaine en deux sous-domaines site1.societe.fr et site2.societe.fr,
et configuration des serveur pour être MX primaire d'un domaine et secondaire de l'autre.
s'il n'y a pas vraiment de raison d'avoir des email en toto@site1.societe.fr tu peut configurer chaque serveur en MX primaire sur societe.fr et maintenir une liste de correspondance (toto@societe.fr et renvoyé a toto@site1.societe.fr, tata@societe.fr est renvoyé à tata@site2.societe.fr ....)
Dernier point, l'utilisation d'un relai externe (oleane/altitude) te prive de beaucoup de possibilité de diagnostiques sur vos envois de mails, je ne le recommanderai pas.
c'est vrai a un détail prêt: quand tu active du firewalling statefull (ce qui est automatique quand les règles font référence au états de connections) sur un routeur celui-ci doit garder un trace locale de toute les session ouvertes.
Cette table (la table conntrack) n'est pas illimité aussi y a t'il des mechanisme de GC pour la nettoyer. Il faut donc compenser cela par l'activation du mechanisme tcp keepalive afin de générer en cas d'absence de traffic des paquet permettants aux divers pare-feu sur le chemin de savoir que la connection est toujours ouverte
Qu'est-ce que la sécurité des transactions pour toi ?
1/ le fait que la session soit cryptée pendant l'échange des informations ?
2/ le fait que tes données bancaires soient traitées de manière sécurisée *après* que
tu les aient fournies au site ?
3/ le fait que tu soit sûr de "causer" aux galleries lafayettes ?
Dans ton cas le 1 est toujours assuré, mais le 3 ne l'est "pas". Problème: les politiques
d'attributions des certificats font que l'AC va vérifier que le certificat est bien émis aux
propriétaires du domaine, pas que le domaine "lafayettelistes" appartient bien aux "galleries lafayette".
Le gros soucis dans tout ces sites n'utilisant pas les offres de TPEV des banques est le point 2, et ça quelque soit la validitée du certificat, certes il y a des audits mais comment dire ...
Alors voila oui, tu peut utiliser un truc super lourd avec plein d'acronymes tout "Entreprise Ready" mais qui vont bouffer 500Mo de ram sur ta machine, ou te la jouer simple is beautiful:
tu ecrit en local dans un/des fichiers + un cron qui test la presence de la cible (ping -c 1 par exemple) et qui envoi les données (scp).
ou tu fournit un service uucp et ta cible fetch les données a intervalle régulier via uucp par exemple (cf uucpssh le service de mail "asynchronisé") ou toujours via scp
Ci dessous un extrait de config pour ISC DHCP 3 utilisable avec le dhcp-snooping de switchs ciscos:
if exists agent.circuit-id
{
log ( info, concat( "Lease for ", binary-to-ascii (10, 8, ".", leased-address), " is connected to interface ",
binary-to-ascii (10, 8, "/", suffix ( option agent.circuit-id, 2)), " VLAN ",
binary-to-ascii (10, 16, "", substring( option agent.circuit-id, 2, 2)), " on switch ",
binary-to-ascii(16, 8, ":", substring( option agent.remote-id, 2, 6))));
log ( info, concat( "Lease for ", binary-to-ascii (10, 8, ".", leased-address),
" raw option-82 info is CID: ", binary-to-ascii (10, 8, ".", option agent.circuit-id), " AID: ",
binary-to-ascii(16, 8, ".", option agent.remote-id)));
}
Exemple de sortie
dhcpd: Lease for aaxx.yy.200 is connected to interface 1/6 VLAN 40 on switch 0:23:5d:68:ec:0
dhcpd: Lease for aa.xx.yy.200 raw option-82 info is CID: 0.4.0.40.1.6 AID: 0.6.0.23.5d.68.ec.0
Ce que dit le site c'est que tu ne peut pas utiliser le 'namevirtualhost' en https pour identifier le site demandé et fournir un certificat adapté car c'est le chat qui se mort la queue: pour obtenir le host demandé par l'internaute il faut decrypter la communication et pour ça il faut un certif+clef privé.
Par contre tu peut faire des virtualhost basés sur le nom, le seul soucis est que pour que
les navigateurs ne ralent pas trop il faut que le certificat matche, pour ça effectivement un certificat wildcard si les domaines sont de même forme, ou un certificat avec une liste de domaine sinon permettent un bon fonctionnement.
