fail2ban me donne une certaine tranquilité, et avec un plus non négligeable; certains proxy bloquent les ports exotiques (bon d'autre bloquent le port 22... suffit de s'adapter ^^)
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
le problème viens du 2; si le gouvernement interdit me chiffrement; c'est l'économie numérique qui se pète la gueule;
Si c'était envisageable y a dix ans (et encore) aujourd'hui il ne peut plus se le permettre; il n'y a qu'a voir le changement de politique pour la longueur maximal des clés.
Si le péquin moyen peut se passer de chiffrer ses communications, les entreprises qui font du télétravail, ou de nomadisme doivent pouvoir fournir à ses employés un moyen de communication chiffré à partir de n'importe quel point.
Enfin il est tout à fait possible de chiffrer des communications sans que cela soit détectable par une machine.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
Parce que la configuration par défaut (sans NAT) c'est un bridge, et que filtrer quand tu bridges c'est pas super propre, et que le but du bridge, justement, est en général de laisser une autre machine derrière le bridge filtrer elle-même.
Justement rien n'empêche les box de faire firewall, mais par défaut, avec les passoires que sont certains postes, elles sont configuré en bridge;
Encore une fois, une règle aussi en IPv6 pour que les machines derrière ne soient pas accessible. Je ne vois pas la différence.
pour toi, pour moi, rien, pour ceux qui ne savent pas configurer un firewall, c'est plus problèmatique; sauf si comme tu le penses les configurations par défaut évoluent.
Et juste pour relancer une petite pique, si les gens avaient plus le choix dans le matériel qu'ils utilisent pour accéder à leur FAI
Je ne sais pas chez quel FAI tu es, mais le mien, avant de recevoir sa box, je m'y connectait avec un pc équipé d'une carte adsl pci (que l'on avait car on en avait raz le cul du modem de nerim qui décrochait tout le temps)
Et on peut toujours l'utiliser, mais bon là on a plus le multiposte, plus la télé, et surtout j'ai plus d'horloge dans le salon *Coin* On a le choix; cependant comme y a un truc qui marche plutôt bien, les gens ne vont pas chercher plus loin. Nous on aurait bien gardé le modem tout pourri si y avait pas eu ces déconnexions permanentes...
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
> Exactement comme le fait actuellement ta box.
Absolument pas, ma box laisse tout passer, sans que j'ai eu à configurer quoi que ce soit, et c'était le cas de tous les FAI quand la box n'est pas configuré en NAT, à moins d'un changement récent.
>Mais t'es con ou t'es con ? Ta passerelle IPv6 bloquera par défaut les connexions entrantes
Comme dit précédemment, et il semblerai que l'on se soit pas en accord la dessus, ce n'est pas le cas en ipv4, ce n'est pas le cas, en ce moment en ipv6, je ne vois absolument pas pourquoi ça changerai
tiens si mon expérience personnelle ne te suffit pas en voila un autre qui a fait le même constat http://blog.koreus.com/freebox-routeur-ipv6/
>Ah, encore mieux que le NAT : utiliser le layer 5 pour palier les problèmes de pénurie d'IPv4… Genial.
ah oui c'est clair que faire un ssh user@rubicon ... /bin/su ; iptables ... c'est plus simple... (en plus de devoir taper un mot de passe root)
C'est absolument pas pour palier au problème, de pénurie, c'est pour effectuer un forward de port _temporaire_. En ipv6, le je serai forcé de modifier la conf du firewall pour laisser entrer la connexion. C'est quand même plus simple (point de vu user) de taper 1 commande que de se taper une session, un su, + 1 iptables, sans oublier ensuite la suppression de la règle lorsque j'en ai plus besoin, oui administration web et tout le toutim ça peut aussi le faire, mais SSH marche très bien pour faire mes tests...
>le nat _EST_ une règle du firewall, bordel de merde !.
