Re: [HS][HELP] Livebox 6, AP WIFI & VLAN

2024-01-06 Par sujet Gaëtan Perrier 
Finalement le seul fait d'avoir intercalé le gs105e entre la LB6 et le reste 
semble résoudre le problème sans passer par les vlan ...

Gaëtan 

Le 6 janvier 2024 22:44:59 GMT+01:00, "Gaëtan Perrier"  
a écrit :
>Bonjour,
>
>Je fais un gros HS mais je suis sûr qu'il y a des personnes compétentes
>sur la liste. ;)
>
>Mon problème est le suivant. Chez les parents d'un ami qui a des
>chambres d'hôtes on veut couvrir l'ensemble de la maison avec 2
>réseaux:
>- un réseau pour les proprio avec du Wifi et des périph filaires,
>- un réseau pour les clients uniquement en Wifi.
>
>On veut que les clients ne puissent pas accéder au réseau proprio.
>
>Actuellement on est installé le matériel suivant:
>- Livebox 6 Pro,
>- un switch GS105Ev2 derrière,
>- 3 AP Netgear WAX214
>- divers périph reliés en eth (RPI, PC, NAS,etc.)
>
>La LB6 est le routeur.
>
>Sur les WAX214 2 SSID sont configurés: un pour les proprio,un pour les
>clients.
>Le proprio est sur 192.168.1.* et le client configuré comme "invité"
>est sûr 192.168.200.*
>
>
>Le problème c'est que depuis le Wifi client (192.168.200.*) on voit les
>les RPI, PC, NAS, etc sur 192.168.1.* 
>
>Pour isoler les 2, la LB6 ne faisant pas VLAN, j'ai tenté de mettre en
>place des VLAN en activant la fonctionnalité 802.1Q-based VLANs sur le
>GS105E et sur les AP.
>Mais là je perds la connexion et plus rien ne passe ...
>
>Qu'elle est la bonne solution ?
>
>Merci d'avance pour votre aide.
>
>Gaëtan
>

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: [HS][HELP] Livebox 6, AP WIFI & VLAN

2024-01-06 Par sujet Gaëtan Perrier 
Le samedi 06 janvier 2024 à 23:49 +0100, MERLIN Philippe a écrit :
> Le samedi 6 janvier 2024, 23:24:09 CET Jérémy Prego a écrit :
> > Bonjour,
> > 
> > j'apporte pas forcément une réponse, mais j'ai des questions
> > 
> > Par hasard, quel est le mask réseau configuré que  ça soit sur le
> > 192.168.1.* et / ou le 192.168.200.* ?
> > 
> > Quel périphérique distribue les ip en 192.168.200.* ?
> > 
> > Concernant la perte du réseau quand des vlans
> > sont configurés, c'est normal, si la livebox ne fait pas de vlan,
> > qu'elle ne récupère pas le traffic qui vient du vlan en question.
> > 
> > Jerem
> > 
> > Le 06/01/2024 à 22:44, Gaëtan Perrier a écrit :
> > > Bonjour,
> > > 
> > > Je fais un gros HS mais je suis sûr qu'il y a des personnes
> > > compétentes
> > > sur la liste. ;)
> > > 
> > > Mon problème est le suivant. Chez les parents d'un ami qui a des
> > > chambres d'hôtes on veut couvrir l'ensemble de la maison avec 2
> > > réseaux:
> > > - un réseau pour les proprio avec du Wifi et des périph filaires,
> > > - un réseau pour les clients uniquement en Wifi.
> > > 
> > > On veut que les clients ne puissent pas accéder au réseau
> > > proprio.
> > > 
> > > Actuellement on est installé le matériel suivant:
> > > - Livebox 6 Pro,
> > > - un switch GS105Ev2 derrière,
> > > - 3 AP Netgear WAX214
> > > - divers périph reliés en eth (RPI, PC, NAS,etc.)
> > > 
> > > La LB6 est le routeur.
> > > 
> > > Sur les WAX214 2 SSID sont configurés: un pour les proprio,un
> > > pour les
> > > clients.
> > > Le proprio est sur 192.168.1.* et le client configuré comme
> > > "invité"
> > > est sûr 192.168.200.*
> > > 
> > > 
> > > Le problème c'est que depuis le Wifi client (192.168.200.*) on
> > > voit les
> > > les RPI, PC, NAS, etc sur 192.168.1.*
> > > 
> > > Pour isoler les 2, la LB6 ne faisant pas VLAN, j'ai tenté de
> > > mettre en
> > > place des VLAN en activant la fonctionnalité 802.1Q-based VLANs
> > > sur le
> > > GS105E et sur les AP.
> > > Mais là je perds la connexion et plus rien ne passe ...
> > > 
> > > Qu'elle est la bonne solution ?
> > > 
> > > Merci d'avance pour votre aide.
> > > 
> > > Gaëtan
> Pourquoi faire compliqué quand on peut faire simple.
> On ajoute un routeur Wifi connecté en éthernet à ta Livebox qui
> gérera que les 
> clients le coût du routeur est très faible.
> Pour tes parents le réseau Wifi de la Livebox.
> Philippe Merlin

