wifi config
Bonjour mon debian 5.0.1 n'arrive pas détecter mon carte WiFI avec un ordinateur " HP compaq 6820s " aider moi
Re: [HS] Help pour débuter avec iptables
Bonjour, Je me permets d'intervenir, j'adore me faire reprendre par Pascal. ;) Le Friday 10 September 2010 22:25:20 giggz, vous avez écrit : > >> > >> *filter > >> > >> :INPUT ACCEPT [0:0] > > > > La politique par défaut devrait être DROP. > > alors là ya un truc que je ne pige pas: > si c'est à DROP tout ce qui rentre va être droppé non ? La politique par _defaut_ s'applique en fin de chaîne aux paquets restants (comprendre qui n'auront pas été acceptés par une règle). > Dans quel ordre iptables lit il les règles ? Dans l'ordre ou elles apparaissent dans les tables. Chaque ajout (-A) à lieu à la suite des règles existantes, d'où la remarque de Pascal (plus loin dans le même message) de placer les règles concernant les paquets ESTABLISHED/RELATED en début de table, pour éviter que ces paquets ne doivent tout d'abord passer par les autres règles. > >> ## Allow previously established connections > >> -A Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > > > > Cette règle devrait se trouver en début de chaîne car c'est elle qui > > traite normalement le plus de paquets. Plus globalement, une politique de DROP par défaut me paraît beaucoup plus sûre; si on oublie d'ouvrir un port ça se remarque généralement assez rapidement, ce qui n'est pas forcément le cas de ceux que l'on oublie de fermer. De plus AMA c'est plus facile à lire et à comprendre, on n'a que des règles ACCEPT au lieu d'un mélange de règles ACCEPT (pour récupérer les paquets sans traverser toute la chaîne) et de règles DROP dans le cas d'une politique par défaut en ACCEPT. mes 2cts. -- Serge -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201009110021.43607.debse...@free.fr
Re: [HS] Help pour débuter avec iptables
Le 10/09/2010 20:11, Pascal Hambourg a écrit : > giggzounet a écrit : >> Le 10/09/2010 15:39, Pascal Hambourg a écrit : >>> >>> giggzounet a écrit : >>> j'ai un cluster. les noeuds n'ont pas accès au net. Donc je monte un parefeu sur le master node. Naturellement le master doit accepter tout ce que vient des noeuds. Et j'aimerais que tout ce que vienne de l'extérieur soit filtré à part qqs services comme ssh et http. >>> >>> Le master se comporte comme un genre de load balancer ? Il fonctionne >>> plutôt comme un routeur, ou un reverse proxy, ou selon un autre mécanisme ? >> >> le master se charge de distribuer les jobs sur les noeuds. C'est via le >> master que tout le monde se connecte. > > "Via", ça reste vague. Ça peut être via routage et redirection de ports, > ou via un programme. Je suppose que c'est via un programme, donc le > master ne fonctionne pas en routeur et dans ce cas il n'est pas censé y > avoir de trafic dans la chaîne FORWARD. > disons que normalement il n'agit pas en routeur. mais si les noeuds ont besoin d'internet j'active temporairement l'ip forwarding. >> En gros j'ai 5 interfaces: >> >> lo locahost >> eth0 interface ethernet vers les noeuds >> eth0:2 interface de controle/monitoring des noeuds (ipmi) > > eth0:2 n'est pas une interface mais un alias IP, une façon obsolète > d'affecter une adresse IP supplémentaire à l'interface eth0. > oui. d'ailleurs je suppose que je ne peux pas faire: -A Firewall-1-INPUT -i eth0:2 -s 192.168.200.0/255.255.255.0 -j ACCEPT non ? >> ib0 interface infiniband vers les noeuds >> eth1 interface ethernet vers l'extérieur. >> >> En gros je voudrais qu'en interne il n'y ait aucun filtrage (donc tout >> passe sur lo,ib0,eth0,eth0:2 dans tous les sens). par contre que tout en >> entrée de eth1 soit bloqué sauf le port 22 (pour commencer). en sortie >> sur eth1 je peux laissé ouvert. > > Ça, c'est facile. Ton jeu de règles va déjà plus loin. > ok. donc c'est correct. >> ben pour l'instant ça a l'air de marcher. en gros si je me connecte >> normal ça va. par contre si je lance un nmap par exemple il gueule. > > C'est important qu'il gueule ? > ben non :) >> pour l'instant j'ai ça; qu'en pensez vous (résultat de mon mal de tête...) ? >> >> *filter >> :INPUT ACCEPT [0:0] > > La politique par défaut devrait être DROP. > alors là ya un truc que je ne pige pas: si c'est à DROP tout ce qui rentre va être droppé non ? Dans quel ordre iptables lit il les règles ? pourquoi si :INPUT est à DROP j'arrive