They allow for an actual viable alternative to containers like Docker. Most container systems suffer from crucial issues: they are not reproducible and are indeed opaque binaries, which is a big no-no for users who cares about trust, security and privacy.
Ah ben oui, le conteneur, c'est bien, mais le conteneur en mode « exécute l'Internet sur ma machine », c'est moins bien.
Such projects using self-rolled DSLs or too-limiting programming languages are legions:
XML, HTML (better idea: S-XML)
Make, Autoconf, Automake, CMake, etc.
Bash, Zsh, Fish (better ideas: Eshell or scsh)
JSON, TOML, YAML
Nix language, Portage’s Ebuild and many other OS package definition syntax rules.
Firefox when it used XUL (but since then Mozilla has moved on) and most other homebrewed extensibility languages
SQL
Octave, R, PARI/GP, most scientific programs (better ideas: Common Lisp, Racket and other Scheme)
Regular expressions (better ideas: Emacs’ rx, Racket’s PEG, etc.)
sed, AWK, etc.
Most init system configurations, including systemd (better idea: GNU Shepherd)
cron (better idea: mcron)
conky (not fully programmable while this is probably the main feature you would expect from such a program)
TeX, LaTeX (and all the derivatives), Asymptote (better ideas: scribble, skribilo – still in development and as of January 2019 TeX/LaTeX are still used as an intermediary step for PDF output)
Most programs with configurations that don’t use a general-purpose programming language.
Ah j'ai bien rigolé. Autant l'affirmation introductive me semble justifié, autant nombres d'exemples sont foireux. Les alternatives présentées sont quasiment toutes à base GNU et de langage dérivé de Lisp. Oui, Lisp, c'est bien, mais c'est incroyablement chiant à relire. Voir son exemple de la configuration du noyau dans le chapitre Kernel.
To clean up the store, guix gc comes in handy, but it can also remove “too many packages,” that is to say, packages that you would need right away on next update.
With Emacs-Guix, there is M-x guix-store-dead-item which lets you sort dead packages by size and you can delete them individually.
Tiens, on a enfin une critique déguisée. Faire le ménage semble difficile, comparé à un apt autoremove. Je suis bien d'accord que les avantages de Nix (et Guix) sont bien supérieurs à ce défaut, mais il est là.
Il n'empêche que au final, le discours me semble trop « GNU » à mes oreilles : « c'est tout beau, c'est mieux que le reste du monde, qui est plus n'est pas libre. Merci de venir nous voir pour la rédemption. »
Mais… oui, d'un point de vue architectural, ça me tente de l'essayer. Vraiment.
un enfant de 2 ans qui ne fait pas ses nuits. Les parents doivent être épuisés, et l'enfant aussi et cela doit gêner ses apprentissages (alors qu'un enfant est capable de faire ses nuits dès 3 mois et 5 kg) (faire ses nuits == dormir 7 heures d'affilée la nuit)
un enfant de 3 ans avec sa tétine à la bouche. Je ne sais pas si ça lui déforme les dents, mais je suis convaincu que ça le gêne dans son apprentissage du langage.
un enfant de 3 ans avec une couche. J'imagine le calvaire des parents à s'occuper des couches alors que ça serait tellement plus reposant que l'enfant soit propre (la plupart des enfants peuvent être propres à 1 an et demi).
Il y a des enfants de 3 ans qui savent jouer de la batterie. D'autres qui maîtrisent le tennis de table. Ce qu'on peut retenir de ces exemples, c'est qu'un enfant peut réussir tout ce qu'il veut, si on l'aide. Mais c'est au détriment de tout le reste.
Par exemple, mon fils avait la diction d'un enfant de 6 ans à 3 ans ½. Il savait dire « hélicoptère » et « conchyliculture » sans effort, après la première écoute. Dans d'autres domaines, comme la propreté, il a été plus long, au moins jusqu'à ses 4 ans.
Les enfants se développent à leur rythme. Il est important de les accompagner, mais il est important de ne pas les forcer. Il faut simplement qu'ils se développent, et c'est très bien comme ça.