Non ça ne répond pas au besoin. Il y a 400m2 à couvrir avec les deux
réseaux. D'où les 3 AP (reliés en filaire).

Gaëtan

Re: [HS][HELP] Livebox 6, AP WIFI & VLAN

2024-01-06 Par sujet MERLIN Philippe 
Le samedi 6 janvier 2024, 23:24:09 CET Jérémy Prego a écrit :
> Bonjour,
> 
> j'apporte pas forcément une réponse, mais j'ai des questions
> 
> Par hasard, quel est le mask réseau configuré que  ça soit sur le
> 192.168.1.* et / ou le 192.168.200.* ?
> 
> Quel périphérique distribue les ip en 192.168.200.* ?
> 
> Concernant la perte du réseau quand des vlans
> sont configurés, c'est normal, si la livebox ne fait pas de vlan,
> qu'elle ne récupère pas le traffic qui vient du vlan en question.
> 
> Jerem
> 
> Le 06/01/2024 à 22:44, Gaëtan Perrier a écrit :
> > Bonjour,
> > 
> > Je fais un gros HS mais je suis sûr qu'il y a des personnes compétentes
> > sur la liste. ;)
> > 
> > Mon problème est le suivant. Chez les parents d'un ami qui a des
> > chambres d'hôtes on veut couvrir l'ensemble de la maison avec 2
> > réseaux:
> > - un réseau pour les proprio avec du Wifi et des périph filaires,
> > - un réseau pour les clients uniquement en Wifi.
> > 
> > On veut que les clients ne puissent pas accéder au réseau proprio.
> > 
> > Actuellement on est installé le matériel suivant:
> > - Livebox 6 Pro,
> > - un switch GS105Ev2 derrière,
> > - 3 AP Netgear WAX214
> > - divers périph reliés en eth (RPI, PC, NAS,etc.)
> > 
> > La LB6 est le routeur.
> > 
> > Sur les WAX214 2 SSID sont configurés: un pour les proprio,un pour les
> > clients.
> > Le proprio est sur 192.168.1.* et le client configuré comme "invité"
> > est sûr 192.168.200.*
> > 
> > 
> > Le problème c'est que depuis le Wifi client (192.168.200.*) on voit les
> > les RPI, PC, NAS, etc sur 192.168.1.*
> > 
> > Pour isoler les 2, la LB6 ne faisant pas VLAN, j'ai tenté de mettre en
> > place des VLAN en activant la fonctionnalité 802.1Q-based VLANs sur le
> > GS105E et sur les AP.
> > Mais là je perds la connexion et plus rien ne passe ...
> > 
> > Qu'elle est la bonne solution ?
> > 
> > Merci d'avance pour votre aide.
> > 
> > Gaëtan
Pourquoi faire compliqué quand on peut faire simple.
On ajoute un routeur Wifi connecté en éthernet à ta Livebox qui gérera que les 
clients le coût du routeur est très faible.
Pour tes parents le réseau Wifi de la Livebox.
Philippe Merlin

Re: [HS][HELP] Livebox 6, AP WIFI & VLAN

2024-01-06 Par sujet Gaëtan Perrier 
Le samedi 06 janvier 2024 à 23:24 +0100, Jérémy Prego a écrit :
> Bonjour,
> 
> j'apporte pas forcément une réponse, mais j'ai des questions
> 
> Par hasard, quel est le mask réseau configuré que  ça soit sur le 
> 192.168.1.* et / ou le 192.168.200.* ?

