Rafael a écrit 227 commentaires

Ouais c'est clair, Ubuntu rulez :)
Mark Shuttleworth est le visionnaire du 21eme siècle, le BUG N°1 de Ubuntu lui a été assigné == https://launchpad.net/distros/ubuntu/+bug/1
Il apporte un vent nouveau sur le projet Debian (projet que je soutiens absolument depuis longtemps). J'ai le sentiment que grâce à Ubuntu, le projet Debian se bouge le popotin, alors qu'il me semblait "s'assoupir" dans une torpeur de multinationale.

Avant que Ubuntu n'existe, je rêvais de devenir indécement riche, de façon à financer larga manu le développement du libre par des geeks de par le monde. Désormais, le nabab bienfaiteur est là via ubuntu et canonical software, alors que le google croule sous son cours de bourse, tout en financant les originaux (et désormais célèbres) google summer of code.

Sérieusement, pour un geek linuxien, n'est-ce pas un vrai bonheur que de voir une distrib vraiment bien foutue (basée sur Debian), réglant pleins de problèmes anciens et persistants de la meilleure distribution (Debian), en la rendant à ce point coole que moults novices s'y mettent, élargissant la base installée, rendant Linux possible pour tous ? En terme de décollage, je pense qu'il est réussi, et que la satellisation est en bonne voie.

Bref, Ubuntu, c'est bon, mangez en. Il y a du Gnome dedans, c'est bon aussi, prenez en aussi :)

Ce doit être pour ça que KDE (4) est mieux que Gnome (2.X) alors ? :)

Moi, je suis plutôt Gnome. Mais c'est normal pour un lanceur de trolls.

J'ai trouvé ça:

http://chimaera.starglade.org/aterr/

Où donc ?

J'ai trouvé ça là:
http://www.opensourcecms.com/

H323 est fortement utilisé pour l'interopérabilité des sessions de visioconférences.

Hélas, H323 est une usine à gaz. Usine à Gaz ancienne et proprement arrêtée, donc utilisable.

Jettes donc un oeil à http://fr.wikipedia.org/wiki/H323 pour toucher du doigt combien c'est une complexe aggrégation de protocoles.

Le support H323 natif dans le kernel, je vote pour. Ca va permettre l'extension de la visioconférence.

Hum, en l'occurence, il ne semble y avoir que des paquets Debian.

La question d'une source apt de paquets x86 pour Ubuntu Dapper reste ouverte.
Si ça ne court pas les rues, peut-être est-ce dû au fait que les ubunteros sont peut être un peu moins tétrapiloctomistes disposés à backporter (moins pratique que d'upgrader) ou à générer un paquet de paquets deb. En tout cas c'est mon cas. je me considère moins enclin à tout recompiler from scratch. J'ai moins le temps en fait. Ou alors on me fait la guerre parce que je reste sur mon ordi, alors qu'auparavant non. Ce doit ête ça.

Note à l'usage des détecteurs de trolls, ceci n'est pas un troll.

Là, pour que ma station ponde ces .deb, j'ai attendu comme rarement. Ca fait un bon bout de temps que je n'avais pas compilé un truc, pas même un noyau.

'Tain, je deviens vieux.

L'étape suivante, c'est d'avoir une machine lente, et de s'y complaire.
Déjà j'ai une carte video qui a 3 ans (autant dire hors d'age)

Oulà, ça ne va pas du tout, ça.

Faut que je change le proc pour un athlon64 5000+ x2 de la mort, que ça pulse plus vite, ça me fera rajeunir. Avec, il faudra la carte mère ad hoc dernier cri, et donc la RAM DDR2 800 (ouille la carte bleue), et aussi la brand new carte video 7900++ par que les AGP sasfépu.

En fait, il faut que je change tout.
Ca y est, je suis un vieux. D'ailleurs, j'ai un écran à tube cathodique, c'est dire.

