Il y avait bien le projet Tribune Libre [1], lancé en 2003 par Fabien Penso, qui avait un système de modération ouvert (pas limité au domaine du libre, d'ailleurs, quand on postait sur linuxfr un truc un peu hors-sujet la suggestion était d'aller là-bas [2]), mais ça n'a pas très bien pris, par manque de soumission de contenu.
Le gros intérêt à mon goût était qu'on pouvait éditer sa dépêche, et la soumettre à une aide éditoriale. On continuait à l'éditer en fonction des remarques obtenues quand la dépêche était dans l'aide éditoriale. De mémoire il fallait un certain nombre de votes "bon pour la publication" avant que la dépêche sorte de l'incubateur. L'incubateur permettait éventuellement de participer à la dépêche d'un autre en fournissant ajouts et critiques si la dépêche qu'on voulait poster était déjà présente. En fait tout le monde pouvait être admodérelecteur :-)
Même que c'était avant que Wikipedia soit connu. Je suis sûr que le concept est bon mais il faut beaucoup de discipline, d'ailleurs pas tellement éloignée de ce qu'on rencontre maintenant sur wikipédia. Peut-être que maintenant ça prendrait mieux, les gens sont plus habitués à ce fonctionnement collégial collaboratif.
[1] http://tribunelibre.org. Aucun rapport avec le rocher sur lequel s'accrochent les moules. Cela dit maintenant ça donne une erreur 403, il faut aller chercher sur archive.org pour se faire une idée. Le sous-titre était "c'est toi qui postes, c'est toi qui choisis".
[2] où, si ça avait un rapport avec l'informatique, on était souvent redirigé sur linuxFR, mais bon... ;-)
J'ajouterai que du point de vue d'un individu malveillant, les machines domestiques sont surtout intéressantes pour les botnets, parce que ça permet de mieux distribuer, et parce qu'elles ont tendance à être moins surveillées.
Du coup la cible c'est plutôt du windows, tout simplement parce qu'il y a moins de chances de se faire repérer (un utilisateur de système alternatif a tendance à s'intéresser à ce qui se passe sur son système), et qu'il y en a plus donc les attaques de masse sont plus rentables. En plus le layer 8 est généralement plus vulnérable.
Par contre un serveur dédié, c'est royal pour tout ce qui demande de la bande passante ou une faible latence, et les machines unix-like sont idéales comme machines rebond pour attaquer d'autres machines.
La finalité des attaques n'est donc pas la même (mais elles ne sont pas moins nombreuses pour autant, surtout que la durée de vie d'une machine piratée n'est pas forcément très longue, on se fait parfois repérer assez vite donc il faut en avoir un certain nombre sous le coude).
Du coup, le "public" à l'origine des attaques est différent. D'ailleurs les moyens de sécurisation les plus rentables ne sont pas les mêmes non plus (par rentables, j'entend qui rapporte le meilleur ratio attaques/protection).
Un serveur unix-like qui ne peut pas établir de connexions vers l'extérieur et qui n'a que du 80 et du 22 ouvert en entrée, et ce par un par feu sur une machine distincte, présente peu d'intérêt. Par contre toute possibilité de sortie (p2p, irc, web, ssh...) le rend particulièrement attrayant, si on a le moyen de le contrôler (et les connect-back servent à ça).
Dans l'icmp il y a deux choses qui me dérangent :
· le fait qu'il soit très simple de tuneller à peu près n'importe quoi dans le ping (bon ça marche aussi avec les requêtes DNS, et d'autres trucs...)
· il y a beaucoup de types / codes inusités, qui servent beaucoup au fingerprinting et à la découverte de réseaux (http://www.securitypronews.com/securitypronews-24-20030929OS(...) est un bon résumé)
En ce qui concerne le premier point, un bon IDS fait l'affaire pour la majeure partie des cas (et quand le contenu est crypté au point d'être invisible, ben c'est qu'on est tombé sur un sacré balaise, et là on a du souci à se faire). De plus, limiter le nombre de réponses au ping va poser des problèmes à l'utilisateur du tunnel (par exemple ne répondre qu'à 1 ping sur 3).
Pour le second, il y a des méthodes qui relèvent plus de la configuration des systèmes protégés que du pare-feu lui même. Par exemple, sous linux, ne pas répondre à un ping sur l'adresse de réseau ou de diffusion. Ce genre de chose se configure à coup de sysctl. De plus, on peut limiter les réponses aux types de messages considérés comme légitimes.
Voici ce que j'ai sur un pare-feu ipv4 only (en ipv6 j'ai pas encore creusé la question) :
for icmptype in echo-request echo-reply fragmentation-needed port-unreachable host-unreachable ttl-exceeded; do
$ipcmd -A INPUT -m limit --limit 2/second -p icmp --icmp-type $icmptype -j ACCEPT
$ipcmd -A OUTPUT -p icmp --icmp-type $icmptype -j ACCEPT
done
$ipcmd contient évidemment "/sbin/iptables <les options que je veux toujours mettre>"
(dans certains cas on peut vouloir autoriser l'icmp redirect en plus, mais c'est à limiter à l'interface sur laquelle on en a besoin).
Ptain. J'ai fait "écrire une dépêche", et j'ai compté les 47 (ou 57, je sais plus) propositions du menu déroulant. La question était mauvaise, je veux mes points.
La question précise bien « sections », pas « thèmes ».