255.255.255.0 pour les deux.

> 
> Quel périphérique distribue les ip en 192.168.200.* ?

L'AP WAX214

> Concernant la perte du réseau quand des vlans
> sont configurés, c'est normal, si la livebox ne fait pas de vlan, 
> qu'elle ne récupère pas le traffic qui vient du vlan en question.

Ça veut dire qu'il faudrait mettre un routeur VLAN derrière la LB6 ?
Est-ce qu'il faut aussi que tous les switchs intermédiaires soient VLAN
compatibles ?

Existe-t'il une solution pour isoler les deux réseaux sans VLAN ?

Gaëtan 


> 
> Jerem
> Le 06/01/2024 à 22:44, Gaëtan Perrier a écrit :
> > Bonjour,
> > 
> > Je fais un gros HS mais je suis sûr qu'il y a des personnes
> > compétentes
> > sur la liste. ;)
> > 
> > Mon problème est le suivant. Chez les parents d'un ami qui a des
> > chambres d'hôtes on veut couvrir l'ensemble de la maison avec 2
> > réseaux:
> > - un réseau pour les proprio avec du Wifi et des périph filaires,
> > - un réseau pour les clients uniquement en Wifi.
> > 
> > On veut que les clients ne puissent pas accéder au réseau proprio.
> > 
> > Actuellement on est installé le matériel suivant:
> > - Livebox 6 Pro,
> > - un switch GS105Ev2 derrière,
> > - 3 AP Netgear WAX214
> > - divers périph reliés en eth (RPI, PC, NAS,etc.)
> > 
> > La LB6 est le routeur.
> > 
> > Sur les WAX214 2 SSID sont configurés: un pour les proprio,un pour
> > les
> > clients.
> > Le proprio est sur 192.168.1.* et le client configuré comme
> > "invité"
> > est sûr 192.168.200.*
> > 
> > 
> > Le problème c'est que depuis le Wifi client (192.168.200.*) on voit
> > les
> > les RPI, PC, NAS, etc sur 192.168.1.*
> > 
> > Pour isoler les 2, la LB6 ne faisant pas VLAN, j'ai tenté de mettre
> > en
> > place des VLAN en activant la fonctionnalité 802.1Q-based VLANs sur
> > le
> > GS105E et sur les AP.
> > Mais là je perds la connexion et plus rien ne passe ...
> > 
> > Qu'elle est la bonne solution ?
> > 
> > Merci d'avance pour votre aide.
> > 
> > Gaëtan
> > 
>

Re: [HS][HELP] Livebox 6, AP WIFI & VLAN

2024-01-06 Par sujet Jérémy Prego 

Bonjour,

j'apporte pas forcément une réponse, mais j'ai des questions

Par hasard, quel est le mask réseau configuré que  ça soit sur le 
192.168.1.* et / ou le 192.168.200.* ?


Quel périphérique distribue les ip en 192.168.200.* ?

Concernant la perte du réseau quand des vlans
sont configurés, c'est normal, si la livebox ne fait pas de vlan, 
qu'elle ne récupère pas le traffic qui vient du vlan en question.


Jerem
Le 06/01/2024 à 22:44, Gaëtan Perrier a écrit :

Bonjour,

Je fais un gros HS mais je suis sûr qu'il y a des personnes compétentes
sur la liste. ;)

Mon problème est le suivant. Chez les parents d'un ami qui a des
chambres d'hôtes on veut couvrir l'ensemble de la maison avec 2
réseaux:
- un réseau pour les proprio avec du Wifi et des périph filaires,
- un réseau pour les clients uniquement en Wifi.

On veut que les clients ne puissent pas accéder au réseau proprio.

Actuellement on est installé le matériel suivant:
- Livebox 6 Pro,
- un switch GS105Ev2 derrière,
- 3 AP Netgear WAX214
- divers périph reliés en eth (RPI, PC, NAS,etc.)

La LB6 est le routeur.

Sur les WAX214 2 SSID sont configurés: un pour les proprio,un pour les
clients.
Le proprio est sur 192.168.1.* et le client configuré comme "invité"
est sûr 192.168.200.*


Le problème c'est que depuis le Wifi client (192.168.200.*) on voit les
les RPI, PC, NAS, etc sur 192.168.1.*

Pour isoler les 2, la LB6 ne faisant pas VLAN, j'ai tenté de mettre en
place des VLAN en activant la fonctionnalité 802.1Q-based VLANs sur le
GS105E et sur les AP.
Mais là je perds la connexion et plus rien ne passe ...

