Je teste ma ligne à la main... Ca marche nickel. J'ouvre le script, j'insere ma ligne, mais comme j'ai les doigts lourds je fais une erreur de syntaxe bash... Paf, le script se vautre exactement comme ça m'est arrivé...
Ok c'est de ma faute, je suis un gros nul, tout ce que tu veux... Mais moi je cherche justement une solution à preuve de gros nuls parce que l'erreur est humaine et si on ne laisse pas de place à l'erreur on va droit dans un mur :) Le risque zéro est une invention des hommes en costard cravate qui n'a rien à voir avec la vie réelle...
Mon serveur est actuellement le seul sous ma responsabilité dans un datacenter à 2h30 de chez moi. Alors pas de rebondissement possible depuis une autre machine, et encore moins d'accès par port série :)
Merci en tout cas, quand j'aurai plus d'un serveur, je le ferai surement :)
Ca c'est ce que je faisais en phase de test, mais si en prod tu dois faire des modifs il ne faudrait pas qu'elles soient annulées par un cron toutes les 15 minutes. A un moment donné il faut bien faire une modif sur le fichier sans que le cron puisse l'annuler...
Mais ça me fait penser à une procédure relativement infaillible :
- avant toute modification (même en prod) du le script du firewall, je remets en place le script cron de secours
- je fais ma modif
- si tout se passe bien je désactive le script cron
- sinon j'attends les 15 minutes et je recommence...
C'est simple, non ? Quels seraient les inconvénients ?
Remarque, c'était peut-être ce que tu proposais FixXxeR :) Loin de moi l'idée de vouloir t'enlever le merite !
Oui c'est vrai que ça a l'air pas mal... Mais j'ai toujours évité ce genre de logiciels parce qu'ils me paraissent trop compliqués par rapport à la tache à accomplir. Maintenant, je peux me tromper, je n'ai d'ailleurs jamais testé celui dont tu parles.
Je me dis que la configuration d'un firewall, quand on connait le fonctionnement d'iptables, est une chose très facile et très délicate. Ce qui me pousse à mettre en place des solutions simples (30 lignes en bash), facilement verifiables si quelque chose ne fonctionne pas comme il devrait et entièrement sous mon controle...
Il faut toujours, par contre, prévoir une solution de fallback car l'erreur est humaine !
> oui.
> mais question bête.
> si cela t'es arrivé, c'est que tu relances le script à chaque fois.
> pourquoi ne travailles-tu pas à coups d'insert et de delete ?
> le risque de planter ton firewall son quand même moindre dans ce cas...
Parce que là je n'étais plus en test, j'étais en prod, je savais exactement ce que je devais faire : ouvrir le port 53 suite à l'installation d'un serveur DNS. Bon évidemment, il y en aura toujours pour dire qu'on ne fait pas ça sur un serveur en prod, mais je n'avais pas le choix ! Donc tout ça pour dire que j'étais sur de ma manip, il fallait que je fasse copier-coller de la derniere ligne et que je modifie le numero du port...
Ce que tu me proposes toi est une bonne idée pour faire des tests... Genre, voir si cette règle fonctionne, je l'ajoute à la main et les dégats sont limités si ça marche pas. Quoique, dans ces cas là je prefere encore la technique du firewall réinitialisé automatiquement toutes les 15 minutes.
Mais tu ne veux tout de même pas que je me tape une trentaine de commandes iptables à la main à chaque lancement de la machine, si ? Même si elle doit être redemarrée une fois tous les 3 mois, ça me parait long et d'autres erreurs peuvent être commises de cette façon...
> - prise electrique controllable à distance et pas de lancement automatique au démarrage du firewall
Oui c'est très bourrin, mais je ne devrais pas m'en servir tous les jours... Mais au moins je sais que la solution est là ! :)
> donc ça c'est pour un plantage de quoi ? des régles ? de la machine ? c'est pas vraiment clair là...
Oui, ça c'était pour surveiller un plantage des règles... Parce qu'en gros je me dis, si le serveur était un minimum doué d'intelligence (!) il devrait se poser des questions en voyant qu'il a toujours parfaitement accès au net (paquets sortants autorisés) mais que tout à coup plus personne ne vient chez lui...
