Je dirais que tu peux utiliser du "Policy-based routing".
En gros
1) Tu identifies le trafic de ton application avec iptables et tu lui appliques une MARK
2) Tu crées une table de routage spécifique qui contient la route vers ta gateway OpenVPN (commande 'ip')
3) Tu crées une règle qui associe le trafic identifié au point 1 avec la table de routage du point 2 (commande 'ip')
Essaye "linux pbr" dans google, tu devrais trouver ton bonheur ;)
Le NAT est effectivement une bonne solution. Mais tu n'es pas obligé d'utiliser un routeur cisco/juniper/h3c/huawei/…, une machine sous Linux est tout à fait capable de réaliser l'opération ;)
Je ne suis pas un pro en systemd mais en tapant simplement "systemd static service" sur google, on tombe sur un forum archlinux où l'on peut lire la chose suivante :
Static units are those which cannot be enabled/disabled, but it doesn't mean they are always executed. They will only if another unit depends on them, or if they are manually started.
Actually, static units are simply those without an [Install] section. As enabling units means just creating a symlink to wherever [Install] mandates, those units without [Install] section cannot be enabled, as systemctl doesn't know where to place the symlink.
Of course, you can still manually create a symlink from a static unit to (for instance) /etc/systemd/system/multi-user.target.wants/, and it will be executed as any other enabled unit. But I suppose static units are not intended to be enabled in that way, and most probably you shouldn't need to do it
Tu dis que tu diriges d'abord vers ton serveur pour bloquer les connexions qui ne sont pas les tiennes… Comment ? Si tu as arrives depuis l'extérieur, ton IP est théoriquement imprédictible (et même si elle était prédictible, ce n'est pas une sécurité).
N'est-il pas plus logique de te connecter directement sur ton serveur (via SSH par exemple) et ensuite de te connecter sur ta caméra depuis le serveur ?
Toujours sympa d'avoir des références pour ce genre de choses. Tu peux expliquer pourquoi favoriser la deuxième édition ? Je vois sur Amazon qu'on en est déjà à la quatrième.
Aussi, pourquoi ce livre est-il sujet à polémique ?
Désolé d'avoir joué les captain obvious (la fatigue peut-être)
J'ai toujours placé mon /boot dans un VL sous Debian dès que c'était possible, ça ne m'a jamais posé de problèmes. NeoX doit avoir raison, c'est purement historique (et donc pas à jour :p)
Là n'est pas le problème. OpenSwan est effectivement dans les dépôts mais je me heurte à un problème de configuration, tout simplement. La documentation n'est pas à jour et fortement incomplète, les tuto sur le web sont anciens et ne sont de toute manière pas assez didactiques, etc.
Je commence tout doucement à trouver mes repères mais ça demande pas mal de recherches un peu aléatoire sur google, de tests pour savoir ce qui est encore d'actualité, de croiser les sources et les commandes des tuto, etc. une véritable recherche archéologique en somme. Le livre d'OpenSwan lui-même date de 2006 et n'est plus à jour sur certains points. C'est dommage car d'un point de vue purement technique, je n'entends que du bien d'OpenSwan.
snmpbulkwalk -v 2c -c communauté ip IF-MIB::ifOperStatus | grep -c up
(oui en version 2c, la flemme de taper la commande de la version 3… Quoi que je viens de passer plus de temps pour écrire cette ligne que j'en aurais passé à écrire la commande pour la version 3…)
Si on veut un truc réellement précis, il faudrait d'abord interroger IF-MIB::ifType pour ne récupérer que la liste des interfaces physiques (la commande précédente compte les ports channel, les interfaces virtuelles, etc.) et ensuite faire l'interrogation en fonction du résultat.
La complexité de Selinux est une légende urbaine ;)
En réalité, il est intégré avec une grande élégance dans RHLE (et ses clones)/Fedora à tel point qu'il n'y a presque rien à faire à part régler quelques booléens et labelliser quelques dossiers/fichiers.