Qu'elle est la bonne solution ?

Merci d'avance pour votre aide.

Gaëtan

[HS][HELP] Livebox 6, AP WIFI & VLAN

2024-01-06 Par sujet Gaëtan Perrier 
Bonjour,

Je fais un gros HS mais je suis sûr qu'il y a des personnes compétentes
sur la liste. ;)

Mon problème est le suivant. Chez les parents d'un ami qui a des
chambres d'hôtes on veut couvrir l'ensemble de la maison avec 2
réseaux:
- un réseau pour les proprio avec du Wifi et des périph filaires,
- un réseau pour les clients uniquement en Wifi.

On veut que les clients ne puissent pas accéder au réseau proprio.

Actuellement on est installé le matériel suivant:
- Livebox 6 Pro,
- un switch GS105Ev2 derrière,
- 3 AP Netgear WAX214
- divers périph reliés en eth (RPI, PC, NAS,etc.)

La LB6 est le routeur.

Sur les WAX214 2 SSID sont configurés: un pour les proprio,un pour les
clients.
Le proprio est sur 192.168.1.* et le client configuré comme "invité"
est sûr 192.168.200.*


Le problème c'est que depuis le Wifi client (192.168.200.*) on voit les
les RPI, PC, NAS, etc sur 192.168.1.* 

Pour isoler les 2, la LB6 ne faisant pas VLAN, j'ai tenté de mettre en
place des VLAN en activant la fonctionnalité 802.1Q-based VLANs sur le
GS105E et sur les AP.
Mais là je perds la connexion et plus rien ne passe ...

Qu'elle est la bonne solution ?

Merci d'avance pour votre aide.

Gaëtan

Re: [testing] Help! PC ne démarre plus

2016-10-26 Par sujet François LE GAD 

Le 25/10/2016 à 20:31, Gaëtan PERRIER a écrit :

Chez moi le noyau précédent (4.6) ne démarre plus sauf en mode recovery.
Mais ensuite que fais-tu pour que le 4.7 démarre de nouveau ?


Tout est rentré dans l'ordre à la suite d'un upgrade sans que je sache 
pourquoi. Je pense qu'il y avait une incompatibilité entre le 4.7 et je 
ne sais quel paquet, mis à jour par la suite.


--
François
http://flegad.infini.fr

Re: [testing] Help! PC ne démarre plus

2016-10-25 Par sujet Gaëtan PERRIER 
Le Mon, 24 Oct 2016 11:41:33 +0200
François LE GAD  a écrit:

> Le 23/10/2016 à 17:48, Gaëtan PERRIER a écrit :
> > Est-ce que d'autre rencontre le même problème ?
> 
> Oui.
> 
> 
> Je choisis les options avancées de Grub, je démarre sur le noyau 
> précédent et ça marche.
> 

Chez moi le noyau précédent (4.6) ne démarre plus sauf en mode recovery.
Mais ensuite que fais-tu pour que le 4.7 démarre de nouveau ?

A+

Gaëtan

Re: [testing] Help! PC ne démarre plus

2016-10-24 Par sujet François LE GAD 

Le 23/10/2016 à 17:48, Gaëtan PERRIER a écrit :

Est-ce que d'autre rencontre le même problème ?


Oui.


Je choisis les options avancées de Grub, je démarre sur le noyau 
précédent et ça marche.


--
François
http://flegad.infini.fr

Re: [testing] Help! PC ne démarre plus

2016-10-23 Par sujet maderios 

On 10/23/2016 07:45 PM, Gaëtan PERRIER wrote:
 > Ça sens donc le bug dans grub sur le PC UEFI.
Ça mériterait bien un rapport de bug. Il semble que tu ne sois pas le 
seul (cf fil sur liste en 'Stretch System Stops Boot Process Immediately 
After Grub Screen')


--
Maderios

Re: [testing] Help! PC ne démarre plus

2016-10-23 Par sujet Gaëtan PERRIER 
J'ai trouvé le problème.
C'est bine lié à grub et plus particulièrement à l'UEFI. J'ai démarré depuis
une clé USB UEFI refind et ça a rétablit la configuration comme il faut. 
Ça sens donc le bug dans grub sur le PC UEFI.
Du coup j'ai fait les mises à jour sur mon portable qui n'est pas en UEFI et
pas de soucis.

