Toto a écrit 549 commentaires

les EFL, c'est comme les pizzas, c'est bon mangez en ;)

Bah oui, d'ailleurs on dit bien Louis croivé bâton

Mets tcpdump en écoute sur ton port nfs : tcpdump -ttt -i ethX tcp port XXX

Ensuite, que le routeur ne laisse pas passer le NFS ne me parait pas si surprenant, surtout dans le cas d'un routeur Wifi/ethernet. En général, on préfére limiter au maximum les interaction entre le réseau Wifi et Ethernet, le réseau Wifi étant très peu sécurisé.
Après comment configurer si tel est le cas, je n'en ait strictement aucune idée, mais en tout cas ce n'est pas de la redirection de port (qui elle se fait entre internet et ton lan). Ca m'étonnerais que tu acceptes qu'Internet puisse faier du NFS chez toi ;)

Sans parler de la couleur jeune pisseux totalement illisible utilisée fréquement par Arte. D'ailleurs c'est pour ca que je regardais plus les films sur cette chaine, je n'y comprenais jamais rien. Bon c'est vrai j'ai pas été revoir ca depuis longtemps mais ca m'avait laissé un très mauvais souvenir.

Et sinon, pour le VLAN voix, c'est pas possible de logger les trames et de récupérer les paroles échangées si ça passe dans un tuyau commun ?

Sisi c'est possible. Juste un peu plus dur (cher) vu qu'il faut filtrer le protocole et que l'on ne peut pas s'aider du vlan voix pour ca. Mais tout dépend aussi de ton infrastructure et autre. Nous dans notre cas, l'utilisation de vlan voix pose plus de problèmes qu'elle n'en résoud, d'ou sa remise en question

Déjà la premiere question à se poser pour faire du VLAN intersite, c'est comment ceux ci sont interconnecté. Si tu utilises un VPN de niveau 3, tu peux y dire adieu, les VLAN étant de niveau 2.

Ensuite, admettons que tu puisses effectivement en faire. Si je comprends bien, tu souhaites faire un vlan developeur, un vlan user , un vlan admin ... commun à toute les agences et au siege ?

Ca me parait assez étrange comme découpage (surtout niveau sous réseau). Ca voudrait dire qu'un broadcast vlan 1 affecterais toutes les villes et tous les postes développeur. Ca me parait monstreux..
Et pour le plan d'adressage, ca risque d'etre l'horreur

Les vlan, tout du moins dans ma conception, sont plutot fait pour séparer des flux à faible cout, plutot que pour les regrouper. Ca evite juste d'acheter des routeurs/switchs supplémentaire.

Enfin peut etre que j'ai mal compris la finalité ;)


Sinon c'est marrant, nous on envisage de supprimer le VLAN voix, ca n'apporte rien de plus d'après nos tests, a part des problèmes de configurations d'ipphone lorsqu'on les démanage..

Il y a une différence : l'utilisation d'une variable dans les simples quotes ne marche pas :


#!/usr/bin/perl
my $a = 7;
print "$a\n";
print '$a\n';


Me donne :

7
$a\n

Arrives tu à pinger 192.168.0.1 à partir de 192.168.10.153 ?
Si non, alors tu as un probleme de routage entre tes deux sous réseaux.
Si oui essaye de faire un tcpdum sur ton serveur nfs et ton portable en Wifi et reconstitue la connexion pour voir ce qui ne marche pas.
Si le serveur recoit les paquets de demande : problème de configuration nfs
Si le serveur ne recoit rien, ton routeur filtre les protocoles avant de router, regarde si tu peux pas desactiver cela ou du moins autoriser le nfs

La comme ca je vois pas.
Par contre pour totu ce qui est problème réseau, tcpdump/wireshark est ton ami ;)

Capture le trafic sur ton serveur tcpdum -i eth0 -w mydump.pcap , sur ta machine windows et sur la linux et ensuite essaye de retracer la connexion d'un coté windows et de l'autre linux pour essayer de voir ce qui ne va pas et quelles sont les différences

Il peut y avoir plusieurs soucis :
- passthru n'a pas de variable PATH d'affectée, toute les commandes doivent etre données avec leur path complet
- tu as des quotes ou autre dans ta commande qui rende ton appel invalide.