> heu... question bête... si ton plantage de règles équivaut à un DROP ALL ;-) tu > fais comment pour l'envoyer ton fichier ??
Je pensais à un serveur ftp externe...
Même si je n'ai pas trouvé une réponse à mon problème, je te remercie de tes conseils, ça aide à réfléchir et à trouver des solutions :)
Désolé d'avance pour ce commentaire. C'est pas du tout le genre de commentaire qui va t'aider ou te faire plaisir...
J'ai utilisé netatalk pendant plus de 6 mois dans un environnement Linux/MacOSX, mais les problèmes étaient récurrents. En une heure j'ai tout migré sur Samba grâce à l'excellent support par Mac OS X et depuis je dors mieux :)
Mais avec IPTOS, ne pourrait-on pas donner des "privileges" differents en fonction du type de fichiers ? Il serait par exemple interessant d'appliquer le bit lowdelay aux fichiers à l'extension .html (generalement legers) et throughput aux .jpg et .png (generalement plus gros) ?
voici la doc contenue dans un fichier README que j'ai obtenu en téléchargeant le .deb :
this module is a hack.
i wanted bandwidth control for a few virtual hosts, but i did not like
the userland methods -- they were inaccurate and buggy. i wanted to
take advantage of the linux kernel traffic shaping which i was already
using for managing my bandwidth costs. all i needed was a way to "paint"
some packets from the webserver so that the traffic shaper could handle
them appropriately.
i chose to abuse the IPTOS bits ("type of service") to do this. userland
is able to select IPTOS bits via setsockopt(2). this gives a communication
channel between the webserver and the traffic shaper, and makes me happy.
and so mod_iptos was born.
i've since learned that IPTOS are being updated/replaced by something
called DIFFSERV... and it sounds cool. but since my hack is in place and
working i haven't been motivated to go the next step with this module.
-dean (dean@arctic.org)
at any rate -- here's a copy of the docs in the code:
type-of-service bits in IP packets can be used for such things as
quality-of-service guarantees, or for traffic shaping. this module
allows you to set IP TOS bits on a per-directory basis (it'll also work
for location and files containers of course).
the four TOS bits are:
lowdelay
throughput
reliability
lowcost
note that in ancient IP history you were permitted only to
set none or one of those bits. at some point someone gave
meaning to the bitwise-OR of the bits... and i'm too lazy
to go look up those meanings right now. but since there are
meanings to the bitwise-OR, this module accepts the '|'
character as an OR operator to combine these bits.
the magic keyword "none" will result in no IPTOS bits being set.
(useful for a nested directory container to disable a TOS
you've set on a parent directory.)
there's only one command: IPTOS bits
as in:
# default to lowdelay TOS
IPTOS lowdelay
# choose throughput TOS for the video directory
<Directory /my/big/video/directory>
IPTOS throughput
to test if things are working i suggest tcpdump. it will show you the
tos bits on each packet.
Oui je parlais du codec audio mp3 (MPEG-3 c'est faux ?) qui est supporté par tous les player de nouvelle génération.
Je cherche effectivement le codec video le plus répandu, mais quand meme parmi les codecs récents qui peuvent faire tenir plusieurs minutes dans une vingtaine de Mo en format pas trop timbre poste. Par exemple, tous ceux testés dernierement dans un article qui a fait l'objet d'un journal me conviennent parfaitement (DivX3, DivX5, XviD, ND, RealVideo,...)
Par contre est-ce que tu me confirmes que le MPEG-4 n'est pas supporté nativement par WMP ?
Ceci dit, je pense qu'hormis la possibilité de mettre en pause la télé, il doit etre tout à fait possible de juste regarder le flux video avec mplayer directement, sans passer par mencoder...
5. Effectivement, hormis l'acquisition et la conversion Péritel -> Composite/S-Video (que tu n'as visiblement pas), il n'y a pas bcp de passages.
J'imagine de toute façon que tu es satisfait de la qualité sinon tu en aurais parlé avant :)
Au fait, toi non plus tu ne vends pas ta carte ? :) C'est cher ces cartes d'acquisition video ! A des prix raisonnables on trouve que des cartes avec des entrées DV et des boitiers USB....