Pour la configuration oui je l'ai déjà faite, c'est une config vhost standard, il faut juste specifier les infos ssl adhoc et mettre le certificat dans tout les vhost
2° Ethernet bonding en faillover donc mode actif/passif.
du bonding en mode=1 quoi, alors pas de soucis tu peut te mettre sur deux switchs distincts.
3° Ok, quelqu'un a une idée ?
fait plutot du miimon, exemple:
options bonding mode=1 miimon=200 downdelay=200 updelay=200
les options de bonding sont la pour détecter si l'interface marche ou pas, les arp_* sont
une solution de backup si tu ne peut pas utiliser l'état physique de l'interface, auquel cas
tu utilise une adresse mac proche (le switch de preference).
4° Dans ce cas, autant en VRRP qu'en ethernet bonding, comment est-ce que cela marche pour que les switches comprennent que l'adresse mac virtuelle n'est plus sur le port X mais sur un port Y ?
Basiquement la table ARP est nettoyée lorsque les interfaces associés passent down (celle d'un switch down ou celle d'un serveur), de la deux possibilité: si ton serveur est le plus "rapide" a parler sur la nouvelle interface: l table arp du switch est mise a jour, sinon si c'est un paquet a destination de ton serveur qui arrive en premier le paquet est broadcasté et la reponse de ton serveur est utilisée pour mettre a jour la table ARP
5° Si le firewall actif change, le kernel du nouveau firewall enverra un gratuitous ARP sur demande de vrrpd, correcte ?
cf source de vrrpd, a priori oui.
toutefois en théorie en VRRP l'adresse IP est associée a une MAC virtuelle qui n'est pas sensée changer, donc pas besoin de gratuitous arp
Il y aura 5 serveurs derrières les firewall, chaqu'un utilisant 2 interfaces pour le réseau de production, une pour le management et une interface pour une carte DRAC.
Pourquoi une interface physique a part pour le management si c'est pour le brancher sur le même switch au final ?
Fait plutôt des vlans sur ton bonding
Un de ces 5 serveurs ne sera pas connecté au réseau de production. J'aurai donc besoin de 25 interfaces pour connecter tout ce monde
on ne peut pas faire de virtual host HTTPS dans apache.
si on peut !
ce que l'on ne peut pas c'est avoir plusieurs certificats différents pour une même adresse IP ce qui n'est pas pareil :)
Tu peut (il est possible de le faire, après est-ce qu'une PKI publique le permet ça ...) avoir un certificat avec une liste de plusieurs domaines et utiliser celui-ci pour plusieurs vhost https
difficile à dire sans connaitre ton trafic ni plus d'info sur ton archi.
je dispose des deux modèles, ils sont globalement très bien, la gamme 3560 est plus taillée pour faire du routage tandis que les 2960 sont des switchs niveau 2 basiques.
après j'ai des soucis a faire de l'iSCSI sur des 2960 (paquets droppés par le switchs) mais les 3560 n'ont pas de buffers bcp plus gros et ont va devoir passer sur du 3750
2° Est-ce que je peut faire de l'ethernet bonding (côté serveur) sur deux switchs différents ?
ça dépend de ce que tu appelle "ethernet bonding", nous on fait du bonding actif/passif "de base" et ça marche très bien, ça change de port et repart très vite.
si tu veut faire du lacp sur deux switchs distinct c'est possible mais pas avec les modèles que tu a selectionner. il faut en face des switchs stackable (gamme 3750 par exemple).
3° Si il y a un problème sur le lien entre un serveur et le firewall actif, en partant du principe que j'utilise les options arp_ip_target et arp_interval_options du module de bonding, est-ce que le serveur va utiliser son autre interface pour joindre le firewall ?
don't know
4° Si une interface de serveur tombe, il utilisera l'autre. A ce moment là, le kernel devrait envoyer un gratuitous ARP pour notifier les autres machines dans le broadcast domain du changement d'adresse MAC. Les autres machines vont-elle écouter ce ARP update et mettre à jour leurs caches ARP ?
euh normalement non, quand tu va monter le bonding tu n'aura plus qu'une adresse mac
5° Si le firewall actif change, le kernel du nouveau firewall enverra un gratuitous ARP sur demande de vrrpd, correcte ?
c'est quoi ton firewall ?
mais normalement le VRRP c'est a base d'adresse MAC virtuelles pareil, donc non. c'est juste la table de MAC du/des switchs qui va être mise a jour.
