voxdemonix a écrit 914 commentaires

Et n'oubliez pas toutes les requêtes réseaux qui vont faire consommer les switch, les routeurs et le stuff du FAI.

A noter qu'un écran en veille consomme quand même un peu d'énergie.

L'objectif est qu'à une plage horaire donnée, il se mette en veille ou s'éteigne afin que l'écran s'éteigne à son tour et se rallume le lendemain.

Utilise un bête timer électrique. Tu balances le cron de ton shutdown now -h 5 bonnes minutes avant que ton timer ne coupe l'alimentation (ainsi l'OS a le temps de se couper même s'il se tape un lag), et quand le timer va renvoyer de l'énergie (a l'heure de ton choix) pouf le raspberry pi va se rallumer.

Sinon tu fabriques un bloc multiprises programmable avec un autre RPI et un relais :D

les proxy savent faire du man in the middle.

Cela sous entends quand même créer une autorité de certification et la propager dans tout les périphériques connectés au réseau LAN.
Déjà ce n'est pas faisable en deux clics, mais en prime cela est impossible avec l'IOT mal codée et avec le partage de connexion *1.

*1 Tes invités avec leur smartphone vont juste voir que ça ne va pas et trouver "ton truc chelou" quand tu vas vouloir ajouter ton autorité de certif. Dans un cadre "familiale/maisonnée" sa signifie que la personne qui gère le serveur peut épier tout les autres.

L'outil est Packet Capture : https://play.google.com/store/apps/details?id=app.greyshirts.sslcapture&hl=en

Il ne semble pas capable de zieuter les applications système :( (en tout cas pas moyen de choper les requêtes en claire qui pointent vers captive.apple.com)

Merci pour ton retour fort enrichissant. ;)

Voila c'est corrigé.
S'était

sudo chmod +x ./log2ram-master/install.sh && cd ./log2ram-master && sudo ./install.sh

au lieu de

sudo chmod +x ./log2ram-master/install.sh && sudo ./log2ram-master/install.sh

En effet l'installeur doit être lancé depuis le dossier d'installation de log2ram.

On soulignera la rapidité de réponse du dev ;) GJ !

Problème remonté au dev de log2ram : https://github.com/azlux/log2ram/issues/55

J'ai testé aussi, l'installation ne fonctionne pas mais par contre je n'ai pas tout tes problèmes de DNS, package etc.
Si tu es sous ARM (raspbian ou ubuntu-minimal), dnsmasq, qui est intégré a NetworkManager, a tendance à être instable (sur certains machines ça va, sur d'autres il crash toutes les 10 minutes). Il suffit de redémarrer network-manager via 'sudo service network-manager restart' afin que cela refonctionne.

Attention : si vous utilisez ce tuto pour bloquer l'accès à des noms de domaines (par exemple googleanalytic) en renvoyant vers une IP inexistante :
Certains Fournisseurs d'accès Internet, entre autre Proximus/Belgacom, font quand même sortir du LAN des données qui sont censées ne pas être routées, provoquant ainsi une fuite de données potentiellement grave pour la vie privée.
Par exemple si votre réseau se situe sur 192.168.0.1 et que vous tentez de joindre l'ip 192.168.42.42, voici ce que cela donne

└─ $ ▶ traceroute 192.168.42.42
traceroute to 192.168.42.42 (192.168.42.42), 30 hops max, 60 byte packets
 1  _gateway (192.168.0.1)  3.835 ms  4.076 ms  11.246 ms
 2  xx.xxx-183-91.adsl-dyn.isp.belgacom.be (91.183.xxx.xxx)  63.382 ms  63.984 ms  64.736 ms
 3  xxx.xxx-183-91.adsl-static.isp.belgacom.be (91.183.xxx.xxx)  40.081 ms  45.656 ms  46.774 ms
 4  ae-xxx-xxx.ibrstr1.isp.belgacom.be (91.183.xxx.xxx)  48.130 ms  51.493 ms  53.148 ms
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

Pensez donc à vérifier, via l'outil tracert / traceroute , le chemin qui se situe entre vos utilisateurs et l'adresse IP sensée être "morte" (down).