tout de même à avoir une connection ssh avec l'autre règle ? >> :FORWARD ACCEPT [0:0] > > Même chose, si la machine n'est pas routeur rien ne doit traverser cette > chaîne. > ok. sauf si j'active temporairement l'ip forwarding, non ? >> :OUTPUT ACCEPT [0:0] >> :Firewall-1-INPUT - [0:0] > > Cette chaîne est inutile, tout ce qu'elle contient peut être mis dans INPUT. > mais via cette chaine je traite INPUT et FORWARD en même temps, non ? >> ## SSH (test brute force) > > Ces règles devraient arriver après les règles anti-spoof. > ok. je corrige >> # IP DROP SPOOF >> -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP >> -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP >> -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP > > Je suppose que tu sais ce que tu fais et que personne n'est censé > communiquer avec ta machine par cette interface depuis ces adresses. > oui. c'est voulu. >> -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP > > Pourquoi /5 et pas /4 ? > aucune idée...le mal de tête :D >> # IP DROP MULTICAST >> -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP > > Pas absolument nécessaire, la plage multicast est invalide en tant que > source donc ces paquets sont de toute façon écartés par la pile IP du noyau. > ok. donc à virer. >> -A INPUT -i eth1 -s 169.254.0.0/16 -j DROP > > Ce n'est pas du multicast, c'est la plage link-local IPv4. > ok. >> # IP DROP LOOPBACK >> -A INPUT -i eth1 -d 127.0.0.0/8 -j DROP > > Pas absolument nécessaire, la plage de loopback est invalide en tant que > source ou destination à l'extérieur de la machine donc ces paquets sont > de toute façon écartés par la pile IP du noyau. > Accessoirement tu n'as pas mis de règle pour bloquer la plage de > loopback en source. > ok. >> -A INPUT -i eth1 -s 240.0.0.0/4 -j DROP > > Ah, voilà la bonne longueur de préfixe. > >> -A INPUT -i eth1 -s 255.255.255.255/32 -j DROP > > Déjà inclus dans le préfixe précédent. > donc à virer ? >> -A INPUT -i eth1 -s 168.254.0.0/16 -j DROP > > Pourquoi, tu as quelque chose contre les écoles publiques du comté de > Hillsborough en Floride ? > ben je les aime po :p >> -A INPUT -i eth1 -s 248.0.0.0/5 -j DROP > > Déjà inclus dans 240.0.0.0/4. > ok. donc je vire. >> -A INPUT -j Firewall-1-INPUT > > Comme déjà dit, autant mettre les règles directement dans INPUT. > >> -A FORWARD -j Firewall-1-INPUT > > Comme déjà dit, aucun paquet ne traverse cette chaîne si la machine > n'est pas routeur. > >> ## Allow all traffic from the node
Re: [HS] Help pour débute r avec iptables
Pascal, J'adore te lire, merci pour ce bon début de wiknd ! -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100910194932.ga25...@localdomain
Re: Backport etch. Où sont-ils ?
Bonjour, Le Friday 10 September 2010 20:38:14 Guy Roussin, vous avez écrit : > Sur cette page je lis : > "Downloads will still be available, but every user is recommended to update > to Debian Lenny / lenny-backports." > Ok, y a plus d'upgrade (uploads) mais normalement les paquets doivent > encore être accessibles ? Il existe le service http://snapshot.debian.org/, une machine à remonter le temps qui permet d'accéder à d'anciens paquets en fonction d'une date ou d'un numéro de version. L'annonce du service: http://www.debian.org/News/2010/20100412 Ça ne procure sans doute pas les mêmes facilités qu'un dépôt, mais vous devriez néanmoins pouvoir y trouver les paquets souhaités. Si ça peut aider :) -- Serge -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201009102137.38185.debse...@free.fr
Re: Backport etch. O ù sont-ils ?
Re, On Fri, Sep 10, 2010 at 08:38:14PM +0200, Guy Roussin wrote: > >>Merci, effectivement on dirait qu'ils y sont mais il doit y avoir quelque > >>chose > >>de pas carré au niveau des serveurs ? > >[...] > > > >http://backports.debian.org/news/etch_backports_discontinued/ > > > Sur cette page je lis : > "Downloads will still be available, but every user is recommended to > update to Debian Lenny / lenny-backports." > Ok, y a plus d'upgrade (uploads) mais normalement les paquets > doivent encore être accessibles ? Il me semble aussi. (Sinon, pourquoi laisser les paquets sur le serveur ?) Le lien donné fonctionne avec les backports lenny en tout cas. A+ -- JFS. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100910190735.ga13...@hohenhole.jfs.dt
Re: un générateur de sites web ou un CMS ?