Arf, pareil, j'ai mis l'adresse de l'ancien salon. Mais j'idle déjà bien assez sur irc, je vais pas rajouter un salon jabber en plus (et bien qu'il soit un peu mort le salon existe toujours) ;-)
De toutes façon j'avais aussi mis 38 au lieu de VA38 partant du principe qu'un numéro était un nombre, et que VA était générique pour le village associatif.
Vérification faite dans le dico j'ai eu tort (on parle bien de numéro d'immatriculation pour les voitures alors que ce dernier contient aussi des lettres).
Je suis d'accord en ce qui concerne cet exemple. Avec pf c'est plus lisible et plus abordable.
Par contre je suis plus mitigé en ce qui concerne un exemple compliqué, par exemple un grand nombre de serveurs avec du nat.
Dans ce cas, moi qui ait appris à maîtriser la syntaxe netfilter (dans la douleur, certes), pf me pose des soucis. Par exemple, je n'arrive pas à saisir le cheminement d'un paquet dans les différentes règles. Avec netfilter, à défaut d'être simple et clair c'est bien expliqué, y'a même un schéma [1].
Je n'ai jamais été fichu de me mettre dans la tête à quoi faisait référence « in » et « out » : à l'interface ? au système ?
Intellectuellement j'aurais envie de dire l'interface, mais à chaque fois j'ai un doute.
Autre chose qui fait que c'est parfois pas facile à lire, toujours dans le cas d'un grand nombre de serveurs avec du nat, c'est qu'on est obligé de mettre d'abord les règles de nat etc, et ensuite les règles de filtrage. Pas moyen de faire des blocs de règles nat + filtrage par serveur par exemple.
Après, qu'on ne me fasse pas dire ce que je n'ai pas dit, techniquement je n'ai rien à reprocher à pf bien au contraire. Notamment la notion d'ancres (dommage qu'on ne puisse pas hériter des macros) et de tables est géniale (netfilter a ipset mais c'est plus compliqué à mettre en oeuvre). Ah si, un truc qui m'embête quand même : l'absence de conntrack pour le ftp. ftp-proxy, sur un grand nombre de serveurs NATés, c'est pas gérable [2].
[1] http://fr.wikipedia.org/wiki/Fichier:Netfilter_schema.png - Si quelqu'un me trouve l'équivalent pour PF je suis preneur.
[2] oui, le NAT c'est mal, et le ftp aussi, mais il faut bien faire avec l'existant, et c'est quand même bien pratique.
Il y a eu une dépêche détaillée il y a 3 jours dessus... d'où mon commentaire. Je suis le premier à trouver que certains journaux manquent d'introduction ou d'un lien de référence, mais bon là c'est encore en première page, donc c'est un peu gros de critiquer.
Quand on a l'affichage mixte dépêche/journal , avec la pondération intérêt / date, ce n'est (n'était) plus en première page. Je n'avais pas vu la dépêche en question. D'ailleurs ça ne change rien au fait qu'un contenu devrait pouvoir être lu indépendemment :-)
Cela dit ça montre que si on ne passe pas tous les jours, il faut quand même jeter un oeil aux dépêches seules parce qu'elles disparaissent assez vite de la première page... Bon à savoir.
Pour info, Galileo n'est pas ni future version d'Eclipse, ni Eclipse 3.5. C'est la release groupée annuelle du projet Eclipse, et ça ne s'explique pas en deux mots.
Tu viens de le faire, non ? ;-)
'fin bon je me suis expliqué à ce sujet avec l'auteur du journal en question, et lui a compris ma critique, et maintenant grâce à toi je sais de quoi il s'agit vraiment. C'est plutôt pas mal au final.
En ce qui me concerne, je ne suis pas resté quand j'ai vu que ça faisait plein de bruit et que ça bougeait de partout à chaque mouvement de souris.
Mais manifestement c'est comme ce journal, ça parle de bière, en essayant d'attirer les moules à coup de promesses fallacieuses (trolls velus, etc). ;-)
J'aime bien lire les journaux. C'est souvent intéressant. D'ailleurs je ne vois pas pourquoi sous prétexte qu'il s'agit d'un journal, on ne peut pas exprimer de critique sur la forme ou le contenu ?
Je n'ai même pas dit que c'était inintéressant, d'ailleurs, même si ça m'intéresse assez peu puisque je n'utilise pas Eclipse. J'ai juste dit que j'étais frustré par le manque d'explication introductive. On a beau mouler, on n'est pas forcément au courant de tous les noms de code de toutes les logiciels, déjà avec les distributions c'est pas forcément simple... Galileo aurait très bien pu être un plugin par exemple.
En fait le seul élément qu'il manque pour qu'un non-utilisateur d'Eclipse comme moi saisisse de quoi il s'agit c'est ça ; « la nouvelle version », ou même simplement : « Eclipse 3.5 Galileo ».
Eclipse est quand même moins visible que Debian (dont l'origine du nom n'aide pas beaucoup à quoi il comprendre de quoi il s'agit) ou GNU (certes, il s'agit d'un acronyme récursif. Avec ça je vais bien sûr deviner qu'il s'agit en fait d'un d'un système d'exploitation et partant, d'une suite de logiciel).
Cela dit je n'ai rien contre les journaux vite fait en passant, j'ai simplement été frustré parce que j'ai du chercher pour comprendre de quoi il s'agissait, même si j'ai déjà entendu parler d'Eclipse (je l'ai même essayé, mais je n'en ai pas l'usage) ; alors que l'information qu'il me manquait tenait en quelque mots.