Pour moi, c’est la compétence ultime du bon développeur. Il doit être flemmard. Maximiser le ratio travail machine / travail humain. Avoir du temps à investir pour avoir plein de temps à faire autre chose après.
On construit des machines ultra-puissantes qui ne font rien. Soyons flemmard, laissons-les en faire plus.
C'est vrai ? Aaaaaaaaaaah. Bon. C'est pas la fin du monde, mais là, du coup, la fibre Free me semble beaucoup moins intéressante.
Y a plus qu'à aller voir OVH alors. Mais c'est cher.
L'auriculaire, sur la rangée de repos, est sur le A. Pour taper un B, il faut donc l'étendre légèrement vers la gauche.
Mes épaules sont plus larges qu'un clavier. Donc mon coude est placé à gauche du A, et pour atteindre la rangée de repos, mon avant-bras fait un léger angle de la gauche vers la droite.
L'avant-bras va de la gauche vers la droite, l'auriculaire de la droite vers la gauche, sans bouger le poignet.
J'ai essayé le BÉPO sur un clavier décalé classique vers 2009, tout en apprenant la méthode dactylographique. Ensuite, j'ai pris un clavier orthogonal (un TypeMatrix, mais peu importe en fait), et pour moi, l'apprentissage a été beaucoup plus facile comme ça.
Même si dernier point est personnel, je confirme quand même qu'avec une méthode dactylographique et un clavier décalé, la main gauche a un mouvement antagoniste de l'avant-bras lorsqu'il faut taper sur la rangée du haut.
Personnellement, je n'ai pas les deux mains penchées dans le même sens. Donc je préfère un clavier orthogonal plutôt qu'un clavier qui me force à avoir la main gauche qui se contorsionne vers la gauche en mouvement inverse de l'avant-bras.
On ne peut que déplorer que l’usage des accents sur les majuscules soit flottant. On observe dans les textes manuscrits une tendance certaine à l’omission des accents.
Et puis quoi, j'ai le droit de crâner avec mon bépo qui sait faire les majuscules facilement quand même ?
Je suis triste d'être le premier typonazi du coin : c'est VAÉ, pas VAE.
Sinon, oui, j'abonde. Je suis cycliste, je fais 2 fois 15 minutes par jour sur du plat. Donc là, ça va. Mais l'assistance électrique permet de gommer les pentes, et les faiblesses cardiaques. C'est cool :)
Oui très important. C'est quoi la politique de nommage des machines ?
Pour un admin sys, c'est ce qui compte le plus.
Voilà, j'ai tenté une blague, et je voudrais vous dire bravo pour votre acharnement. J'ai eu réfléchi à faire mon propre nœud de sorti (après tout, j'ai 300Mb/s symétrique), mais clairement, mutualiser les convocations juridiques, c'est vraiment bien.
J'ai découvert Photoswipe parce que c'était utilisé par un des thèmes de sigal. Mais oui, je te le conseille, parce que c'est vraiment ce que tu veux.
Ne t'inquiète pas, ton travail n'est pas perdu. Les connaissances et les compétences acquises serviront, que ce soit pour mieux comprendre Photoswipe, pour le personnaliser, le corriger, ou encore le forker :)
Ça marche vachement bien pour les binaires : https://github.com/upx/upx
C'est plus lent au lancement, donc pas très intéressant pour les outils simples, et ça prend de la mémoire. Mais ça a l'air de coller à ton cas.
L'installation décrite ci-dessus, via rustup, est la façon préférable d'installer Rust pour la plupart des développeurs, mais Rust peut aussi être installé via d'autres méthodes.
I’m pleased to announce that Microsoft is joining the Open Invention Network (“OIN”), a community dedicated to protecting Linux and other open source software programs from patent risk.
Ah ouais.
Alors oui, je sais que c'était déjà le cas, Microsoft ne conspuait plus Linux depuis longtemps, etc. C'est peut-être marketing aussi, mais je crois que c'est simplement de l'économie de marché : il y a un marché pour Linux, autant le prendre avec tout le monde.