Ou ai-je dis le contraire? Mais par défaut, quand je configure un nat, les machine derrière ne sont pas accessible, alors oui par défaut un firewall ne fait pas de nat, mais à partir du moment où tu as ajouté la règle magique ainsi que le echo 1 > /proc/net/.../ip_forward tu es en nat, et a moins de rajouter une règle à la con, les machine derrières ne sont pas accessible.
* mandriva 1 case
* winXP 1 case séparé du contrôle du pare feu (pas dans le même encadré)
* freebox 1 case
Le fait que ce soit ou non un firewall derrière je m'en fout, (enfin moi non), ce que je veux c'est pas un firewall, c'est que les machine derrière puisse accéder à internet que ce soit ipv421 ip666 ou ip111 c'est le cadet de mes soucis. La limitation d'adresse ipv4 force un NAT; que ce NAT soit fait sur un firewall n'est pas l'important.
Si demain y a plus besoin de nat, le firewall imposé par le nat disparaîtra chez un paquet de gens.
Sous linux oui c'est iptables qui s'en charge; sous windows ça ne l'est sûrement pas.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
> Internet symétrique veut dire que tout le monde peut être client et serveur.
pas vraiment, c'est juste la norme qui le veux, et comme ça que ça a été conçu sinon, c'est plus internet.
>Au fait t"es au courant que les internautes français sont 40 millions sur près d'un milliard d'internautes ?
On aurait quand même du remarquer une baisse du spam non?
>Oui. Ça évitera que les spamers, hackers, terroristes, pédophiles, criminels, arnaqueurs, et j'en passe obtiennent une arme numérique qu'est un serveur. Bah oui, on les fait avec quoi les cyberguerres ?
En fait concrètement qui va décider ? L'ICANN ?
Enfin les hackers, spammers, terrorriste enfin bref tout le tintouin s'en fout un peu de pas avoir d'adresse pour leur ordi perso, généralement il font pas un site sur leur ordi perso, mais le font héberger (avec ou sans le consentement de l'hébergeur)
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
en fait c'était pas un soucis de nat, mais un proxy filtrant dû à la couverture de l'album des scorpions virgin killer considéré comme pédophile par je ne sais plus quel organisme tenant à jour une liste de site à bloquer.
Tous le trafic allant sur wikipédia passait par ce proxy (afin de filtrer l'image), et certains ont vandalisé des articles de wikipédia, entraînant la réponse logique de du ban de l'ip
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
>Seuls les serveurs Internet ont besoin d'une IP publique.
Ouf me voila rassuré, mon serveur ssh/http/pop3s/ auront toujours leur adresse.
>Et on en finit avec cette Internet symétrique
dis moi tu sais ce que le A de ADSL veut dire?
>dont personne ne se sert
ça commence a faire beaucoup de personnes quand même
>Ça nous réduira le spam
ça j'aimerai bien la démonstration :) Au fait t'es au courant que depuis quelques temps les fai grand publique français bloquent le smtp en sortie par défaut?
>sécurisera Internet.
Grâce à la grande autorité qui décidera qui à droit à un serveur?
par pitié essaye au moins d'être crédible, sinon c'est pas drôle.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
./configure; make install
putain je l'avais laissé passé celle là!!!
./configure && make install !!!
ça permet
1) 1 seul ctrl-C si on veut interrompre au début
2) si y a des truc qui manquent on plantent, ne pas lancer le make qui va inévitablement masquer ce qui manque
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
Youpii c'est vendredi, enfin presque ^^
Je suppose que tu as une solution pour la pénurie d'adresse ipv4?
>Il y a un risque financier
En même temps s'ils ne peuvent plus contacter leur client ipv6...
>et un risque de sécurité
Pour le particulier, je vois bien le risque (la box qui fait du nat qui devient un bête bridge ipv6), pour une entreprise, j'ose espérer qu'elle a mis au moins un firewall entre ses machine et le vaste internet.
Vous savez comment on reconnaît un bon troll d'un mauvais troll ?