En plus de ça, la documentation foisonne, que ça soit dans
les man classiques (comme le man de named qui contient une section spéciale pour Selinux)
Sincèrement, si on fait l'effort de se pencher sur Selinux plutôt que de le désactiver par défaut, on se rend compte à quel point cette réputation de complexité est largement surfaite.
Je connais SNMP et je sais qu'il sera utilisé pour monitorer les équipements mais j'aurais bien aimé avoir un retour utilisateur des solutions proposées par le monde du libre ;)
Il y en a tellement que je voudrais être sur de faire un bon choix ; ne pas me rendre compte après 2 mois que la solution choisie n'est pas totalement adaptée ou qu'il existe un autre logiciel qui fait légèrement mieux dans ce domaine, etc.
# PBR
Posté par chaispaquichui . En réponse au message N'utiliser un vpn que pour une application. Évalué à 5.
Je dirais que tu peux utiliser du "Policy-based routing".
En gros
1) Tu identifies le trafic de ton application avec iptables et tu lui appliques une MARK
2) Tu crées une table de routage spécifique qui contient la route vers ta gateway OpenVPN (commande 'ip')
3) Tu crées une règle qui associe le trafic identifié au point 1 avec la table de routage du point 2 (commande 'ip')
Essaye "linux pbr" dans google, tu devrais trouver ton bonheur ;)
# plouf
Posté par chaispaquichui . En réponse au message iptables string match ne fonctionne pas. Évalué à 1.
Totalement à pouf : parce que ton telnet envoie les lettres une à une et non par le string complet en une fois ?
# iptables
Posté par chaispaquichui . En réponse au message conversion de trame multicast en trame unicast. Évalué à 1.
Le NAT est effectivement une bonne solution. Mais tu n'es pas obligé d'utiliser un routeur cisco/juniper/h3c/huawei/…, une machine sous Linux est tout à fait capable de réaliser l'opération ;)
http://www.inetdoc.net/guides/iptables-tutorial/dnattarget.html
Have fun !
# They are not meant to be enabled using systemctl
Posté par chaispaquichui . En réponse au message systemd service non démarré.. Évalué à 6.
Je ne suis pas un pro en systemd mais en tapant simplement "systemd static service" sur google, on tombe sur un forum archlinux où l'on peut lire la chose suivante :
Static units are those which cannot be enabled/disabled, but it doesn't mean they are always executed. They will only if another unit depends on them, or if they are manually started.
Actually, static units are simply those without an [Install] section. As enabling units means just creating a symlink to wherever [Install] mandates, those units without [Install] section cannot be enabled, as systemctl doesn't know where to place the symlink.
Of course, you can still manually create a symlink from a static unit to (for instance) /etc/systemd/system/multi-user.target.wants/, and it will be executed as any other enabled unit. But I suppose static units are not intended to be enabled in that way, and most probably you shouldn't need to do it
Je pense que ça répond à ta question
# Pourquoi ?
Posté par chaispaquichui . En réponse au message IPtables et NAT sous debian Squeeze. Évalué à 0.
Tu dis que tu diriges d'abord vers ton serveur pour bloquer les connexions qui ne sont pas les tiennes… Comment ? Si tu as arrives depuis l'extérieur, ton IP est théoriquement imprédictible (et même si elle était prédictible, ce n'est pas une sécurité).
N'est-il pas plus logique de te connecter directement sur ton serveur (via SSH par exemple) et ensuite de te connecter sur ta caméra depuis le serveur ?
# Merci
Posté par chaispaquichui . En réponse au journal Tu souhaites apprendre à programmer en shell. Évalué à 7.
Toujours sympa d'avoir des références pour ce genre de choses. Tu peux expliquer pourquoi favoriser la deuxième édition ? Je vois sur Amazon qu'on en est déjà à la quatrième.
Aussi, pourquoi ce livre est-il sujet à polémique ?