Le Tue, 07 Sep 2010 13:10:02 +0200, Pierre Crescenzo a écrit : > choix d'un générateur de sites web ou d'un CMS CMSimple_XH : http://www.cmsimple.fr/ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4c8a79c2$0$5853$426a7...@news.free.fr
Re: Backport etch. Où sont-ils ?
Merci, effectivement on dirait qu'ils y sont mais il doit y avoir quelque chose de pas carré au niveau des serveurs ? [...] http://backports.debian.org/news/etch_backports_discontinued/ Sur cette page je lis : "Downloads will still be available, but every user is recommended to update to Debian Lenny / lenny-backports." Ok, y a plus d'upgrade (uploads) mais normalement les paquets doivent encore être accessibles ? Guy -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4c8a7b16.8030...@teledetection.fr
Re: [HS] Help pour débuter avec iptables
giggzounet a écrit : > Le 10/09/2010 15:39, Pascal Hambourg a écrit : >> >> giggzounet a écrit : >> >>> j'ai un cluster. les noeuds n'ont pas accès au net. Donc je monte un >>> parefeu sur le master node. Naturellement le master doit accepter tout >>> ce que vient des noeuds. Et j'aimerais que tout ce que vienne de >>> l'extérieur soit filtré à part qqs services comme ssh et http. >> >> Le master se comporte comme un genre de load balancer ? Il fonctionne >> plutôt comme un routeur, ou un reverse proxy, ou selon un autre mécanisme ? > > le master se charge de distribuer les jobs sur les noeuds. C'est via le > master que tout le monde se connecte. "Via", ça reste vague. Ça peut être via routage et redirection de ports, ou via un programme. Je suppose que c'est via un programme, donc le master ne fonctionne pas en routeur et dans ce cas il n'est pas censé y avoir de trafic dans la chaîne FORWARD. > En gros j'ai 5 interfaces: > > lo locahost > eth0 interface ethernet vers les noeuds > eth0:2 interface de controle/monitoring des noeuds (ipmi) eth0:2 n'est pas une interface mais un alias IP, une façon obsolète d'affecter une adresse IP supplémentaire à l'interface eth0. > ib0 interface infiniband vers les noeuds > eth1 interface ethernet vers l'extérieur. > > En gros je voudrais qu'en interne il n'y ait aucun filtrage (donc tout > passe sur lo,ib0,eth0,eth0:2 dans tous les sens). par contre que tout en > entrée de eth1 soit bloqué sauf le port 22 (pour commencer). en sortie > sur eth1 je peux laissé ouvert. Ça, c'est facile. Ton jeu de règles va déjà plus loin. > ben pour l'instant ça a l'air de marcher. en gros si je me connecte > normal ça va. par contre si je lance un nmap par exemple il gueule. C'est important qu'il gueule ? > pour l'instant j'ai ça; qu'en pensez vous (résultat de mon mal de tête...) ? > > *filter > :INPUT ACCEPT [0:0] La politique par défaut devrait être DROP. > :FORWARD ACCEPT [0:0] Même chose, si la machine n'est pas routeur rien ne doit traverser cette chaîne. > :OUTPUT ACCEPT [0:0] > :Firewall-1-INPUT - [0:0] Cette chaîne est inutile, tout ce qu'elle contient peut être mis dans INPUT. > ## SSH (test brute force) Ces règles devraient arriver après les règles anti-spoof. > # IP DROP SPOOF > -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP > -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP > -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP Je suppose que tu sais ce que tu fais et que personne n'est censé communiquer avec ta machine par cette interface depuis ces adresses. > -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP Pourquoi /5 et pas /4 ? > # IP DROP MULTICAST > -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP Pas absolument nécessaire, la plage multicast est invalide en tant que source donc ces paquets sont de toute façon écartés par la pile IP du noyau. > -A INPUT -i eth1 -s 169.254.0.0/16 -j DROP Ce n'est pas du multicast, c'est la plage link-local IPv4. > # IP DROP LOOPBACK > -A INPUT -i eth1 -d 127.0.0.0/8 -j DROP Pas absolument nécessaire, la plage de loopback est invalide en tant que source ou destination à l'extérieur de la machine donc ces paquets sont de toute façon écartés par la pile IP du noyau. Accessoirement tu n'as pas mis de règle pour bloquer