1) on ne le reconnaît pas tout simplement :D
par contre le mauvais troll
1) il a un compte crée le jour même
2) on le vois venir
3) je me permet d'aller chercher un café en plein milieu de la rédaction de la réponse
4) je n'ose mentionner les compétence technique approximative...
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
tiens ça m'intéresse drôlement ça; j'ai des pc linux derrière mon PC NAT, y a moyen que les pc linux derrière le nat puissent avoir une ipv6? (oui faudra configurer ip6tables, mais c'est pas très différent iptables, y a même moins de règles)
Faut faire comment demander à free un pool d'adresse et le serveur nat devient dhcp ipv6? Faut forwarder la requête du pc?
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
> make ne va pas te telecharger via apt/yum/yast sur des depots distant tout ce qui te manque pour compiler
ah pardon, tout dépend du makefile ^^ ou des conf foutu dans tes makefile de règle "implicite"; si tu met gcc en tant que dépendance, tu peux très bien avoir une règle qui s'en occupe, et variant selon debian ou mandriva (par contre faudrait être root, ou alors il y aura une demande de mot de passe);
Par contre pour les version de lib ça c'est plus compliqué ^^, mais bon on peut très bien imaginer des règles qui vont faire tout ce qui faut pour télécharger sur le site de la lib, mais bon ça va vite devenir galère à maintenir :D
> Le tout en évitant d'etre bloat en se basant entierement sur un systeme de plugin.
On m'avait dit la même chose pour eclipse/vim/emacs :)
(bon pour l'anecdote, j'ai déjà eu un make environnement qui faisait tout ce qu'il fallait, récupération des libs, compilation, modification du .bashrc, mais c'était spécifique à un projet, et la définition d'un makefile pour ce projet était d'une simplicité jamais égalée (en gros suffisait de donner le répertoire source et la liste de lib dont dépendait le projet) et le nom de l'exécutable ou lib si c'était une lib
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
>C'est comme make ou c'est make mais avec la gestion des dépendances.
mais make c'est juste des dépendances et des commandes pour résoudre ces dépendance.
*J'ai déjà bossé avec des fichiers Makefile bien écrit, c'est du bonheur.
*J'ai déjà bossé avec des fichiers Makefile utilisant à fonds les règles implicite
*J'ai déjà bossé avec des fichiers Makefile complètement illisible
*Enfin, comme en perl, je suis tombé sur un Makefile bien écrit, lisible, et utilisant les règles implicite juste quant il faut; mais faut pas se leurrer, c'est loin d'être la norme
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
Sous mandriva le lancement des service le fait tout seul
rc5.d/S03iptables
rc5.d/S10network
iptables lit le fichier de conf
/etc/sysconfig/iptables
je serai surpris que debian fasse moins bien.
un iptable-save me permet d'avoir ce qui faut ^^ ( ou même service iptables save)
évidemment pour les règle ipv6 c'est ip6tables (faut par croire que je ne jure que par le nat et ipv4 hein ^^)
évidemment ça peut changer sous débian; mais pour le soucis d'ordonnancement je parlais d'un OS propriétaire.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
>vu tout l'argent perdu à contourner les NAT,
Pour beaucoup ça évite aussi une réécriture d'un soft ipv4.
>C'est quoi la différence avec une box qui NAT ?
La différence, c'est qu'une machine derrière un nat ne peut, par définition, pas être accessible sans configuration particulière (port forwarding)
une machine en ipv6, est par définition accessible. La configuration du firewall est un plus absolument pas indispensable.
>As-tu déjà utilisé iptables ?
C'est ce que j'ai chez moi et pendant un temps uniquement certaines machines étaient forwardé - maintenant tout le réseau local est forwardé, par contre si j'ai effectivement fait du port forwarding avec iptables, j'ai trouvé ssh plus pratique (pour la plage de port >1024) (pas besoin de passer par root)
>J'adore les mecs qui supposent des trucs complètement irréalistes pour soutenir leurs propositions.