Rafael

Oué !
Tu as mis la main sur les paquet de shadoï, le mainteneur des paquets Debian (et Ubuntu, logiquement)

Rafael

Il y a à manger là :

http://kaisman.free.fr/dotclear/index.php?ubuntu-510-the-bre(...)

En fait, en cherchant un peu sur edevelop.org, on trouve des sources.

Mais en fait, comme elles sont mouvantes, ces sources, les compiler est le plus simple.

Prends donc http://exodus.urgencesmed.net/e17/compil-e17.sh
et fait un

sudo compil-e17.sh

Voilà.

Rafael

Bon, je suis sous E là. Je suis loin d'avoir tout.
La compilation de tout marque une douzaine d'incidents.
je n'ai pas le temps de pousser les investigations pour l'heure, car je suis de garde, aussi je file sauver des vies.

Je vais essayer voir sur une machine 32bits d'après les repository, pour voir ce que je perds.

Heureusement qu'il y a des scripts, sinon, E17, ça se mériterait :)

Sinon c'est agnifique. J'ai entrance et E qui fonctionnent, mais c'est à peut près tout.

A plus...

Je file j'ai dit
pas toucher le clavier

J'ai modifié le script pour compiler tout ce qui est présent dans le CVS mais non compilé par défaut. Il y a en fait le double d'appli dispo que compilé par défaut. Je vais voir.

Mon athlon64 est lent, vite, changeons en. Comment font les gentoomaniaques, ils compilent des nuits durant ?

Sinon, c'est magnifique, avec un splash screen somptueux, suavement animé. Dommage que je n'aie pas la moindre idée de comment en faire une capture video. Les menus du thème par défaut sont comme dodus, doux, beaux, comme vivants.

Ma machine recompile tout ça, et cette fois j'essaie de ne pas tout casser tout de suite, que je puisse faire des scrineshotes.

C'est un peu la panade au début, avec la gestion des 3 boutons, mais je retrouverai bien mes marques, comme avant.

Ah, laisse tomber, l'abonnement, je l'ai déjà gagné il y a 3 ans.

Pour les bouquins O'reilly, j'en ai tellement que j'ai une carte gold member et le N° perso de Tim O'Reilly sur mon ekiga.

e17 est installé, quoique un peu bancal. Il me manque l'outil de prise de screenshotes ne remplaçant pas une fenêtre vlc par un écran bleu. C'est la raison pour laquelle je n'en ai pas encore fourni. D'autre part, je n'avais qu'un seul thème, alors que le script m'en promettait moults. entrance ne s'est pas compilé non plus, ce qui me chagrine.
J'ai relancé une procédure de compilation, fort de l'expérience de la première. Ce n'est pas immédiat pour une raison toute simple. J'ai une famille, avec des activités en famille (et oui, même le jeudi après midi car je suis libéral et j'organise mon temps à ma guise). Pour les jeunes générations qui peuvent encore influer sur leur avenir, je les invite à pousser leurs études aussi loin que possible, à être libraux plutôt que salariés, à rouler pour eux plutôt que pour leur patron. Si possible, qu'ils quittent la France pour un pays où la liberté d'entreprendre n'est pas étouffée.

Je mets des screenshotes dans mon prochain journal.

Cependant, si ce que je raconte t'insupporte, tu n'es pas obligé de me lire.

Comme tu me juges, ce que jusqu'ici je me garde bien de faire à ton agard, je te jugerai donc à mon tour. Tu as commencé, donc j'ai un droit de réponse, héhé.

Que trouve t'on dans tes journaux, entre autres niaiseries:
* http://linuxfr.org/~Skippy380/20540.html <= Robbie Williams fait de la pub pour RedHat. Oué, super.
* Que tu exploses ton quota chez free.
* Que tu codes des chootezèmeupe

Cependant tu abordes des thèmes passionnants, comme des déploiements de Linux d'envergure en Espagne (pays plein de bon
sens). A part ces trois là, la qualité est plutôt bonne, sans trop de fautes d'orthographe. Continues comme ça, je te félicite. La France a besoin d'opiniâtres développeurs du libre tels que toi. C'est bien.