Un truc qui a marché pour quelqu'un que je connait qui avait enormement d'écriture sur des bases mysql c'est le premier
système SSD ayant existé, a base de barrettes mémoires le i-RAM ou l'HyperDrive je ne sait plus.
En effet la latence d'écriture sur les disques, de quelque vitesse qu'ils soient était la cause principale de son soucis
Ils parlent d'outlook là, le truc qui fait partie de la suite office, et pas outlook express.
Donc oui le moteur de rendu de word est tjrs disponible pour outlook, par contre de
la a dire que c'est un bon moteur il y a un fossé que je ne franchirai pas :)
>Supposons que tu ais 5 incidents par mois càd 25 minutes de mode dégradé (réponse 1
>fois sur 2 car 2 ip's retournées par le DNS) cela donne un uptime, à la louche, de 99,94%.
>As-tu vraiment besoin de mieux que ça ?
>Si c'est le cas, je te souhaite bon courage...
C'est le problème courant: combien est-tu prêt à mettre pour ton PRA/HA
sachant que rien n'est magique et que la solution "ultime" est souvent a base
de BGP et d'un lien privé d'interconnection entre tes deux sites pour la synchro.
Et que tu ne bascule pas ce genre d'archi avant moins de 20min d'interruption.
Si tu a besoin de plus et si ton problème est lié à l'application il est beaucoup plus
efficace et moins cher de disposer d'une archi HA sur le même datacenter (et garder
une archi "PRA" sur un autre datacenter si besoin).
Le HA en local se fait très bien, a base de VRRP/Keepalive souvent il permet des reprises
de services <1s (+délai de détection, et attention au flapping).
Le PRA en distant permet de se prémunir des derniers "risques"
>D'autre part, je suis certain qu'il est possible et préférable d'exiger une authentification
>entre 2 utilisateurs du même domaine ou bien qu'il s'agisse d'un utilisateur qui s'envoie
> un mail à lui même !
2/ force la validation du compte de l'émetteur:
si "regis" à l'email "regis@tondomaine.tld", "serge" qui est aussi sur "@tondomaine.tld"
ne pourra pas se faire passer pour regis.
smtpd_sender_login_maps = <hash/db/... de conversion email => login>
Garde à l'esprit que des serveurs ne s'authentifient pas simplement quand ils
envoient des mails (cron, alertes monitoring, ...), il faut donc garder un permit_mynetworks adhoc.
Ce qui n'est pas bon dans l'aide d'ovh c'est surtout qu'en 2009 il recommandent encore
de faire des alias d'interfaces type eth1:1 malgré les recommandation contraires.
Un ramdisk ça me fait chier, d'autant que les utilitaires de configuration ne sont pas terribles, du moins sous Debian
Tu peut développer ?
L'update-initramfs de debian est automatique, suit les mises à jour de kernel et construit
un initrd fonctionnel pour toutes les configurations que j'ai testé.
Et l'installeur supporte le directement raid+lvm depuis la etch.
[^] # Re: C'est quoi ?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse à la dépêche OpenDNSSEC v 1.0.0 (stable). Évalué à 1.
# pdfnup est ton ami ... ou presque
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Cherche logiciel d'impression. Évalué à 5.
Impression livret (pour 16 pages, imprimante recto-verso):
pdfnup --nup 2x1 --paper a4paper --orient landscape input.pdf --outfile output.pdf --pages "16,1,2,15,14,3,4,13,12,5,6,11,10,7,8,9"
donc pour le recto ça doit être: "16,1,14,3,12,5,10,7"
et le verso "2,15,4,13,6,11,8,9"
[^] # Re: Vachement gore
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Nagios va-t-il quitter le C pour le Python?. Évalué à 2.
Excuse moi, mais je ne vois pas l'avantage par rapport a la configuration "native": nagios te permet de le faire directement, certes dans l'autre sens (déclarer des services pour une liste de hosts) mais le résultat est le même.
[^] # Re: alias de carte reseau
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message deux réseau (privé&publique) sur une carte. Évalué à 3.
l'usage recommendé est "ip addr add dev eth0"
[^] # Re: Développement
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Serveur de réception d'email. Évalué à 1.