Tu peux détailler? Quand les box ne sont pas configuré en nat, elle laissent tout passer (sauf le courrier sortant...). Je peux même te préciser sur ce point que certains firewall et antivirus se lancent après la connexion dhcp, ce qui fait que le pc n'est pas protégé pendant un court laps de temps suffisant pour se chopper le virus qui reboot la machine (oui elle n'était pas à jour, je me suis bien marré, j'ai proposé linux, mais les jeux...); je ne vois absolument pas pourquoi ça changerait en ipv6
>Et puis au final, je pense que les mecs comme toi feront moins les malins le jour où ils n'auront plus d'IP publique du tout et seront NATés derrière le gros NAT de leur FAI, sans aucun contrôle sur celui-ci…
Je crois que tu te plantes radicalement sur mon compte, je suis pour le passage en ipv6, ne serai-ce que pour la souplesse que ça apporte, mais nier qu'une passerelle NAT apporte une certaine sécurité au réseau derrière, est, a mon avis, une erreur monumentale. Oui la machine nat peut être remplacé par un pare feu, et dans beaucoup de cas cela devra être fait, mais moi ça me ferai grave chier que par défaut les box bloquent tout et qu'il faille se connecter dessus pour dire oui le trafic sur les ports 21,22, 194, 443, 80, 995, allant vers telles machine c'est ok. Et encore j'en oublie, les partage bittorrent, et autre truc dont je ne suis pas forcément au courant des ports utilisé, et si les box par défaut laissent tout passer, va y avoir un paquet d'ordi infecté.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
en tout cas vu le temps de réponse (4 minutes) tu l'attendais effectivement (ou tu as un robot qui fait des alertes dès qu'on sort ton nom), à moins que... Non cette dernière possibilité est complètement absurde.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
en fait je suis contre cette redevance tant qu'on a pas la licence globale; surtout que maintenant la musique peut s'acheter sans support, alors pour une musique acheté, on paye déjà la copie privée alors que c'est un "original".
Ensuite pour leur étalonnement je les inviterai bien à observer le contenu de mes disques/clés usb avant de le calculer (ils seront bien déçus ^^ )
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
> Inconvénient et avantage Faut savoir.
Je sais pas, j'ai une twingo, c'est petit, c'est un super avantage en ville pour se déplacer à 4 (facile à garer), mais pour partir en vacance sa petitesse et un gros inconvénient, y a pas de coffre; tu peux faire l'inverse avec une logan :).
Le fait qu'un PC ne soit pas directement accessible du reste du monde est un avantage d'un point de vue sécurité (pas de scan de port, de hammering sur un port ssh, pas de faille exploitable par des gens de l'autre coté sans hacker ta passerelle)
Par contre pour monter un serveur ou utiliser certains protocoles, c'est plus tendu, faut faire du forwarding, activer du ip_conntrack_...
Alors Oui, on peut avoir une passerelle IPV6 qui fait pare feu, mais là j'ai plusieurs remarques :
* ) qui va le faire?
*) si les FAI font un pare feu trop violent sur leur box y a encore des gens qui vont râler
*) si ils laissent tout passer, c'est l'utilisateur bêta qui va se faire véroler ses machines mal protégées
>C'est pas le web, c'est Internet.
Ce que j'ai dit n'était pas faux, une machine derrière un nat, sauf configuration particulière n'est pas accessible d'Internet, Web étant inclut dans Internet ce que j'ai dit était bon. :þ
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
en fait y a pas que l'os à changer, y a toute la couche applicative enfin bref un beau merdier, en informatique l'historique est d'une inertie considérable.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
nat continuera d'exister, et même en ipv6, ne serait-ce que pour réaliser un basculement de machine au cas où l'une du banc plante, pouvoir rediriger le flux vers une machine saine est quand même super pratique ou de la répartition de charge sur un "serveur".