Tu noteras que je me défends seul, n'appellant personne à mon secours pour faire corps derrière moi :)

Soyez heureux, c'est bon pour la santé.

Ha, ça fait plaisir :)

Bon, la compilation se poursuit. Elle vient de s'interrompre, pour me demander un fichier d'en tête présent dans le paquet libxkbfile-dev

La compilation des librairies s'est bien déroulée. Lors de l'installation des paquets générés, une dépendance non fournie s'et manifestée, d'un paquet (libxine0) qui avait entre temps changé de nom. On verra bien.

Pour en revenir à e ou pas e, moi j'ai toujours utilisé e comme window manager. J'utilise gnome, pour son intégration pratique, depuis que j'ai adopté ubuntu, mais je brûle de revenir à Enlightenment.

Rafael

Oui, c'est une bétise.

Et puis mon journal n'apparaît pas en page principale.
Pour le lire, il faut aller le chercher.
Ce que tu as fait.

Arrête de râler, la vie est belle. Regarde, il y a encore du pétrole à mettre dans ton char. Tout va bien. :)

Ca s'est installé chez moi en 15'', sous Ubuntu Dapper AMD64 full 64bits (3200+ 2GHz/1Go +nvidia 4800 hors d'age).

Le fonctionnement est d'une stabilité remarquable. J'ai laché la famille dessus. Du coup, j'ai déployé ça sur les ordis de ma boite, ceux sur lesquels les fâcheux disaient "Il n'y a pas Google Earth dessus ?".

Un portage natif sous Linux, même sur AMD64 (avec ou sans lib32, j'avoue que je m'en fous un peu, j'ai passé l'âge, ça mâââârche rapidos). J'avoue, j'ai pensé un moment compiler wine selon les howtos, bidouiller à mort durant des heures, être de ceux qui ont GE qui tourne sur leur linuix box, toussa, toussa, et puis non. Bref, un portage natif sur Linux, avec quelques distributions majeures supportées, c'est un précédent de poid. Ca peut sembler une broutille, mais cherchez un peu autour de vous, tout le monde connait ce logiciel. Il est simple d'utilisation. Il concerne tout le monde.

C'est bientôt plus connu que word, ce truc.

Avoir Google Earth qui tourne easy sur (presque) toutes les ditribs, c'est un élément de plus pour basculer les indécis.


Je n'en savoure que plus la rapidité avec laquelle GE s'installe sur ma configue à moi.

Sérieux, ces jours çi, je suis sur que Bill Gates a une poussée d'eczéma. La plus connue des applis gratuites Google qui passe chez l'ennemi, ça tient de la bombe atomique. Tiens, l'action MS pourrait en baisser :)


Rafael

La tagline qui suit <= ça veut dire une moitié de vie à se battre avec gcc; make; xmkmf et des libs à la con =>

Je dis bien VLC et non les autres, qui le font peut être, mais dont je ne dispose pas.

VLC permet de transcoder très proprement.

Bravo VLC :)

Ne sois pas jaloux, ça y est, tu as cité tes navigateurs.... :)

J'ai cité firefox parce que c'est celui que j'utilise.

Sinon je suis en train d'effectuer un essai avec Videolan pour transcoder.

Rafael

Wouaou quel thread !

Il s'agit là d'un joli fil des familles comme je les aime.

Ubuntu fait parler d'elle. Elle est passée en 2 ans des arcanes de l'anonymat le plus total à un acteur fédérateur, connu du plus grand nombre, disposant d'une solide base d'utilisateurs en croissante augmentation, ouvrant Linux à un nouvel horizon d'utilisateurs.
Sans parler qu'il est devenu un contributeur _majeur_ au projet Debian.

