Dario Spagnolo a écrit 188 commentaires

Ok, admettons que je suive ton exemple.

Je teste ma ligne à la main... Ca marche nickel. J'ouvre le script, j'insere ma ligne, mais comme j'ai les doigts lourds je fais une erreur de syntaxe bash... Paf, le script se vautre exactement comme ça m'est arrivé...

Ok c'est de ma faute, je suis un gros nul, tout ce que tu veux... Mais moi je cherche justement une solution à preuve de gros nuls parce que l'erreur est humaine et si on ne laisse pas de place à l'erreur on va droit dans un mur :) Le risque zéro est une invention des hommes en costard cravate qui n'a rien à voir avec la vie réelle...

Mon serveur est actuellement le seul sous ma responsabilité dans un datacenter à 2h30 de chez moi. Alors pas de rebondissement possible depuis une autre machine, et encore moins d'accès par port série :)

Merci en tout cas, quand j'aurai plus d'un serveur, je le ferai surement :)

Ca c'est ce que je faisais en phase de test, mais si en prod tu dois faire des modifs il ne faudrait pas qu'elles soient annulées par un cron toutes les 15 minutes. A un moment donné il faut bien faire une modif sur le fichier sans que le cron puisse l'annuler...

Mais ça me fait penser à une procédure relativement infaillible :

- avant toute modification (même en prod) du le script du firewall, je remets en place le script cron de secours
- je fais ma modif
- si tout se passe bien je désactive le script cron
- sinon j'attends les 15 minutes et je recommence...

C'est simple, non ? Quels seraient les inconvénients ?

Remarque, c'était peut-être ce que tu proposais FixXxeR :) Loin de moi l'idée de vouloir t'enlever le merite !

Oui c'est vrai que ça a l'air pas mal... Mais j'ai toujours évité ce genre de logiciels parce qu'ils me paraissent trop compliqués par rapport à la tache à accomplir. Maintenant, je peux me tromper, je n'ai d'ailleurs jamais testé celui dont tu parles.

Je me dis que la configuration d'un firewall, quand on connait le fonctionnement d'iptables, est une chose très facile et très délicate. Ce qui me pousse à mettre en place des solutions simples (30 lignes en bash), facilement verifiables si quelque chose ne fonctionne pas comme il devrait et entièrement sous mon controle...

Il faut toujours, par contre, prévoir une solution de fallback car l'erreur est humaine !

> oui.
> mais question bête.
> si cela t'es arrivé, c'est que tu relances le script à chaque fois.
> pourquoi ne travailles-tu pas à coups d'insert et de delete ?
> le risque de planter ton firewall son quand même moindre dans ce cas...

Parce que là je n'étais plus en test, j'étais en prod, je savais exactement ce que je devais faire : ouvrir le port 53 suite à l'installation d'un serveur DNS. Bon évidemment, il y en aura toujours pour dire qu'on ne fait pas ça sur un serveur en prod, mais je n'avais pas le choix ! Donc tout ça pour dire que j'étais sur de ma manip, il fallait que je fasse copier-coller de la derniere ligne et que je modifie le numero du port...

Ce que tu me proposes toi est une bonne idée pour faire des tests... Genre, voir si cette règle fonctionne, je l'ajoute à la main et les dégats sont limités si ça marche pas. Quoique, dans ces cas là je prefere encore la technique du firewall réinitialisé automatiquement toutes les 15 minutes.

Mais tu ne veux tout de même pas que je me tape une trentaine de commandes iptables à la main à chaque lancement de la machine, si ? Même si elle doit être redemarrée une fois tous les 3 mois, ça me parait long et d'autres erreurs peuvent être commises de cette façon...

> - prise electrique controllable à distance et pas de lancement automatique au démarrage du firewall

Oui c'est très bourrin, mais je ne devrais pas m'en servir tous les jours... Mais au moins je sais que la solution est là ! :)

> donc ça c'est pour un plantage de quoi ? des régles ? de la machine ? c'est pas vraiment clair là...