Je trouve que ça manque un peu de contenu. Ou plutôt de contexte, on ne sait pas de quoi ça parle.
Alors bien sûr je vois que ça touche à Eclipse, donc ça doit avoir à voir avec des outils de dev. je peux faire une recherche dans n'importe quel moteur, j'aurais sûrement un lien vers une ou plusieurs pages qui m'expliqueront de quoi il s'agit. Mais franchement, ça aurait pas coûté grand chose de mettre 3 mots d'explication sur ce que c'est, et un petit lien.
D'ailleurs puisque j'ai fait le travail autant en faire profiter tout le monde : Galileo est le nom de code de la future version d'eclipse, la 3.5 : http://wiki.eclipse.org/Eclipse/Galileo_Plan. Bon ben si il y avait simplement eu "Eclipse 3.5 « Galileo »" à la place j'aurais compris. Mais un lien vers la page de téléchargement [1], ça aurait pas été du luxe !
Ca ne serait pas devenu le journal de l'année, mais au moins ça n'aurait pas eu l'air d'un post tweeter [1] à rallonge.
[4] ben oui je donne l'exemple. Et je continue : Microblogging ça sert à faire des posts ultra courts (160 caractères max) pour dire par exemple qu'on a envie de faire caca ou qu'on travaille à un patch attendu depuis des lustres sur tel ou tel logiciel ultra-connu, sans approfondir. Comme on peut le voir l'intérêt est variable : on est soulagé dans le premier cas, frustré dans le second ;-)
PS: oui mon commentaire présente à peu près autant d'intérêt que le journal, mais je n'avais que ça à faire et je n'ai pas honte de le dire ;-)
... Pis moi je mets des liens comme ça on comprend même si ça n'est pas intéressant. Si ça se trouve j'ai passé plus de temps à écrire mon commmentaire qu'il n'en a été passé à rédiger le journal...
Je penche plutôt pour un problème DNS, résolu mais toujours en cache. Si ça marche avec un DNS externe c'est parce que l'enregistrement n'était pas en cache.
plusieurs FAI français blocant un site aussi visible sans prévenir, en même temps, ça me parait louche. D'autant que Free s'est toujours montré très virulent face au filtrage (bon d'accord là c'est DNS pas L4, mais quand même).
Tes arguments sont plutôt valable, mais attention à ce qu'on ne les retourne pas contre toi :
— Il peut y avoir des erreurs ou des oublis dûs à un bug dans le script, qui si ils sont rares (cas particulier pas prévu) passeront inaperçus aussi (alors que si c'est fait par un cerveau humain, il y a des chances que l'anomalie soit prise en compte quand elle est rencontrée) ;
— pressé par le temps sous la pression de ta hiérarchie (il faut aller aussi vite que si c'était fait à la main), tu cours plus de risque que ce type de problème arrive ;
— rien ne dit que tu ne devras pas tout refaire si tu fais un script jetable et que les données de départ changent ;
— au lieu de mouler, tu ferais mieux de prendre de l'avance sur telle ou telle tâche qui traîne depuis X temps (il y a toujours une tâche en retard, en cherchant bien).
Du coup la question qu'il faut se poser est différente. Si il s'agit d'une tâche critique, dans laquelle une erreur ou un oubli poserait un réel problème qu'il ne suffirait pas de régler une fois qu'on s'en est aperçu (ex : on risque de perdre un prospect / de l'argent / la confiance d'un client), alors c'est qu'il faut procéder différemment.
Dans ce cas, Il faut prendre le temps d'analyser la tâche en amont pour éliminer le plus possible les risques de bugs, prendre le temps de l'implémenter correctement, et de tester le résultat de manière approfondie.
Du coup le vrai problème devient d'identifier une telle tâche, et de prévoir alors l'investissement (au moins en temps) nécessaire. Autrement dit de gestion du risque. Ah tiens, justement, c'est le boulot de ton chef (ou éventuellement le tien, mais dans ces cas là tu as rarement à te justifier de la manière de procéder)... Et prendre en compte l'avis d'un technicien au préalable si besoin est au lancement de la tâche, tout en revoyant le budget temps toujours si il le faut, c'est son boulot aussi. Donc en fait ce qu'il faut c'est pas se justifier, c'est savoir quand on a une chance de convaincre son chef pour avoir le temps de le faire proprement...
C'est marrant j'ai l'impression qu'on s'éloigne de la problématique de geek, là. Ou alors on la déplace au niveau au dessus, tétracapillosection, tout ça... ;-)
À mon avis, il s'agit tout simplement d'un logiciel (IPBX ou autre) mal configuré.
Ben oui, le numéro de l'appelant, c'est comme l'adresse de l'émetteur dans un e-mail : c'est l'émetteur qui le met, et il n'est jamais vérifié...
Bon, a priori, il faut que l'opérateur l'autorise. D'après mon expérience, c'est généralement le cas en france sur les lignes pro (type T1 ou T2), enfin celles qui nécessitent un Autocomm (PBX) quelconque. Mais c'est peut-être aussi le cas sur les simples lignes analogiques.
Je crois que sur les réseaux GSM c'est plus compliqué que ça. D'ailleurs il y a un tas de commandes GSM au nom évocateur [1] qui font penser qu'on a un minimum de contrôle là dessus, ainsi que des fausses manip avec un modem SMS et sms-tools.
