Thomas Mangin a écrit 52 commentaires

Qmail a un "flame-patch" qui fait exactement ca depuis deja quelques annees. Nous l'utilisons au boulot ou nous gerons quelques milliers de domaines. Cela marche tres bien. Toute personne qui a un serveur de mail doit juste avoir un MX.

J'ai aussi quelques millier d'utilisateur ADSL qui ne se plaignent que quand du Spam passe a travers nos serveurs et les ralentisse.

Tout utilisateur a le "pouvoir" d'ajouter un MX sur son domaine. Je ne vois pas pourquoi vous cassez tous du sucre sur le dos de Wanadoo. C'est marrant, mais ca fait pas tres serieux.

/Thomas

Je devrais plutot donner http://packetstormsecurity.packetstorm.org/(...)

Ajoutons a ca : http://www.packetstorm.org/(...)

Il manque 169.254.0.0/16 ...

Vu qu'il y eu les regles iptables, voici celle pour routeur cisco.

Pour bloquer le port
-----------------------------------------------

access-list <number> deny udp any any eq 1434
access-list <number> permit ip any any
access-list <number> permit icmp any any
access-list <number> permit <protocol> any any

interface <name>
ip access-group <number> in
ip access-group <number> out
!

On peut utiliser plus d'une liste d'access pour faire la difference entre traffic entrant et sortant (sh access-list)

Comment trouver les machines infectees
-----------------------------------------------

Sur les routeurs passerelles:

interface <name>
ip accounting mac-address input
ip accounting mac-address output
!

clear counters
sh interfaces <name> mac-accounting

trouver les MAC avec un grand nombre de packet associes.

sh arp | inc <MAC>

Pour trouver l'IP.

Pour le prochain vers :-)

Il y a plein de maniere de bloquer du traffic ... <speculation> Il ont aussi bien pu arreter d'annoncer les routes menant a leur serveurs web et mail. De cette maniere, le traffic sortant pouvait passer a travers le peering mais pouvais passer par d'autre voies. Ce qui permet toujours d'envoyer a travers le lien. Ils ont pu ajouter une ip a leur load balanceur (je ne crois pas qu'ils aient installe de nouveaux serveurs mail pour FT :-) qui etait toujours accessible a travers le peering (ne bloquant par la meme que le web) mais ne menait qu'a un nombre limite de serveurs. </speculation>

Je suis d'accord sur cette definition du peering, mes propos sont en effet imprecis/faux :-) mais l'argument "peering est interresant pour un grand FAI si le traffic qu'ils envoient est superieur au traffic qu'il recoivent" est toujous valable. <Stupidly_Technical> La plupart des FAI utilisent des route-map sur leurs connection BGP pour etre sur que les IP sources des connections sont bien celle du peer et non de transit involontaire (ou volontaire :-) car il est possible d'utiliser les FAI qui ne configurent que un max-prefix pour se proteger de route-leak comme transit. Meme si c'est illegal, c'est surement possible de passer du transit de cette maniere a LINX/Parix/FreeIX ou tout autre exchange point. </Stupidly_Technical> Ce que j'aurais du dire: Un FAI pour revendre du transit, doit vendre plus de transit, afin d'etre en position d'avoir le droit d'utiliser ses connections commercialement. Les vendeur de transit n'aiment donc pas le peering et les "exchange points". <TROLL> Je me demande quand je verais une close "avec droit de transit" sur les contract de peering :-) </TROLL>