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: SSHd
Posté par fearan . En réponse au message étrange historique root. Évalué à 3.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: mauvais problème
Posté par fearan . En réponse au journal IPv6 et conséquences sur l'anonymat. Évalué à 2.
Du pc oui tu peux ouvrir un trou, mais de l'extérieur, j'aimerai bien voir :)
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: IPsec
Posté par fearan . En réponse à la dépêche IPv6 et conséquences sur l'anonymat. Évalué à 3.
Si c'était envisageable y a dix ans (et encore) aujourd'hui il ne peut plus se le permettre; il n'y a qu'a voir le changement de politique pour la longueur maximal des clés.
Si le péquin moyen peut se passer de chiffrer ses communications, les entreprises qui font du télétravail, ou de nomadisme doivent pouvoir fournir à ses employés un moyen de communication chiffré à partir de n'importe quel point.
Enfin il est tout à fait possible de chiffrer des communications sans que cela soit détectable par une machine.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 2.
Justement rien n'empêche les box de faire firewall, mais par défaut, avec les passoires que sont certains postes, elles sont configuré en bridge;
Encore une fois, une règle aussi en IPv6 pour que les machines derrière ne soient pas accessible. Je ne vois pas la différence.
pour toi, pour moi, rien, pour ceux qui ne savent pas configurer un firewall, c'est plus problèmatique; sauf si comme tu le penses les configurations par défaut évoluent.
Et juste pour relancer une petite pique, si les gens avaient plus le choix dans le matériel qu'ils utilisent pour accéder à leur FAI
Je ne sais pas chez quel FAI tu es, mais le mien, avant de recevoir sa box, je m'y connectait avec un pc équipé d'une carte adsl pci (que l'on avait car on en avait raz le cul du modem de nerim qui décrochait tout le temps)
Et on peut toujours l'utiliser, mais bon là on a plus le multiposte, plus la télé, et surtout j'ai plus d'horloge dans le salon *Coin* On a le choix; cependant comme y a un truc qui marche plutôt bien, les gens ne vont pas chercher plus loin. Nous on aurait bien gardé le modem tout pourri si y avait pas eu ces déconnexions permanentes...
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 2.
Absolument pas, ma box laisse tout passer, sans que j'ai eu à configurer quoi que ce soit, et c'était le cas de tous les FAI quand la box n'est pas configuré en NAT, à moins d'un changement récent.
>Mais t'es con ou t'es con ? Ta passerelle IPv6 bloquera par défaut les connexions entrantes
Comme dit précédemment, et il semblerai que l'on se soit pas en accord la dessus, ce n'est pas le cas en ipv4, ce n'est pas le cas, en ce moment en ipv6, je ne vois absolument pas pourquoi ça changerai
tiens si mon expérience personnelle ne te suffit pas en voila un autre qui a fait le même constat
http://blog.koreus.com/freebox-routeur-ipv6/
>Ah, encore mieux que le NAT : utiliser le layer 5 pour palier les problèmes de pénurie d'IPv4… Genial.
ah oui c'est clair que faire un ssh user@rubicon ... /bin/su ; iptables ... c'est plus simple... (en plus de devoir taper un mot de passe root)
C'est absolument pas pour palier au problème, de pénurie, c'est pour effectuer un forward de port _temporaire_. En ipv6, le je serai forcé de modifier la conf du firewall pour laisser entrer la connexion. C'est quand même plus simple (point de vu user) de taper 1 commande que de se taper une session, un su, + 1 iptables, sans oublier ensuite la suppression de la règle lorsque j'en ai plus besoin, oui administration web et tout le toutim ça peut aussi le faire, mais SSH marche très bien pour faire mes tests...
>le nat _EST_ une règle du firewall, bordel de merde !.
Ou ai-je dis le contraire? Mais par défaut, quand je configure un nat, les machine derrière ne sont pas accessible, alors oui par défaut un firewall ne fait pas de nat, mais à partir du moment où tu as ajouté la règle magique ainsi que le echo 1 > /proc/net/.../ip_forward tu es en nat, et a moins de rajouter une règle à la con, les machine derrières ne sont pas accessible.