Merci encore une fois pour toutes ces précisions...
Concernant la carte d'acquisition, j'avais l'impression que ce genre de matériel coutait moins cher... 200 pour une Pinnacle... C'est pas ce que j'appelle une "bete carte d'acquisition" ! Tu vends pas la tienne par hasard ? :)
J'ai donc dit une connerie dans mon dernier commentaire ? Ce n'est pas du Péritel->S-Video qu'il me faut ? C'est du Péritel->Composite ?
Autrement dit, c'est ça qu'il me faut ? http://www1.fr.conrad.com/scripts/wgate/zcop_fr/~flN0YXRlPTQ5ODQ4Mz(...)
S'il faut encore des cookies pour ce site, la description du produit est : "Fiche péritel/3 RCA (vidéo + audio R/L)"
Ca coute à peine 3 donc je pense que je vais me rabattre sur cette solution :)
Merci pour ton retour :) J'ai quelques questions :
1. Tu as quelle carte d'acquisition ?
2. Peut-on se servir de mplayer pour récuperer le flux video ? Quelle est la commande si tu la connais ?
3. Utilises-tu un cable Peritel->S-Video ?
4. Est-ce que les ressources utilisées sont semblables à celles utilisées pour regarder un divx ? Autrement dit, est-ce qu'on peut faire du plein écran avec antialiasing sans problèmes ?
5. Est-ce que la qualité ne se déteriore pas trop avec tous ces passages ?
6. Tu utilises quelle version de noyau ?
Voilà je pense avoir tout dit, merci bcp de répondre à au moins quelques unes de ces questions ! :)
Ooops, je voulais dire RAID 1, la RAID 0 n'a effectivement rien à voir avec la sécurité des données.
Par contre les données ne seraient pas aussi en sécurité que placées sur une bande magnétique dans un placard.
Binhex4 est l'équivalent Pomme de mime64... C'est le client mail qui est responsable de cet encodage et aussi de son décodage quand on reçoit un tel fichier attaché.
[^] # Re: Pourquoi "amadouer iptables" ? le problème ne vient pas de là ;-)
Posté par Dario Spagnolo (site web personnel) . En réponse au message Amadouer iptables, ou comment ne pas s'interdire l'accès à son propre serveur !. Évalué à 1.
Je teste ma ligne à la main... Ca marche nickel. J'ouvre le script, j'insere ma ligne, mais comme j'ai les doigts lourds je fais une erreur de syntaxe bash... Paf, le script se vautre exactement comme ça m'est arrivé...
Ok c'est de ma faute, je suis un gros nul, tout ce que tu veux... Mais moi je cherche justement une solution à preuve de gros nuls parce que l'erreur est humaine et si on ne laisse pas de place à l'erreur on va droit dans un mur :) Le risque zéro est une invention des hommes en costard cravate qui n'a rien à voir avec la vie réelle...
[^] # Re: Un réseau privé d'admin
Posté par Dario Spagnolo (site web personnel) . En réponse au message Amadouer iptables, ou comment ne pas s'interdire l'accès à son propre serveur !. Évalué à 1.
Merci en tout cas, quand j'aurai plus d'un serveur, je le ferai surement :)
[^] # Re: Et pourquoi pas ...
Posté par Dario Spagnolo (site web personnel) . En réponse au message Amadouer iptables, ou comment ne pas s'interdire l'accès à son propre serveur !. Évalué à 2.
Mais ça me fait penser à une procédure relativement infaillible :
- avant toute modification (même en prod) du le script du firewall, je remets en place le script cron de secours
- je fais ma modif
- si tout se passe bien je désactive le script cron
- sinon j'attends les 15 minutes et je recommence...
C'est simple, non ? Quels seraient les inconvénients ?
Remarque, c'était peut-être ce que tu proposais FixXxeR :) Loin de moi l'idée de vouloir t'enlever le merite !
[^] # Re: Shorewall
Posté par Dario Spagnolo (site web personnel) . En réponse au message Amadouer iptables, ou comment ne pas s'interdire l'accès à son propre serveur !. Évalué à 1.