Que d'ombre pour les autres! Ubuntu, quoique non côtée en bourse, commence à se hisser au niveau de la statures d'acteurs majeurs de longue date, notemment grace aux certifications de logiciels non libres comme DB2 (établie) ou Oracle (le Oracle Cluster File system intégré à Breezy est un début: http://oss.oracle.com/projects/ocfs2/ )

Bref, Ubuntu, ça fait jaser, mais ça marche. C'est dur pour les crétins qui pensent que leurs certifications RedHat seront à repasser le jour où elles existeront pour Ubuntu.

Pour les autres, c'est que du bonheur.

Et je précise que je ne pense pas qu'obtenir les sources de lauchpad dans l'instant soit un objectif indispensable pour quiconque que pour les concurrents.

Rafael (Ex trolleur _professionnel_)

Bon, désolé d'avoir semblé un peu abrupt, même si tu l'as noté, ce n'était que de premier abord. Encore désolé.

M'enfin bon, il fallait bien le décortiquer un peu, ton script, en relevant ligne par ligne, parce que c'est comme ça qu'il faut faire la première fois.

Souvent, les valeureux débutants de l'iptables trafiquent les lignes de leur script comme autant d'incantations khabalistiques, autant de formules magiques leur apportant gloire et sécurité. Je me suis lancé sur le terrain du raseur constructif (j'aime bien cette définition, elle colle bien au BOFH proactif que je suis à mes heures).

Bref, lire les scripts des autres permet de découvrir pleins de fonctions d'iptables que l'on ne soupçonnerais pas. Une fois le concept touché du doigt, on pose la bonne idée sur une liste. Une fois les bonnes idées réunies, on les classe par groupe, pour ne rien oublier.

Ensuite, on pose à plat toutes les interfaces disponibles sur le firewall, à savoir l'interface externe, puis l'interface interne principale. Eventuellement, on pose une ou plusieurs interfaces internes, pour le cas où le firewall devrait gérer plusieurs zones.

Ensuite, on crée l'architecture de base de ses tables, ainsi que leur articulation.

Le shéma INPUT-OUTPUT, avec PREROUTING, FORWARD et POSTROUTING se trouve partout. (http://www.c-sait.net/cours/iptables.php)

#on prend soin de définir la variable IPTABLES="/usr/sbin/iptables"
#On Flushe tout, on recommence à partir de rien
$IPTABLES -F
$IPTABLES -F -t mangle
$IPTABLES -F -t nat
$IPTABLES -X
$IPTABLES -X -t mangle
$IPTABLES -X -t nat

#Politique par défaut à DROP, et oui, en bas de chaque table,
# il y a DROP, si une ligne n'autorise pas, on tombe sur le
# DROP (refus sans report d'erreur, à la différence de REJECT,
# qui refuse explicitement la conenxiopn)
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

On peut créer une table en plus, comme pour logguer les paquets DROPpés:

$IPTABLES -N LDROP

Et on y rajoute quoi faire avec les paquets en question, ici on loggue et on droppe, mais on peut faire d'autres choses. Ici on loggue les paquets TCP, au maximum 2 fois par seconde.

$IPTABLES -A LDROP -p tcp -m limit --limit 2/s --limit-burst 10 -j LOG --log-prefix "fp=TCP:1 a=DROP "

Il va de soi qu'on peut coller " -p udp" ou "-p icmp" en plus.

On vient de créer une tatable à nous, LDROP, vers laquelle on peut jumper quand on veut. on peut en faire pleins comme ça, pour faciliter la lecture du script. Chaque tatable fait bien un truc, que l'on peut appeller souvent.

Une bonne pratique cool, limiter l'acceptation de paquets d'ouverture de session

#Logging of possible TCP-SYN-Floods
$IPTABLES -N LSYNFLOOD
$IPTABLES -A LSYNFLOOD -m limit --limit 2/s --limit-burst 10 -j LOG --log-prefix "fp=SYNFLOOD:1 a=DROP "
$IPTABLES -A LSYNFLOOD -j DROP

#on note le log-prefix qui permet de modifier la ligne
#s'affichant dans les logs.