la plage de loopback en source. > -A INPUT -i eth1 -s 240.0.0.0/4 -j DROP Ah, voilà la bonne longueur de préfixe. > -A INPUT -i eth1 -s 255.255.255.255/32 -j DROP Déjà inclus dans le préfixe précédent. > -A INPUT -i eth1 -s 168.254.0.0/16 -j DROP Pourquoi, tu as quelque chose contre les écoles publiques du comté de Hillsborough en Floride ? > -A INPUT -i eth1 -s 248.0.0.0/5 -j DROP Déjà inclus dans 240.0.0.0/4. > -A INPUT -j Firewall-1-INPUT Comme déjà dit, autant mettre les règles directement dans INPUT. > -A FORWARD -j Firewall-1-INPUT Comme déjà dit, aucun paquet ne traverse cette chaîne si la machine n'est pas routeur. > ## Allow all traffic from the nodes > -A Firewall-1-INPUT -i eth0 -s 192.168.0.0/255.255.255.0 -j ACCEPT > -A Firewall-1-INPUT -i ib0 -s 192.168.100.0/255.255.255.0 -j ACCEPT > -A Firewall-1-INPUT -s 192.168.200.0/255.255.255.0 -j ACCEPT Toujours vérifier l'interface d'entrée. Note : spécifier la longueur de préfixe plutôt que le masque est AMA plus lisible. > ## Allow icmp > -A Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT Bof. Le ping (echo-request), c'est suffisant. > ## Allow IPsec (ESP port 50 and AH port 51) Protocoles 50 et 51, pas ports. > -A Firewall-1-INPUT -p esp -j ACCEPT > -A Firewall-1-INPUT -p ah -j ACCEPT C'est utile ? > ## Allow previously established connections > -A Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT Cette règle devrait se trouver en début de chaîne car c'est elle qui traite normalement le plus de paquets. > ## Allow SSH > -A Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT Déjà traité plus haut avec le bazar "recent", non ? > ## Do not log smb/windows sharing packets - too much logging > -A Firewall-1-I
Re: Backport etch. Où sont-ils ?
On Fri, 10 Sep 2010 18:41:57 +0200 Guy Roussin wrote: > Merci, effectivement on dirait qu'ils y sont mais il doit y avoir quelque > chose > de pas carré au niveau des serveurs ? [...] http://backports.debian.org/news/etch_backports_discontinued/ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100910192448.d3a8f60e.didier.gau...@gmail.com
Re: Backport etch. Où sont-ils ?
Essaye un peu : deb http://debian.netcologne.de/debian-backports etch-backports main contrib non-free De bonne foi (ils semblent encore là), mais sans certitude (pas vérifié). Merci, effectivement on dirait qu'ils y sont mais il doit y avoir quelque chose de pas carré au niveau des serveurs ? J'obtiens ça sur un aptitude update ou apt update : W: Impossible de localiser la liste des paquets sources http://debian.netcologne.de etch-backports/main Packages (/var/lib/apt/lists/debian.netcologne.de_debian-backports_dists_etch-backports_main_binary-amd64_Packages) - stat (2 Aucun fichier ou répertoire de ce type) W: Impossible de localiser la liste des paquets sources http://debian.netcologne.de etch-backports/contrib Packages (/var/lib/apt/lists/debian.netcologne.de_debian-backports_dists_etch-backports_contrib_binary-amd64_Packages) - stat (2 Aucun fichier ou répertoire de ce type) W: Impossible de localiser la liste des paquets sources http://debian.netcologne.de etch-backports/non-free Packages (/var/lib/apt/lists/debian.netcologne.de_debian-backports_dists_etch-backports_non-free_binary-amd64_Packages) - stat (2 Aucun fichier ou répertoire de ce type) W: Vous pouvez lancer « apt-get update » pour corriger ces problèmes. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4c8a5fd5.5030...@teledetection.fr
Re: Backport etch. O ù sont-ils ?
Re, On Fri, Sep 10, 2010 at 06:27:26PM +0200, Guy Roussin wrote: > J'ai un serveur en etch (amd64) qui utilise quelques paquets > provenant des etch backports ... Il semble que suite à la migration > vers debian.org les paquets etch backports aient disparus ... Je > cherche un dépôt mirroir de ces backports pour etch. Essaye un peu : deb http://debian.netcologne.de/debian-backports etch-backports main contrib non-free De bonne foi (ils semblent encore là), mais sans certitude (pas vérifié). Hih, -- JFS. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100910163338.ga13...@hohenhole.jfs.dt
Backport etch. Où sont-ils ?