Chuûuûuûuûut, il ne faut pas qu'on sache que je l'ai codé, et ce avant même ma naissance, afin de pouvoir monologuer en vous bluffant tous !

j'avais rencontré ce problème de hairpinning, sans savoir que ça portait ce nom, ça m'a permit de faire une petite recherche

Si tu t'auto-héberges et que le HairPinning n'est pas dispo, tu peux suivre ce tuto : [Tuto/HowTo] Mettre en place un serveur DNS aux noms de domaines parametrable (Rogue DNS)
Résultat : beaucoup beaucoup beaucoup moins de messages d'erreurs sur Android qu'en laissant le réseau juste sans HairPinning. (si tu utilises les apps Nextcloud sur Android, ça va te permettre d'en finir avec l'avalanche de notifications d'erreurs quand tu es sur le même réseau que ton serveur)

C'est plus propre.
Prochaine étape, un ptit cron qui pousse le tout dans la rédaction :)

Avec 3 mois de préavis et jusqu'à 8 mois de période d'essai…

Et a plus de 300 bornes de chez toi.

il y a eu 4 pages wiki :P
[Tuto/HowTo] HaProxy - bloquer les serveurs renvoyant des erreurs HTTP (29/08)
Les tribunes sur internet (29/08)
[Tuto/HowTo] Mettre en place un serveur DNS aux noms de domaines parametrable (Rogue DNS) (20/08)
[Tuto/HowTo] configurer la BBOX2 (proximus) - Changer les DNS utilisés par les clients du LAN (19/08)

N'est-ce pas en contradiction avec le principe de neutralité du Net de bloquer des plages d'IP ?

Ça dépends sur quel type de matériel tu l'appliques.
La Neutralité du Net traite de l'acheminement des données d'un point A à un point B, et donc de la partie matériel réseau.
Les serveurs quant à eux ne font pas partie de l'internet mais sont en périphérie et c'est à eux de choir si ta requête est légitime ou non.

Par exemple : ton opérateur qui bloque le HairPinning pour te dissuader de t'auto-héberger, c'est une atteinte à la Neutralité du Net. Par contre si ton serveur refuse les connexions provenant de Chine, ça ne regarde que toi.

Ce genre de blocage large généralement impacte bien plus que voulu.

Déconseillé si on utilise un système de fédération à la owncloud ou si beaucoup d'users proviennent de VPN installés chez un hébergeur.
Mais en spécifiant les plages d'IP en entrée et les ports de destination (par exemple 22/80/443) on diminue déjà pas mal les dommages collatéraux.

Sans avoir plus de contexte, c'est difficile d'évaluer si c'est une bonne idée de le faire ou pas.

Contexte : expérimentation (par curiosité) afin de lutter contre le "bruit" et ainsi, peut-être diminuer (un peu) l'impacte énergétique des serveurs backends.

Zut, j'ai bad clique sur -1 au lieu de +1 (svp quelqu'un pour rattraper le coups).

Tu n'es pas obligé de faire partie de l'équipe d'un projet libre pour participer. Tu peux n'être qu'un simple utilisateur qui propose de petites/moyennes modifications par-ci et là :)

Mais du fond du cœur, le jour où je vois que je peux mener le travail que je fais avec des logiciels libre je le fais !

Quels sont les défauts/manques de Gimp (+ éventuellement ZeMarmot) et Blender, outre de ne pas être vendu a 250€ pièces (*1), pour être aussi peu considéré par le milieu académique ?

*1 et donc de ne pas provoquer l'effet "c'est chers donc c'est d'la balle"

On peut pas faire plus chaud :D Merci.

C'est très simple, ce projet, quand on le compare à d'autres solutions comme OpenVPN

VS OpenVPN seul c'est vrai car ce dernier est une horreur. Par contre OpenVPN en utilisation avec PiVPN (un ensemble de script pour ubuntu/debian/raspbian) c'est se qu'on trouve de plus simple actuellement (et que j'espère vite voir débarquer pour wireguard).

Si wireguard arrive enfin pour le monde de la Prod, se serait intéressant de faire un petit comparatif vs OpenVPN/PiVPN et un retour d'expérience :) (je suis curieux de savoir si wireguard respect ces annonces (vitesses supérieur a OpenVPN, plus stable, multi-threading, etc))

Le calcul ne s'effectue que sur une seule page, non sur l'entièreté du site. (j'ai vérifié mes logs)
Le résultat sera donc bien différent si vous checkez une page statique en html ou une page dynamique avec des ressources dans des fichiers externes (ex CSS, javascript etc).

Youpee, encore un énième scrapy qui va bouffer nos ressources pour permettre à d'autres de se faire de l'argent sur notre dos.
Et comme la plus part des trucs basé sur scrapy, le robot.txt à l'air d'être un truc OSEF.