$IPTABLES -N TCPACCEPT
$IPTABLES -A TCPACCEPT -p tcp --syn -m limit --limit 2/s --limit-burst 10 -j ACCEPT
$IPTABLES -A TCPACCEPT -p tcp --syn -j LSYNFLOOD
$IPTABLES -A TCPACCEPT -p tcp ! --syn -j ACCEPT

On peut créer une table pour faire des choses particulières, puis rendre la main, un peu comme un sous programme, ici pour virer le verbage des partages windows:

#SMB-Traffic
$IPTABLES -N SMB

$IPTABLES -A SMB -p tcp --dport 137 -j DROP
$IPTABLES -A SMB -p tcp --dport 138 -j DROP
$IPTABLES -A SMB -p tcp --dport 139 -j DROP
$IPTABLES -A SMB -p tcp --dport 445 -j DROP
$IPTABLES -A SMB -p udp --dport 137 -j DROP
$IPTABLES -A SMB -p udp --dport 138 -j DROP
$IPTABLES -A SMB -p udp --dport 139 -j DROP
$IPTABLES -A SMB -p udp --dport 445 -j DROP

$IPTABLES -A SMB -p tcp --sport 137 -j DROP
$IPTABLES -A SMB -p tcp --sport 138 -j DROP
$IPTABLES -A SMB -p tcp --sport 139 -j DROP
$IPTABLES -A SMB -p tcp --sport 445 -j DROP
$IPTABLES -A SMB -p udp --sport 137 -j DROP
$IPTABLES -A SMB -p udp --sport 138 -j DROP
$IPTABLES -A SMB -p udp --sport 139 -j DROP
$IPTABLES -A SMB -p udp --sport 445 -j DROP

Pour résumer, on a fait LDROP, TCPACCEPT, LSYNFLOOD et SMB pour nos besoins.

Ensuite, on peut peut commencer la table INPUT de base

#Local IF
$IPTABLES -A INPUT -i lo -j ACCEPT
#Kill connections to the local interface from the outside world (--> Should be already catched by kernel/rp_filter)
$IPTABLES -A INPUT -d 127.0.0.0/8 -j REJECT


## On note l'interface sous forme de variable après le -i, de même l'adresse source après le -s
##Allow unlimited traffic from internal network using legit addresses to firewall-box
##If protection from the internal interface is needed, alter it

$IPTABLES -A INPUT -i $INTIF -s $INTLAN -j ACCEPT

#Kill anything from outside claiming to be from internal network (Address-Spoofing --> Should be already catched by rp_filter)
$IPTABLES -A INPUT -s $INTLAN -j REJECT

Ensuite, on peut commencer à rajouter les lignes de tables provenant de l'extérieur

#On commence à virer silencieusement tout le verbage samba
#Drop all SMB-Traffic
$IPTABLES -A INPUT -i $EXTIF -j SMB

On poursuit les autorisations de services tournant sur la linux box

##Public services running ON FIREWALL-BOX (comment out to activate):

# Le protocole FTP a été pensé par des individus toxocophiles
# abusant de substances mentalocomplexifiantes
# ftp-data
#$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 20 -j TCPACCEPT
# ftp
#$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 21 -j TCPACCEPT

FTP est vraiment un protocole qui a trop fumé, pour info, cf:
http://christian.caleca.free.fr/ftp/les_bases.htm
http://pintday.org/whitepapers/ftp-review.shtml
http://www-igm.univ-mlv.fr/~roussel/RESEAUJAVA/tcp.html

Et la réponse est OUI, c'est chiant à gérer sur un firewall si on ne veut pas avoir tout ouvert en grand. Rassurez vous, il y a pire, H323 par exemple.

On continue avec les services de base, ssh, mail, DNS, web serveur.