Il n'empêche que c'est la première fois pour moi que je le vois écrit aussi clairement.
Ouais, un super commentaire !
Ouais, plein de choses à répondre ! Par quoi commencer ?
Oui, l'IPv6 résoudrait tellement de problèmes. Ça serait vraiment bien si seulement… Si seulement les gens lisaient les RFC, et arrêtaient d'avoir un esprit commercial à court terme.
IPv6 fonctionne chez moi depuis au moins 5 ans, via ma Freebox v5. J'ai dû bien bidouiller, à base de mélange de NPD6 et de règle de routage complexe parce que la Freebox n'annonce qu'un /64 en pensant qu'elle est toute seule.
En passant chez Orange, je ne comptais pas sur mieux, et pourtant, j'ai vu ça dans l'interface de la Livebox :
IPv6 activé vous permet de disposer d'adresses IPv6 pour les équipements de votre réseau local. En cas d'incompatibilité IPv6 de certains équipements, il est possible de désactiver la connectivité IPv6.
Le préfixe IPv6 est : 2a01:cb19:XXXX:c000::/56
Ooooh, un /56 rien que pour moi ? Ça c'est gentil, merci. Bon j'aurais bien aimé de la délégation de préfixe, mais soit. Je teste donc avec 2a01:cb19:XXXX:c000::2/64 sur eth_livebox (oui, c'est un serveur, c'est donc statique, c'est peut-être bête, je sais pas trop), et hop ça marche. Bien. Voyons voir avec 2a01:cb19:XXXX:c001::2/64 (qui est dans le sous-réseau suivant) : paf, ça répond plus.
Alors je suis peut-être une quiche, j'ai raté un truc, je ne sais pas, mais la Livebox envoie des RA comme ça :
#
# radvd configuration generated by radvdump 2.17
# based on Router Advertisement from fe80::a63e:51ff:fe73:c7f6
# received by interface eth_livebox
#
interface eth_livebox
{
AdvSendAdvert on;
# Note: {Min,Max}RtrAdvInterval cannot be obtained with radvdump
AdvManagedFlag off;
AdvOtherConfigFlag on;
AdvReachableTime 0;
AdvRetransTimer 0;
AdvCurHopLimit 64;
AdvDefaultLifetime 600;
AdvHomeAgentFlag off;
AdvDefaultPreference high;
AdvLinkMTU 1500;
AdvSourceLLAddress on;
prefix 2a01:cb19:XXXX:c000::/64
{
AdvValidLifetime 1800;
AdvPreferredLifetime 600;
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr off;
}; # End of prefix definition
RDNSS fe80::a63e:51ff:fe73:c7f6
{
AdvRDNSSLifetime 600;
}; # End of RDNSS definition
DNSSL home
{
AdvDNSSLLifetime 600;
}; # End of DNSSL definition
}; # End of interface definition
Et j'ai essayé un client DHCPv6 : pas de réponse. Donc on en est là, toujours à faire du routage complexe pour rien, juste parce qu'il n'y a pas une case à cocher pour faire mieux qu'un simple /64 annoncé par la « box » elle-même, soit à peu près aussi utile que le NAT en IPv4. Oui c'est mieux, mais c'est tout aussi utile.
Pour revenir sur l'intelligence dans le réseau je suis partagé. D'un côté, j'aime bien quand les routeurs n'en font pas trop, et de l'autre, beeeen, j'aimerais bien pouvoir choisir moi-même ce qui passe par où, sans avoir à le configurer sur toutes mes machines terminales. Du coup, en IPv4, vu qu'il y a un SNAT, c'est pas trop dur : certains paquets sont marqués par iptables, et les paquets marqués passent via la règle de SNAT différente.
En IPv6, évidemment, c'est pas le même raisonnement, et je pense que je vais effectivement laisser faire les machines terminales. Pas question de faire du SNAT, c'est vraiment malpropre.