Bonjour, J'ai un serveur en etch (amd64) qui utilise quelques paquets provenant des etch backports ... Il semble que suite à la migration vers debian.org les paquets etch backports aient disparus ... Je cherche un dépôt mirroir de ces backports pour etch. Merci. -- Guy Roussin -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4c8a5c6e.4030...@teledetection.fr
Re: [HS] Help pour débuter avec iptables
Le 10/09/2010 15:39, Pascal Hambourg a écrit : > Salut, > > giggzounet a écrit : >> >> suite à des problèmes avec la surcouche firewall apportée par >> firestarter, je me décide à m'intéresser à iptables. > > Bravo ! > merci. mais j'ai un de ces mal de tête maintenant!!! >> J'ai tenté ma chance sur la list de >> netfilter...mais bon pas eu de réponse... > > J'ai vu "cluster" dans le sujet alors j'ai passé en me disant "houla, > j'y connais rien et ça doit être compliqué". > >> j'ai un cluster. les noeuds n'ont pas accès au net. Donc je monte un >> parefeu sur le master node. Naturellement le master doit accepter tout >> ce que vient des noeuds. Et j'aimerais que tout ce que vienne de >> l'extérieur soit filtré à part qqs services comme ssh et http. > > Le master se comporte comme un genre de load balancer ? Il fonctionne > plutôt comme un routeur, ou un reverse proxy, ou selon un autre mécanisme ? > le master se charge de distribuer les jobs sur les noeuds. C'est via le master que tout le monde se connecte. En gros j'ai 5 interfaces: lo locahost eth0 interface ethernet vers les noeuds eth0:2 interface de controle/monitoring des noeuds (ipmi) ib0 interface infiniband vers les noeuds eth1 interface ethernet vers l'extérieur. En gros je voudrais qu'en interne il n'y ait aucun filtrage (donc tout passe sur lo,ib0,eth0,eth0:2 dans tous les sens). par contre que tout en entrée de eth1 soit bloqué sauf le port 22 (pour commencer). en sortie sur eth1 je peux laissé ouvert. >> pour l'instant j'ai ça: >> >> *filter >> :INPUT ACCEPT [0:0] >> :FORWARD ACCEPT [0:0] >> :OUTPUT ACCEPT [0:0] >> :Firewall-1-INPUT - [0:0] >> -A INPUT -j Firewall-1-INPUT >> -A FORWARD -j Firewall-1-INPUT > > C'est pas la peine de virer la surcouche si c'est pour faire pareil... > >> # >> # >> -A INPUT -j Firewall-1-INPUT >> -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set >> --name SSH --rsource -j ACCEPT >> -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60 >> --hitcount 4 --rttl --name SSH --rsource -j LOG --log-prefix >> "SSH_brute_force " >> -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60 >> --hitcount 4 --rttl --name SSH --rsource -j DROP > > Mon conseil : quand on débute, commencer par des choses simples et > basiques : suivi de connexion, filtrage des flux par interface d'entrée > et/ou de sortie, protocole et port. Pour les trucs subtils à base de > "recent" (susceptible de provoquer un auto-DoS si mal maîtrisé), on > verra plus tard. > ben pour l'instant ça a l'air de marcher. en gros si je me connecte normal ça va. par contre si je lance un nmap par exemple il gueule. > >> Est ce qu'on peut faire mieux ? ou alors plus simple? bref si vous avez >> des idées...je suis preneur. > > Ben en fait, c'est difficile à dire car je vois pas trop le rapport avec > le "cahier des charges" mentionné plus haut. Faut dire qu'il est > tellement vague... > cf plus haut. >> UNe autre question: >> si je mets ces règles pour iptables. Qu'en est il pour ip6tables ? > > C'est indépendant. ip6tables n'est utile que si la machine a une > connectivité IPv6. > ok. bon je suis sur le réseau interne d'une uni...alors je suppose que oui. >> dois je mettre les mêmes rêgles ? > > Tu ne pourras pas forcément : les adresses et les types ICMP sont > spécifiques à chacun des deux protocole. > oui ça j'ai vu. et j'ai modifié. Merci. pour l'instant j'ai ça; qu'en pensez vous (résultat de mon mal de tête...) ? *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :Firewall-1-INPUT - [0:0] # ## SSH (test brute force) -A INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH --rsource -j LOG --log-prefix "SSH_brute_force " -A INPUT -i eth1 -p tcp -m tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH --rsource -j DROP # # IP DROP SPOOF -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP # IP DROP MULTICAST -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP -A INPUT -i eth1 -s 169.254.0.0/16 -j DROP # IP DROP LOOPBACK -A INPUT -i eth1 -d 127.0.0.0/8 -j DROP # IP DROP -A INPUT -i eth1 -s 0.0.0.0/8 -j DROP -A INPUT -i eth1 -s 240.0.0.0/4 -j DROP -A INPUT -i eth1 -s 255.255.255.255/32 -j DROP -A INPUT -i eth1 -s 168.254.0.0/16 -j DROP -A INPUT -i eth1 -s 248.0.0.0/5 -j DROP # ## -A INPUT -j Firewall-1-INPUT -A FORWARD -j Firewall-1-INPUT # ## Allow all traffic on localhost -A Firewall-1-INPUT -i lo -j ACCEPT # # begin: allowed networks # ## Allow all traffic from the nodes -A Firewall-1-INPUT -i eth0 -s 192.168.0.0/255.255.255.0 -j ACCEPT -A Firewall-1-INPUT -i ib0 -s 192.168.100.0/255.255.255.0 -j ACCEPT -A Firewall-1-INPUT -s 192.168.200.0/255.255.255.0 -j ACCEPT # end: allowed net
Re: boîtier ITX
Bonjour, Le 10/09/10, Olivier Lange a écrit : > Hello, > > Ne te fais pas de souci, ce sera compatible... j'installe du debian sur des > cartes ibase, ou 3,5'', donc largement plus spécifique que du mini itx, avec Merci pour ton message qui me rassure grandement. > des ssd, sans problèmes. Par contre, passe directement en squeeze. Euh, est-ce que c'est bien stable maintenant ? J'ai jamais fais d'upgrade de version, puis-je installer d'abord la lenny puis après faire un aptitude dist-upgrade ? Remarque, s'il y a déjà des instruction de migration j'irai les lire. Merci en tous cas, quand j'aurai mis en place mon poste je vous tiendrai au courant. Raphaël -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/aanlkti=gz0+9du1j2g0omdityox5v73vcopgobews...@mail.gmail.com
Re: [HS] Help pour débuter avec iptables
Salut, giggzounet a écrit : > > suite à des problèmes avec la surcouche firewall apportée par > firestarter, je me décide à m'intéresser à iptables. Bravo ! > J'ai tenté ma chance sur la list de > netfilter...mais bon pas eu de réponse... J'ai vu "cluster" dans le sujet alors j'ai passé en me disant "houla, j'y connais rien et ça doit être compliqué". > j'ai un cluster. les noeuds n'ont pas accès au net. Donc je monte un > parefeu sur le master node. Naturellement le master doit accepter tout > ce que vient des noeuds. Et j'aimerais que tout ce que vienne de > l'extérieur soit filtré à part qqs services comme ssh et http. Le master se comporte comme un genre de load balancer ? Il fonctionne plutôt comme un routeur, ou un reverse proxy, ou selon un autre mécanisme ? > pour l'instant j'ai ça: > > *filter > :INPUT ACCEPT [0:0] > :FORWARD ACCEPT [0:0] > :OUTPUT ACCEPT [0:0] > :Firewall-1-INPUT - [0:0] > -A INPUT -j Firewall-1-INPUT > -A FORWARD -j Firewall-1-INPUT C'est pas la peine de virer la surcouche si c'est pour faire pareil... > # > # > -A INPUT -j Firewall-1-INPUT > -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set > --name SSH --rsource -j ACCEPT > -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60 > --hitcount 4 --rttl --name SSH --rsource -j LOG --log-prefix > "SSH_brute_force " > -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60 > --hitcount 4 --rttl --name SSH --rsource -j DROP Mon conseil : quand on débute, commencer par des choses simples et basiques : suivi de connexion, filtrage des flux par interface d'entrée et/ou de sortie, protocole et port. Pour les trucs subtils à base de "recent" (susceptible de provoquer un auto-DoS si mal maîtrisé), on verra plus tard. > Est ce qu'on peut faire mieux ? ou alors plus simple? bref si vous avez > des idées...je suis preneur. Ben en fait, c'est difficile à dire car je vois pas trop le rapport avec le "cahier des charges" mentionné plus haut. Faut dire qu'il est tellement vague... > UNe autre question: > si je mets ces règles pour iptables. Qu'en est il pour ip6tables ? C'est indépendant. ip6tables n'est utile que si la machine a une connectivité IPv6. > dois je mettre les mêmes rêgles ? Tu ne pourras pas forcément : les adresses et les types ICMP sont spécifiques à chacun des deux protocole. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4c8a3508.5090...@plouf.fr.eu.org
