Toto a écrit 533 commentaires

Bloquer l'ICMP c'est pas beau. Comment vas tu négocier ton MTU ? comment vas tu vérifier que ta machine est toujours 'vivante' ? Comment vas tu obtenir diverses informations renvoyées par l'ICMP qui peuvent te permettre de débugger ta connectivité ?

l'ICMP aporte quelques informations à l'attaquant, mais ces informations ne sont pas vitales et peuvent être récupérées autrement. En gros tu l'embetes 5minutes, et toi tu peux avoir de gros soucis en cas de problèmes.

192.168.0.253.923 se lit IP 192.168.0.253, port 923. Il faut donc que l'IP 192.168.0.253 soit autorisée à monter le nfs.

Le serveur recoit effectivement bien la demande : 192.168.0.253.923 > 192.168.0.23.nfs et renvoie bien des réponses. Il ne s'agit donc pas d'un problème réseau, mais d'authentification (IP non autorisée ou autre, je ne connais pas suffisement le NFS pour t'aider)

J'a testé avec cpan en premier lieu, et j'avais exactement ces erreurs. J'ai donc téléchargé le module directement pour le compiler moi même, voir s'il y avait une différence, mais non, toujours les mêmes erreurs..

Et je n'ai pas trouvé de paquet contenant ce module pour ma distribution (RHEL4)

Je pense que ton sed souffre d'un problèmes de quotes. Tu as mis les `` (sous le 7 dans un azery) qui demande à bash d'executer la commande entre quote. Sed s'utilise avec les simple ' (touche 4) ou les doubles "

Rahhh j'ai fait mon boulet ... je viens de me rendre compte que je n'avais pas choisis le bon forum. Désolé :s

en mettant #!/usr/bin/perl en premiere ligne de ton script (a supposer que perl se trouve à cet endroit et en mettatn les droit d'execution sur le fichier chmod +x script.pl

D'une maniere générale, tout script ligne peut etre rendu executable par la ligne #! suivit du chemin vers l'interpréteur : #!/bin/bash #!/usr/bin/php...

De Lotus Notes, Outlook, Outlook Express, Thunderbird ... sous windows 2k, windows Xp SP0, SP1, SP2, vista ...
Il y a aussi de la diversité sous Windows (bon Ok peut etre un peu moins)

Et il n'y a pas que les clients mails qui lisent des flux ;)

Le problème n'est pas dans la diversité,puisque si Linux devient grand public, alors on trouvera des logiciels communs. Si tu veux on peut faire un sondage et tu remarqueras qu'une majorité de gens utilises 2/3 alternatives maximums, le reste étant négligeable.


Il faut s'enlever les oeilleres. Ce n'est pas parce que Linux est mieux foutu qu'il y a moins de virus dessus, tout simplement parce qu'il y a moins d'utilisateurs

Oui mais ton home c'est tout ce qui est utile. Peso je me fiche eperdument de perdre mon etc, mon var etc... Mes documents / cv / photos non ! Perdre mon home ou avoir un disque formaté pour moi c'est du pareil au meme !

Ensuite, Oui il est possible de realiser des pieces jointes qui s'execute tout seul (via un buffer overflow dans le parseur de mail). C'est pas parce qu'un fichier est pas executable qu'il n'est pas dangeureux. Le simple fait qu'un flux soit lu est potentiellement dangeureux. Alors oui c'est moins "Virus Friendly" qu'Outlook Express, mais ca reste dans le domaine du possible.

lynx pour les plus anciens, links ou links2 pour des trucs un peu plus "user friendly"

les EFL, c'est comme les pizzas, c'est bon mangez en ;)

Bah oui, d'ailleurs on dit bien Louis croivé bâton

Mets tcpdump en écoute sur ton port nfs : tcpdump -ttt -i ethX tcp port XXX

Ensuite, que le routeur ne laisse pas passer le NFS ne me parait pas si surprenant, surtout dans le cas d'un routeur Wifi/ethernet. En général, on préfére limiter au maximum les interaction entre le réseau Wifi et Ethernet, le réseau Wifi étant très peu sécurisé.
Après comment configurer si tel est le cas, je n'en ait strictement aucune idée, mais en tout cas ce n'est pas de la redirection de port (qui elle se fait entre internet et ton lan). Ca m'étonnerais que tu acceptes qu'Internet puisse faier du NFS chez toi ;)

Sans parler de la couleur jeune pisseux totalement illisible utilisée fréquement par Arte. D'ailleurs c'est pour ca que je regardais plus les films sur cette chaine, je n'y comprenais jamais rien. Bon c'est vrai j'ai pas été revoir ca depuis longtemps mais ca m'avait laissé un très mauvais souvenir.