Et pour finir le module rpfilter. Le but, c'est bien d'éviter d'envoyer des paquets forgés via une machine potentiellement infectée. Je ne pense pas qu'une telle règle filtre quoi que ce soit pour les paquets qui arrivent de l'extérieur. Vu que le principe est de tester si le routeur peut router le paquet dans l'autre sens, à part si l'adresse source contient une adresse non routable (dans ce cas, mon FAI laisse vraiment passer des trucs bizarres), tout le reste va passer le test.
Mais oui, j'ai déjà bien ces règles mentionnées dans mes tables, pour router correctement ce qui sort.
La conclusion, c'est qu'il y a des centaines de personnes très qualifiées qui ont pondu un écosystème très perfectionné, et répondant parfaitement à quasiment tous les problèmes de IPv4, qui était quand même déjà bien conçu pour son époque. Mais on se retrouve avec des tas de gens qui n'ont rien compris, ou ne veulent pas comprendre, et qui cassent tout ce beau travail.
# Un peu partial
Posté par Glandos . En réponse au lien Article décrivant Guix, comparé à NixOs et aux Unix, ses caractérique en font l'OS le plus avancé.. Évalué à 3.
Mes passages préférés :
Ah ben oui, le conteneur, c'est bien, mais le conteneur en mode « exécute l'Internet sur ma machine », c'est moins bien.
Ah j'ai bien rigolé. Autant l'affirmation introductive me semble justifié, autant nombres d'exemples sont foireux. Les alternatives présentées sont quasiment toutes à base GNU et de langage dérivé de Lisp. Oui, Lisp, c'est bien, mais c'est incroyablement chiant à relire. Voir son exemple de la configuration du noyau dans le chapitre
Kernel.Tiens, on a enfin une critique déguisée. Faire le ménage semble difficile, comparé à un
apt autoremove. Je suis bien d'accord que les avantages de Nix (et Guix) sont bien supérieurs à ce défaut, mais il est là.Il n'empêche que au final, le discours me semble trop « GNU » à mes oreilles : « c'est tout beau, c'est mieux que le reste du monde, qui est plus n'est pas libre. Merci de venir nous voir pour la rédemption. »
Mais… oui, d'un point de vue architectural, ça me tente de l'essayer. Vraiment.
# Spécialisation précoce
Posté par Glandos . En réponse au journal une formation à être parent. Évalué à 10.
Il y a des enfants de 3 ans qui savent jouer de la batterie. D'autres qui maîtrisent le tennis de table. Ce qu'on peut retenir de ces exemples, c'est qu'un enfant peut réussir tout ce qu'il veut, si on l'aide. Mais c'est au détriment de tout le reste.
Par exemple, mon fils avait la diction d'un enfant de 6 ans à 3 ans ½. Il savait dire « hélicoptère » et « conchyliculture » sans effort, après la première écoute. Dans d'autres domaines, comme la propreté, il a été plus long, au moins jusqu'à ses 4 ans.
Les enfants se développent à leur rythme. Il est important de les accompagner, mais il est important de ne pas les forcer. Il faut simplement qu'ils se développent, et c'est très bien comme ça.
# Logiciel similaire
Posté par Glandos . En réponse à la dépêche Illico Editor : rétrospective 2017-2018. Évalué à 5.
Ça ressemble très fort à OpenRefine ça.
Euh, du coup, comme j'imagine que c'est différent, y a des gens motivés pour faire une petite liste des points forts de l'un par rapport à l'autre ?
# Anonymisation ratée
Posté par Glandos . En réponse au journal Sur l'intérêt des systèmes de protections des courriers électroniques (DKIM, SPF et DMARC). Évalué à 4.
Je vais pas mettre les projecteurs dessus, mais on voit ton nom de domaine. Comme tu avais envie de le cacher, c'est dommage. Bref.
Bon article.
Notons que ARC est bien avancé, et déjà implémenté dans rspamd.
[^] # Re: Pour geek ?
Posté par Glandos . En réponse au journal Bye bye définitif au fameux 29,99 €/mois. Évalué à 3.
Y a du reverse DNS possible chez RED ?
# Au début était la flemme…
Posté par Glandos . En réponse au journal `smk`, un make sans Makefile. Évalué à 10.