Oui, ça c'était pour surveiller un plantage des règles... Parce qu'en gros je me dis, si le serveur était un minimum doué d'intelligence (!) il devrait se poser des questions en voyant qu'il a toujours parfaitement accès au net (paquets sortants autorisés) mais que tout à coup plus personne ne vient chez lui...

> heu... question bête... si ton plantage de règles équivaut à un DROP ALL ;-) tu > fais comment pour l'envoyer ton fichier ??

Je pensais à un serveur ftp externe...

Même si je n'ai pas trouvé une réponse à mon problème, je te remercie de tes conseils, ça aide à réfléchir et à trouver des solutions :)

Deux bons conseils, merci :)

Effectivement le coup du mail signé est alambiqué mais devrait fonctionner et reste secure...

Tu aurais plus d'infos ou de liens là dessus ?

Désolé d'avance pour ce commentaire. C'est pas du tout le genre de commentaire qui va t'aider ou te faire plaisir...

J'ai utilisé netatalk pendant plus de 6 mois dans un environnement Linux/MacOSX, mais les problèmes étaient récurrents. En une heure j'ai tout migré sur Samba grâce à l'excellent support par Mac OS X et depuis je dors mieux :)

Mais avec IPTOS, ne pourrait-on pas donner des "privileges" differents en fonction du type de fichiers ? Il serait par exemple interessant d'appliquer le bit lowdelay aux fichiers à l'extension .html (generalement legers) et throughput aux .jpg et .png (generalement plus gros) ?

Salut Max,

voici la doc contenue dans un fichier README que j'ai obtenu en téléchargeant le .deb :

this module is a hack.

i wanted bandwidth control for a few virtual hosts, but i did not like
the userland methods -- they were inaccurate and buggy. i wanted to
take advantage of the linux kernel traffic shaping which i was already
using for managing my bandwidth costs. all i needed was a way to "paint"
some packets from the webserver so that the traffic shaper could handle
them appropriately.

i chose to abuse the IPTOS bits ("type of service") to do this. userland
is able to select IPTOS bits via setsockopt(2). this gives a communication
channel between the webserver and the traffic shaper, and makes me happy.

and so mod_iptos was born.

i've since learned that IPTOS are being updated/replaced by something
called DIFFSERV... and it sounds cool. but since my hack is in place and
working i haven't been motivated to go the next step with this module.

-dean (dean@arctic.org)


at any rate -- here's a copy of the docs in the code:

type-of-service bits in IP packets can be used for such things as
quality-of-service guarantees, or for traffic shaping. this module
allows you to set IP TOS bits on a per-directory basis (it'll also work
for location and files containers of course).

the four TOS bits are:

lowdelay
throughput
reliability
lowcost

note that in ancient IP history you were permitted only to
set none or one of those bits. at some point someone gave
meaning to the bitwise-OR of the bits... and i'm too lazy
to go look up those meanings right now. but since there are
meanings to the bitwise-OR, this module accepts the '|'
character as an OR operator to combine these bits.

the magic keyword "none" will result in no IPTOS bits being set.
(useful for a nested directory container to disable a TOS
you've set on a parent directory.)

there's only one command: IPTOS bits

as in:

# default to lowdelay TOS
IPTOS lowdelay

# choose throughput TOS for the video directory
<Directory /my/big/video/directory>
IPTOS throughput



to test if things are working i suggest tcpdump. it will show you the
tos bits on each packet.

Oui je parlais du codec audio mp3 (MPEG-3 c'est faux ?) qui est supporté par tous les player de nouvelle génération.

Je cherche effectivement le codec video le plus répandu, mais quand meme parmi les codecs récents qui peuvent faire tenir plusieurs minutes dans une vingtaine de Mo en format pas trop timbre poste. Par exemple, tous ceux testés dernierement dans un article qui a fait l'objet d'un journal me conviennent parfaitement (DivX3, DivX5, XviD, ND, RealVideo,...)

Par contre est-ce que tu me confirmes que le MPEG-4 n'est pas supporté nativement par WMP ?

Plusieurs serveurs du RIHA (http://cliprezo.net/wiki(...)) mettent à disposition leurs serveurs DNS pour servir de backup...

Très interessant :) Merci bcp...