En effet, de ce que je déduit de ton message précédent, votre dépendance à un relai smtp
externe est redondante.
>b/ ... Nous avons un nom de domaine societe.fr géré côté oleane (Gandi) et l'idée est
>d'utiliser côté Altitude un sous nom de domaine type altitude.societe.fr. Ces 2 serveurs de
>mail sont indépendants et doivent fonctionner tous seuls.
>D'après tes explications, on s'orienterait dans un premier temps à la configuration numéro 2, en plus simplifiée a priori.
En effet dans ce cas c'est assez simple.
>Je suis d'accord avec toi, passer par un smtp externe est forcément moins intéressant, mais en l'état de mes connaissances et vu le délais dont je dispose, je devrais malheureusement aller au plus simple dans un premier temps.
Attention a plusieurs choses:
- Un serveur mail ça se configure avec attention, il est très facile d'obtenir un open relai (ideal pour les spammers, moins pour vous) ou un "no relai" qui va refuser tout les mails.
Je déconseille l'utilisation des howto pour ça (il y a de très bon livres chez oreilly pour tout les serveurs mail, mon préféré étant postfix) vous passerez a coté de bcp d'options et surtout de la compréhension de ce qui est fait, très mauvais pour la maintenance.
- Rajouter une configuration de relai smtp à un serveur mail pour un réseau interne est très facile (rajouter les IP dans la liste des réseaux autorisés pour postfix), ne vous arrêtez pas à cette "difficultée".
Cela peut de plus vous permettre d'étendre votre messagerie dans un second temps pour les postes itinérants / pda / ... (via le SMTP AUTH qui permet d'authentifier les utilisateurs avant d'autoriser le relai)
# Re:
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Serveur de réception d'email. Évalué à 2.
sur le fonctionnement du mail en général.
En résumé, l'envoi et la réception des messages entre serveurs se fait via le protocole SMTP,
dont tu trouvera une implémentation open source dans: postfix, exim, courier, sendmail et dans une certaine mesure qmail.
Les serveurs SMTP se "découvrent" entre eux via l'usage des entrées DNS de type "MX" (Mail eXchanger), et communiquent ensuite en SMTP. Ils prennent en chargent ensuite le local delivery ou le délèguent à un autre programme.
Déjà je vois plusieurs points étranges dans ta configuration:
* Vous avez un serveur de mail sur le premier site, pourquoi utiliser un relai smtp externe ?
(le serveur SMTP Oleane)
* Vous voulez monter un second site avec un second serveur de mail, quel sera sont usage:
=> MX Primaire ?
=> sur quel domaine ?
=> MX Secondaire ?
=> Relai externe ?
=> si non, pourquoi utiliser celui d'altitude
Plusieurs choses a savoir, mettons que ta societe utilise le domaine societe.fr,
tu peut envisager les configurations suivantes (entre autre):
1/ un serveur principal pour @societe.fr (celui qui permettra la récupération des mails en pop/imap) sur un site, et un mx secondaire sur l'autre (qui recevra les mails depuis l'extérieur et les mettra en attente du retour du primaire)
Tout tes utilisateurs devrons donc récupérer les mails sur un seul serveur, il faut prévoir la connectivité associée.
2/ découpage du domaine en deux sous-domaines site1.societe.fr et site2.societe.fr,
et configuration des serveur pour être MX primaire d'un domaine et secondaire de l'autre.
s'il n'y a pas vraiment de raison d'avoir des email en toto@site1.societe.fr tu peut configurer chaque serveur en MX primaire sur societe.fr et maintenir une liste de correspondance (toto@societe.fr et renvoyé a toto@site1.societe.fr, tata@societe.fr est renvoyé à tata@site2.societe.fr ....)
Dernier point, l'utilisation d'un relai externe (oleane/altitude) te prive de beaucoup de possibilité de diagnostiques sur vos envois de mails, je ne le recommanderai pas.
[^] # Re: Ça ne vient peut-être pas de ton PC
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message ipfilter, connexions établies, et délai. Évalué à 1.