J'espère que vous avez au moins mis un user-agent par défaut histoire qu'on puisse bloquer les plus noobs.

Le projet est enfin devenu utilisable ? (terminé, stable et surtout, audité ?)

En espérant que ce projet prometteur (encore un) se simplifie rapidement.

Les interfaces des logiciels proprio dans les restos ou l'administration sont pas mal non plus en matière de truc bien dégueulasse. (généralement des tableaux carré surchargé d'infos)

Le problème c'est que les graphistes contributeurs, ça pousse pas sur les arbres.

Peu étonnant avec des écoles qui leur enseignent uniquement la production d'oeuvres égoistement ultra-copyrightées, créee sur 3DSMax et autres logiciels proprio.
Une forte majorité d'artistes espère plus choper le salaire et la notoriété de steve job que de participer à l'évolution du monde via la participation à l'écosystème technologique libre.

Pour l'édition actuelle du tuto :

• Le mécanisme se propage bien de routeur en routeur (y compris aux clients connectés aux wifis des autres routeurs du réseau).
• Les machines sous Ubuntu-minimal (odroid) et Raspbian (RPI) prennent en compte le DNS mais pas les desktop Windows ni Ubuntu.

Sinon moi je vais exiger que Debian distribue mon soft pas libre. Y’a pas de raisons, si ça marche pour Apple et google ca marche pour Debian aussi.

Debian ne t'empêche pas d'installer des applications qui ne respectent pas les principes de la fondation (par exemple SublimeText, les drivers proprio).
Android ne t'empêche pas d'installer des applications de "sources inconnues" (pourtant Google ne doit vraiment pas kiffer YalpStore et LuckyPatcher qui permettent de hacker allègrement son business modèle).

L'annuaire CB3ROB possède bien un crawler qui aura mis du temps à se faire remarquer. Le bot est de type Health Check.
Voici le type de log qu'on peut voir dans apache2

127.0.0.1 - - [16/Jun/2018:18:57:12 +0200] "GET / HTTP/1.1" 200 1887 " http://darkweb2zz7etehx.onion" "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/42.2"
127.0.0.1 - - [16/Jun/2018:22:51:41 +0200] "GET / HTTP/1.1" 200 1887 " http://darkweb2zz7etehx.onion" "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/42.2"
127.0.0.1 - - [17/Jun/2018:04:26:39 +0200] "GET / HTTP/1.1" 200 1887 " http://darkweb2zz7etehx.onion" "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/42.2"

On remarque que les logs sont quasi identique a ceux de AHMIA. Il fake un firefox 42 sur Win7 et spam le referer afin de faire sa pub.
Pour le bloquer, bannissez tout referant contenant "darkweb2zz7etehx.onion".

L'annuaire possède aussi un lien Tor : http://darkweb2zz7etehx.onion

Petite correction si les modos sont vraiment motivé (si non osef/pas grave), j'ai cliqué sur la balise lien en lieu et place de la balise image et donc " Dans iftop on voit bien le tor node par où transitent les datas Texte du lien" devrait en réalité affricher une image.

![screenshot-2018-06-24-log-apache2-and-iftop](https://image.noelshack.com/fichiers/2018/28/1/1531134023-screenshot-2018-06-24-log-apache2-and-iftop.png)

quand j'ajoute le .to ou le .tor2web.org et que je clique sur le lien "Forum" je suis redirigé vers l'url de départ (sans le .to ou le .tor2web.org)

Comme mentionné dans le message auquel tu réponds, c'est normal.
Si la passerelle Tor2Web détecte (via l'IP très probablement) que tu es sous Tor (Tor Browser ou app+Orbot ou Orfox), il te renvoie vers l'adresse Tor plus tôt que de continuer à jouer le proxy. Il fait ceci par soucis de sécurité.
Pour passer par la passerelle Tor2Web il faut utiliser un navigateur sans Tor.
Si tu essayes, tu remarqueras que ça tourne dans le vide jusqu'à renvoyer une erreur. (car la passerelle ce chope un 403)

avec un avertissement de sécurité du browser dans le cas du .tor2web.org
(je suppose que c'est à cause de l'extension https_everywhere)

C'est leur certificats HTTPS qui n'est valide que pour les .onion.to, pas pour .onion.tor2web.org. Probablement un oubli (ou la flemme) de leur part, ça ne vient pas de https everywhere (il y a une redirection auto de http=>https sur leur site).