Pour expliquer la "logique financiere internet" (LOL). Tout FAI a besoin de recevoir et transmettre de l'information. Pour cela il peux avoir des accords de libre circulation de l'information avec d'autre FAI (peering) ou acheter de la connection a un FAI telco avec beaucoup de capacite (et souvent des lien transatlantique, pour le traffic a destination des USA). La plupart des FAI internationaux peer dans tous les pays etrangers pour revendre chez eux du transit (Corrigez moi si je me trompe) La plupart du temps un peering est interresant pour un grand FAI si le traffic qu'ils envoient est superieur au traffic qu'il recoivent. Certain grand FAI ont une politique de "Open peering", et accepte toute requete de peering. Ils sont rares (Pour des raison economiques et culturelles). Comme FT a ses propre liens transatlantiques, je les vois mieux en fournisseur de transit qu'en acheteur (avec de bon accords avec Level3, Genuity, BT, Deutch Telecom, etc). Avoir une bonne connection a free devrait etre pour eux un argument de vente. Mais puisque la majorite des utilisateurs de bande passante free sont francais et que free a une politique de "open peering" (c'est du moins l'impression que j'en ai), l'argument de vente de FT disparait mais les cout de transfer du traffic free au sein du reseau FT lui meme est la, sans aucun argent d'un potentiel client du principal Telco francais. Puisque de free a besoin de beaucoup de bande passante entrante (et non sortante) car ils hebergent beaucoup de sites, ils essayent de se connecter directement a tous les ISP francais afin de reduire leurs facture de transit. Cela arrange tous les autres FAI qui eux-meme aurait a acheter du transit autrement pout joindre fre. Ceci amelioere aussi la latency des connections. En un mot, puisque free est une ISP franco-francais, avec une tres forte presence francaise, FT ne les aimes pas. Il aiment les petit FAI a qui ils peuvent forcer la main (dire non au peering) et vendre du transit (directement ou indirectement via des accords avec d'autres gros FAI). <TROLL> FT prefererai surement que free peer qu'avec eux, je suis meme sur qu'ils seraient pres a payer la facture de transit de free a la condition que free ne peer avec personne en france afin de vendre eux meme plus de transit </TROLL>

Tu peux au niveau des routeurs (ou serveurs linux utilise comme passerelles), rediriger tout traffic a destination d'un port particulier sur un serveur/port de ton choix (transproxy) et donc forcer tout traffic a travers un proxy pour un protocole sans autre choix pour l'utilisateur final.

C'est tres utilise par les FAI gratuit. Pour savoir si c'est ton cas:
telnet 1.1.1.1 80
GET /
[enter]

Tu ne passes pas par un trans-proxy, si tu vois :

Connecting To 1.1.1.1...
Connecting To 1.1.1.1...Could not open connection to the host, on port 80: Connect failed

Tu passes par un trans-proxy, si tu vois quoi que ce soit d'autre (principalement du HTML ;-)

1.1.1.1 est une addresse reserve pour la defense americaine et ne peux pas etre trouve sur Internet ...

Decaler ses achats d'un jour ca ne change rien et ca ne cree aucune pression (ie: a la fin du mois vous aurez fait autant d'achat avec ou sans ce jour). Donc ce n'est qu une action mediatique pour sensibiliser les gens aux problemes de pub. Je pense que c'est toujours bien de sensibiliser la population aux different problemes de societe. Ok, je prends note .. Merci ... Maintenant si je dois allez faire des achats j'irai ... Ceci dit je vis en Angleterre et je ne pense pas que qqun fasse le rapprochement si je ne me deplace pas aujourd'hui.

Tu perds ton temps, la prochaine fois que tu vois un commentaire de Jars, maintenant que tu sais que ca fini par "Coin, Coin", ignore le.

Je suis sur qu'il va ajouter une commentaire deplaisant apres ce message car il veut avoir le dernier mot.

Merci pour avoir essaye de discuter la licence de DJBDNS, ainsi qu'a tous ceux qui ont argumente leur position dans ce forum

EOT.

Excuse moi encore une fois, j'ai lu "systemes d'exploitation" il y a de ca plus de 7 ans ! J'aurais du aller faire un tour dans ma biblio avant d'ecrire son nom ... J'espere que barbara, suzanne, marvin et bram me pardonneront.

Je suis desole si tu as pris cela comme un attaque personnelle c'etait sur le ton de la plaisanterie (tu as tendance a etre direct toi aussi). Je n'oublierai pas le smiley la prochaine fois.