Le fait est qu'il aurait sérieusement besoin d'être dépoussiéré. Tout ce qui est daté est trop vieux, c'est plus des geek qu'il teste c'est des dinos. En plus les jeunes geeks d'aujourd'hui ont sûrement des passe-temps que je n'imagine même pas. Par exemple, il n'y a rien sur les réseaux sociaux à la facebook / myspace, etc. Bon c'est des trucs de kikoololeurs, mais je pense qu'il doit y avoir des geeks là dedans aussi, notamment les plus jeunes.
Par contre même moi qui ait des tendances dino, j'ai plus de console de jeu datant d'avant 1985 (j'en ai eu, cela dit). Par contre j'ai encore une super nes et mine de rien ça commence à dater. Je connais aussi pas mal de gens qui ont toujours une Dreamcast, et ça c'est clairement un truc de geek (surtout si elle sert de serveur web ou à jouer à des jeux créés par des fans).
... Bref, un volontaire pour refaire une version à jour ? ;-)
Malin, peut-être, mais pas pragmatique. Passer plus de temps à programmer une tâche qu'à l'effectuer à la main, parce que c'est plus amusant, c'est compréhensible pour un geek mais c'est généralement considéré comme immature.
Je ne parle pas de désobéir à un ordre direct, c'est non seulement immature (oui être rebelle de cette manière est généralement considéré comme un comportement immature), c'est souvent idiot en fonction de la situation (perdre son travail plutôt qu'une heure de son temps, en passant au final plus de temps à travailler ? n'importe quel adulte normalement constitué vous dira que c'est débile :-) )
... Notez que je n'ai pas dit que ce n'était pas le genre de choses que je pourrais faire si je ne me surveille pas ! ;-)
Cela dit, en tant que geek fourbe, j'essaierai de le justifier : « oui mais je ne vais pas y passer des heures, je vais réutiliser tel et tel bout de script... En plus je suis sûr que ça resservira dans telle et telle situation... ». Et puis en vieillissant on devient moins geek, ça doit être parce qu'on a plus tendance à déléguer les tâches et moins à les faire soi-même... ;-)
Attention, ce qui commence par « selon les requérants » ne sert qu'à rappeler le contenu de la saisine. Pas la décision des Sages.
Ils considèrent qu'il n'y a pas de surveillance de la correspondance privée par les agents de l'HADŒPI.
Par contre, ils considère que la vie privée, c'est quand même fondamental, autant que le respet de la propriété intellectuelle, et qu'il faut donc que ça ne soit pas disproportionné : le fichier ne doit avoir pour contenu que ce qui sert son objet, et cet objet est limité à la collecte des informations permettant la saisie de l'autorité judiciaire. Enfin, devrait.
Résultat, il reste quand même le fichier des ip (pas des noms, ils ne peuvent être obtenu sans juge), mais bon ça ils l'ont probablement déjà, au moins c'est une autorité d'état dont les salariés sont assermentés. La Cnil, chatouilleuse qu'elle doit être après le camouflet qui lui a été infligé par les députés, y prêtera probablement une bonne part de ses maigres moyens.
Il reste aussi les avertissements par courrier.
Pour bien comprendre les tenants et les aboutissants de la décision du CC, tu peux lire le blog de Me Eolas [1], dont on parle plus haut dans les commentaires : c'est plus clair, et c'est bien plus agréable à lire que le jargon législatif....
Surtout que c'est quand même beaucoup plus sympa à lire que la prose des Sages.
Un petit jeu pour les apprentis juristes qui dorment en chacun de nous dès que ça touche de près ou de loin aux réseaux ou à l'informatique : Commencer par lire le communiqué du Conseil Constitutionnel et après aller vérifier chez Eolas si on avait bon. Pas si simple mais gratifiant quand on ne se trompe pas trop ;-)
Sur ce, je vous souhaite une joyeuse auto-délation, vous permettez que je vous attribue un caractère masochiste, vous n'êtes plus à cela prêt.
.
Je ne suis pas d'accord. Ce n'est pas du masochisme, c'est croire en la démocratie, en la liberté de penser et de s'exprimer.
Si il y a bien un fichage, se cacher et ne pas répondre à la consultation n'est pas une solution. Si il y a un fichage, il y a bien d'autres moyens de connaître mon opinion, que je ne cache pas. D'ailleurs les RG sont sans doute déjà au courant.
Par contre ne pas répondre quand on a la capacité et l'intérêt de le faire (et comme dit plus bas, les questions sont pointues, et il ne faut pas non plus répondre à la légère), c'est se désintéresser de l'attitude du gouvernement sur la question.
Après, c'est une consultation publique, pas un sondage. On ne cherche pas à connaître l'opinion de Kévin Michu ni de sa Grand-Mère, mais à obtenir des réponses d'experts, de professionnels, de gens qui réfléchissent sur les usages actuels et futur du réseau.
Ca doit bien être le cas d'un certain nombre de personnes ici, non ?
[^] # Re: Ça mérite deux dépêches
Posté par nodens . En réponse au journal En vrac : Python 3.1, Netbeans 6.7. Évalué à 1.