Ensuite, mais ca c'est plutot moi qui suit comme ca, j'aime pas demander au shell d'en faire trop d'un coup sur un serveur WEB. Je prefere lui demander une action à chaque fois et controler que tout est OK. En plus ca permet des debugs plus simple.
Je ferais donc un $result = exec($cmd); print '$result'; write($myfile, $result);. (pas sur des parametres j'ai pas touchés au php deuis un bail ;)).

Alors ensuite, ta régle de création de commande me parait très peu sécurisée. Filtre le contenu des variables POST pour etre sur qu'il s'agit d'un 'serveur' et d'une IP.

Et sinon, regarde aussi du coté de escapeshellcmd et escapeshellargs

C'est vrai que ca m'a l'air d'être un joli bazard ton truc ;)

Alors ce que je verrais pour ma part :
- Faire des sous réseaux distinct pour chaque site pour eviter le broadcast par la BLR
- brancher la BLR sur les routeurs et non sur les switch pour eviter au maximum les aller / retour gratuit
- mettre un DHCP de chaque coté de la BLR. Si la BLR tombe, que la moitié d'un etablissement puisse ne plus fonctionner et selon moi une abération
- mettre un ti firewall devant le serveur de nom ca peut toujours etre utile.

Ensuite, le reste, segmentation en sous réseau pour les serveur, vlan, ca dépend du temps que tu as à y consacrer, du temps que tu à rédiger le plan d'adressage et autre document, et le sérieux avec lequel tu comptes t'y investir (et tes successeurs). Plus un réseau est segmenté, plus il y est facile d'administrer les flux (QoS etc..) mais plus il demande de temps pour sa mise en place et le suivit de son évolution

Une petite chose interressante à savoir à propos du flag NEW d'iptables : Toute tentative de connexion non précédement enregistré dans la table est considéré comme nouvelle.
Ainsi tu peux te retrouver avec un paquet ayant le flag ACK mais pas de flag SYN accepté comme nouvelle connexion. Et moi, j'aime pas ca, c'est pas propre car une connexion TCP se fait en 3 états et vouloir les sauter n'est jamais une bonne idées ;)

Ensuite, pourquoi considère tu les connexion ESTABLISHED, RELATED, mais jamais NEW ?

Donc je verrais au final un script ressemblant plus à ca :

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED ! --syn -j ACCEPT

# regles pour serveur web
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 53 -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW --syn -j ACCEPT

# regles ssh (modification du port par defaut)
iptables -I INPUT -p tcp --dport 2602 -i eth0 -m state --state NEW --syn -m recent --set
iptables -I INPUT -p tcp --dport 2602 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 2 -j DROP

# regles icmp (permet le ping de l'hebergeur vers mon serveur web)
iptables -A INPUT -i eth0 -p icmp --source IP de l'hebergeur -j ACCEPT
iptables -A INPUT -i eth0 -j REJECT


Ensuite, comme dit au dessus, bloquer l'icmp, ca fait jolie, mais ca ne fait que retarder de quelques minutes les infos. Alors que pour les utilisateurs, ca peut etre utile (négociation du mtu et autres). Surtout que tu ne t'autorise meme pas le ping sur ta propre machine la ;)

Total Anihilation était (et est) un jeu extraordinaire, mais difficile à prendre en main. C'est d'ailleurs ce qui l'a empecher de décoller face à des jeux comme StarCraft. Et désolé de te décevoir, dire que TA est bourrin, c'est comme dire que StarCraft est un jeu de rusher. C'est vrai pour les débutants ;)

Les points forts de TA à l'époque :
- une vrai 3D, avec vision dépendant de l'altitude. Ainsi il était plus interressant de poster des unités vigiles en haut des collines que dans un ravin.
- possibilité de faire de vrai groupes d'unités (+ de 9 unités ;)), d'automatiser leur création dans les usines graces aux files d'attentes...
- gestion de l'énergie/metal en temps réel (pas besoin d'avoir tous les fonds necessaire pour fabriquer une unité, ils seront dépensé au fur et à mesure)
- un équilibrage des unité relativement sympa, changeant du pierre feuille ciseau
- des unités aériennes qui servent, de même pour le maritime.