Cette table (la table conntrack) n'est pas illimité aussi y a t'il des mechanisme de GC pour la nettoyer. Il faut donc compenser cela par l'activation du mechanisme tcp keepalive afin de générer en cas d'absence de traffic des paquet permettants aux divers pare-feu sur le chemin de savoir que la connection est toujours ouverte
[^] # Re: driver vers quoi ?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Victoire !. Évalué à 2.
dd if=/dev/zero of=/dev/null bs=4096 count=2000000 ~
2000000+0 enregistrements lus
2000000+0 enregistrements écrits
8192000000 octets (8,2 GB) copiés, 1,03991 s, 7,9 GB/s
:)
Quand au projet c'est le MultiDeskOS du san: http://www.ethernetvirtualstorage.net/
# Sécurité
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Des paiements non sécurisés ?. Évalué à 8.
1/ le fait que la session soit cryptée pendant l'échange des informations ?
2/ le fait que tes données bancaires soient traitées de manière sécurisée *après* que
tu les aient fournies au site ?
3/ le fait que tu soit sûr de "causer" aux galleries lafayettes ?
Dans ton cas le 1 est toujours assuré, mais le 3 ne l'est "pas". Problème: les politiques
d'attributions des certificats font que l'AC va vérifier que le certificat est bien émis aux
propriétaires du domaine, pas que le domaine "lafayettelistes" appartient bien aux "galleries lafayette".
Le gros soucis dans tout ces sites n'utilisant pas les offres de TPEV des banques est le point 2, et ça quelque soit la validitée du certificat, certes il y a des audits mais comment dire ...
[^] # Re: man resolv.conf
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Multiples nameserver et search option dans /etc/resolv.conf. Évalué à 2.
tu met un bind en local (ou ailleurs remarque), avec un fichier de configuration du genre:
zone "domaine2.dom" { type forward; forwarders { 192.168.28.1;}; };
zone "domaine1.dom" { type forward; forwarders { 192.168.1.1;}; };
puis "nameserver 127.0.0.1" dans ton resolv.conf
[^] # Re: un MOM
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Liaison réseau "tamponnée". Évalué à 2.
tu ecrit en local dans un/des fichiers + un cron qui test la presence de la cible (ping -c 1 par exemple) et qui envoi les données (scp).
ou tu fournit un service uucp et ta cible fetch les données a intervalle régulier via uucp par exemple (cf uucpssh le service de mail "asynchronisé") ou toujours via scp
# Exemple de log detaillé
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Log des messages DHCP. Évalué à 3.
if exists agent.circuit-id
{
log ( info, concat( "Lease for ", binary-to-ascii (10, 8, ".", leased-address), " is connected to interface ",
binary-to-ascii (10, 8, "/", suffix ( option agent.circuit-id, 2)), " VLAN ",
binary-to-ascii (10, 16, "", substring( option agent.circuit-id, 2, 2)), " on switch ",
binary-to-ascii(16, 8, ":", substring( option agent.remote-id, 2, 6))));
log ( info, concat( "Lease for ", binary-to-ascii (10, 8, ".", leased-address),
" raw option-82 info is CID: ", binary-to-ascii (10, 8, ".", option agent.circuit-id), " AID: ",
binary-to-ascii(16, 8, ".", option agent.remote-id)));
}
Exemple de sortie
dhcpd: Lease for aaxx.yy.200 is connected to interface 1/6 VLAN 40 on switch 0:23:5d:68:ec:0
dhcpd: Lease for aa.xx.yy.200 raw option-82 info is CID: 0.4.0.40.1.6 AID: 0.6.0.23.5d.68.ec.0
[^] # Re: Routeur free
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message FAI, free ou autre ?. Évalué à 4.
SInon tu peut aussi désactiver le mode routeur de la freebox, ça evite du double NAT et toute ces redirections.
Et la TV marche tjrs ainsi que le tel wifi
[^] # Re: c'est bon
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Configuration DNS/Apache pour avoir un sous-domaine par utilisateur. Évalué à 1.
Par contre tu peut faire des virtualhost basés sur le nom, le seul soucis est que pour que
les navigateurs ne ralent pas trop il faut que le certificat matche, pour ça effectivement un certificat wildcard si les domaines sont de même forme, ou un certificat avec une liste de domaine sinon permettent un bon fonctionnement.
Pour la configuration oui je l'ai déjà faite, c'est une config vhost standard, il faut juste specifier les infos ssl adhoc et mettre le certificat dans tout les vhost
[^] # Re: Re:
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Approbation de design réseau basé sur debian.. Évalué à 1.
du bonding en mode=1 quoi, alors pas de soucis tu peut te mettre sur deux switchs distincts.