* mandriva 1 case
* winXP 1 case séparé du contrôle du pare feu (pas dans le même encadré)
* freebox 1 case
Le fait que ce soit ou non un firewall derrière je m'en fout, (enfin moi non), ce que je veux c'est pas un firewall, c'est que les machine derrière puisse accéder à internet que ce soit ipv421 ip666 ou ip111 c'est le cadet de mes soucis. La limitation d'adresse ipv4 force un NAT; que ce NAT soit fait sur un firewall n'est pas l'important.
Si demain y a plus besoin de nat, le firewall imposé par le nat disparaîtra chez un paquet de gens.
Sous linux oui c'est iptables qui s'en charge; sous windows ça ne l'est sûrement pas.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: La blague IPv6
Posté par fearan . En réponse à la dépêche 8/6/2011 : IPv6 pour de vrai. Évalué à 2.
> Internet symétrique veut dire que tout le monde peut être client et serveur.
pas vraiment, c'est juste la norme qui le veux, et comme ça que ça a été conçu sinon, c'est plus internet.
>Au fait t"es au courant que les internautes français sont 40 millions sur près d'un milliard d'internautes ?
On aurait quand même du remarquer une baisse du spam non?
>Oui. Ça évitera que les spamers, hackers, terroristes, pédophiles, criminels, arnaqueurs, et j'en passe obtiennent une arme numérique qu'est un serveur. Bah oui, on les fait avec quoi les cyberguerres ?
En fait concrètement qui va décider ? L'ICANN ?
Enfin les hackers, spammers, terrorriste enfin bref tout le tintouin s'en fout un peu de pas avoir d'adresse pour leur ordi perso, généralement il font pas un site sur leur ordi perso, mais le font héberger (avec ou sans le consentement de l'hébergeur)
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Muf "désactiver ipv6"
Posté par fearan . En réponse à la dépêche 8/6/2011 : IPv6 pour de vrai. Évalué à 5.
Tous le trafic allant sur wikipédia passait par ce proxy (afin de filtrer l'image), et certains ont vandalisé des articles de wikipédia, entraînant la réponse logique de du ban de l'ip
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: La blague IPv6
Posté par fearan . En réponse à la dépêche 8/6/2011 : IPv6 pour de vrai. Évalué à 5.
Ouf me voila rassuré, mon serveur ssh/http/pop3s/ auront toujours leur adresse.
>Et on en finit avec cette Internet symétrique
dis moi tu sais ce que le A de ADSL veut dire?
>dont personne ne se sert
ça commence a faire beaucoup de personnes quand même
>Ça nous réduira le spam
ça j'aimerai bien la démonstration :) Au fait t'es au courant que depuis quelques temps les fai grand publique français bloquent le smtp en sortie par défaut?
>sécurisera Internet.
Grâce à la grande autorité qui décidera qui à droit à un serveur?
par pitié essaye au moins d'être crédible, sinon c'est pas drôle.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Bravo!
Posté par fearan . En réponse au journal s/Hudson/Jenkins/g. Évalué à 2.
putain je l'avais laissé passé celle là!!!
./configure && make install !!!
ça permet
1) 1 seul ctrl-C si on veut interrompre au début
2) si y a des truc qui manquent on plantent, ne pas lancer le make qui va inévitablement masquer ce qui manque
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: IPv6çaylemal
Posté par fearan . En réponse au journal La fin du monde est prévue le 8 juin 2011. Évalué à 2.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: La blague IPv6
Posté par fearan . En réponse à la dépêche 8/6/2011 : IPv6 pour de vrai. Évalué à 7.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: La blague IPv6
Posté par fearan . En réponse à la dépêche 8/6/2011 : IPv6 pour de vrai. Évalué à 9.
Je suppose que tu as une solution pour la pénurie d'adresse ipv4?