Le gros intérêt à mon goût était qu'on pouvait éditer sa dépêche, et la soumettre à une aide éditoriale. On continuait à l'éditer en fonction des remarques obtenues quand la dépêche était dans l'aide éditoriale. De mémoire il fallait un certain nombre de votes "bon pour la publication" avant que la dépêche sorte de l'incubateur. L'incubateur permettait éventuellement de participer à la dépêche d'un autre en fournissant ajouts et critiques si la dépêche qu'on voulait poster était déjà présente. En fait tout le monde pouvait être admodérelecteur :-)
Même que c'était avant que Wikipedia soit connu. Je suis sûr que le concept est bon mais il faut beaucoup de discipline, d'ailleurs pas tellement éloignée de ce qu'on rencontre maintenant sur wikipédia. Peut-être que maintenant ça prendrait mieux, les gens sont plus habitués à ce fonctionnement collégial collaboratif.
[1] http://tribunelibre.org. Aucun rapport avec le rocher sur lequel s'accrochent les moules. Cela dit maintenant ça donne une erreur 403, il faut aller chercher sur archive.org pour se faire une idée. Le sous-titre était "c'est toi qui postes, c'est toi qui choisis".
[2] où, si ça avait un rapport avec l'informatique, on était souvent redirigé sur linuxFR, mais bon... ;-)
[^] # Re: Soit dit en passant.
Posté par nodens . En réponse au journal Script Iptables. Évalué à 3.
[^] # Re: serveur dedié (un poil hs)
Posté par nodens . En réponse au journal Script Iptables. Évalué à 4.
Du coup la cible c'est plutôt du windows, tout simplement parce qu'il y a moins de chances de se faire repérer (un utilisateur de système alternatif a tendance à s'intéresser à ce qui se passe sur son système), et qu'il y en a plus donc les attaques de masse sont plus rentables. En plus le layer 8 est généralement plus vulnérable.
Par contre un serveur dédié, c'est royal pour tout ce qui demande de la bande passante ou une faible latence, et les machines unix-like sont idéales comme machines rebond pour attaquer d'autres machines.
La finalité des attaques n'est donc pas la même (mais elles ne sont pas moins nombreuses pour autant, surtout que la durée de vie d'une machine piratée n'est pas forcément très longue, on se fait parfois repérer assez vite donc il faut en avoir un certain nombre sous le coude).
Du coup, le "public" à l'origine des attaques est différent. D'ailleurs les moyens de sécurisation les plus rentables ne sont pas les mêmes non plus (par rentables, j'entend qui rapporte le meilleur ratio attaques/protection).
Un serveur unix-like qui ne peut pas établir de connexions vers l'extérieur et qui n'a que du 80 et du 22 ouvert en entrée, et ce par un par feu sur une machine distincte, présente peu d'intérêt. Par contre toute possibilité de sortie (p2p, irc, web, ssh...) le rend particulièrement attrayant, si on a le moyen de le contrôler (et les connect-back servent à ça).
[^] # Re: Pas de réponse aux demande de ping
Posté par nodens . En réponse au journal Script Iptables. Évalué à 3.
· le fait qu'il soit très simple de tuneller à peu près n'importe quoi dans le ping (bon ça marche aussi avec les requêtes DNS, et d'autres trucs...)
· il y a beaucoup de types / codes inusités, qui servent beaucoup au fingerprinting et à la découverte de réseaux (http://www.securitypronews.com/securitypronews-24-20030929OS(...) est un bon résumé)
En ce qui concerne le premier point, un bon IDS fait l'affaire pour la majeure partie des cas (et quand le contenu est crypté au point d'être invisible, ben c'est qu'on est tombé sur un sacré balaise, et là on a du souci à se faire). De plus, limiter le nombre de réponses au ping va poser des problèmes à l'utilisateur du tunnel (par exemple ne répondre qu'à 1 ping sur 3).
Pour le second, il y a des méthodes qui relèvent plus de la configuration des systèmes protégés que du pare-feu lui même. Par exemple, sous linux, ne pas répondre à un ping sur l'adresse de réseau ou de diffusion. Ce genre de chose se configure à coup de sysctl. De plus, on peut limiter les réponses aux types de messages considérés comme légitimes.
Voici ce que j'ai sur un pare-feu ipv4 only (en ipv6 j'ai pas encore creusé la question) :
for icmptype in echo-request echo-reply fragmentation-needed port-unreachable host-unreachable ttl-exceeded; do
$ipcmd -A INPUT -m limit --limit 2/second -p icmp --icmp-type $icmptype -j ACCEPT
$ipcmd -A OUTPUT -p icmp --icmp-type $icmptype -j ACCEPT
done
$ipcmd contient évidemment "/sbin/iptables <les options que je veux toujours mettre>"
(dans certains cas on peut vouloir autoriser l'icmp redirect en plus, mais c'est à limiter à l'interface sur laquelle on en a besoin).
[^] # Re: Zut.
Posté par nodens . En réponse à la dépêche Grand quizz des 11 ans : connaissez-vous bien LinuxFr.org ? (jour 2). Évalué à 2.
Ptain. J'ai fait "écrire une dépêche", et j'ai compté les 47 (ou 57, je sais plus) propositions du menu déroulant. La question était mauvaise, je veux mes points.
La question précise bien « sections », pas « thèmes ».
[^] # Re: Caramba, encore raté
Posté par nodens . En réponse à la dépêche Grand quizz des 11 ans : connaissez-vous bien LinuxFr.org ? (jour 2). Évalué à 3.
De toutes façon j'avais aussi mis 38 au lieu de VA38 partant du principe qu'un numéro était un nombre, et que VA était générique pour le village associatif.