3° Ok, quelqu'un a une idée ?
fait plutot du miimon, exemple:
options bonding mode=1 miimon=200 downdelay=200 updelay=200
les options de bonding sont la pour détecter si l'interface marche ou pas, les arp_* sont
une solution de backup si tu ne peut pas utiliser l'état physique de l'interface, auquel cas
tu utilise une adresse mac proche (le switch de preference).
4° Dans ce cas, autant en VRRP qu'en ethernet bonding, comment est-ce que cela marche pour que les switches comprennent que l'adresse mac virtuelle n'est plus sur le port X mais sur un port Y ?
Basiquement la table ARP est nettoyée lorsque les interfaces associés passent down (celle d'un switch down ou celle d'un serveur), de la deux possibilité: si ton serveur est le plus "rapide" a parler sur la nouvelle interface: l table arp du switch est mise a jour, sinon si c'est un paquet a destination de ton serveur qui arrive en premier le paquet est broadcasté et la reponse de ton serveur est utilisée pour mettre a jour la table ARP
C'est la base du problème de sécu réseau chez ovh d'il y a qques temps ( http://www.linuxfr.org/forums/12/27292.html )
5° Si le firewall actif change, le kernel du nouveau firewall enverra un gratuitous ARP sur demande de vrrpd, correcte ?
cf source de vrrpd, a priori oui.
toutefois en théorie en VRRP l'adresse IP est associée a une MAC virtuelle qui n'est pas sensée changer, donc pas besoin de gratuitous arp
[^] # Re: Re:
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Approbation de design réseau basé sur debian.. Évalué à 1.
Pourquoi une interface physique a part pour le management si c'est pour le brancher sur le même switch au final ?
Fait plutôt des vlans sur ton bonding
Un de ces 5 serveurs ne sera pas connecté au réseau de production. J'aurai donc besoin de 25 interfaces pour connecter tout ce monde
Ah ?
4*4 + 1*2 => 18 chez moi
[^] # Re: c'est bon
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Configuration DNS/Apache pour avoir un sous-domaine par utilisateur. Évalué à 2.
si on peut !
ce que l'on ne peut pas c'est avoir plusieurs certificats différents pour une même adresse IP ce qui n'est pas pareil :)
Tu peut (il est possible de le faire, après est-ce qu'une PKI publique le permet ça ...) avoir un certificat avec une liste de plusieurs domaines et utiliser celui-ci pour plusieurs vhost https
# Re:
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Approbation de design réseau basé sur debian.. Évalué à 5.
difficile à dire sans connaitre ton trafic ni plus d'info sur ton archi.
je dispose des deux modèles, ils sont globalement très bien, la gamme 3560 est plus taillée pour faire du routage tandis que les 2960 sont des switchs niveau 2 basiques.
après j'ai des soucis a faire de l'iSCSI sur des 2960 (paquets droppés par le switchs) mais les 3560 n'ont pas de buffers bcp plus gros et ont va devoir passer sur du 3750
2° Est-ce que je peut faire de l'ethernet bonding (côté serveur) sur deux switchs différents ?
ça dépend de ce que tu appelle "ethernet bonding", nous on fait du bonding actif/passif "de base" et ça marche très bien, ça change de port et repart très vite.
si tu veut faire du lacp sur deux switchs distinct c'est possible mais pas avec les modèles que tu a selectionner. il faut en face des switchs stackable (gamme 3750 par exemple).
3° Si il y a un problème sur le lien entre un serveur et le firewall actif, en partant du principe que j'utilise les options arp_ip_target et arp_interval_options du module de bonding, est-ce que le serveur va utiliser son autre interface pour joindre le firewall ?
don't know
4° Si une interface de serveur tombe, il utilisera l'autre. A ce moment là, le kernel devrait envoyer un gratuitous ARP pour notifier les autres machines dans le broadcast domain du changement d'adresse MAC. Les autres machines vont-elle écouter ce ARP update et mettre à jour leurs caches ARP ?
euh normalement non, quand tu va monter le bonding tu n'aura plus qu'une adresse mac
5° Si le firewall actif change, le kernel du nouveau firewall enverra un gratuitous ARP sur demande de vrrpd, correcte ?
c'est quoi ton firewall ?
mais normalement le VRRP c'est a base d'adresse MAC virtuelles pareil, donc non. c'est juste la table de MAC du/des switchs qui va être mise a jour.