Je me dis que la configuration d'un firewall, quand on connait le fonctionnement d'iptables, est une chose très facile et très délicate. Ce qui me pousse à mettre en place des solutions simples (30 lignes en bash), facilement verifiables si quelque chose ne fonctionne pas comme il devrait et entièrement sous mon controle...
Il faut toujours, par contre, prévoir une solution de fallback car l'erreur est humaine !
[^] # Re: Pourquoi "amadouer iptables" ? le problème ne vient pas de là ;-)
Posté par Dario Spagnolo (site web personnel) . En réponse au message Amadouer iptables, ou comment ne pas s'interdire l'accès à son propre serveur !. Évalué à 1.
> mais question bête.
> si cela t'es arrivé, c'est que tu relances le script à chaque fois.
> pourquoi ne travailles-tu pas à coups d'insert et de delete ?
> le risque de planter ton firewall son quand même moindre dans ce cas...
Parce que là je n'étais plus en test, j'étais en prod, je savais exactement ce que je devais faire : ouvrir le port 53 suite à l'installation d'un serveur DNS. Bon évidemment, il y en aura toujours pour dire qu'on ne fait pas ça sur un serveur en prod, mais je n'avais pas le choix ! Donc tout ça pour dire que j'étais sur de ma manip, il fallait que je fasse copier-coller de la derniere ligne et que je modifie le numero du port...
Ce que tu me proposes toi est une bonne idée pour faire des tests... Genre, voir si cette règle fonctionne, je l'ajoute à la main et les dégats sont limités si ça marche pas. Quoique, dans ces cas là je prefere encore la technique du firewall réinitialisé automatiquement toutes les 15 minutes.
Mais tu ne veux tout de même pas que je me tape une trentaine de commandes iptables à la main à chaque lancement de la machine, si ? Même si elle doit être redemarrée une fois tous les 3 mois, ça me parait long et d'autres erreurs peuvent être commises de cette façon...
> - prise electrique controllable à distance et pas de lancement automatique au démarrage du firewall
Oui c'est très bourrin, mais je ne devrais pas m'en servir tous les jours... Mais au moins je sais que la solution est là ! :)
> donc ça c'est pour un plantage de quoi ? des régles ? de la machine ? c'est pas vraiment clair là...
Oui, ça c'était pour surveiller un plantage des règles... Parce qu'en gros je me dis, si le serveur était un minimum doué d'intelligence (!) il devrait se poser des questions en voyant qu'il a toujours parfaitement accès au net (paquets sortants autorisés) mais que tout à coup plus personne ne vient chez lui...
> heu... question bête... si ton plantage de règles équivaut à un DROP ALL ;-) tu > fais comment pour l'envoyer ton fichier ??
Je pensais à un serveur ftp externe...
Même si je n'ai pas trouvé une réponse à mon problème, je te remercie de tes conseils, ça aide à réfléchir et à trouver des solutions :)
[^] # Re: Et pourquoi pas ...
Posté par Dario Spagnolo (site web personnel) . En réponse au message Amadouer iptables, ou comment ne pas s'interdire l'accès à son propre serveur !. Évalué à 2.
Effectivement le coup du mail signé est alambiqué mais devrait fonctionner et reste secure...
[^] # Re: phpBB
Posté par Dario Spagnolo (site web personnel) . En réponse au message Script de forum qui valide en XHTML/CSS. Évalué à 1.
# netatalk -> samba
Posté par Dario Spagnolo (site web personnel) . En réponse au message netatalk. Évalué à 2.
J'ai utilisé netatalk pendant plus de 6 mois dans un environnement Linux/MacOSX, mais les problèmes étaient récurrents. En une heure j'ai tout migré sur Samba grâce à l'excellent support par Mac OS X et depuis je dors mieux :)
[^] # Re: et la qos réelle ?
Posté par Dario Spagnolo (site web personnel) . En réponse au journal regulation de bande passante via module apache. Évalué à 1.