Gaëtan

Re: [testing] Help! PC ne démarre plus

2016-10-23 Par sujet Klaus Becker 
On dimanche 23 octobre 2016 18:53:56 CEST Gaëtan PERRIER wrote:
> Si j'édite l'entrée grub j'ai:
> 
> set root='hd0,gpt2'
> 
> donc ça semble bon, non?

Si ton système est sur la 2e partition gpt du 1er dd, oui.

Avec "ls", tu peux afficher les systèmes installés.

Klaus

Re: [testing] Help! PC ne démarre plus

2016-10-23 Par sujet Klaus Becker 
On dimanche 23 octobre 2016 18:50:41 CEST maderios wrote:
> On 10/23/2016 05:48 PM, Gaëtan PERRIER wrote:
> > Bonjour,
> > 
> > Je viens de faire la mise à jour d'une testing sur mon PC fixe et
> > depuis ça ne démarre plus. Je reste bloqué dans grub au niveau du
> > lancement du noyau:
> > 
> > Chargement de Linux 4.7.0-1-amd64...
> > Chargement du disque mémoire initial...
> > 
> > Lors de la mise à jour il y a eu grub2 et le noyau qui ont été mis à
> > jour.


Salut,

la solution la + simple est certainement de démarrer sur un CD ou une clé usb 
live et de tenter une mise à jour de ton système à partir de là par un chroot 
sur ton système.

Eventuellement réinstaller manuellement le noyau et grub :

apt-get --reinstall install linux-image grub2

ou

aptitude réinstall .

Si jamais il y a un bug, il faut peut-ête attendre que le bug soit résolu et 
les packetages en cause à jour.

Je suis sous unstable, j'ai un système de secours en cas de pépin comme le 
tien et j'ai aussi une savegarde de mon système faite avec fsarchiver que je 
recommande pour sa simplicité et robustesse.

librement

Klaus

Re: [testing] Help! PC ne démarre plus

2016-10-23 Par sujet Gaëtan PERRIER 
Si j'édite l'entrée grub j'ai:

set root='hd0,gpt2'

donc ça semble bon, non?

Le Sun, 23 Oct 2016 18:34:15 +0200
Francois Mescam  a écrit:

> je viens de faire la mise à jour de testing et pas de problème au
> reboot.
> 
> J'ai regardé les éventuels bug dans grub-common il y a 
> https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=841772 qui pourrait 
> être en relation avec ton problème surtout qu'il est de 23 octobre.
> 
> On 23/10/2016 18:08, maderios wrote:
> > On 10/23/2016 05:48 PM, Gaëtan PERRIER wrote:
> >> Bonjour,
> >>
> >> Je viens de faire la mise à jour d'une testing sur mon PC fixe et
> >> depuis ça ne démarre plus. Je reste bloqué dans grub au niveau du
> >> lancement du noyau:
> >>
> >> Chargement de Linux 4.7.0-1-amd64...
> >> Chargement du disque mémoire initial...
> >>
> >> Lors de la mise à jour il y a eu grub2 et le noyau qui ont été mis
> >> à jour.
> >>
> >> Impossible de booter en recovery, le problème est le même. J'aurai
> >> donc tendance à penser que le problème vient de grub2. Qu'en
> >> pensez-vous? Est-ce que d'autre rencontre le même problème ?
> >>
> > Bonjour
> > Aucun problème avec cette mise à jour de testing.
> >
> >
> 
> 
> -- 
>   Francois Mescam


-- 
Gaëtan PERRIER

Re: [testing] Help! PC ne démarre plus

2016-10-23 Par sujet maderios 

On 10/23/2016 05:48 PM, Gaëtan PERRIER wrote:

Bonjour,

Je viens de faire la mise à jour d'une testing sur mon PC fixe et
depuis ça ne démarre plus. Je reste bloqué dans grub au niveau du
lancement du noyau:

Chargement de Linux 4.7.0-1-amd64...
Chargement du disque mémoire initial...

Lors de la mise à jour il y a eu grub2 et le noyau qui ont été mis à
jour.