Et sinon, pour le VLAN voix, c'est pas possible de logger les trames et de récupérer les paroles échangées si ça passe dans un tuyau commun ?

Sisi c'est possible. Juste un peu plus dur (cher) vu qu'il faut filtrer le protocole et que l'on ne peut pas s'aider du vlan voix pour ca. Mais tout dépend aussi de ton infrastructure et autre. Nous dans notre cas, l'utilisation de vlan voix pose plus de problèmes qu'elle n'en résoud, d'ou sa remise en question

Déjà la premiere question à se poser pour faire du VLAN intersite, c'est comment ceux ci sont interconnecté. Si tu utilises un VPN de niveau 3, tu peux y dire adieu, les VLAN étant de niveau 2.

Ensuite, admettons que tu puisses effectivement en faire. Si je comprends bien, tu souhaites faire un vlan developeur, un vlan user , un vlan admin ... commun à toute les agences et au siege ?

Ca me parait assez étrange comme découpage (surtout niveau sous réseau). Ca voudrait dire qu'un broadcast vlan 1 affecterais toutes les villes et tous les postes développeur. Ca me parait monstreux..
Et pour le plan d'adressage, ca risque d'etre l'horreur

Les vlan, tout du moins dans ma conception, sont plutot fait pour séparer des flux à faible cout, plutot que pour les regrouper. Ca evite juste d'acheter des routeurs/switchs supplémentaire.

Enfin peut etre que j'ai mal compris la finalité ;)


Sinon c'est marrant, nous on envisage de supprimer le VLAN voix, ca n'apporte rien de plus d'après nos tests, a part des problèmes de configurations d'ipphone lorsqu'on les démanage..

Il y a une différence : l'utilisation d'une variable dans les simples quotes ne marche pas :


#!/usr/bin/perl
my $a = 7;
print "$a\n";
print '$a\n';


Me donne :

7
$a\n

Arrives tu à pinger 192.168.0.1 à partir de 192.168.10.153 ?
Si non, alors tu as un probleme de routage entre tes deux sous réseaux.
Si oui essaye de faire un tcpdum sur ton serveur nfs et ton portable en Wifi et reconstitue la connexion pour voir ce qui ne marche pas.
Si le serveur recoit les paquets de demande : problème de configuration nfs
Si le serveur ne recoit rien, ton routeur filtre les protocoles avant de router, regarde si tu peux pas desactiver cela ou du moins autoriser le nfs

La comme ca je vois pas.
Par contre pour totu ce qui est problème réseau, tcpdump/wireshark est ton ami ;)

Capture le trafic sur ton serveur tcpdum -i eth0 -w mydump.pcap , sur ta machine windows et sur la linux et ensuite essaye de retracer la connexion d'un coté windows et de l'autre linux pour essayer de voir ce qui ne va pas et quelles sont les différences

Il peut y avoir plusieurs soucis :
- passthru n'a pas de variable PATH d'affectée, toute les commandes doivent etre données avec leur path complet
- tu as des quotes ou autre dans ta commande qui rende ton appel invalide.

Ensuite, mais ca c'est plutot moi qui suit comme ca, j'aime pas demander au shell d'en faire trop d'un coup sur un serveur WEB. Je prefere lui demander une action à chaque fois et controler que tout est OK. En plus ca permet des debugs plus simple.
Je ferais donc un $result = exec($cmd); print '$result'; write($myfile, $result);. (pas sur des parametres j'ai pas touchés au php deuis un bail ;)).

Alors ensuite, ta régle de création de commande me parait très peu sécurisée. Filtre le contenu des variables POST pour etre sur qu'il s'agit d'un 'serveur' et d'une IP.