# La doc
Posté par Dario Spagnolo (site web personnel) . En réponse au journal regulation de bande passante via module apache. Évalué à 5.
voici la doc contenue dans un fichier README que j'ai obtenu en téléchargeant le .deb :
this module is a hack.
i wanted bandwidth control for a few virtual hosts, but i did not like
the userland methods -- they were inaccurate and buggy. i wanted to
take advantage of the linux kernel traffic shaping which i was already
using for managing my bandwidth costs. all i needed was a way to "paint"
some packets from the webserver so that the traffic shaper could handle
them appropriately.
i chose to abuse the IPTOS bits ("type of service") to do this. userland
is able to select IPTOS bits via setsockopt(2). this gives a communication
channel between the webserver and the traffic shaper, and makes me happy.
and so mod_iptos was born.
i've since learned that IPTOS are being updated/replaced by something
called DIFFSERV... and it sounds cool. but since my hack is in place and
working i haven't been motivated to go the next step with this module.
-dean (dean@arctic.org)
at any rate -- here's a copy of the docs in the code:
type-of-service bits in IP packets can be used for such things as
quality-of-service guarantees, or for traffic shaping. this module
allows you to set IP TOS bits on a per-directory basis (it'll also work
for location and files containers of course).
the four TOS bits are:
lowdelay
throughput
reliability
lowcost
note that in ancient IP history you were permitted only to
set none or one of those bits. at some point someone gave
meaning to the bitwise-OR of the bits... and i'm too lazy
to go look up those meanings right now. but since there are
meanings to the bitwise-OR, this module accepts the '|'
character as an OR operator to combine these bits.
the magic keyword "none" will result in no IPTOS bits being set.
(useful for a nested directory container to disable a TOS
you've set on a parent directory.)
there's only one command: IPTOS bits
as in:
# default to lowdelay TOS
IPTOS lowdelay
# choose throughput TOS for the video directory
<Directory /my/big/video/directory>
IPTOS throughput
to test if things are working i suggest tcpdump. it will show you the
tos bits on each packet.
[^] # Re: le plus répandu, donc...
Posté par Dario Spagnolo (site web personnel) . En réponse au journal Codecs vidéo : 2ème partie. Évalué à 1.
Je cherche effectivement le codec video le plus répandu, mais quand meme parmi les codecs récents qui peuvent faire tenir plusieurs minutes dans une vingtaine de Mo en format pas trop timbre poste. Par exemple, tous ceux testés dernierement dans un article qui a fait l'objet d'un journal me conviennent parfaitement (DivX3, DivX5, XviD, ND, RealVideo,...)
Par contre est-ce que tu me confirmes que le MPEG-4 n'est pas supporté nativement par WMP ?
# RIHA
Posté par Dario Spagnolo (site web personnel) . En réponse au journal Xname.org + eu.org = ns1 HS. Évalué à 2.
[^] # Re: deuxième solution
Posté par Dario Spagnolo (site web personnel) . En réponse au journal Regarder la télé sous linux. Évalué à 2.
Ceci dit, je pense qu'hormis la possibilité de mettre en pause la télé, il doit etre tout à fait possible de juste regarder le flux video avec mplayer directement, sans passer par mencoder...
[^] # Re: re
Posté par Dario Spagnolo (site web personnel) . En réponse au journal Regarder la télé sous linux. Évalué à 1.
[^] # Re: deuxième solution
Posté par Dario Spagnolo (site web personnel) . En réponse au journal Regarder la télé sous linux. Évalué à 1.
J'imagine de toute façon que tu es satisfait de la qualité sinon tu en aurais parlé avant :)
Au fait, toi non plus tu ne vends pas ta carte ? :) C'est cher ces cartes d'acquisition video ! A des prix raisonnables on trouve que des cartes avec des entrées DV et des boitiers USB....
Merci encore une fois pour toutes ces précisions...
[^] # Re: re
Posté par Dario Spagnolo (site web personnel) . En réponse au journal Regarder la télé sous linux. Évalué à 1.
http://image01.conrad.com/m/3000_3999/3500/3500/3500/350087_BB_00_F(...)