Vérification faite dans le dico j'ai eu tort (on parle bien de numéro d'immatriculation pour les voitures alors que ce dernier contient aussi des lettres).
Bravo aux 3 qui avaient tout juste ! :-)
[^] # Re: claire
Posté par nodens . En réponse au journal Script Iptables. Évalué à 3.
Par contre je suis plus mitigé en ce qui concerne un exemple compliqué, par exemple un grand nombre de serveurs avec du nat.
Dans ce cas, moi qui ait appris à maîtriser la syntaxe netfilter (dans la douleur, certes), pf me pose des soucis. Par exemple, je n'arrive pas à saisir le cheminement d'un paquet dans les différentes règles. Avec netfilter, à défaut d'être simple et clair c'est bien expliqué, y'a même un schéma [1].
Je n'ai jamais été fichu de me mettre dans la tête à quoi faisait référence « in » et « out » : à l'interface ? au système ?
Intellectuellement j'aurais envie de dire l'interface, mais à chaque fois j'ai un doute.
Autre chose qui fait que c'est parfois pas facile à lire, toujours dans le cas d'un grand nombre de serveurs avec du nat, c'est qu'on est obligé de mettre d'abord les règles de nat etc, et ensuite les règles de filtrage. Pas moyen de faire des blocs de règles nat + filtrage par serveur par exemple.
Après, qu'on ne me fasse pas dire ce que je n'ai pas dit, techniquement je n'ai rien à reprocher à pf bien au contraire. Notamment la notion d'ancres (dommage qu'on ne puisse pas hériter des macros) et de tables est géniale (netfilter a ipset mais c'est plus compliqué à mettre en oeuvre). Ah si, un truc qui m'embête quand même : l'absence de conntrack pour le ftp. ftp-proxy, sur un grand nombre de serveurs NATés, c'est pas gérable [2].
[1] http://fr.wikipedia.org/wiki/Fichier:Netfilter_schema.png - Si quelqu'un me trouve l'équivalent pour PF je suis preneur.
[2] oui, le NAT c'est mal, et le ftp aussi, mais il faut bien faire avec l'existant, et c'est quand même bien pratique.
# modules GPL
Posté par nodens . En réponse à la dépêche Les serveurs HP et les distributions Linux communautaires. Évalué à 2.
[^] # Re: je voudrais pas casser le trip, mais...
Posté par nodens . En réponse au journal Eclipse Galileo et Jaunty. Évalué à 2.
Quand on a l'affichage mixte dépêche/journal , avec la pondération intérêt / date, ce n'est (n'était) plus en première page. Je n'avais pas vu la dépêche en question. D'ailleurs ça ne change rien au fait qu'un contenu devrait pouvoir être lu indépendemment :-)
Cela dit ça montre que si on ne passe pas tous les jours, il faut quand même jeter un oeil aux dépêches seules parce qu'elles disparaissent assez vite de la première page... Bon à savoir.
Pour info, Galileo n'est pas ni future version d'Eclipse, ni Eclipse 3.5. C'est la release groupée annuelle du projet Eclipse, et ça ne s'explique pas en deux mots.
Tu viens de le faire, non ? ;-)
'fin bon je me suis expliqué à ce sujet avec l'auteur du journal en question, et lui a compris ma critique, et maintenant grâce à toi je sais de quoi il s'agit vraiment. C'est plutôt pas mal au final.
[^] # Re: C'est quoi le troll ?
Posté par nodens . En réponse au journal La boisson des moules le vendredi soir. Évalué à 2.
Mais manifestement c'est comme ce journal, ça parle de bière, en essayant d'attirer les moules à coup de promesses fallacieuses (trolls velus, etc). ;-)
[^] # Re: je voudrais pas casser le trip, mais...
Posté par nodens . En réponse au journal Eclipse Galileo et Jaunty. Évalué à 0.
Je n'ai même pas dit que c'était inintéressant, d'ailleurs, même si ça m'intéresse assez peu puisque je n'utilise pas Eclipse. J'ai juste dit que j'étais frustré par le manque d'explication introductive. On a beau mouler, on n'est pas forcément au courant de tous les noms de code de toutes les logiciels, déjà avec les distributions c'est pas forcément simple... Galileo aurait très bien pu être un plugin par exemple.
[^] # Re: je voudrais pas casser le trip, mais...
Posté par nodens . En réponse au journal Eclipse Galileo et Jaunty. Évalué à 3.
Eclipse est quand même moins visible que Debian (dont l'origine du nom n'aide pas beaucoup à quoi il comprendre de quoi il s'agit) ou GNU (certes, il s'agit d'un acronyme récursif. Avec ça je vais bien sûr deviner qu'il s'agit en fait d'un d'un système d'exploitation et partant, d'une suite de logiciel).
Cela dit je n'ai rien contre les journaux vite fait en passant, j'ai simplement été frustré parce que j'ai du chercher pour comprendre de quoi il s'agissait, même si j'ai déjà entendu parler d'Eclipse (je l'ai même essayé, mais je n'en ai pas l'usage) ; alors que l'information qu'il me manquait tenait en quelque mots.
[^] # [HS] Re: je voudrais pas casser le trip, mais...
Posté par nodens . En réponse au journal Eclipse Galileo et Jaunty. Évalué à -1.
.../me sors et s'en va voir si il n'y une entrée dans le suivi pour avoir des réfénces dans les commentaires.