L'argument cependant est serieux. Tu fais des analogie et faire dire des chose au gens qu'ils n'ont pas dit.

Tu as ce que trouvera toujours dans un forum des gens avec des avis different qui ne pourront jamais tomber d'accord. C'est la nature humaine. Maintenant, ce qui est important c'est la tolerance aux idees des autres meme si on est en total desaccord.

Je pense que la licence est libre, quelque soit ton opinion, j'ai le droit de garder le mien. J'ai ecoute ton argumentation, j'ai compris ta position et pense toujours que tu as une position trop extreme. Maintenant, tu peux surement dire la meme chose de moi, et comme toi, je ne serai pas d'accord avec ton analyse.

Seul les fait scientifique peuvent passer une demarche experimentale. C'est pour cela que je dis que la licence de DJB ne passe pas "l'experience OSI" mais que cela ne te permet pas de dire que cela ne passe pas "l'expression libre" car la definition de libre est trop flou, et que pour moi libre =/= OSI.

Cependant, nous avons tous ete d'accord pour dire que la licence de DJB est plus restrictive que celle sous le sigle OSI.

Maintenant, tu as deux choix:
- repeter encore une fois que j'ai tord, que blabla
- en rester la.

Moi je vote pour 2, j'ai passe assez de temps dans ce forum.

Je vois que tu n'as pas lu la licence de Minix (c'est vrai que c'est pas facile a trouver) mais de la a insinuer que c'est la meme que celle de DJB, Bravo, tu devrais etre en politique et pas en physique.

Ton argument est un peu faible ... GPL == success, dans ce cas je ne comprend pas pourquoi postgres n'est pas leader des bases de donnees !!

Minix est juste une implementation pour etre etudee de Tanenberg (desole si j'ecorche son nom) et rien de plus.

Tanenberg n'a jamais eu l'intention de supporter Minix plus que ca, c'est pourquoi les developpeurs de patches se sont tournes vers Linux ou xxxBSD. Frustre de ne pas pouvoir l'ameliorer ou le faire marcher sur leur PC.

J'attend ton message qui me dira que je suis un gros con et que je n'ai rien compris a la vie, et cetera, et cetera :-)

LOL ! La solution est de demander a ce que BIND change de licence pour la licence d'oracle et tous les bug vont disparaitre..
C'est le meilleur argument de cette thread ..

Et oui, je plaisante !!!

Je ne suis pas sur que "raison economique" est ete la meilleure definition pour ce que je voulais dire. Quand je parle a mes clients, ceux sous unix utilisent BIND car: - C'est sur le CD - C'est le standard - Il y a des livres sur BIND dans le commerce - "C'est quoi le Truc DNS" - Presence de technicien forme au produit - Presence doutils (libre et non libre) pour configurer bind La forte distribution cree une une dynamique, ecomonique car les argument en faveur de l'application sont la disponibilite de produit et service autour de bind. C'est son importance comme projet initial, son large deploiment qui fait du logiciel qu'il est tres utilise. Cela prend du temps pour creer une dynamique autour d'un produit, je pense que cette meme dynamique s'appliquera a DJBDNS, cela a pris du temps mais Qmail est largement utilise (regardez les "full header" de vos emails pour vous en rendre compte)

Desole... s/pas libre/pas OSI certifie/g

J'ai fait une rapide recherche et c'est/c'etait effectivement le cas mais vulnerabilite et DOS sont deux choses differentes. Pour info: [snip] exec /usr/bin/softlimit -m 2000000 \ /usr/bin/tcpserver -v -p -x /etc/tcprules.d/qmail-smtp.cdb \ -u $QMAILDUID -g $NOFILESGID 0 smtp /var/qmail/bin/qmail-smtpd 2>&1 A une epoque un de mes antivirus n'acceptait pas d'email > 10 Mb a cause de la limite que nous avions :-) C est plus facile de faire un SYN DOS .. Ca prend moi de bande passante ;-)