Re: [HS] Help pour débuter avec iptables
Le 10/09/2010 14:43, moi-meme a écrit : > Le Fri, 10 Sep 2010 09:00:02 +0200, giggzounet a écrit : > >> suite à des problèmes avec la surcouche firewall apportée par >> firestarter, je me décide à m'intéresser à iptables. Mais je suis un peu >> perdu. Et la doc d'iptables est plus que conséquente. donc j'ai besoin >> d'aide pour débuter. J'ai tenté ma chance sur la list de >> netfilter...mais bon pas eu de réponse...alors je me tourne vers vous. > > c'est vieux mais ça m'a bien dépanné pour comprendre > http://olivieraj.free.fr/fr/linux/information/firewall/ > merci. je vais regarder ça. GiGGz -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/i6db4n$4p...@dough.gmane.org
Re: [HS] Help pour débuter avec iptables
Le Fri, 10 Sep 2010 09:00:02 +0200, giggzounet a écrit : > suite à des problèmes avec la surcouche firewall apportée par > firestarter, je me décide à m'intéresser à iptables. Mais je suis un peu > perdu. Et la doc d'iptables est plus que conséquente. donc j'ai besoin > d'aide pour débuter. J'ai tenté ma chance sur la list de > netfilter...mais bon pas eu de réponse...alors je me tourne vers vous. c'est vieux mais ça m'a bien dépanné pour comprendre http://olivieraj.free.fr/fr/linux/information/firewall/ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4c8a27fd$0$23401$426a3...@news.free.fr
Re: Configuration 3 écrans
Bonjour, Pour le pilote xgifb du noyau je ne pense pas que ça soit la meilleur piste pour du multi-écran... Qu'est ce que ça donne avec Driver "sis" ou Driver "xgi" dans xorg.conf. Log de Xorg SVP. @+ Hugues Le 10 septembre 2010 10:28, xuser xuser a écrit : > Bonjour, > > Merci pour votre intervention. Je vais tâcher d'être plus claire dans mes > explications > > > Le 6 septembre 2010 13:48, hugues larrive a écrit > : >> >> Bonjour, >> >> D'abord de quoi parle-t-on ? Un bureau étendu sur 3 écrans ou un >> affichage en miroir sur 3 écrans ? > > Je parle ici d'un bureau étendu sur 3 écrans >> >> Le 2 septembre 2010 10:06, xuser xuser a >> écrit : >> > Bonjour à Tous, >> > >> > Je suis à la recherche d'un configuration compatible sous linux. >> > >> > Le but du jeu étant de pouvoir faire fonctionner 3 écrans en LVDS >> > ou1 en AGP et 2 en LVDS. >> >> Là non plus ce n'est pas clair, le LVDS est une sortie vidéo alors que >> l'AGP est un bus... > > la carte mère dispose d'un sortie VGA et LVDS sur le chipset 945MGE > et un LVDS sur la carte mini-PCIe XGI z7/z9 XG20 > >> >> > >> > Auriez-vous un retour d'expérience sur le sujet ? >> > >> Ben pour la configuration de xorg, je crois que les options varient >> pas mal d'un pilote à l'autre... >> Pour activer et désactiver les différentes sorties sous X il faut voir >> du coté de xrandr. > > > xorg a priori est correctement configuré (enfin j'espère ! à moins que je me > trompe !) > xorg.conf à la fin du mail. > lorsque je fait un xrandr eul le sreen0 est activé et j'ai deux écrans > fonctionnel > donc le shipset 945GME est bien fonctionnel et configuré. > cf xrandr : > r...@debian:/var/log# xrandr > Screen 0: minimum 320 x 200, current 1024 x 768, maximum 4096 x 4096 > VGA1 connected 1024x768+0+0 (normal left inverted right x axis y axis) 300mm > x 230mm > 1024x768 60.0*+ 75.1 60.0 > 800x600 75.0 60.3 > 640x480 75.0 60.0 > 720x400 70.1 > LVDS1 connected 1024x768+0+0 (normal left inverted right x axis y axis) 0mm > x 0mm > 1024x768 60.0 + 85.0 75.0 70.1 60.0* > 832x624 74.6 > 800x600 85.1 72.2 75.0 60.3 56.2 > 640x480 85.0 72.8 75.0 59.9 > 720x400 85.0 > 640x400 85.1 > 640x350 85.1 > > >> >> > J'ai tester des configurations mais sans succès >> > par exemple un chipset 945MGE et XGI z7/z9 XG20 >> > la carte 945MGE fonctionne parfaitement mais la XGI >> > nécessite la recompilation du noyau. Et même après la recompilation >> > rien a faire la XGI ne veut pas tourner :( >> > >> > Une idée ? >> >> Qu'est ce que tu entends par "ne veut pas tourner" ? Écran noir au >> boot ? Kernel panic ? Xorg ne se lance pas ? >> Quel est le problème si la 945MGE fonctionne parfaitement ? >> Pourquoi la XGI nécessite-elle la recompilation du noyau ? >> >> On joue aux devinettes là... >> > OK pour la devinette > lspci : > r...