Peut-être sur la liste anglaise, quelque chose de similaire ?
The updates today included an update to linux-image-4.7.0-1-686-pae 
(4.7.8-1) and grub-pc (2.02-beta3-1).

Upon reboot the system stops with a blinking underline cursor in
the upper left corner.
(le système s'arrête avec un curseur clignotant en haut à gauche...)
https://lists.debian.org/debian-user/2016/10/msg00753.html

--
Maderios

Re: [testing] Help! PC ne démarre plus

2016-10-23 Par sujet Francois Mescam 

je viens de faire la mise à jour de testing et pas de problème au reboot.

J'ai regardé les éventuels bug dans grub-common il y a 
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=841772 qui pourrait 
être en relation avec ton problème surtout qu'il est de 23 octobre.


On 23/10/2016 18:08, maderios wrote:

On 10/23/2016 05:48 PM, Gaëtan PERRIER wrote:

Bonjour,

Je viens de faire la mise à jour d'une testing sur mon PC fixe et
depuis ça ne démarre plus. Je reste bloqué dans grub au niveau du
lancement du noyau:

Chargement de Linux 4.7.0-1-amd64...
Chargement du disque mémoire initial...

Lors de la mise à jour il y a eu grub2 et le noyau qui ont été mis à
jour.

Impossible de booter en recovery, le problème est le même. J'aurai donc
tendance à penser que le problème vient de grub2. Qu'en pensez-vous?
Est-ce que d'autre rencontre le même problème ?


Bonjour
Aucun problème avec cette mise à jour de testing.





--
 Francois Mescam

Re: [testing] Help! PC ne démarre plus

2016-10-23 Par sujet maderios 

On 10/23/2016 05:48 PM, Gaëtan PERRIER wrote:

Bonjour,

Je viens de faire la mise à jour d'une testing sur mon PC fixe et
depuis ça ne démarre plus. Je reste bloqué dans grub au niveau du
lancement du noyau:

Chargement de Linux 4.7.0-1-amd64...
Chargement du disque mémoire initial...

Lors de la mise à jour il y a eu grub2 et le noyau qui ont été mis à
jour.

Impossible de booter en recovery, le problème est le même. J'aurai donc
tendance à penser que le problème vient de grub2. Qu'en pensez-vous?
Est-ce que d'autre rencontre le même problème ?


Bonjour
Aucun problème avec cette mise à jour de testing.


--
Maderios

[testing] Help! PC ne démarre plus

2016-10-23 Par sujet Gaëtan PERRIER 
Bonjour,

Je viens de faire la mise à jour d'une testing sur mon PC fixe et
depuis ça ne démarre plus. Je reste bloqué dans grub au niveau du
lancement du noyau:

Chargement de Linux 4.7.0-1-amd64...
Chargement du disque mémoire initial...

Lors de la mise à jour il y a eu grub2 et le noyau qui ont été mis à
jour. 

Impossible de booter en recovery, le problème est le même. J'aurai donc
tendance à penser que le problème vient de grub2. Qu'en pensez-vous?
Est-ce que d'autre rencontre le même problème ?

Gaëtan

Re: [mailman][postfix-mysql][help] Je me prends le chou et Gmail et Postfix me font devenir chèvre :

2016-03-18 Par sujet Ph. Gras 
Salut à tous,

la bonne réponse, c'est ça :
# postconf -n
==
[…]
mydestination = ks3294494.kimsufi.com localhost.localdomain localhost
myhostname = ks_serial_nb.kimsufi.com   # au lieu de 
XX.XX.XX.XX.in-addr.arpa
mynetworks = 127.0.0.0/8, XX.XX.XX.XX
myorigin = ks_serial_nb.kimsufi.com # au 
lieu de XX.XX.XX.XX.in-addr.arpa
[…]
===
Il faut que myhostname soit un FDQN :
http://www.postfix.org/postconf.5.html#myhostname

Maintenant, j'ai encore ça à trouver :
# cat mail.warn
===
Mar 15 19:24:03 ks3294494 postfix/smtpd[19765]: warning: support for 
restriction "check_relay_domains" will be removed from Postfix; use 
"reject_unauth_destination" instead
Mar 15 15:53:03 ks3294494 postfix/smtpd[17473]: fatal: parameter 
"smtpd_recipient_restrictions": specify at least one working instance of: 
check_relay_domains, reject_unauth_destination, reject, defer or defer_if_permit