# je voudrais pas casser le trip, mais...
Posté par nodens . En réponse au journal Eclipse Galileo et Jaunty. Évalué à 1.
Alors bien sûr je vois que ça touche à Eclipse, donc ça doit avoir à voir avec des outils de dev. je peux faire une recherche dans n'importe quel moteur, j'aurais sûrement un lien vers une ou plusieurs pages qui m'expliqueront de quoi il s'agit. Mais franchement, ça aurait pas coûté grand chose de mettre 3 mots d'explication sur ce que c'est, et un petit lien.
D'ailleurs puisque j'ai fait le travail autant en faire profiter tout le monde : Galileo est le nom de code de la future version d'eclipse, la 3.5 : http://wiki.eclipse.org/Eclipse/Galileo_Plan. Bon ben si il y avait simplement eu "Eclipse 3.5 « Galileo »" à la place j'aurais compris. Mais un lien vers la page de téléchargement [1], ça aurait pas été du luxe !
Ca ne serait pas devenu le journal de l'année, mais au moins ça n'aurait pas eu l'air d'un post tweeter [1] à rallonge.
Allez, ça sera mieux la prochaine fois.
[1] http://www.eclipse.org/downloads/
[2] http://tweeter.com plateforme bien connue de microblogging [3]
[4] ben oui je donne l'exemple. Et je continue : Microblogging ça sert à faire des posts ultra courts (160 caractères max) pour dire par exemple qu'on a envie de faire caca ou qu'on travaille à un patch attendu depuis des lustres sur tel ou tel logiciel ultra-connu, sans approfondir. Comme on peut le voir l'intérêt est variable : on est soulagé dans le premier cas, frustré dans le second ;-)
PS: oui mon commentaire présente à peu près autant d'intérêt que le journal, mais je n'avais que ça à faire et je n'ai pas honte de le dire ;-)
... Pis moi je mets des liens comme ça on comprend même si ça n'est pas intéressant. Si ça se trouve j'ai passé plus de temps à écrire mon commmentaire qu'il n'en a été passé à rédiger le journal...
[^] # Re: la cabale...
Posté par nodens . En réponse au journal Hadopi ou ?. Évalué à 3.
http://www.thedarkcitadel.com/blog/2009/06/megavideo-down.ht(...)
Allez ce soir c'est rétabli ;-)
# la cabale...
Posté par nodens . En réponse au journal Hadopi ou ?. Évalué à 4.
plusieurs FAI français blocant un site aussi visible sans prévenir, en même temps, ça me parait louche. D'autant que Free s'est toujours montré très virulent face au filtrage (bon d'accord là c'est DNS pas L4, mais quand même).
[^] # Re: ta definition
Posté par nodens . En réponse au journal Telling a geek. Évalué à 2.
— Il peut y avoir des erreurs ou des oublis dûs à un bug dans le script, qui si ils sont rares (cas particulier pas prévu) passeront inaperçus aussi (alors que si c'est fait par un cerveau humain, il y a des chances que l'anomalie soit prise en compte quand elle est rencontrée) ;
— pressé par le temps sous la pression de ta hiérarchie (il faut aller aussi vite que si c'était fait à la main), tu cours plus de risque que ce type de problème arrive ;
— rien ne dit que tu ne devras pas tout refaire si tu fais un script jetable et que les données de départ changent ;
— au lieu de mouler, tu ferais mieux de prendre de l'avance sur telle ou telle tâche qui traîne depuis X temps (il y a toujours une tâche en retard, en cherchant bien).
Du coup la question qu'il faut se poser est différente. Si il s'agit d'une tâche critique, dans laquelle une erreur ou un oubli poserait un réel problème qu'il ne suffirait pas de régler une fois qu'on s'en est aperçu (ex : on risque de perdre un prospect / de l'argent / la confiance d'un client), alors c'est qu'il faut procéder différemment.
Dans ce cas, Il faut prendre le temps d'analyser la tâche en amont pour éliminer le plus possible les risques de bugs, prendre le temps de l'implémenter correctement, et de tester le résultat de manière approfondie.
Du coup le vrai problème devient d'identifier une telle tâche, et de prévoir alors l'investissement (au moins en temps) nécessaire. Autrement dit de gestion du risque. Ah tiens, justement, c'est le boulot de ton chef (ou éventuellement le tien, mais dans ces cas là tu as rarement à te justifier de la manière de procéder)... Et prendre en compte l'avis d'un technicien au préalable si besoin est au lancement de la tâche, tout en revoyant le budget temps toujours si il le faut, c'est son boulot aussi. Donc en fait ce qu'il faut c'est pas se justifier, c'est savoir quand on a une chance de convaincre son chef pour avoir le temps de le faire proprement...
C'est marrant j'ai l'impression qu'on s'éloigne de la problématique de geek, là. Ou alors on la déplace au niveau au dessus, tétracapillosection, tout ça... ;-)
[^] # Re: my life
Posté par nodens . En réponse au journal À mort les arnaques téléphoniques. Évalué à 3.
[^] # Re: Pub sur fixe
Posté par nodens . En réponse au journal À mort les arnaques téléphoniques. Évalué à 2.
[^] # Re: my life
Posté par nodens . En réponse au journal À mort les arnaques téléphoniques. Évalué à 3.
Ben oui, le numéro de l'appelant, c'est comme l'adresse de l'émetteur dans un e-mail : c'est l'émetteur qui le met, et il n'est jamais vérifié...