Prix catalogue : 3,90 EUR
Prix promo : 3,03 EUR
Concernant la carte d'acquisition, j'avais l'impression que ce genre de matériel coutait moins cher... 200 pour une Pinnacle... C'est pas ce que j'appelle une "bete carte d'acquisition" ! Tu vends pas la tienne par hasard ? :)
[^] # Re: re
Posté par Dario Spagnolo (site web personnel) . En réponse au journal Regarder la télé sous linux. Évalué à 1.
J'ai donc dit une connerie dans mon dernier commentaire ? Ce n'est pas du Péritel->S-Video qu'il me faut ? C'est du Péritel->Composite ?
Autrement dit, c'est ça qu'il me faut ? http://www1.fr.conrad.com/scripts/wgate/zcop_fr/~flN0YXRlPTQ5ODQ4Mz(...)
S'il faut encore des cookies pour ce site, la description du produit est : "Fiche péritel/3 RCA (vidéo + audio R/L)"
Ca coute à peine 3 donc je pense que je vais me rabattre sur cette solution :)
Plus bien sur un cordon 2xRCA -> Jack (http://www1.fr.conrad.com/scripts/wgate/zcop_fr/~flN0YXRlPTQ5ODQ4Mz(...)) que je brancherai à l'entrée de ma carte son, c'est ça ? Ou à l'entrée (s'il y en a) de la carte d'acquisition ?
[^] # Re: deuxième solution
Posté par Dario Spagnolo (site web personnel) . En réponse au journal Regarder la télé sous linux. Évalué à 2.
1. Tu as quelle carte d'acquisition ?
2. Peut-on se servir de mplayer pour récuperer le flux video ? Quelle est la commande si tu la connais ?
3. Utilises-tu un cable Peritel->S-Video ?
4. Est-ce que les ressources utilisées sont semblables à celles utilisées pour regarder un divx ? Autrement dit, est-ce qu'on peut faire du plein écran avec antialiasing sans problèmes ?
5. Est-ce que la qualité ne se déteriore pas trop avec tous ces passages ?
6. Tu utilises quelle version de noyau ?
Voilà je pense avoir tout dit, merci bcp de répondre à au moins quelques unes de ces questions ! :)
# 800x600, même problème
Posté par Dario Spagnolo (site web personnel) . En réponse au journal Hyundai L50S et modelines. Évalué à 1.
$ videogen -q -m="800x600" -mdc=78.75 -mhf=60 -mvf=75 -dvf=60
Modeline "800x600" 38.83 800 824 856 1024 600 602 603 632 # 39 MHz, 37.9 kHz, 60.0 Hz
Dans les logs :
(--) SAVAGE(0): Virtual size is 800x600 (pitch 800)
(**) SAVAGE(0): *Mode "800x600": 38.8 MHz, 37.9 kHz, 60.0 Hz
Sur l'écran : "Mode non supporté"
[^] # Re: Pourquoi RAID-0 ?
Posté par Dario Spagnolo (site web personnel) . En réponse au journal Système de sauvegarde automatisé. Évalué à 1.
Par contre les données ne seraient pas aussi en sécurité que placées sur une bande magnétique dans un placard.
[^] # Re: Suivi de :
Posté par Dario Spagnolo (site web personnel) . En réponse au journal Linux is not open source, says Microsoft. Évalué à 0.
You are not authorized to view this page
HTTP 403.6 - Forbidden: IP address rejected
# Re: La honte
Posté par Dario Spagnolo (site web personnel) . En réponse au journal La honte. Évalué à 2.
[^] # Re: Des noms de domaines vus par l'internaute moyen..
Posté par Dario Spagnolo (site web personnel) . En réponse au journal Des noms de domaines vus par l'internaute moyen... Évalué à 1.
# Re: [help] OOo Draw : Définir la longueur d'un trait déjà tracé
Posté par Dario Spagnolo (site web personnel) . En réponse au journal [help] OOo Draw : Définir la longueur d'un trait déjà tracé. Évalué à 2.
Ou bien F4 si la ligne est séléctionnée.
# Re: Quand le cd rom part en live (elle est excellente ...)
Posté par Dario Spagnolo (site web personnel) . En réponse au journal Quand le cd rom part en live (elle est excellente ...). Évalué à 2.