# cat mail.err
===
Mar 15 15:53:03 ks3294494 postfix/smtpd[17473]: fatal: parameter 
"smtpd_recipient_restrictions": specify at least one working instance of: 
check_relay_domains, reject_unauth_destination, reject, defer or defer_if_permit
===

Merci pour votre sollicitude,

Ph. Gras

Le 15 mars 2016 à 21:47, Ph. Gras  a écrit :

> 
> Le 15 mars 2016 à 20:47, Frederic MASSOT  a 
> écrit :
> 
>> Le 15/03/2016 19:50, Ph. Gras a écrit :
>>> Bonsoir à tous,
>>> 
>>> comme je l'ai raconté dans un message précédent, j'ai installé
>>> Mailman sur un serveur Debian avec php-fpm et NginX avec lequel je
>>> n'ai pas encore résolu tous mes ennuis d'interface Web.
>>> 
>>> Maintenant, j'ai en plus des problèmes de délivrabilité, notamment
>>> avec Gmail et Hotmail : # cat mail.log
>>> =
>>> 
>>> 
>> Mar 15 19:11:06 ma_machine postfix/smtp[19710]: E8F38420143: 
>> to=, 
>> relay=gmail-smtp-in.l.google.com[2a00:1450:400c:c02::1b]:25, delay=2.1, 
>> delays=1.3/0.02/0.21/0.64, dsn=4.7.1, status=SOFTBOUNCE (host 
>> gmail-smtp-in.l.google.com[2a00:1450:400c:c02::1b] said: 550-5.7.1 
>> [2001:41d0:8:c826::1] Our system has detected that this message does 
>> 550-5.7.1 not meet IPv6 sending guidelines regarding PTR records and 
>> 550-5.7.1 authentication. Please review 550-5.7.1 
>> https://support.google.com/mail/?p=ipv6_authentication_error for more 550 
>> 5.7.1 information. z16si25936559wmc.51 - gsmtp (in reply to end of DATA 
>> command))
>> 
>> 
>> Concernant le message sur IPv6, il faut que ton IP ait un reverse (PTR) vers 
>> un nom d'hôte, et que la résolution de ce nom d'hôte donne la même IP.
> 
> C'est ce que je me suis dit aussi Frédéric, jusqu'à ce que je lise (la bible) 
> ceci :
> https://wiki.debian.org/fr/Bind9#Les_fichiers_dans_var.2Fcache.2Fbind.2F
> 
> Parce que je me demandais bien comment faire un PTR quand on n'a pas d'IPv6.
> 
> Retour à la case départ…
> 
> Et puis quand tu lis ça, tu te demandes aussi si GG ne se fout pas un peu de 
> ta fiole :
> https://support.google.com/a/answer/3726730?hl=fr
> 
> (Il faut aller jusqu'à la série 550-5.7.1)
> 
> Ph. Gras
>> 
>> 
>> -- 
>> ==
>> |  FRÉDÉRIC MASSOT   |
>> | http://www.juliana-multimedia.com  |
>> |   mailto:frede...@juliana-multimedia.com   |
>> | +33.(0)2.97.54.77.94  +33.(0)6.67.19.95.69 |
>> ===Debian=GNU/Linux===
>> 
>

Re: [mailman][postfix-mysql][help] Je me prends le chou et Gmail et Postfix me font devenir chèvre :

2016-03-15 Par sujet Ph. Gras 

Le 15 mars 2016 à 20:47, Frederic MASSOT  a 
écrit :

> Le 15/03/2016 19:50, Ph. Gras a écrit :
>> Bonsoir à tous,
>> 
>> comme je l'ai raconté dans un message précédent, j'ai installé
>> Mailman sur un serveur Debian avec php-fpm et NginX avec lequel je
>> n'ai pas encore résolu tous mes ennuis d'interface Web.
>> 
>> Maintenant, j'ai en plus des problèmes de délivrabilité, notamment
>> avec Gmail et Hotmail : # cat mail.log
>> =
>> 
>> 
> Mar 15 19:11:06 ma_machine postfix/smtp[19710]: E8F38420143: 
> to=, 
> relay=gmail-smtp-in.l.google.com[2a00:1450:400c:c02::1b]:25, delay=2.1, 
> delays=1.3/0.02/0.21/0.64, dsn=4.7.1, status=SOFTBOUNCE (host 
> gmail-smtp-in.l.google.com[2a00:1450:400c:c02::1b] said: 550-5.7.1 
> [2001:41d0:8:c826::1] Our system has detected that this message does 
> 550-5.7.1 not meet IPv6 sending guidelines regarding PTR records and 
> 550-5.7.1 authentication. Please review 550-5.7.1 
> https://support.google.com/mail/?p=ipv6_authentication_error for more 550 
> 5.7.1 information. z16si25936559wmc.51 - gsmtp (in reply to end of DATA 
> command))
> 
> 
> Concernant le message sur IPv6, il faut que ton IP ait un reverse (PTR) vers 
> un nom d'hôte, et que la résolution de ce nom d'hôte donne la même IP.