Merci bien
# Mais...
Posté par chaispaquichui . En réponse à la dépêche KDE 4.9 est sorti. Évalué à 9.
Est-ce qu'on peut m'expliquer pourquoi un environnement de bureau aussi célèbre et puissant possède un thème par défaut aussi moche ?
Le travail des développeurs de KDE est hallucinant mais ils ont besoin d'un nouveau designer et vite !
# Fedora
Posté par chaispaquichui . En réponse au message Problème avec systemd et des partitions chiffrées. Évalué à 4.
Testé à l'instant avec Fedora 17, systemd bloque bien sur la demande du mot de passe. Tu utilises quelle version de systemd ?
[^] # Re: Mmmm
Posté par chaispaquichui . En réponse au message Debian et LVM. Évalué à 2.
Désolé d'avoir joué les captain obvious (la fatigue peut-être)
J'ai toujours placé mon /boot dans un VL sous Debian dès que c'était possible, ça ne m'a jamais posé de problèmes. NeoX doit avoir raison, c'est purement historique (et donc pas à jour :p)
# Mmmm
Posté par chaispaquichui . En réponse au message Debian et LVM. Évalué à 1.
Grub2 supporte le /boot dans un volume logique ;)
https://wiki.archlinux.org/index.php/GRUB2#LVM
Je ne sais pas pourquoi le template de partman place le /boot dans une partition primaire. Peut-être n'est-il pas à jour ?
# Sparse file
Posté par chaispaquichui . En réponse au message Créer un gros fichier vide rapidement. Évalué à 9.
Est-ce ceci que tu cherches ?
http://en.wikipedia.org/wiki/Sparse_file
[^] # Re: yum install openswan
Posté par chaispaquichui . En réponse au message IPsec. Évalué à 1.
Là n'est pas le problème. OpenSwan est effectivement dans les dépôts mais je me heurte à un problème de configuration, tout simplement. La documentation n'est pas à jour et fortement incomplète, les tuto sur le web sont anciens et ne sont de toute manière pas assez didactiques, etc.
Je commence tout doucement à trouver mes repères mais ça demande pas mal de recherches un peu aléatoire sur google, de tests pour savoir ce qui est encore d'actualité, de croiser les sources et les commandes des tuto, etc. une véritable recherche archéologique en somme. Le livre d'OpenSwan lui-même date de 2006 et n'est plus à jour sur certains points. C'est dommage car d'un point de vue purement technique, je n'entends que du bien d'OpenSwan.
# Mmmmmm
Posté par chaispaquichui . En réponse au message IPsec. Évalué à 0.
Je crois avoir compris pourquoi la doc d'OpenSwan trouvée sur le net est à la masse…
La bonne documentation semble être payante :
http://www.packtpub.com/openswan/book
Quelqu'un a un avis sur le livre ? Il date de 2006, je me doute bien qu'IPsec n'a du changer des masses depuis mais ce livre vaut-il encore le coup ?
[^] # Re: systemd ??
Posté par chaispaquichui . En réponse à la dépêche Le chapeau rouge arrive bientôt dans sa version 7 !. Évalué à 4.
A chaud, je dirais au moins :
Il y en a d'autres mais si tu veux toutes les informations, tu peux aller sur le blog de Lennard
[^] # Re: Utilise IPv6
Posté par chaispaquichui . En réponse au message Failover sur adresse IP. Évalué à 1.
Plus de config compliquée ? Va jeter un oeil sur la version sécurisée du protocole NDP et on en reparle :p
[^] # Re: Le nombre de ports utilisés sur le switch ethernet de la maison
Posté par chaispaquichui . En réponse au sondage Quel est le meilleur indicateur pour mesurer la taille de sa geekitude ?. Évalué à 3.