Pourrais tu poster (ou mettre un lien si c'est trop gros) vers ton source complet ? car il s'agit d'un problème de chargment de classe, ca nous permettra de tester de notre coté et voir ce qui ne vas pas.

Hum .. J'ai l'impression qu'il y a plusieurs erreurs :
- je ne vois pas de méthode main : public static void main (String args) : prototype obligatoire de la fonction main
- la commande java prend en argument le nom de la classe principale contenant la méthode main. Dans ton cas, tu devrais dire java Main (sans l'extension .class)

Y a pas vraiment de convention pour l'art ASCII en réseau, mais en général j'aime bien représenter les liens <--->, les interfaces entre {} {eth1} et les noms sans rien.

Ici, ca donnerait :
- Internet relié à la freebox
- réseau wifi relié à la freebox (mais ca n'a pas pris en compte mes espaces..
- Freebox reliée sur une interface (eth0) de ton routeur
- Réseau ethernet reliée sur une autre interface (eth1) de ton routeur

La taille de /boot me parait un peu exagérer, je pense pas que tu ais a stocker une 30aine de noyaux sur ton serveurs ;) Mais cette partition est surtout utile si tu utilise des systèmes de fichier 'exotique' (autre que ext2/3)

Ensuite, le /tmp me parait une bonne idée, ca permet de lui mettre le noexec

swap, j'aime faire 1,5x la RAM, mais 2x n'est pas mal non plus

Ensuite, ne pas mettre une partition /var/www est étrange... Moi j'aime bien en mettre une, ca me permet de l'avoir aussi en noexec, voire en read only si tu as un site dont les fichiers sont peu mis à jour. Et puis ca permet d'avoir un systeme de fichier optimisé pour les petit fichier en lecture.

Ensuite, j'aime bien me faire une petite partition /etc que je place en read only, ca m'évite de faire trop de betises ;)

Donc moi je partirais plus sur un partitionnement come proposé dans le premier commentaire

C'est vrai que 1Go me parait peu, mais si c'est juste pour conserver les docs/sources/boulot .. Mais néanmoins, c'est largement suffisant je pense si on fait un peu de ménage.

Chez moi j'ai a peu près ca en répartition de donnée :
datas : 400-500Mo
mail : 800-900Mo
musique : 40-50Go (vive le lossless)
jeux : 70-80Go
photo : 10Go

Donc oui, 1Go pour les données, ca me parait suffisant. Après on doit quand meme vite se retrouver à l'étroit....

Enfin ca donne des idées interressante ce journal, faudra que je regarde à mettre certaines de mes partitions sur CF.

Essaye de voir avec un navigateur en mode texte dans ce cas la, si tu en as un d'installé. Cela te permetra de configurer Webmin via ses modules de configuration, s'ils s'agit bien d'un problème de configuration de Webmin. Je vois pas trop ce que ca peut etre comme erreur par contre :s

Merci ca correspond exactement à ce que je cherchais. Je soupsonnais bien l'existance d'un tel truc, mais je n'arrivais pas à le construire.

Si l'ordre des redirections change :
Exemple
$ cmd >/dev/null 2>&1
Etat Initial :

1 : STDIN
2 : STDERR

1ere redirection

1 : /dev/null
2 : STDERR

2eme redirection

1 : /dev/null
2 : /dev/null

----------------------------------
2>&1 >/dev/null
Etat Initial :

1 : STDIN
2 : STDERR

1ere redirection

1 : STDIN
2 : STDIN

2eme redirection

1 : /dev/null
2 : STDIN

Hum l'habitude du zsh et ses commandes .. :p

En bash, ca donnerais ca d'après la doc

$ blender >out.txt 2>&1


L'ordre des redirections est important

Qu'est ce que cela donne en effectuant une redirection de STDERR directement dans le fichier, plutot que de passer par une double redirection ?


$ blender 2>&out.txt

Nous au boulot, on utilise Yam ( http://www.civade.com/2006/03/08/10-installation-de-yam-sur-(...) ) pour une RHEL4, en théorie, ca devrait être la même chose sur une RHEL5.

Si la carte le supporte, le Wake On Lan ( http://fr.wikipedia.org/wiki/Wake-on-LAN ). Ca correspond exactement à ton besoin.