>Il y a un risque financier
En même temps s'ils ne peuvent plus contacter leur client ipv6...
>et un risque de sécurité
Pour le particulier, je vois bien le risque (la box qui fait du nat qui devient un bête bridge ipv6), pour une entreprise, j'ose espérer qu'elle a mis au moins un firewall entre ses machine et le vaste internet.
Vous savez comment on reconnaît un bon troll d'un mauvais troll ?
1) on ne le reconnaît pas tout simplement :D
par contre le mauvais troll
1) il a un compte crée le jour même
2) on le vois venir
3) je me permet d'aller chercher un café en plein milieu de la rédaction de la réponse
4) je n'ose mentionner les compétence technique approximative...
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Ok, résumons.
Posté par fearan . En réponse au journal La fin du monde est prévue le 8 juin 2011. Évalué à 2.
http://www.ip6.fr/free-broute/
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Ok, résumons.
Posté par fearan . En réponse au journal La fin du monde est prévue le 8 juin 2011. Évalué à 2.
Faut faire comment demander à free un pool d'adresse et le serveur nat devient dhcp ipv6? Faut forwarder la requête du pc?
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Bravo!
Posté par fearan . En réponse au journal s/Hudson/Jenkins/g. Évalué à 1.
ah pardon, tout dépend du makefile ^^ ou des conf foutu dans tes makefile de règle "implicite"; si tu met gcc en tant que dépendance, tu peux très bien avoir une règle qui s'en occupe, et variant selon debian ou mandriva (par contre faudrait être root, ou alors il y aura une demande de mot de passe);
Par contre pour les version de lib ça c'est plus compliqué ^^, mais bon on peut très bien imaginer des règles qui vont faire tout ce qui faut pour télécharger sur le site de la lib, mais bon ça va vite devenir galère à maintenir :D
> Le tout en évitant d'etre bloat en se basant entierement sur un systeme de plugin.
On m'avait dit la même chose pour eclipse/vim/emacs :)
(bon pour l'anecdote, j'ai déjà eu un make environnement qui faisait tout ce qu'il fallait, récupération des libs, compilation, modification du .bashrc, mais c'était spécifique à un projet, et la définition d'un makefile pour ce projet était d'une simplicité jamais égalée (en gros suffisait de donner le répertoire source et la liste de lib dont dépendait le projet) et le nom de l'exécutable ou lib si c'était une lib
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Spéciale dédicace Zenitram
Posté par fearan . En réponse au journal Encore un troll de moins .... Évalué à 3.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Bravo!
Posté par fearan . En réponse au journal s/Hudson/Jenkins/g. Évalué à 4.
mais make c'est juste des dépendances et des commandes pour résoudre ces dépendance.
*J'ai déjà bossé avec des fichiers Makefile bien écrit, c'est du bonheur.
*J'ai déjà bossé avec des fichiers Makefile utilisant à fonds les règles implicite
*J'ai déjà bossé avec des fichiers Makefile complètement illisible
*Enfin, comme en perl, je suis tombé sur un Makefile bien écrit, lisible, et utilisant les règles implicite juste quant il faut; mais faut pas se leurrer, c'est loin d'être la norme
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 2.
Sous mandriva le lancement des service le fait tout seul
rc5.d/S03iptables
rc5.d/S10network
iptables lit le fichier de conf
/etc/sysconfig/iptables
je serai surpris que debian fasse moins bien.
un iptable-save me permet d'avoir ce qui faut ^^ ( ou même service iptables save)
évidemment pour les règle ipv6 c'est ip6tables (faut par croire que je ne jure que par le nat et ipv4 hein ^^)
évidemment ça peut changer sous débian; mais pour le soucis d'ordonnancement je parlais d'un OS propriétaire.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 3.
Pour beaucoup ça évite aussi une réécriture d'un soft ipv4.
>C'est quoi la différence avec une box qui NAT ?