@debian:/var/log# lspci > 00:00.0 Host bridge: Intel Corporation Mobile 945GME Express Memory > Controller Hub (rev 03) > 00:02.0 VGA compatible controller: Intel Corporation Mobile 945GME Express > Integrated Graphics Controller (rev 03) > 00:02.1 Display controller: Intel Corporation Mobile 945GM/GMS/GME, > 943/940GML Express Integrated Graphics Controller (rev 03) > 00:1c.0 PCI bridge: Intel Corporation N10/ICH 7 Family PCI Express Port 1 > (rev 02) > 00:1c.1 PCI bridge: Intel Corporation N10/ICH 7 Family PCI Express Port 2 > (rev 02) > 00:1d.0 USB Controller: Intel Corporation N10/ICH 7 Family USB UHCI > Controller #1 (rev 02) > 00:1d.1 USB Controller: Intel Corporation N10/ICH 7 Family USB UHCI > Controller #2 (rev 02) > 00:1d.2 USB Controller: Intel Corporation N10/ICH 7 Family USB UHCI > Controller #3 (rev 02) > 00:1d.3 USB Controller: Intel Corporation N10/ICH 7 Family USB UHCI > Controller #4 (rev 02) > 00:1d.7 USB Controller: Intel Corporation N10/ICH 7 Family USB2 EHCI > Controller (rev 02) > 00:1e.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev e2) > 00:1e.2 Multimedia audio controller: Intel Corporation 82801G (ICH7 Family) > AC'97 Audio Controller (rev 02) > 00:1f.0 ISA bridge: Intel Corporation 82801GBM (ICH7-M) LPC Interface Bridge > (rev 02) > 00:1f.2 IDE interface: Intel Corporation 82801GBM/GHM (ICH7 Family) SATA IDE > Controller (rev 02) > 00:1f.3 SMBus: Intel Corporation N10/ICH 7 Family SMBus Controller (rev 02) > 01:00.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL8111/8168B > PCI Express Gigabit Ethernet controller (rev 01) > 02:00.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL8111/8168B > PCI Express Gigabit Ethernet controller (rev 01) > 03:04.0 VGA compatible controller: XGI Technology Inc. (eXtreme Graphics > Innovation) Z7/Z9 (XG20 core) > > Suite à diverses recherches sur le net, j'ai trouvé l'info comme quoi je > devais recompiler le noyaux avec le modules staging - XGI - xgifb.ko > > recompilation noyau 2.6.35.4 avec xgifb.ko ->
Re: boîtier ITX
Hello, Ne te fais pas de souci, ce sera compatible... j'installe du debian sur des cartes ibase, ou 3,5'', donc largement plus spécifique que du mini itx, avec des ssd, sans problèmes. Par contre, passe directement en squeeze. Olivier Le 2010 9 10 01:27, "Raphaël POITEVIN" a écrit : > Le 09/09/10, E. Prom a écrit : >> Le type de boîtier n'a aucune importance pour Debian, ce qui compte >> c'est le type de processeur, de chipset... Bref, tout ce qui se trouve >> sur la carte mère. > > Ce que je peux dire c'est que c'est un Intel Dual cor sur une carte > mère Asus. Mais je me > posais la question étant donné qu'il s'agit d'un mini boîtier donc par > définition de composants assez spécifiques. > Sur quel site peut-on avoir des informations sur la compatibilité ? > >> A moins que ce ne soit un disque dur très bizarre et inhabituel, il sera >> reconnu par votre contrôleur de disques durs, lequel est probablement >> sur la carte mère. Si c'est à peu près standard (utilisé par beaucoup de >> gens et ne ciblant pas des usages très particuliers), ce sera reconnu >> par le noyau Linux de Debian. Vous pourrez ensuite formater votre disque >> en ext3 ou en ce que vous voulez. > > C'est un Samsung 2,5 pouce. > > Merci pour votre réponse qui me rassure un peu, en effet, un ami > commençait réellement à m'inquiéter. > > Bien cordialement, > > Raphaël > > -- > Lisez la FAQ de la liste avant de poser une question : > http://wiki.debian.org/fr/FrenchLists > > Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" > vers debian-user-french-requ...@lists.debian.org > En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org > Archive: http://lists.debian.org/aanlktimwseju_p4o7emaj8ghyxvr+3kaezsurvqr5...@mail.gmail.com >
