NeoX a écrit 18201 commentaires

donc il te faut tenter les connexion sur les 10.000routeurs/switchs pour savoir,

autant tenter les connexions directements pour configurer le snmp
une fois configurer, y a plus besoin du script.

sur internet en 2011, c'est qu'on recommandait de faire,

une instance par interface (home et dmz)
chaque bind sur son interface reseau

mais ca n'aide pas pour les fichiers de definitions des machines.

si ca marche parfaitement depuis le LAN vers internet,
copie.colle la config LAN sur la config DMZ (hormis le DHCP)

donc resumons,

ton DNSmasqd directement dans ta DMZ (et pas sur la passerelle) ca marche
ton DNSmasqd sur ta passerelle ou dans ton LAN, ca ne marche plus ?

ca me semble bizarre cette double definition "local"
mais je ne suis pas un expert en dnsmasq

tu as essayé en desactivant les options relatives à la partie "home"
pour voir si DMZ prend bien ses infos ?

désolé je n'avais pas vu cette ligne là.

ce qui est etrange, c'est que ca marche pour google.com mais pas pour google.fr depuis la meme machine (qui se trouve dans dmz) :(

Par contre sur le vlan dmz pas moyen de faire des résolutions externes. Il suffixe toutes les résolutions de domaines externes par le domaine de mon lan local (home) pour les addresses en IPV4

en fait si, puisque google.com est bien resolu
par contre google.fr ne l'est pas :(

par contre je vais dire une betise, mais apparemment, tu n'as pas precisé de DNS Forwarder, pour aller interroger quand ce n'est pas un domaine local (.home ou .dmz)

je ne peux pas configurer les 10000 routeurs.

bah rien ne te garanti que les 10.000routeurs/switchs ont tous le ssh d'actif,
donc il faut faire des tests, genre

si SSHouvert
alors connexionSSH action
sinon 
     si TELNETouevert
         alors connexionTELNET
     sinon
         erreur : impossible de se connecter sur l'appareil ABCD
     finsi
finsi

parce que de ce que tu donnes comme configuration il n'a meme pas d'IP

oops j'ai pas vu que le telnet etait fonctionnel

avantage, ca marchera avec ton ordi, mais aussi avec ton telephone, et ce sera "sans fil"

sinon, oui, un raspberry pourra suffire

non car sur le mac c'est EFI qui regarde la charge et fait direct un halt ou empeche l'action du bouton demarrer

sur ton Inspiron 15R SE, tu as un bios, qui ne gere pas cela.

à cause des variantes dans les versions de logiciel
qui vont stocker des infos de config differements

à cause du changement d'environnement de bureau, qui va refaire un ensemble de dossier de config parce que le gestionne de fichier, d'image, le navigateur web ne serait plus le meme,…

=> ca fait de place prise pour rien et ca pose parfois des soucis.

il est deconseillé de prendre des depots exotiques genre ce qui se faisait à une epoque :

http://multimedia.schtroumpf.rouge.fr

par contre tu peux tres bien changer de depots parmis les depots officiels

http://archive.ubuntu.com/…
http://us.archive.ubuntu.com/
http://fr.archive.ubuntu.com/
http://uk.archive.ubuntu.com/
http://jp.archive.ubuntu.com/
…

tout cela ne sont que des mirroirs mis à disposition justement pour avoir un depot pres de chez toi.

Comme vous avez l'air de bien vous y connaître, j'apprécierais vos avis sur la config envisagée (réseau isolé pour cette infra, routeur, etc), savoir si c'est dans les bonnes pratiques de la discipline.

ca depend surtout de tes besoins,
dans ma boite precedente on etait 15 utilisateurs en tout, un reseau à plat, les VMs etant en direct sur le reseau, le stockage aussi.
pas d'isolation entre les trafics.

dans ma boite actuelle, on a des vlans pour faire des reseaux de LABs, Formations, Utilisateurs

ainsi les machines de la salle de formation n'ont que l'acces internet et à certaines VMs, etc

c'est juste plus long car il faut transferer toute la machine virtuel d'un hote à l'autre
avec le share commun, tu n'as que la config, les quotas et un snapshot

proxmox fait ca tres bien tout seul,

tu installes ton stockage à ta sauce (OS, partage NFS/CIFS/ISCSI)
puis tu installes tes 2 hyperviseurs (ceux qui vont gerer les VMs)
tu actives les fonctionnalités cluster pour que les vms soient visibles de l'un et de l'autre
tu leurs dit qu'il y a un stockage centralisé
tu peux alors migrer à chaud tes VMs de l'un à l'autre

voir meme tu peux automatiser la migration en surveillant le voisin et en coupant sont interface reseau via SNMP sur le switch.

comment ils bloquent un PC qui ne se connecte pas à un reseau ?
y a aussi une puce GSM avec un forfait reception de SMS ?

sinon, computrace n'est pas nouveau, c'etait une idée basée ou à l'origine de TPM,
que l'on voit maintenant aussi avec les EFI avec demarrage signé qui empeche un OS non signé d'etre installé.

l'idée c'etait de garantir que le systeme n'a pas été corrompu par un virus, modifié par l'utilisateur, etc
computrace poussant le concept plus loin en permettant tout ce que tu dis,

mais ca doit avoir au moins 5 ou 6 ans et ca serait activable (opt-in) dans le BIOS/EFI

les regles de parefeu vont dependre des tes besoins :
- empecher les utilisateurs de LAN1 d'aller sur LAN2
- l'inverse
- empecher les utilsiateurs de LAN1/LAN2 d'aller sur certains sites internet

dans tous les cas il en faudra pour faire du SNAT ou du MASQUERADE en sortie vers les connexions internet
et pour bloquer les trafics entrant non sollicités.

je suis obligé de faire un fdisk dessus pour que le kernel relise la table des partitions

je crois que pour ca, on a inventé partprobe

sauf que là, il ne cherche pas à embaucher,
il revend son developpeur car la boite reduit ses effectifs. :/

c'est un comportement similaire à ce que tu peux avoir quand tu as un autre utilisateur connecté,
du coup linux refuse de couper la session de l'autre personne, donc refuse de s'arreter

generer ?

tu peux jouer avec telnet, mais faut connaitre la communicatio reseau pour refaire certains echanges "à la main"
sinon comme dit plus haut, il faut d'abord capturer du trafic pour le rejouer plus tard.

maintenant, suivant ce que tu veux faire il y a d'autres solutions :
avec expect tu peux automatiser une connection telnet et un echange de commandes avec un appareil distant
avec selenium tu peux automatiser une navigation web et verifier les pages affichés.

etc

tes reseaux "locaux" auront toujours la machine centrale comme passerelle par defaut,
c'est donc sur elle qu'il faudra faire tous les reglages,

et il doit falloir appliquer des "queues" et tagger ce qui vient de local1, local2, local3,
puis appliquer une route sur ces "queues"

fail2ban est fait pour ca,
il regarde ce qui passe dans les logs (auth.log dans ton cas)

et empeche la personne de se connecter pendant un ban temporaire.

copier/coller ?

bon sinon, si ca genere un tableau propre, tu peux relire le html pour en recuperer que ce qui se trouve entre les balises tables

tu recuperes alors un code qui ressemble à ca

<table>
<tr><td>ma premiere colonne, premiere ligne</td><td>ma 2e colonne, premiere ligne</td></tr>
<tr><td>ma premiere colonne, 2e ligne</td><td>ma 2e colonne, 2e ligne</td></tr>
</table>