Et sinon, regarde aussi du coté de escapeshellcmd et escapeshellargs

C'est vrai que ca m'a l'air d'être un joli bazard ton truc ;)

Alors ce que je verrais pour ma part :
- Faire des sous réseaux distinct pour chaque site pour eviter le broadcast par la BLR
- brancher la BLR sur les routeurs et non sur les switch pour eviter au maximum les aller / retour gratuit
- mettre un DHCP de chaque coté de la BLR. Si la BLR tombe, que la moitié d'un etablissement puisse ne plus fonctionner et selon moi une abération
- mettre un ti firewall devant le serveur de nom ca peut toujours etre utile.

Ensuite, le reste, segmentation en sous réseau pour les serveur, vlan, ca dépend du temps que tu as à y consacrer, du temps que tu à rédiger le plan d'adressage et autre document, et le sérieux avec lequel tu comptes t'y investir (et tes successeurs). Plus un réseau est segmenté, plus il y est facile d'administrer les flux (QoS etc..) mais plus il demande de temps pour sa mise en place et le suivit de son évolution

Une petite chose interressante à savoir à propos du flag NEW d'iptables : Toute tentative de connexion non précédement enregistré dans la table est considéré comme nouvelle.
Ainsi tu peux te retrouver avec un paquet ayant le flag ACK mais pas de flag SYN accepté comme nouvelle connexion. Et moi, j'aime pas ca, c'est pas propre car une connexion TCP se fait en 3 états et vouloir les sauter n'est jamais une bonne idées ;)

Ensuite, pourquoi considère tu les connexion ESTABLISHED, RELATED, mais jamais NEW ?

Donc je verrais au final un script ressemblant plus à ca :

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED ! --syn -j ACCEPT

# regles pour serveur web
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 53 -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW --syn -j ACCEPT

# regles ssh (modification du port par defaut)
iptables -I INPUT -p tcp --dport 2602 -i eth0 -m state --state NEW --syn -m recent --set
iptables -I INPUT -p tcp --dport 2602 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 2 -j DROP

# regles icmp (permet le ping de l'hebergeur vers mon serveur web)
iptables -A INPUT -i eth0 -p icmp --source IP de l'hebergeur -j ACCEPT
iptables -A INPUT -i eth0 -j REJECT


Ensuite, comme dit au dessus, bloquer l'icmp, ca fait jolie, mais ca ne fait que retarder de quelques minutes les infos. Alors que pour les utilisateurs, ca peut etre utile (négociation du mtu et autres). Surtout que tu ne t'autorise meme pas le ping sur ta propre machine la ;)

Total Anihilation était (et est) un jeu extraordinaire, mais difficile à prendre en main. C'est d'ailleurs ce qui l'a empecher de décoller face à des jeux comme StarCraft. Et désolé de te décevoir, dire que TA est bourrin, c'est comme dire que StarCraft est un jeu de rusher. C'est vrai pour les débutants ;)

Les points forts de TA à l'époque :
- une vrai 3D, avec vision dépendant de l'altitude. Ainsi il était plus interressant de poster des unités vigiles en haut des collines que dans un ravin.
- possibilité de faire de vrai groupes d'unités (+ de 9 unités ;)), d'automatiser leur création dans les usines graces aux files d'attentes...
- gestion de l'énergie/metal en temps réel (pas besoin d'avoir tous les fonds necessaire pour fabriquer une unité, ils seront dépensé au fur et à mesure)
- un équilibrage des unité relativement sympa, changeant du pierre feuille ciseau
- des unités aériennes qui servent, de même pour le maritime.

Pourrais tu poster (ou mettre un lien si c'est trop gros) vers ton source complet ? car il s'agit d'un problème de chargment de classe, ca nous permettra de tester de notre coté et voir ce qui ne vas pas.

Hum .. J'ai l'impression qu'il y a plusieurs erreurs :
- je ne vois pas de méthode main : public static void main (String args) : prototype obligatoire de la fonction main
- la commande java prend en argument le nom de la classe principale contenant la méthode main. Dans ton cas, tu devrais dire java Main (sans l'extension .class)

Y a pas vraiment de convention pour l'art ASCII en réseau, mais en général j'aime bien représenter les liens <--->, les interfaces entre {} {eth1} et les noms sans rien.

Ici, ca donnerait :
- Internet relié à la freebox
- réseau wifi relié à la freebox (mais ca n'a pas pris en compte mes espaces..
- Freebox reliée sur une interface (eth0) de ton routeur
- Réseau ethernet reliée sur une autre interface (eth1) de ton routeur