[^] # Re: 300 € HT
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Performance MYSQL. Évalué à 1.
système SSD ayant existé, a base de barrettes mémoires le i-RAM ou l'HyperDrive je ne sait plus.
En effet la latence d'écriture sur les disques, de quelque vitesse qu'ils soient était la cause principale de son soucis
http://en.wikipedia.org/wiki/I-RAM
http://en.wikipedia.org/wiki/Hyperdrive_%28storage%29
Après c'est le genre de truc a essayé après s'être demandé si le code, les algos et les requetes SQL sont bien optimum
[^] # Re: Dans la vraie vie...
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au journal Email Standards : les standards du web dans l'email ??!?. Évalué à 1.
Donc oui le moteur de rendu de word est tjrs disponible pour outlook, par contre de
la a dire que c'est un bon moteur il y a un fossé que je ne franchirai pas :)
# man pvresize ?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message RAID hardware et partitionnement. Évalué à 1.
pvresize resizes PhysicalVolume which may already be in a volume group and have active logical volumes allocated on it.
[^] # Re: Architecture possible
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message failover services entre sites distants sous debian. Évalué à 2.
>fois sur 2 car 2 ip's retournées par le DNS) cela donne un uptime, à la louche, de 99,94%.
>As-tu vraiment besoin de mieux que ça ?
>Si c'est le cas, je te souhaite bon courage...
C'est le problème courant: combien est-tu prêt à mettre pour ton PRA/HA
sachant que rien n'est magique et que la solution "ultime" est souvent a base
de BGP et d'un lien privé d'interconnection entre tes deux sites pour la synchro.
Et que tu ne bascule pas ce genre d'archi avant moins de 20min d'interruption.
Si tu a besoin de plus et si ton problème est lié à l'application il est beaucoup plus
efficace et moins cher de disposer d'une archi HA sur le même datacenter (et garder
une archi "PRA" sur un autre datacenter si besoin).
Le HA en local se fait très bien, a base de VRRP/Keepalive souvent il permet des reprises
de services <1s (+délai de détection, et attention au flapping).
Le PRA en distant permet de se prémunir des derniers "risques"
[^] # Re: il n'est PAS relay
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message postfix + authentification smtp. Évalué à 1.
>entre 2 utilisateurs du même domaine ou bien qu'il s'agisse d'un utilisateur qui s'envoie
> un mail à lui même !
Possible oui, préferrable la ...
Enfin, tout ça est contrôlé par les smtpd_sender_restrictions
http://www.postfix.org/postconf.5.html#smtpd_sender_restrict(...)
Pour ton cas il y a plusieurs solutions, par exemple:
1/ si tu fait confiance à tes utilisateurs:
smtpd_sender_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
check_sender_access hash:/etc/postfix/mesdomaines
/etc/postfix/mesdomaines:
mondomain.tld reject
tondomain.tld reject
....
2/ force la validation du compte de l'émetteur:
si "regis" à l'email "regis@tondomaine.tld", "serge" qui est aussi sur "@tondomaine.tld"
ne pourra pas se faire passer pour regis.
smtpd_sender_restrictions =
permit_mynetworks,
reject_sender_login_mismatch
smtpd_sender_login_maps = <hash/db/... de conversion email => login>
Garde à l'esprit que des serveurs ne s'authentifient pas simplement quand ils
envoient des mails (cron, alertes monitoring, ...), il faut donc garder un permit_mynetworks adhoc.
[^] # Re: broadcast != flood
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message sécurité réseau chez OVH. Évalué à 1.
de faire des alias d'interfaces type eth1:1 malgré les recommandation contraires.
Ex: http://fixunix.com/networking/11256-ip-addr-add-vs-interface(...)
Actually
aliases have inconsistent syntax and behaviour, exactly as you pointed.
Sometimes they behave like different device, sometimes like just one
another address. Anyway avoid them...
[^] # Re: Quel est le problème ?
Posté par -=[ silmaril ]=- (site web personnel) . En réponse au message Raid logiciel et partition root en volume logique. Évalué à 2.
Tu peut développer ?
L'update-initramfs de debian est automatique, suit les mises à jour de kernel et construit
un initrd fonctionnel pour toutes les configurations que j'ai testé.
Et l'installeur supporte le directement raid+lvm depuis la etch.
Qu'est-ce qu'il te manque ?