Pour moi, c’est la compétence ultime du bon développeur. Il doit être flemmard. Maximiser le ratio travail machine / travail humain. Avoir du temps à investir pour avoir plein de temps à faire autre chose après.
On construit des machines ultra-puissantes qui ne font rien. Soyons flemmard, laissons-les en faire plus.
[^] # Re: Auto-hébergement
Posté par Glandos . En réponse au journal Bye bye définitif au fameux 29,99 €/mois. Évalué à 4.
C'est vrai ? Aaaaaaaaaaah. Bon. C'est pas la fin du monde, mais là, du coup, la fibre Free me semble beaucoup moins intéressante.
Y a plus qu'à aller voir OVH alors. Mais c'est cher.
# Auto-hébergement
Posté par Glandos . En réponse au journal Bye bye définitif au fameux 29,99 €/mois. Évalué à 4.
Il n'empêche que, malheureusement, Free est le seul fournisseur grand public compatible avec l'auto-hébergement, avec trois fonctionnalités :
Je veux bien aller ailleurs. Mais en fait, c'est pas mieux ailleurs.
# Bonne référence
Posté par Glandos . En réponse au lien La couleur, les profils couleur, etc, un site fait par un ancien professionnel del'image. Évalué à 4.
Par contre, beaucoup de figures animées sont en Flash. C'est impossible à voir aujourd'hui :)
# Petites imprécisions
Posté par Glandos . En réponse au lien Générateur de configuration Nginx. Évalué à 5.
Je sais que je vais pinailler mais…
Ça ne supporte pas TLS 1.3
Ça active par défaut des résolveurs DNS externes : pourquoi ne pas faire confiance à son système ?
Ça serait bien un petit lien vers la doc de chaque directive :)
Sinon, en fait, c'est un bon site pour de vrais exemples.
[^] # Re: Clavier orthogonal
Posté par Glandos . En réponse au journal Un petit laptop Open hardware. Évalué à 6.
L'auriculaire, sur la rangée de repos, est sur le A. Pour taper un B, il faut donc l'étendre légèrement vers la gauche.
Mes épaules sont plus larges qu'un clavier. Donc mon coude est placé à gauche du A, et pour atteindre la rangée de repos, mon avant-bras fait un léger angle de la gauche vers la droite.
L'avant-bras va de la gauche vers la droite, l'auriculaire de la droite vers la gauche, sans bouger le poignet.
J'ai essayé le BÉPO sur un clavier décalé classique vers 2009, tout en apprenant la méthode dactylographique. Ensuite, j'ai pris un clavier orthogonal (un TypeMatrix, mais peu importe en fait), et pour moi, l'apprentissage a été beaucoup plus facile comme ça.
Même si dernier point est personnel, je confirme quand même qu'avec une méthode dactylographique et un clavier décalé, la main gauche a un mouvement antagoniste de l'avant-bras lorsqu'il faut taper sur la rangée du haut.
[^] # Re: Clavier orthogonal
Posté par Glandos . En réponse au journal Un petit laptop Open hardware. Évalué à 2.
Personnellement, je n'ai pas les deux mains penchées dans le même sens. Donc je préfère un clavier orthogonal plutôt qu'un clavier qui me force à avoir la main gauche qui se contorsionne vers la gauche en mouvement inverse de l'avant-bras.
Mais oui, c'est une question d'habitude :)
[^] # Re: On n'est pas limité au JS côté front
Posté par Glandos . En réponse au journal 8 mois avec Javascript (ES6) et vue.js : mon retour d'expérience du développement front en 2018. Évalué à 7.
Et les fichiers « map » sont au Javascript ce que les symboles de débogage sont aux C, C++ et autres langages compilés en langage machine.
[^] # Re: VAÉ
Posté par Glandos . En réponse au journal Le VAE n'est PAS un truc de fainéant. Évalué à 4.
Bon, je veux bien moi, mais ça se contredit un peu sur http://www.academie-francaise.fr/questions-de-langue#5_strong-em-accentuation-des-majuscules-em-strong
Et puis quoi, j'ai le droit de crâner avec mon bépo qui sait faire les majuscules facilement quand même ?
# Pom'Potes != compotes
Posté par Glandos . En réponse au journal La compote de pommes en gourde n'est PAS un truc de fainéant.. Évalué à 2.
Attention, la Pom'Potes contient du sucre et du jus de citron. Ce n'est pas de la compote.
Oui, je suis du genre à faire ma compote moi-même.
# VAÉ
Posté par Glandos . En réponse au journal Le VAE n'est PAS un truc de fainéant. Évalué à 7.
Je suis triste d'être le premier typonazi du coin : c'est VAÉ, pas VAE.
Sinon, oui, j'abonde. Je suis cycliste, je fais 2 fois 15 minutes par jour sur du plat. Donc là, ça va. Mais l'assistance électrique permet de gommer les pentes, et les faiblesses cardiaques. C'est cool :)
# Politique
Posté par Glandos . En réponse à la dépêche Nos oignons, retours sur 2017-2018 et campagne de dons. Évalué à 5.
Oui très important. C'est quoi la politique de nommage des machines ?
Pour un admin sys, c'est ce qui compte le plus.
Voilà, j'ai tenté une blague, et je voudrais vous dire bravo pour votre acharnement. J'ai eu réfléchi à faire mon propre nœud de sorti (après tout, j'ai 300Mb/s symétrique), mais clairement, mutualiser les convocations juridiques, c'est vraiment bien.
[^] # Re: Dégoûté !
Posté par Glandos . En réponse au journal Une galerie pour site web - des images plein écran - LigthFullscreenGallery. Évalué à 9.
C'est ce que j'allais te répondre.
J'ai découvert Photoswipe parce que c'était utilisé par un des thèmes de sigal. Mais oui, je te le conseille, parce que c'est vraiment ce que tu veux.
Ne t'inquiète pas, ton travail n'est pas perdu. Les connaissances et les compétences acquises serviront, que ce soit pour mieux comprendre Photoswipe, pour le personnaliser, le corriger, ou encore le forker :)
# C'est vieux, mais toujours d'actualité
Posté par Glandos . En réponse au lien "wget http://foo.com/command.sh | bash" considered harmful. Évalué à 3.
Merci pour le (vieux) lien. C'est toujours dur de convaincre les gens de ne pas recommander une telle méthode (coucou Rust).
Ceci dit, est-ce que ce comportement n'a pas été modifié dans curl ? Ça ne changerait que moyennement le problème, mais bon.
# Recentralisation ?
Posté par Glandos . En réponse au lien FOSS Project Spotlight: Tutanota, the First Encrypted Email Service with an App on F-Droid. Évalué à 4.
Visiblement oui : https://github.com/tutao/tutanota
Par contre, le serveur ne l'est pas on dirait. Il faut passer par leur serveur. C'est pas très décentralisant, surtout pour l'email.
# UPX
Posté par Glandos . En réponse au journal Réduire la taille des exécutables générés avec PyInstaller. Évalué à 3.
Ça marche vachement bien pour les binaires : https://github.com/upx/upx
C'est plus lent au lancement, donc pas très intéressant pour les outils simples, et ça prend de la mémoire. Mais ça a l'air de coller à ton cas.
Par contre, il semblerait que pour Windows 10, ça deviennent difficile : https://github.com/upx/upx/issues/154#issuecomment-368741687
Maintenant, à toi de voir.
# HTTP GET and EXECUTE
Posté par Glandos . En réponse au lien Flatpak - a security nightmare. Évalué à 7.
Est-ce que c'est vraiment différent de :
J'invente (presque) rien : https://www.rust-lang.org/fr-FR/install.html.
Et pourtant, Debian a déjà une version assez récente…
Mais non, il faut vraiment être sur le fil du rasoir.
# Maintenant, c'est clair
Posté par Glandos . En réponse au journal Vers une fin de la guerre des brevets logiciels ?. Évalué à 8.
Ah ouais.
Alors oui, je sais que c'était déjà le cas, Microsoft ne conspuait plus Linux depuis longtemps, etc. C'est peut-être marketing aussi, mais je crois que c'est simplement de l'économie de marché : il y a un marché pour Linux, autant le prendre avec tout le monde.
Il n'empêche que c'est la première fois pour moi que je le vois écrit aussi clairement.
[^] # Re: Comment on aurait fait en IPv6
Posté par Glandos . En réponse au journal Routage avancé avec marquage de paquet et rp_filter. Évalué à 4.
Ouais, un super commentaire !
Ouais, plein de choses à répondre ! Par quoi commencer ?
Oui, l'IPv6 résoudrait tellement de problèmes. Ça serait vraiment bien si seulement… Si seulement les gens lisaient les RFC, et arrêtaient d'avoir un esprit commercial à court terme.
IPv6 fonctionne chez moi depuis au moins 5 ans, via ma Freebox v5. J'ai dû bien bidouiller, à base de mélange de NPD6 et de règle de routage complexe parce que la Freebox n'annonce qu'un /64 en pensant qu'elle est toute seule.
En passant chez Orange, je ne comptais pas sur mieux, et pourtant, j'ai vu ça dans l'interface de la Livebox :
Ooooh, un /56 rien que pour moi ? Ça c'est gentil, merci. Bon j'aurais bien aimé de la délégation de préfixe, mais soit. Je teste donc avec 2a01:cb19:XXXX:c000::2/64 sur
eth_livebox(oui, c'est un serveur, c'est donc statique, c'est peut-être bête, je sais pas trop), et hop ça marche. Bien. Voyons voir avec 2a01:cb19:XXXX:c001::2/64 (qui est dans le sous-réseau suivant) : paf, ça répond plus.Alors je suis peut-être une quiche, j'ai raté un truc, je ne sais pas, mais la Livebox envoie des RA comme ça :
Et j'ai essayé un client DHCPv6 : pas de réponse. Donc on en est là, toujours à faire du routage complexe pour rien, juste parce qu'il n'y a pas une case à cocher pour faire mieux qu'un simple /64 annoncé par la « box » elle-même, soit à peu près aussi utile que le NAT en IPv4. Oui c'est mieux, mais c'est tout aussi utile.
Pour revenir sur l'intelligence dans le réseau je suis partagé. D'un côté, j'aime bien quand les routeurs n'en font pas trop, et de l'autre, beeeen, j'aimerais bien pouvoir choisir moi-même ce qui passe par où, sans avoir à le configurer sur toutes mes machines terminales. Du coup, en IPv4, vu qu'il y a un SNAT, c'est pas trop dur : certains paquets sont marqués par
iptables, et les paquets marqués passent via la règle de SNAT différente.En IPv6, évidemment, c'est pas le même raisonnement, et je pense que je vais effectivement laisser faire les machines terminales. Pas question de faire du SNAT, c'est vraiment malpropre.
Et pour finir le module
rpfilter. Le but, c'est bien d'éviter d'envoyer des paquets forgés via une machine potentiellement infectée. Je ne pense pas qu'une telle règle filtre quoi que ce soit pour les paquets qui arrivent de l'extérieur. Vu que le principe est de tester si le routeur peut router le paquet dans l'autre sens, à part si l'adresse source contient une adresse non routable (dans ce cas, mon FAI laisse vraiment passer des trucs bizarres), tout le reste va passer le test.Mais oui, j'ai déjà bien ces règles mentionnées dans mes tables, pour router correctement ce qui sort.
La conclusion, c'est qu'il y a des centaines de personnes très qualifiées qui ont pondu un écosystème très perfectionné, et répondant parfaitement à quasiment tous les problèmes de IPv4, qui était quand même déjà bien conçu pour son époque. Mais on se retrouve avec des tas de gens qui n'ont rien compris, ou ne veulent pas comprendre, et qui cassent tout ce beau travail.
[^] # Re: rp_filter déprécier
Posté par Glandos . En réponse au journal Routage avancé avec marquage de paquet et rp_filter. Évalué à 7.
Je confirme qu'utiliser le module
rpfilterdeiptablessur la tablerawa résolu mon problème. Merci beaucoup pour cette ouverture de connaissance.