Ceci dit, je pense qu'hormis la possibilité de mettre en pause la télé, il doit etre tout à fait possible de juste regarder le flux video avec mplayer directement, sans passer par mencoder...

Bien vu, merci bcp, j'avais pas regardé dans la catégorie "cartes tuner TV" :)

5. Effectivement, hormis l'acquisition et la conversion Péritel -> Composite/S-Video (que tu n'as visiblement pas), il n'y a pas bcp de passages.
J'imagine de toute façon que tu es satisfait de la qualité sinon tu en aurais parlé avant :)

Au fait, toi non plus tu ne vends pas ta carte ? :) C'est cher ces cartes d'acquisition video ! A des prix raisonnables on trouve que des cartes avec des entrées DV et des boitiers USB....

Merci encore une fois pour toutes ces précisions...

Pourtant :

http://image01.conrad.com/m/3000_3999/3500/3500/3500/350087_BB_00_F(...)

Prix catalogue : 3,90 EUR
Prix promo : 3,03 EUR

Concernant la carte d'acquisition, j'avais l'impression que ce genre de matériel coutait moins cher... 200€ pour une Pinnacle... C'est pas ce que j'appelle une "bete carte d'acquisition" ! Tu vends pas la tienne par hasard ? :)

Merci bcp mat :)

J'ai donc dit une connerie dans mon dernier commentaire ? Ce n'est pas du Péritel->S-Video qu'il me faut ? C'est du Péritel->Composite ?
Autrement dit, c'est ça qu'il me faut ? http://www1.fr.conrad.com/scripts/wgate/zcop_fr/~flN0YXRlPTQ5ODQ4Mz(...)
S'il faut encore des cookies pour ce site, la description du produit est : "Fiche péritel/3 RCA (vidéo + audio R/L)"

Ca coute à peine 3€ donc je pense que je vais me rabattre sur cette solution :)

Plus bien sur un cordon 2xRCA -> Jack (http://www1.fr.conrad.com/scripts/wgate/zcop_fr/~flN0YXRlPTQ5ODQ4Mz(...)) que je brancherai à l'entrée de ma carte son, c'est ça ? Ou à l'entrée (s'il y en a) de la carte d'acquisition ?

Merci pour ton retour :) J'ai quelques questions :

1. Tu as quelle carte d'acquisition ?
2. Peut-on se servir de mplayer pour récuperer le flux video ? Quelle est la commande si tu la connais ?
3. Utilises-tu un cable Peritel->S-Video ?
4. Est-ce que les ressources utilisées sont semblables à celles utilisées pour regarder un divx ? Autrement dit, est-ce qu'on peut faire du plein écran avec antialiasing sans problèmes ?
5. Est-ce que la qualité ne se déteriore pas trop avec tous ces passages ?
6. Tu utilises quelle version de noyau ?

Voilà je pense avoir tout dit, merci bcp de répondre à au moins quelques unes de ces questions ! :)

Exactement le meme problème avec le 800x600 60Hz, toujours un mode mis en avant par le constructeur :

$ videogen -q -m="800x600" -mdc=78.75 -mhf=60 -mvf=75 -dvf=60
Modeline "800x600" 38.83 800 824 856 1024 600 602 603 632 # 39 MHz, 37.9 kHz, 60.0 Hz

Dans les logs :

(--) SAVAGE(0): Virtual size is 800x600 (pitch 800)
(**) SAVAGE(0): *Mode "800x600": 38.8 MHz, 37.9 kHz, 60.0 Hz

Sur l'écran : "Mode non supporté"

Ooops, je voulais dire RAID 1, la RAID 0 n'a effectivement rien à voir avec la sécurité des données.
Par contre les données ne seraient pas aussi en sécurité que placées sur une bande magnétique dans un placard.

J'ai encore mieux :

You are not authorized to view this page

HTTP 403.6 - Forbidden: IP address rejected

Binhex4 est l'équivalent Pomme de mime64... C'est le client mail qui est responsable de cet encodage et aussi de son décodage quand on reçoit un tel fichier attaché.

Ou le .con :)

Bouton droit -> "Position et taille".

Ou bien F4 si la ligne est séléctionnée.

lsof | grep /dev/cdrom