LinuxFr a un bug et j'ai encore perdu mon commentaire. desole ce me gonfle !! Donc: Nous ne sommes pas d'accord, nous ne serons jamais d'accord. Bonne soiree a toi. et STP "s/pas libre/pas GPL/g"

"C'est beau de rêver. Laisse-moi deviner, tu es spécialiste en sécurité ?" Non, Directeur Technique pour un FAI. Mais bon tout le monde s'en fou. Je peux te passer l'email de nos specialistes si tu veux, mais tu peux etre un mauvais professionel ou un bon amateur. Le titre ne fait pas la valeur, Master-dik ;-) Ceci dit, je ne m'inquiete pas trop pour la securite des application DJB, beaucoup plus pour d'autre et j'attends toujours la premiere vulnerabilite pour Qmail et DJBDNS. Et en attendant, puisque j'ai personnellement jette un oeil au source (tu devrais en faire autant), je suis assez confiant que Qmail est plus sur que sendmail ne le sera jamais.

Desole, mais il me semble que tu as le droit d'aider ton Frangin, tu dois seulement lui dire que tu installe sur sa machine une version modifie d'un logiciel base sur DJBdns. Au passage, si ton frangin a besoin d'aide pour installer DJBDNS, ne te gene pas pour lui passer mon email :-)

Correction la charte Debian est tres stricte et non adapte pour le cas des logiciel de DJB. Les deux objectifs: Controle total de la distribution (pour le communaute) et controle des modification des sources (pour la securite) sont parfois antinomique .. Dommage mais le monde n'est pas parfait.

Desole de te decevoir mais je pense bien les comprendre.

Ceci dit, ton analogie avec Pine est mauvaise. Pine est comme Netscape, leur licence n'est pas libre mais ils ont ete distribue durant longtemps par les majors (Redhat, Mandrake, Suse). Les DJBware ne sont dans aucune distribution depuis que Qmail a ete enleve de OpenBSD (Seul Mandrake offre une option d'installation facile de BINAIRE via ftp, avec l'accord de DJB, si si ...)

Bitkeeper est proprietaire et gratuit d'utilisation dans certain cas. DJBDNS est libre d'utilisation et de modification avec une close restrictive de distribution. Il y a une difference.

Mais mon bout n'etait pas de discuter la licence. Tu as ton avis, J'ai le mien. point.

Je ne me sens pas l'ame d'un revolutionaire communiste (je n'ai rien contre les communistes), je suis un techie, mon principal soucis est la practicalite pas d'essayer de changer le monde a mon image, ca c'est le but des ideologistes.

Mais pour en revenir a la question: "Est-ce mieux d'utiliser DJBDNS ou BIND ?"

La reponse est:
* Si vous vous foutez de la licence, et seulement voulez access au code "au cas ou", DJBDNS est techniquement superieur. (plein de gens utilise Netscape ou Pine sans problemes)
* Si vous etes parmis le %age des gens qui choissent leurs applis en fonction de la licence c'est votre droit.

Je ne force personne a utiliser du DJBware, si mes competiteurs utilisent sendmail et bind, ca me fait meme plaisir. Il est seulement dommage de voir a quel point une application crutiale comme DNS (voir la DDOS recente sur les root DNS servers) est laisse a une application comme BIND. (Pour des raisons economiques et non ideologiques)

Ps: Merci a ceux qui corrige mes fautes dans leur reponse .. ;-)

Rapidement

De plus je suis assez d'accord avec les raisons qui le pousse a agir de cette facon, mets une application sous CVS et tu vas voir un paquet de code merdique (et insecure) dans l'application. Si on regarge les application GPL ou BSD, il y a:
- ou un gentil dictateur (Linux)
- ou un groupe limite de personne avec access au (CVS)

Cette licence garantie qu'une application estampille "DBJ" (source RPM, code installe par une SSI) te peux dormir sur tes deux oreilles pendant que H4x00r essaye de casser ta machine.

Maintenant, en effet l'OSI ne certifira jamais la licence de DJB mais est-ce important ?