La différence, c'est qu'une machine derrière un nat ne peut, par définition, pas être accessible sans configuration particulière (port forwarding)
une machine en ipv6, est par définition accessible. La configuration du firewall est un plus absolument pas indispensable.
>As-tu déjà utilisé iptables ?
C'est ce que j'ai chez moi et pendant un temps uniquement certaines machines étaient forwardé - maintenant tout le réseau local est forwardé, par contre si j'ai effectivement fait du port forwarding avec iptables, j'ai trouvé ssh plus pratique (pour la plage de port >1024) (pas besoin de passer par root)
>J'adore les mecs qui supposent des trucs complètement irréalistes pour soutenir leurs propositions.
Tu peux détailler? Quand les box ne sont pas configuré en nat, elle laissent tout passer (sauf le courrier sortant...). Je peux même te préciser sur ce point que certains firewall et antivirus se lancent après la connexion dhcp, ce qui fait que le pc n'est pas protégé pendant un court laps de temps suffisant pour se chopper le virus qui reboot la machine (oui elle n'était pas à jour, je me suis bien marré, j'ai proposé linux, mais les jeux...); je ne vois absolument pas pourquoi ça changerait en ipv6
>Et puis au final, je pense que les mecs comme toi feront moins les malins le jour où ils n'auront plus d'IP publique du tout et seront NATés derrière le gros NAT de leur FAI, sans aucun contrôle sur celui-ci…
Je crois que tu te plantes radicalement sur mon compte, je suis pour le passage en ipv6, ne serai-ce que pour la souplesse que ça apporte, mais nier qu'une passerelle NAT apporte une certaine sécurité au réseau derrière, est, a mon avis, une erreur monumentale. Oui la machine nat peut être remplacé par un pare feu, et dans beaucoup de cas cela devra être fait, mais moi ça me ferai grave chier que par défaut les box bloquent tout et qu'il faille se connecter dessus pour dire oui le trafic sur les ports 21,22, 194, 443, 80, 995, allant vers telles machine c'est ok. Et encore j'en oublie, les partage bittorrent, et autre truc dont je ne suis pas forcément au courant des ports utilisé, et si les box par défaut laissent tout passer, va y avoir un paquet d'ordi infecté.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Spéciale dédicace Zenitram
Posté par fearan . En réponse au journal Encore un troll de moins .... Évalué à 2.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Erreur
Posté par fearan . En réponse au journal Taxe sur les supports vierges. Évalué à 2.
Ensuite pour leur étalonnement je les inviterai bien à observer le contenu de mes disques/clés usb avant de le calculer (ils seront bien déçus ^^ )
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 2.
Je sais pas, j'ai une twingo, c'est petit, c'est un super avantage en ville pour se déplacer à 4 (facile à garer), mais pour partir en vacance sa petitesse et un gros inconvénient, y a pas de coffre; tu peux faire l'inverse avec une logan :).
Le fait qu'un PC ne soit pas directement accessible du reste du monde est un avantage d'un point de vue sécurité (pas de scan de port, de hammering sur un port ssh, pas de faille exploitable par des gens de l'autre coté sans hacker ta passerelle)
Par contre pour monter un serveur ou utiliser certains protocoles, c'est plus tendu, faut faire du forwarding, activer du ip_conntrack_...
Alors Oui, on peut avoir une passerelle IPV6 qui fait pare feu, mais là j'ai plusieurs remarques :
* ) qui va le faire?
*) si les FAI font un pare feu trop violent sur leur box y a encore des gens qui vont râler
*) si ils laissent tout passer, c'est l'utilisateur bêta qui va se faire véroler ses machines mal protégées
>C'est pas le web, c'est Internet.
Ce que j'ai dit n'était pas faux, une machine derrière un nat, sauf configuration particulière n'est pas accessible d'Internet, Web étant inclut dans Internet ce que j'ai dit était bon. :þ
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pasforcémentla fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 2.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 2.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 0.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent