tiens ça m'intéresse drôlement ça; j'ai des pc linux derrière mon PC NAT, y a moyen que les pc linux derrière le nat puissent avoir une ipv6? (oui faudra configurer ip6tables, mais c'est pas très différent iptables, y a même moins de règles)
Faut faire comment demander à free un pool d'adresse et le serveur nat devient dhcp ipv6? Faut forwarder la requête du pc?
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
> make ne va pas te telecharger via apt/yum/yast sur des depots distant tout ce qui te manque pour compiler
ah pardon, tout dépend du makefile ^^ ou des conf foutu dans tes makefile de règle "implicite"; si tu met gcc en tant que dépendance, tu peux très bien avoir une règle qui s'en occupe, et variant selon debian ou mandriva (par contre faudrait être root, ou alors il y aura une demande de mot de passe);
Par contre pour les version de lib ça c'est plus compliqué ^^, mais bon on peut très bien imaginer des règles qui vont faire tout ce qui faut pour télécharger sur le site de la lib, mais bon ça va vite devenir galère à maintenir :D
> Le tout en évitant d'etre bloat en se basant entierement sur un systeme de plugin.
On m'avait dit la même chose pour eclipse/vim/emacs :)
(bon pour l'anecdote, j'ai déjà eu un make environnement qui faisait tout ce qu'il fallait, récupération des libs, compilation, modification du .bashrc, mais c'était spécifique à un projet, et la définition d'un makefile pour ce projet était d'une simplicité jamais égalée (en gros suffisait de donner le répertoire source et la liste de lib dont dépendait le projet) et le nom de l'exécutable ou lib si c'était une lib
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
>C'est comme make ou c'est make mais avec la gestion des dépendances.
mais make c'est juste des dépendances et des commandes pour résoudre ces dépendance.
*J'ai déjà bossé avec des fichiers Makefile bien écrit, c'est du bonheur.
*J'ai déjà bossé avec des fichiers Makefile utilisant à fonds les règles implicite
*J'ai déjà bossé avec des fichiers Makefile complètement illisible
*Enfin, comme en perl, je suis tombé sur un Makefile bien écrit, lisible, et utilisant les règles implicite juste quant il faut; mais faut pas se leurrer, c'est loin d'être la norme
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
Sous mandriva le lancement des service le fait tout seul
rc5.d/S03iptables
rc5.d/S10network
iptables lit le fichier de conf
/etc/sysconfig/iptables
je serai surpris que debian fasse moins bien.
un iptable-save me permet d'avoir ce qui faut ^^ ( ou même service iptables save)
évidemment pour les règle ipv6 c'est ip6tables (faut par croire que je ne jure que par le nat et ipv4 hein ^^)
évidemment ça peut changer sous débian; mais pour le soucis d'ordonnancement je parlais d'un OS propriétaire.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
>vu tout l'argent perdu à contourner les NAT,
Pour beaucoup ça évite aussi une réécriture d'un soft ipv4.
>C'est quoi la différence avec une box qui NAT ?
La différence, c'est qu'une machine derrière un nat ne peut, par définition, pas être accessible sans configuration particulière (port forwarding)
une machine en ipv6, est par définition accessible. La configuration du firewall est un plus absolument pas indispensable.
>As-tu déjà utilisé iptables ?
C'est ce que j'ai chez moi et pendant un temps uniquement certaines machines étaient forwardé - maintenant tout le réseau local est forwardé, par contre si j'ai effectivement fait du port forwarding avec iptables, j'ai trouvé ssh plus pratique (pour la plage de port >1024) (pas besoin de passer par root)
>J'adore les mecs qui supposent des trucs complètement irréalistes pour soutenir leurs propositions.
Tu peux détailler? Quand les box ne sont pas configuré en nat, elle laissent tout passer (sauf le courrier sortant...). Je peux même te préciser sur ce point que certains firewall et antivirus se lancent après la connexion dhcp, ce qui fait que le pc n'est pas protégé pendant un court laps de temps suffisant pour se chopper le virus qui reboot la machine (oui elle n'était pas à jour, je me suis bien marré, j'ai proposé linux, mais les jeux...); je ne vois absolument pas pourquoi ça changerait en ipv6
>Et puis au final, je pense que les mecs comme toi feront moins les malins le jour où ils n'auront plus d'IP publique du tout et seront NATés derrière le gros NAT de leur FAI, sans aucun contrôle sur celui-ci…
Je crois que tu te plantes radicalement sur mon compte, je suis pour le passage en ipv6, ne serai-ce que pour la souplesse que ça apporte, mais nier qu'une passerelle NAT apporte une certaine sécurité au réseau derrière, est, a mon avis, une erreur monumentale. Oui la machine nat peut être remplacé par un pare feu, et dans beaucoup de cas cela devra être fait, mais moi ça me ferai grave chier que par défaut les box bloquent tout et qu'il faille se connecter dessus pour dire oui le trafic sur les ports 21,22, 194, 443, 80, 995, allant vers telles machine c'est ok. Et encore j'en oublie, les partage bittorrent, et autre truc dont je ne suis pas forcément au courant des ports utilisé, et si les box par défaut laissent tout passer, va y avoir un paquet d'ordi infecté.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
en tout cas vu le temps de réponse (4 minutes) tu l'attendais effectivement (ou tu as un robot qui fait des alertes dès qu'on sort ton nom), à moins que... Non cette dernière possibilité est complètement absurde.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
en fait je suis contre cette redevance tant qu'on a pas la licence globale; surtout que maintenant la musique peut s'acheter sans support, alors pour une musique acheté, on paye déjà la copie privée alors que c'est un "original".
Ensuite pour leur étalonnement je les inviterai bien à observer le contenu de mes disques/clés usb avant de le calculer (ils seront bien déçus ^^ )
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
> Inconvénient et avantage Faut savoir.
Je sais pas, j'ai une twingo, c'est petit, c'est un super avantage en ville pour se déplacer à 4 (facile à garer), mais pour partir en vacance sa petitesse et un gros inconvénient, y a pas de coffre; tu peux faire l'inverse avec une logan :).
Le fait qu'un PC ne soit pas directement accessible du reste du monde est un avantage d'un point de vue sécurité (pas de scan de port, de hammering sur un port ssh, pas de faille exploitable par des gens de l'autre coté sans hacker ta passerelle)
Par contre pour monter un serveur ou utiliser certains protocoles, c'est plus tendu, faut faire du forwarding, activer du ip_conntrack_...
Alors Oui, on peut avoir une passerelle IPV6 qui fait pare feu, mais là j'ai plusieurs remarques :
* ) qui va le faire?
*) si les FAI font un pare feu trop violent sur leur box y a encore des gens qui vont râler
*) si ils laissent tout passer, c'est l'utilisateur bêta qui va se faire véroler ses machines mal protégées
>C'est pas le web, c'est Internet.
Ce que j'ai dit n'était pas faux, une machine derrière un nat, sauf configuration particulière n'est pas accessible d'Internet, Web étant inclut dans Internet ce que j'ai dit était bon. :þ
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
en fait y a pas que l'os à changer, y a toute la couche applicative enfin bref un beau merdier, en informatique l'historique est d'une inertie considérable.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
nat continuera d'exister, et même en ipv6, ne serait-ce que pour réaliser un basculement de machine au cas où l'une du banc plante, pouvoir rediriger le flux vers une machine saine est quand même super pratique ou de la répartition de charge sur un "serveur".
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
en fait si c'est pour éviter les alias malicieux tu peux aller de brosser
export PATH=/home/mechant/bin/:$PATH
et ton \sudo ou \su il exécute le malicieux (bon c'est pas un alias mes le résultat est le même
$ mkdir test
$ cd test
$ echo 'echo plop' > ls
$ chmod +x ls
$ export PATH=.:$PATH
$ ls
plop
$ \ls
plop
$ /bin/ls
ls
la bonne pratique, c'est /bin/su ou /bin/sudo. Le \commande est utile pour bypasser les alias qui pourraient foutre la merde (ls --color, grep --color=always, ou autre alias qui changeraient les sortie des commandes de manières imprévue), mais d'un point de vue sécurité c'est pas super utile.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
euhhh, je sais pas le gros inconvénient du nat (et avantage), c'est quand même ne pas être accessible directement du web; si ma passerelle bloque les connexions entrantes; c'est quoi l'intérêt par rapport à un NAT?
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
> Et ton NAT n'est pas blindé,
1 seule conf 1 seul pc chiant.
> il est quand même en frontal. C'est la même chose avec IPv6, ton modem peut très bien aussi refuser toutes les connexions entrantes sur le réseau local.
Attends la je perds un peu l'intérêt de pouvoir adresser directement la machine depuis l'extérieur non?
Autant rester en ipv4 si c'est pour n'avoir qu'une seule machine accessible.
>Il suffit de blinder la passerelle par défaut exactement comme le NAT actuellement et le résultat sera le même.
Donc au final j'ai le même type de conf à faire, et j'ai les même limitation...
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
entre blinder une machine pour n'autoriser que ce qu'on veut et en blinder 10 avec des règles précises pour ce qui viens des nôtres, le coté simple et rapide va au nat. Sans oublier que une fois le nat bien configuré (une case) je branche une machine sur le réseau local, ça marche.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
> Un NAT est plus difficile à configurer que du routing IPv6 normal vu qu'il n'y a rien à configurer.
Un nat c'est une case à cocher; Blinder un machine pour être en frontal c'est un poil plus
> Pour le reste : il suffit de refuser les connexions entrantes par défaut.
ça c'est génial devoir sécuriser ses machine en réseau local comme si on les foutait en frontal sur le web.
Je suis désolé, mais j'ai pas envie de configurer 6 firewall différents. Si je veux tester des truc avec des serveur http locaux, j'ai pas forcément envie de blinder mes dev avant même de commencer.
Ensuite si tu as 10 machines, y compris des qui viennent temporairement pour interagir avec celle de ton réseau, il faut configurer toutes tes machines pour autoriser l'intru; c'est aussi 10 machines à blinder au lieu d'une seule
Oui pour une machine ipv6 c'est plus simple.
Pour plusieurs machines, c'est discutable (configuration de chaque firewall pour n'accepter que les connexions venant de mes autres machines)
Mon réseau local et sûr, je peux y brancher une passoire, elle ne sera pas infecté. Le WEB c'est différent (certains OS lancent les connexions DHCP avant les firewall/antivirus)
J'ai des partage samba/nfs sans mots de passe ni authentification kerberos un imprimante réseau un nas, choses que je ne ferai pas si les machines étaient accessible directement.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
* ça permet de permettre à plusieurs machines à accéder au WEB sans avoir à payer plusieurs adresses IPV4
* un effet de bord non négligeable, est que ça protège les machines derrière. Alors les moinsseurs fous attendez avant de le faire.
=> le temps de survie d'un windows XP non patché tout frais installé derrière une box configuré en pont est inférieur au temps nécessaire au télé-chargement des mises à jours; derrière un NAT, les ports béants ne sont pas accessibles et le windows ne se prend pas de virus. Je n'ai changé de politique que lorsque des potes sont venus brancher des machines sur le réseau local (à ce moment la le pc tournait sous nux, mais au cas où la fois suivante il serait sous l'autre OS, j'ai préféré prendre les devant)
Pendant des années mon windows n'a pas eu d'antivirus et firewall, ni de virus d'ailleurs; et tout ce qu'il y avait entre le pc et le reste c'est un linux qui faisait du nat bête et méchant.
* c'est simple à configurer.
* j'ai pas à me poser des questions si y a une adresse de libre, j'ai juste à brancher sur le réseau, le serveur dhcp s'occupe du reste
* ça permet de rediriger des flux en fonction de leur source/destination, changer les ports...
* un seul point d'accès à sécuriser. Ce point n'est pas négligeable.
Alors ensuite y a des moyens d'attaquer une machine derrière un nat, mais c'est loin d'être aussi évident qu'en accès direct, et les vers ne le font pas.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
> D'ailleurs j'ajouterais que plus un logiciel vieillit, moins il est portable
En fait ça dépend; j'ai du bosser sur du code et j'ai effectué des refactorisation ou des remplacement d'horreur par l'utilisation de bibliothèque standard, ou je les ai rangés bien sous le tapis dans des fonctions lorsqu'il n'y avait pas de solution propre.
Sinon j'ai aussi du faire du portage (solaris => linux; je ne vous dis pas ce que CC laissait passer, ni à quel point la lenteur du recouvrement de la ram faisait que le bazard était stable ^^
j'ai eu du
{
char* a,*b;
char* a=malloc(...);
sprintf(a,"%s %d", ...);
b=a;
free(a);
return(b);
}
j'ai aussi eu du
{
char a[10];
....
free(a);
}
et mon préféré car plus subtil est la fonction récursive qui remplie progressivement un tableau static ( tab[x]=fct_recursive(n) ), avec un check pour vérifier qu'on dépasse pas la taille du tableau et qui fait un realloc sur le tableau static si nécessaire; je n'avais pas vu le gag en passant dessus (valgrind lui par contre râlait comme un poux ! ce qui m'a permis de comprendre où était le bug ^^ )
et tout ça marchait depuis des années sans planter (un miracle j'vous dis)
Mais mis à part les erreurs de ce type, le travail à fournir pour le portage était peu volumineux.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
alors je ne sais pas où tu vis ni dans quel domaine tu te trimbale, mais dans ma boite (en info) y'a plusieurs filles, et elle ne se font pas plus vanner que les autres; j'aurais même tendance à dire le contraire.
> Sauf qu'il n'y a pas de raison profonde pour que l'informatique libre soit à ce point masculinisée,
En même temps rien ne les empêchent de participer. Sur les forums infos je vois bien plus de vannes sur les geek que des vannes sur les femmes; si tous les geeks se barraient à la première vanne sur eux, y'aurait plus grand monde pour faire avancer les choses.
Si on ne peut plus faire de blague sur des traits imaginaires d'autre groupes, on va en virer un tas
* plus de blague belge
* plus de blague sur les geek
* plus de blague sur les centraliens,normaliens, polytechniciens, pont et chausséessens...
* plus de blague sur la différence entre un poisson et un avocat
* plus de blague (assez nuls en général) sur des personne de nationalité différentes se retrouvant dans des situation plus ou moins absurde (piscine, avions...)
* plus ce vannes sur les mecs/nanas
* plus de vannes sur les curés/rabins/imams (bon alors c'est l'histoire de 3 hommes de religions différentes qui parlent de la répartition de la collecte de fond de leur organisme religieux...)
...
enfin bref la liste est très longue.
Sur linuxFR, les vannes sexistes surviennent surtout lorsque quelqu'un la ramène pour dire que puisqu'on est des geek on fait pleins de vannes sexistes (ce qui est déjà un joli préjugé qui demande réparation!!!). Or n'importe qui qui fréquente la tribune saurait que c'est les le dégarnis qui s'en prend pleins la gueule :D (et les canard mais ça c'est normal \_o< *Coin* )
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
> Sous windows, j'ai un lit, une couette et un oreiller et ca marche depuis 15 ans, j'ai toujours la meme position couche.
Whaou faut le dire vite alors.
* Si je veux changer de couette je dois tout changer (problème de driver non portés, un vieux scanner à main sur port série ou // ...)
* si je veux un couette à points rose, je dois retirer la lampe de chevet (soucis de compatibilité d'une dll des sims avec nero; ne me demandez pas pourquoi (avec un crack ça passe un soucis de protection sans doute) )
bon et je ne parlerai pas des écrans bleus hebdomadaire chez un de mes clients, probablement du à kapersky +( vmware + autre anti-virus dans la vm...) à tiens si
Bon ensuite tu vas me dire que microsoft ne fournit que les montant du lit et le le sol, que les incompatibilité ensuite ne son pas de son fait.
Sauf que moi je veux une chambre complète et pouvoir conserver ma lampe de chevet même en changeant lit, même si la lampe date d'il y a 20 ans, tant qu'elle marche c'est bon (et puis un scanner a main c'est assez fendard)
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
en fait j'ai vu l'arrivée de l'Itanium lorsque j'étais à la fac; j'avais un camarade qui était à fond dedans, et faut avouer que y'avait de joli trucs...
C'était super intéressant, bien pensé sur pas mal de point; sauf que intel à fait de l'ati ou pour être plus précis, super matériel, soft médiocre. C'est vraiment dommage... Réclamer que le dev mette lui même des directives (pas forcément évidentes) pour le pre-processeur pour que le compilo puisse optimiser correctement c'était pas une brillante idée...
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Ok, résumons.
Posté par fearan . En réponse au journal La fin du monde est prévue le 8 juin 2011. Évalué à 2.
http://www.ip6.fr/free-broute/
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Ok, résumons.
Posté par fearan . En réponse au journal La fin du monde est prévue le 8 juin 2011. Évalué à 2.
Faut faire comment demander à free un pool d'adresse et le serveur nat devient dhcp ipv6? Faut forwarder la requête du pc?
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Bravo!
Posté par fearan . En réponse au journal s/Hudson/Jenkins/g. Évalué à 1.
ah pardon, tout dépend du makefile ^^ ou des conf foutu dans tes makefile de règle "implicite"; si tu met gcc en tant que dépendance, tu peux très bien avoir une règle qui s'en occupe, et variant selon debian ou mandriva (par contre faudrait être root, ou alors il y aura une demande de mot de passe);
Par contre pour les version de lib ça c'est plus compliqué ^^, mais bon on peut très bien imaginer des règles qui vont faire tout ce qui faut pour télécharger sur le site de la lib, mais bon ça va vite devenir galère à maintenir :D
> Le tout en évitant d'etre bloat en se basant entierement sur un systeme de plugin.
On m'avait dit la même chose pour eclipse/vim/emacs :)
(bon pour l'anecdote, j'ai déjà eu un make environnement qui faisait tout ce qu'il fallait, récupération des libs, compilation, modification du .bashrc, mais c'était spécifique à un projet, et la définition d'un makefile pour ce projet était d'une simplicité jamais égalée (en gros suffisait de donner le répertoire source et la liste de lib dont dépendait le projet) et le nom de l'exécutable ou lib si c'était une lib
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Spéciale dédicace Zenitram
Posté par fearan . En réponse au journal Encore un troll de moins .... Évalué à 3.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Bravo!
Posté par fearan . En réponse au journal s/Hudson/Jenkins/g. Évalué à 4.
mais make c'est juste des dépendances et des commandes pour résoudre ces dépendance.
*J'ai déjà bossé avec des fichiers Makefile bien écrit, c'est du bonheur.
*J'ai déjà bossé avec des fichiers Makefile utilisant à fonds les règles implicite
*J'ai déjà bossé avec des fichiers Makefile complètement illisible
*Enfin, comme en perl, je suis tombé sur un Makefile bien écrit, lisible, et utilisant les règles implicite juste quant il faut; mais faut pas se leurrer, c'est loin d'être la norme
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 2.
Sous mandriva le lancement des service le fait tout seul
rc5.d/S03iptables
rc5.d/S10network
iptables lit le fichier de conf
/etc/sysconfig/iptables
je serai surpris que debian fasse moins bien.
un iptable-save me permet d'avoir ce qui faut ^^ ( ou même service iptables save)
évidemment pour les règle ipv6 c'est ip6tables (faut par croire que je ne jure que par le nat et ipv4 hein ^^)
évidemment ça peut changer sous débian; mais pour le soucis d'ordonnancement je parlais d'un OS propriétaire.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 3.
Pour beaucoup ça évite aussi une réécriture d'un soft ipv4.
>C'est quoi la différence avec une box qui NAT ?
La différence, c'est qu'une machine derrière un nat ne peut, par définition, pas être accessible sans configuration particulière (port forwarding)
une machine en ipv6, est par définition accessible. La configuration du firewall est un plus absolument pas indispensable.
>As-tu déjà utilisé iptables ?
C'est ce que j'ai chez moi et pendant un temps uniquement certaines machines étaient forwardé - maintenant tout le réseau local est forwardé, par contre si j'ai effectivement fait du port forwarding avec iptables, j'ai trouvé ssh plus pratique (pour la plage de port >1024) (pas besoin de passer par root)
>J'adore les mecs qui supposent des trucs complètement irréalistes pour soutenir leurs propositions.
Tu peux détailler? Quand les box ne sont pas configuré en nat, elle laissent tout passer (sauf le courrier sortant...). Je peux même te préciser sur ce point que certains firewall et antivirus se lancent après la connexion dhcp, ce qui fait que le pc n'est pas protégé pendant un court laps de temps suffisant pour se chopper le virus qui reboot la machine (oui elle n'était pas à jour, je me suis bien marré, j'ai proposé linux, mais les jeux...); je ne vois absolument pas pourquoi ça changerait en ipv6
>Et puis au final, je pense que les mecs comme toi feront moins les malins le jour où ils n'auront plus d'IP publique du tout et seront NATés derrière le gros NAT de leur FAI, sans aucun contrôle sur celui-ci…
Je crois que tu te plantes radicalement sur mon compte, je suis pour le passage en ipv6, ne serai-ce que pour la souplesse que ça apporte, mais nier qu'une passerelle NAT apporte une certaine sécurité au réseau derrière, est, a mon avis, une erreur monumentale. Oui la machine nat peut être remplacé par un pare feu, et dans beaucoup de cas cela devra être fait, mais moi ça me ferai grave chier que par défaut les box bloquent tout et qu'il faille se connecter dessus pour dire oui le trafic sur les ports 21,22, 194, 443, 80, 995, allant vers telles machine c'est ok. Et encore j'en oublie, les partage bittorrent, et autre truc dont je ne suis pas forcément au courant des ports utilisé, et si les box par défaut laissent tout passer, va y avoir un paquet d'ordi infecté.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Spéciale dédicace Zenitram
Posté par fearan . En réponse au journal Encore un troll de moins .... Évalué à 2.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Erreur
Posté par fearan . En réponse au journal Taxe sur les supports vierges. Évalué à 2.
Ensuite pour leur étalonnement je les inviterai bien à observer le contenu de mes disques/clés usb avant de le calculer (ils seront bien déçus ^^ )
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 2.
Je sais pas, j'ai une twingo, c'est petit, c'est un super avantage en ville pour se déplacer à 4 (facile à garer), mais pour partir en vacance sa petitesse et un gros inconvénient, y a pas de coffre; tu peux faire l'inverse avec une logan :).
Le fait qu'un PC ne soit pas directement accessible du reste du monde est un avantage d'un point de vue sécurité (pas de scan de port, de hammering sur un port ssh, pas de faille exploitable par des gens de l'autre coté sans hacker ta passerelle)
Par contre pour monter un serveur ou utiliser certains protocoles, c'est plus tendu, faut faire du forwarding, activer du ip_conntrack_...
Alors Oui, on peut avoir une passerelle IPV6 qui fait pare feu, mais là j'ai plusieurs remarques :
* ) qui va le faire?
*) si les FAI font un pare feu trop violent sur leur box y a encore des gens qui vont râler
*) si ils laissent tout passer, c'est l'utilisateur bêta qui va se faire véroler ses machines mal protégées
>C'est pas le web, c'est Internet.
Ce que j'ai dit n'était pas faux, une machine derrière un nat, sauf configuration particulière n'est pas accessible d'Internet, Web étant inclut dans Internet ce que j'ai dit était bon. :þ
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pasforcémentla fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 2.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 2.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 0.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 1.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Deux questions
Posté par fearan . En réponse au message Deux questions sur le shell. Évalué à 10.
export PATH=/home/mechant/bin/:$PATH
et ton \sudo ou \su il exécute le malicieux (bon c'est pas un alias mes le résultat est le même
$ mkdir test
$ cd test
$ echo 'echo plop' > ls
$ chmod +x ls
$ export PATH=.:$PATH
$ ls
plop
$ \ls
plop
$ /bin/ls
ls
la bonne pratique, c'est /bin/su ou /bin/sudo. Le \commande est utile pour bypasser les alias qui pourraient foutre la merde (ls --color, grep --color=always, ou autre alias qui changeraient les sortie des commandes de manières imprévue), mais d'un point de vue sécurité c'est pas super utile.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 0.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à -1.
1 seule conf 1 seul pc chiant.
> il est quand même en frontal. C'est la même chose avec IPv6, ton modem peut très bien aussi refuser toutes les connexions entrantes sur le réseau local.
Attends la je perds un peu l'intérêt de pouvoir adresser directement la machine depuis l'extérieur non?
Autant rester en ipv4 si c'est pour n'avoir qu'une seule machine accessible.
>Il suffit de blinder la passerelle par défaut exactement comme le NAT actuellement et le résultat sera le même.
Donc au final j'ai le même type de conf à faire, et j'ai les même limitation...
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 4.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à 0.
Un nat c'est une case à cocher; Blinder un machine pour être en frontal c'est un poil plus
> Pour le reste : il suffit de refuser les connexions entrantes par défaut.
ça c'est génial devoir sécuriser ses machine en réseau local comme si on les foutait en frontal sur le web.
Je suis désolé, mais j'ai pas envie de configurer 6 firewall différents. Si je veux tester des truc avec des serveur http locaux, j'ai pas forcément envie de blinder mes dev avant même de commencer.
Ensuite si tu as 10 machines, y compris des qui viennent temporairement pour interagir avec celle de ton réseau, il faut configurer toutes tes machines pour autoriser l'intru; c'est aussi 10 machines à blinder au lieu d'une seule
Oui pour une machine ipv6 c'est plus simple.
Pour plusieurs machines, c'est discutable (configuration de chaque firewall pour n'accepter que les connexions venant de mes autres machines)
Mon réseau local et sûr, je peux y brancher une passoire, elle ne sera pas infecté. Le WEB c'est différent (certains OS lancent les connexions DHCP avant les firewall/antivirus)
J'ai des partage samba/nfs sans mots de passe ni authentification kerberos un imprimante réseau un nas, choses que je ne ferai pas si les machines étaient accessible directement.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas forcément la fin du NAT
Posté par fearan . En réponse au journal IPcalypse : J - 42. Évalué à -2.
* un effet de bord non négligeable, est que ça protège les machines derrière. Alors les moinsseurs fous attendez avant de le faire.
=> le temps de survie d'un windows XP non patché tout frais installé derrière une box configuré en pont est inférieur au temps nécessaire au télé-chargement des mises à jours; derrière un NAT, les ports béants ne sont pas accessibles et le windows ne se prend pas de virus. Je n'ai changé de politique que lorsque des potes sont venus brancher des machines sur le réseau local (à ce moment la le pc tournait sous nux, mais au cas où la fois suivante il serait sous l'autre OS, j'ai préféré prendre les devant)
Pendant des années mon windows n'a pas eu d'antivirus et firewall, ni de virus d'ailleurs; et tout ce qu'il y avait entre le pc et le reste c'est un linux qui faisait du nat bête et méchant.
* c'est simple à configurer.
* j'ai pas à me poser des questions si y a une adresse de libre, j'ai juste à brancher sur le réseau, le serveur dhcp s'occupe du reste
* ça permet de rediriger des flux en fonction de leur source/destination, changer les ports...
* un seul point d'accès à sécuriser. Ce point n'est pas négligeable.
Alors ensuite y a des moyens d'attaquer une machine derrière un nat, mais c'est loin d'être aussi évident qu'en accès direct, et les vers ne le font pas.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pour ou contre ?
Posté par fearan . En réponse au journal la peine de mort pour les spammeurs. Évalué à 3.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: ouais bon...
Posté par fearan . En réponse au journal Windows 8 tournera sur ARM. Évalué à 4.
En fait ça dépend; j'ai du bosser sur du code et j'ai effectué des refactorisation ou des remplacement d'horreur par l'utilisation de bibliothèque standard, ou je les ai rangés bien sous le tapis dans des fonctions lorsqu'il n'y avait pas de solution propre.
Sinon j'ai aussi du faire du portage (solaris => linux; je ne vous dis pas ce que CC laissait passer, ni à quel point la lenteur du recouvrement de la ram faisait que le bazard était stable ^^
j'ai eu du
{
char* a,*b;
char* a=malloc(...);
sprintf(a,"%s %d", ...);
b=a;
free(a);
return(b);
}
j'ai aussi eu du
{
char a[10];
....
free(a);
}
et mon préféré car plus subtil est la fonction récursive qui remplie progressivement un tableau static ( tab[x]=fct_recursive(n) ), avec un check pour vérifier qu'on dépasse pas la taille du tableau et qui fait un realloc sur le tableau static si nécessaire; je n'avais pas vu le gag en passant dessus (valgrind lui par contre râlait comme un poux ! ce qui m'a permis de comprendre où était le bug ^^ )
et tout ça marchait depuis des années sans planter (un miracle j'vous dis)
Mais mis à part les erreurs de ce type, le travail à fournir pour le portage était peu volumineux.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Je cite Reuters
Posté par fearan . En réponse au journal Android et virus. Évalué à 7.
> Sauf qu'il n'y a pas de raison profonde pour que l'informatique libre soit à ce point masculinisée,
En même temps rien ne les empêchent de participer. Sur les forums infos je vois bien plus de vannes sur les geek que des vannes sur les femmes; si tous les geeks se barraient à la première vanne sur eux, y'aurait plus grand monde pour faire avancer les choses.
Si on ne peut plus faire de blague sur des traits imaginaires d'autre groupes, on va en virer un tas
* plus de blague belge
* plus de blague sur les geek
* plus de blague sur les centraliens,normaliens, polytechniciens, pont et chausséessens...
* plus de blague sur la différence entre un poisson et un avocat
* plus de blague (assez nuls en général) sur des personne de nationalité différentes se retrouvant dans des situation plus ou moins absurde (piscine, avions...)
* plus ce vannes sur les mecs/nanas
* plus de vannes sur les curés/rabins/imams (bon alors c'est l'histoire de 3 hommes de religions différentes qui parlent de la répartition de la collecte de fond de leur organisme religieux...)
...
enfin bref la liste est très longue.
Sur linuxFR, les vannes sexistes surviennent surtout lorsque quelqu'un la ramène pour dire que puisqu'on est des geek on fait pleins de vannes sexistes (ce qui est déjà un joli préjugé qui demande réparation!!!). Or n'importe qui qui fréquente la tribune saurait que c'est les le dégarnis qui s'en prend pleins la gueule :D (et les canard mais ça c'est normal \_o< *Coin* )
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: copie
Posté par fearan . En réponse au journal La copie numérique selon la Warner. Évalué à 5.
Whaou faut le dire vite alors.
* Si je veux changer de couette je dois tout changer (problème de driver non portés, un vieux scanner à main sur port série ou // ...)
* si je veux un couette à points rose, je dois retirer la lampe de chevet (soucis de compatibilité d'une dll des sims avec nero; ne me demandez pas pourquoi (avec un crack ça passe un soucis de protection sans doute) )
bon et je ne parlerai pas des écrans bleus hebdomadaire chez un de mes clients, probablement du à kapersky +( vmware + autre anti-virus dans la vm...) à tiens si
Bon ensuite tu vas me dire que microsoft ne fournit que les montant du lit et le le sol, que les incompatibilité ensuite ne son pas de son fait.
Sauf que moi je veux une chambre complète et pouvoir conserver ma lampe de chevet même en changeant lit, même si la lampe date d'il y a 20 ans, tant qu'elle marche c'est bon (et puis un scanner a main c'est assez fendard)
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Et Linux tourne sur....
Posté par fearan . En réponse au journal Windows 8 tournera sur ARM. Évalué à 2.
C'était super intéressant, bien pensé sur pas mal de point; sauf que intel à fait de l'ati ou pour être plus précis, super matériel, soft médiocre. C'est vraiment dommage... Réclamer que le dev mette lui même des directives (pas forcément évidentes) pour le pre-processeur pour que le compilo puisse optimiser correctement c'était pas une brillante idée...
Il ne faut pas décorner les boeufs avant d'avoir semé le vent