Bon, a priori, il faut que l'opérateur l'autorise. D'après mon expérience, c'est généralement le cas en france sur les lignes pro (type T1 ou T2), enfin celles qui nécessitent un Autocomm (PBX) quelconque. Mais c'est peut-être aussi le cas sur les simples lignes analogiques.
Je crois que sur les réseaux GSM c'est plus compliqué que ça. D'ailleurs il y a un tas de commandes GSM au nom évocateur [1] qui font penser qu'on a un minimum de contrôle là dessus, ainsi que des fausses manip avec un modem SMS et sms-tools.
[1]http://web.telia.com/~u47904776/gsmkode.htm#nummerpres
[^] # Re: Pas du tout !
Posté par nodens . En réponse au journal Telling a geek. Évalué à 2.
Par contre même moi qui ait des tendances dino, j'ai plus de console de jeu datant d'avant 1985 (j'en ai eu, cela dit). Par contre j'ai encore une super nes et mine de rien ça commence à dater. Je connais aussi pas mal de gens qui ont toujours une Dreamcast, et ça c'est clairement un truc de geek (surtout si elle sert de serveur web ou à jouer à des jeux créés par des fans).
... Bref, un volontaire pour refaire une version à jour ? ;-)
[^] # Re: ta definition
Posté par nodens . En réponse au journal Telling a geek. Évalué à 2.
Je ne parle pas de désobéir à un ordre direct, c'est non seulement immature (oui être rebelle de cette manière est généralement considéré comme un comportement immature), c'est souvent idiot en fonction de la situation (perdre son travail plutôt qu'une heure de son temps, en passant au final plus de temps à travailler ? n'importe quel adulte normalement constitué vous dira que c'est débile :-) )
... Notez que je n'ai pas dit que ce n'était pas le genre de choses que je pourrais faire si je ne me surveille pas ! ;-)
Cela dit, en tant que geek fourbe, j'essaierai de le justifier : « oui mais je ne vais pas y passer des heures, je vais réutiliser tel et tel bout de script... En plus je suis sûr que ça resservira dans telle et telle situation... ». Et puis en vieillissant on devient moins geek, ça doit être parce qu'on a plus tendance à déléguer les tâches et moins à les faire soi-même... ;-)
[^] # Re: Logiciel labellisé ne serait plus obligatoire
Posté par nodens . En réponse au journal Censure du dispositif de riposte graduée de la loi HADOPI. Évalué à 3.
Ils considèrent qu'il n'y a pas de surveillance de la correspondance privée par les agents de l'HADŒPI.
Par contre, ils considère que la vie privée, c'est quand même fondamental, autant que le respet de la propriété intellectuelle, et qu'il faut donc que ça ne soit pas disproportionné : le fichier ne doit avoir pour contenu que ce qui sert son objet, et cet objet est limité à la collecte des informations permettant la saisie de l'autorité judiciaire. Enfin, devrait.
Résultat, il reste quand même le fichier des ip (pas des noms, ils ne peuvent être obtenu sans juge), mais bon ça ils l'ont probablement déjà, au moins c'est une autorité d'état dont les salariés sont assermentés. La Cnil, chatouilleuse qu'elle doit être après le camouflet qui lui a été infligé par les députés, y prêtera probablement une bonne part de ses maigres moyens.
Il reste aussi les avertissements par courrier.
Pour bien comprendre les tenants et les aboutissants de la décision du CC, tu peux lire le blog de Me Eolas [1], dont on parle plus haut dans les commentaires : c'est plus clair, et c'est bien plus agréable à lire que le jargon législatif....
[1] http://www.maitre-eolas.fr/2009/06/11/1447-in-memoriam-hadop(...)
[^] # Re: pas prem
Posté par nodens . En réponse au journal Censure du dispositif de riposte graduée de la loi HADOPI. Évalué à 2.
Un petit jeu pour les apprentis juristes qui dorment en chacun de nous dès que ça touche de près ou de loin aux réseaux ou à l'informatique : Commencer par lire le communiqué du Conseil Constitutionnel et après aller vérifier chez Eolas si on avait bon. Pas si simple mais gratifiant quand on ne se trompe pas trop ;-)
[^] # Re: Oui pourquoi pas
Posté par nodens . En réponse au journal Consultation publique sur l’Internet du futur. Évalué à 2.
Sur ce, je vous souhaite une joyeuse auto-délation, vous permettez que je vous attribue un caractère masochiste, vous n'êtes plus à cela prêt.
.
Je ne suis pas d'accord. Ce n'est pas du masochisme, c'est croire en la démocratie, en la liberté de penser et de s'exprimer.
Si il y a bien un fichage, se cacher et ne pas répondre à la consultation n'est pas une solution. Si il y a un fichage, il y a bien d'autres moyens de connaître mon opinion, que je ne cache pas. D'ailleurs les RG sont sans doute déjà au courant.
Par contre ne pas répondre quand on a la capacité et l'intérêt de le faire (et comme dit plus bas, les questions sont pointues, et il ne faut pas non plus répondre à la légère), c'est se désintéresser de l'attitude du gouvernement sur la question.
Après, c'est une consultation publique, pas un sondage. On ne cherche pas à connaître l'opinion de Kévin Michu ni de sa Grand-Mère, mais à obtenir des réponses d'experts, de professionnels, de gens qui réfléchissent sur les usages actuels et futur du réseau.
Ca doit bien être le cas d'un certain nombre de personnes ici, non ?