C'est loin d'être l'idéal mais
snmpbulkwalk -v 2c -c communauté ip IF-MIB::ifOperStatus | grep -c up
(oui en version 2c, la flemme de taper la commande de la version 3… Quoi que je viens de passer plus de temps pour écrire cette ligne que j'en aurais passé à écrire la commande pour la version 3…)
Si on veut un truc réellement précis, il faudrait d'abord interroger IF-MIB::ifType pour ne récupérer que la liste des interfaces physiques (la commande précédente compte les ports channel, les interfaces virtuelles, etc.) et ensuite faire l'interrogation en fonction du résultat.
# Useless Use of wc -l
Posté par chaispaquichui . En réponse au sondage Quel est le meilleur indicateur pour mesurer la taille de sa geekitude ?. Évalué à 10.
ifconfig|grep UP|wc -l
Cachez-moi ce 'wc -l' que je ne saurais voir..
ifconfig | grep -c UP
Fait la même chose, mais en mieux.
C'était l'enculage de mouches du jour
[^] # Re: Hmm
Posté par chaispaquichui . En réponse au message Passer d'un VLAN à un autre simplement?. Évalué à 0.
Donc, le but de la manœuvre, c'est que de remapper tout le trafic du vlan 10 pour qu'il entre directement dans celui du vlan 20 et vice-versa ?
Pourquoi ne pas avoir placé les machines dans le même vlan plutôt que d'en arriver à un tel bidouillage ?
Je crois sincèrement qu'un schéma serait plus explicite ;)
# Les standards
Posté par chaispaquichui . En réponse à la dépêche Projet Lumberjack. Évalué à 9.
[^] # Re: Pas choqué.
Posté par chaispaquichui . En réponse au journal Debian: meilleure distribution de l'année 2011. Évalué à -1.
La complexité de Selinux est une légende urbaine ;)
En réalité, il est intégré avec une grande élégance dans RHLE (et ses clones)/Fedora à tel point qu'il n'y a presque rien à faire à part régler quelques booléens et labelliser quelques dossiers/fichiers.
En plus de ça, la documentation foisonne, que ça soit dans
http://linux.die.net/man/8/named
http://linux.die.net/man/8/httpd_selinux
http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/index.html
http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Managing_Confined_Services/index.html
http://doc.fedora-fr.org/wiki/SELinux
Sincèrement, si on fait l'effort de se pencher sur Selinux plutôt que de le désactiver par défaut, on se rend compte à quel point cette réputation de complexité est largement surfaite.
[^] # Re:
Posté par chaispaquichui . En réponse au journal Debian: meilleure distribution de l'année 2011. Évalué à 0.
Simple curiosité malsaine, c'est quoi le problème de RHLE avec "le reste" ?
# Systemd ?
Posté par chaispaquichui . En réponse à la dépêche Fedora devient une grande fille. Évalué à 5.
Systemd n'est pas déjà implémenté par défaut sous Fedora 15 ? Quelle différence avec la version 16 ? La news n'est pas très explicite à ce sujet...
[^] # Re: Nagios est ton ami
Posté par chaispaquichui . En réponse au message Monitoring switch. Évalué à 0.
Wooot je ne savais pas que Puppet faisait aussi dans la configuration de switch/routeur !
C'est toujours bon à savoir, merci ^^
[^] # Re: SNMP est ton ami
Posté par chaispaquichui . En réponse au message Monitoring switch. Évalué à 0.
Je connais SNMP et je sais qu'il sera utilisé pour monitorer les équipements mais j'aurais bien aimé avoir un retour utilisateur des solutions proposées par le monde du libre ;)
Il y en a tellement que je voudrais être sur de faire un bon choix ; ne pas me rendre compte après 2 mois que la solution choisie n'est pas totalement adaptée ou qu'il existe un autre logiciel qui fait légèrement mieux dans ce domaine, etc.
[^] # Re: SNMP est ton ami
Posté par chaispaquichui . En réponse au message Monitoring switch. Évalué à 2.
C'est gentil mais lorsque je parlais de "système de monitoring", j'avais plus en tête des outils comme Zabbix ou Nagios plutôt qu'un protocole :p