# ssh
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 22 -j TCPACCEPT
# smtp
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 25 -j TCPACCEPT
# DNS
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 53 -j TCPACCEPT
$IPTABLES -A INPUT -i $EXTIF -p udp --dport 53 -j ACCEPT
# http
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 80 -j TCPACCEPT

On permet aussi les connexions établies, ce qui permet de redémarrer le firewall sans couper toutes les sessions.

##Allow ESTABLISHED/RELATED connections in
$IPTABLES -A INPUT -i $EXTIF -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -p tcp -m state --state RELATED -j TCPACCEPT
$IPTABLES -A INPUT -i $EXTIF -p udp -m state --state RELATED -j ACCEPT

##Catch all rule
# On finit par jetter tout le reste
$IPTABLES -A INPUT -j LDROP

Là on a finit avec la table INPUT, on poursuit avec la table OUTPUT

##Packets TO FIREWALL-BOX ITSELF
#Local IF
$IPTABLES -A OUTPUT -o lo -j ACCEPT

##Packets TO INTERNAL NET

#Allow unlimited traffic to internal network using legit addresses
$IPTABLES -A OUTPUT -o $INTIF -d $INTLAN -j ACCEPT

##Packets TO EXTERNAL NET
##Silent Drops/Rejects (Things we don't want in our logs)
#SMB
$IPTABLES -A OUTPUT -o $EXTIF -j SMB

##Public services running ON FIREWALL-BOX (comment out to activate):

# ftp-data
$IPTABLES -A OUTPUT -o $EXTIF -p tcp --sport 20 -j ACCEPT

# ftp
$IPTABLES -A OUTPUT -o $EXTIF -p tcp --sport 21 -j ACCEPT

# ssh
$IPTABLES -A OUTPUT -o $EXTIF -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

# smtp
$IPTABLES -A OUTPUT -o $EXTIF -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

# DNS
$IPTABLES -A OUTPUT -o $EXTIF -p tcp --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTIF -p udp --sport 53 -j ACCEPT

# http
#$IPTABLES -A OUTPUT -o $EXTIF -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

Pour finir, on interdit le reste qui ne soit pas explicitement autorisé

##Catch all rule

$IPTABLES -A OUTPUT -j LDROP

Enfin, on s'occupe de la table de forward

##Filtering FROM INTERNAL NET


##Silent Drops/Rejects (Things we don't want in our logs)
#SMB
$IPTABLES -A FORWARD -o $EXTIF -j SMB

#On traloque les ports que l'on veut, ici le http, caché derrière le fw sur une autre machine, par exmeple.
#Port-Forwarding from Ports < 1024 [outbound] (--> Also see chain PREROUTING)
#HTTP-Forwarding
#$IPTABLES -A FORWARD -o $EXTIF -s $HTTPIP -p tcp --sport 80 -j ACCEPT

##Filtering FROM EXTERNAL NET


##Silent Drops/Rejects (Things we don't want in our logs)

#SMB
$IPTABLES -A FORWARD -i $EXTIF -j SMB


##Allow replies coming in
$IPTABLES -A FORWARD -i $EXTIF -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -p icmp -m state --state RELATED -j ACCEPT


##Port-Forwarding [inbound] (--> Also see chain PREROUTING)

#HTTP-Forwarding
#$IPTABLES -A FORWARD -i $EXTIF -p tcp -d $HTTPIP --dport 80 -j ACCEPT

##Catch all rule/Deny every other forwarding

$IPTABLES -A FORWARD -j LDROP

################
## PREROUTING ##
################

##Port-Forwarding (--> Also see chain FORWARD)
# On aura pris soin de définir les variables, comme l'interface EXTIF externe, avec son ip publique EXTIP, ainsi que l'adresse inerne du serveur wouaibe HTTPIP
##HTTP
#$IPTABLES -A PREROUTING -t nat -i $EXTIF -p tcp -d $EXTIP --dport 80 -j DNAT --to $HTTPIP

Et mainenant, la ligne qui permet la magie du NAT, le partage de connexion

###################
## POSTROUTING ##
###################

#Masquerade from Internal Net to External Net
$IPTABLES -A POSTROUTING -t nat -o $EXTIF -j MASQUERADE

Voilà, si vous avez suivi jusqu'ici, vous pouvez adapter http://www.linuxguruz.com/iptables/scripts/rc.firewall_023.t(...) à vos besoins. L'architecture en est simple et élégante.

Rafael

La première chose, indispensable dès lors qu'on tripote un firewall, c'est de lire un peu la doc. Je regrette de le répéter, mais lire la doc est indispensable.

Analysons un peu ton script (enfin c'est celui que tu rapportes, il est évident que tu as pompé ça sur le ternet sans rien lire de la doc)

#1 #! /bin/sh
#2 iptables -F
#3 iptables -X
#4 iptables -P INPUT DROP
#5 iptables -P OUTPUT ACCEPT
#6 iptables -A INPUT -i lo -j ACCEPT
#7 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Après avoir vidé (#2) les chaines, tu les efface (#3). inutile, autant tou t effacer d'emblée, m'enfin c'est pas grave tout le monde fait comme ça c'est plus propre.

Ligne 4, tu places la règle par défaut à DROP, parfait
ensuite, tu acceptes tout les paquets en sortie, bon ok.
La ligne 6 autorise tout trafic sur le loopback, rien que de très logique.

La ligne 7 autorise toutes les connexions établies. Ca ne fonctionne que si tu ne lances ton script après avoir ouvert ton navigateur. (une fois les connexions établies vers tel ou tel site) Il ya d'autres états (-state) qui seront tous refusés avec ce script. C'est bête comme tout, mais toutes les nouvelles connexions finiront à la trappe. Allons-y, fendons nous d'une petite capture de man iptables.

--state state
Where state is a comma separated list of the connection states to match. Possible states are INVALID meaning that the packet could not be identified for some reason which includes running out of memory and ICMP errors which don't correspond to any known connection, ESTABLISHED meaning that the packet is associated with a connection which has seen packets in both directions, NEW meaning that the packet has started a new connection,or otherwise associated with a connection which has not seen packets in both directions, and RELATED meaning that the packet is starting a new connection, but is associated with an existing connection, such as an FTP data transfer, or an ICMP error.

Après -state vient une liste, séparée par des virgules, des états de connexion à reconnaitre. Les états possibles sont: INVALID pour les paquets ne pouvant pas être indentifiés pour un certaines raisons parmis lesquelles être en panne de mémoire, ainsi que des erreurs ICMP ne correspondant à aucune connexion établie connue, ESTABLISHED pour un paquet associé à une connexion qui a vu passer des paquets dans les 2 directions, NEW pour un paquet qui a débuté une connexion ou sinon associé à une connexion qui n'a pas vu des paquets dans les 2 directions, et enfin RELATED pour un paquet débutant une connexion, mais associé à une connexion existante, comme un transfert de données FTP, ou une erreur ICMP.

Tu modifies du script avec la ligne

iptables -A INPUT -p tcp -m tcp --dport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT

On devine que tu voudrais avoir des connexions entrantes sur ton serveur wouaibe.

Le problème, enfin les problèmes, c'est que tu ne précises pas de quelle interface tu parles. Netfilter permet une grande précision, dont on peut parfaitement ne pas se servir dans sa totalité, mais un petit peu de précision ne nuit pas... Tu as une interface sur laquelle le ternet est joignable, tu dois la présiser. Une ligne du type

iptables -INPUT -i eth0_ou_ton_interface_a_toi -p tcp --dport 80 -j ACCEPT

Comme ça ça devrait le faire.
Là ça autorise les accès en entrée sur ton serveur wouaibe. Enfin, je dis ça si c'est ça ce que tu veux, parce que ce n'est pas du tout préçi, ce que tu demandes.

Bref, lis la doc, netfilter le vaut bien. Je sais, c'est chiant, mais ça vaut le coup. Une petite requète del.icio.us: http://del.icio.us/search/?all=iptables

Sinon, mattes donc firestarter (lien déjà cité) ou bien http://www.linuxguruz.com/iptables/scripts/rc.firewall_023.t(...) pour t'inspirer.

Rafael

Sous linux : un clavier une souris, mes trois mains

Argh! La troisième main, c'est le pied pour se tripotter tout en travaillant des 2 mains !

Ca, c'est du Darwinisme Tayloriste. L'adaptation liée à la productivité.

Ta FB est connectée à la prise téléphonique, elle est synchronisée, elle indique donc l'heure.
Ensuite, il te faut activer les fonctionnalités routeur de la FB sur la page:
http://adsl.free.fr/admin/routeur.html(...) en indiquant que la FB doit faire serveur DHCP

Ensuite, ton interface réseau doit être paramétrée en DHCP, de façon à ce quelle demande un paramétrage réseau au serveur.

Rafael

Salut Fred, content de te lire,

J'achète complètement ton point de vue. Si il y a encore peu de temps, on pouvait reprocher à certaines distributions un manque de "polissage", la tendance est clairement à un nivellement par le haut.

Le support des différentes cartes video par X a fait de progrès de géant dans les 12 derniers mois, sans doute sous l'impulsion du fork xorg. Le support de l'USB a fait des bonds depuis un moment, ce qui permet un support des dongles USB de façon plug and play pour toutes les distribs (et pas seulement à celles qui utilisaient des gros hacks poilus pour ce faire).

Bientôt, entre les Linux Standard machin, les apt-tools pour tous, et les gnome/KDE (placez dans l'ordre qui vous plaît), on se retrouvera avec une sauce au goût analogue, composée d'ingrédients nourris aux mêmes CVS.

Par chance, l'entropie profite des agitateurs, tels Debian de Ubuntu (et inversement) pour le plus grand bonheur de tous, et des pocesseurs de procs X86_64 ou PPC en particulier (Fref, jette un oeil sur une ubuntu Hoary live CD PPC sur ton ibook).

Quans je vois les progrès effectués depuis que j'aie montré ma Iggdrasil Plus and Play Linux à Fred, pfiou. Je m'étais fait aider par le gourou unix de la boite pour quelques trucs. Argh putain c'est loin, j'étais célibataire, toussa, toussa, rien à voir.

Bref, sérieusement, quand je vois les progrès accomplis, et la vitesse à laquelle ça s'améliore, je ne me fais plus aucun soucis pour l'avenir, Linux vaincra, et dans pas tard. L'offensive des brevets logiciels n'est que la façon désespérée trouvée par l'industrie informatique dominante pour contrer le raz de marée.

Ma femme, ubuntu, elle trouve ça trop cool. Elle peut même discuter avec des gens sous MSN et ICQ en même temps, elle trouve ça chouette. Elle insère dessus la carte mémoire de son apn, elle colle ça dans le dossier en partage samba, tout fonctionne tout le temps, ça ne plante pas, elle adore.

D'ailleur, chacun fait son truc à sa sauce, mais içi, j'utilise ubuntu pour:
1. Son excellent support 64bits
2. Son côté plug & play à la mandriva sans les jolis incones et les panneaux de controles drake
3. La possibilité d'installer _n'importe_ _quoi_ issu de Debian via les paquets universe.

Linux vaincra.
Pardon
Linux vainc

Rafael

On devrait élire la news de l'année.
Ca s'impose quand on lit celle çi.
Je propose cette news au rang de news de l'année.

Logiquement, si ça passe avec l'ASUS sus citée, ça passera sur la Tyan Tomcat K8E, c'est une carte mère nforce4.

En fait je suis une grosse buse, et j'ai fait un lapsus. Il s'agit de la Tyan Tomcat K8E à nForce4

Argh