C'est ce que je me suis dit aussi Frédéric, jusqu'à ce que je lise (la bible) 
ceci :
https://wiki.debian.org/fr/Bind9#Les_fichiers_dans_var.2Fcache.2Fbind.2F

Parce que je me demandais bien comment faire un PTR quand on n'a pas d'IPv6.

Retour à la case départ…

Et puis quand tu lis ça, tu te demandes aussi si GG ne se fout pas un peu de ta 
fiole :
https://support.google.com/a/answer/3726730?hl=fr

(Il faut aller jusqu'à la série 550-5.7.1)

Ph. Gras
> 
> 
> -- 
> ==
> |  FRÉDÉRIC MASSOT   |
> | http://www.juliana-multimedia.com  |
> |   mailto:frede...@juliana-multimedia.com   |
> | +33.(0)2.97.54.77.94  +33.(0)6.67.19.95.69 |
> ===Debian=GNU/Linux===
>

Re: [mailman][postfix-mysql][help] Je me prends le chou et Gmail et Postfix me font devenir chèvre :

2016-03-15 Par sujet Frederic MASSOT 

Le 15/03/2016 19:50, Ph. Gras a écrit :

Bonsoir à tous,

comme je l'ai raconté dans un message précédent, j'ai installé
Mailman sur un serveur Debian avec php-fpm et NginX avec lequel je
n'ai pas encore résolu tous mes ennuis d'interface Web.

Maintenant, j'ai en plus des problèmes de délivrabilité, notamment
avec Gmail et Hotmail : # cat mail.log
=


Mar 15 19:11:06 ma_machine postfix/smtp[19710]: E8F38420143: 
to=, 
relay=gmail-smtp-in.l.google.com[2a00:1450:400c:c02::1b]:25, delay=2.1, 
delays=1.3/0.02/0.21/0.64, dsn=4.7.1, status=SOFTBOUNCE (host 
gmail-smtp-in.l.google.com[2a00:1450:400c:c02::1b] said: 550-5.7.1 
[2001:41d0:8:c826::1] Our system has detected that this message does 
550-5.7.1 not meet IPv6 sending guidelines regarding PTR records and 
550-5.7.1 authentication. Please review 550-5.7.1 
https://support.google.com/mail/?p=ipv6_authentication_error for more 
550 5.7.1 information. z16si25936559wmc.51 - gsmtp (in reply to end of 
DATA command))



Concernant le message sur IPv6, il faut que ton IP ait un reverse (PTR) 
vers un nom d'hôte, et que la résolution de ce nom d'hôte donne la même IP.



--
==
|  FRÉDÉRIC MASSOT   |
| http://www.juliana-multimedia.com  |
|   mailto:frede...@juliana-multimedia.com   |
| +33.(0)2.97.54.77.94  +33.(0)6.67.19.95.69 |
===Debian=GNU/Linux===

[mailman][postfix-mysql][help] Je me prends le chou et Gmail et Postfix me font devenir chèvre :

2016-03-15 Par sujet Ph. Gras 
Bonsoir à tous,

comme je l'ai raconté dans un message précédent, j'ai installé Mailman sur un 
serveur Debian
avec php-fpm et NginX avec lequel je n'ai pas encore résolu tous mes ennuis 
d'interface Web.

Maintenant, j'ai en plus des problèmes de délivrabilité, notamment avec Gmail 
et Hotmail :
# cat mail.log
=
Mar 15 19:11:06 ma_machine postfix/smtp[19710]: E8F38420143: 
to=, 
relay=gmail-smtp-in.l.google.com[2a00:1450:400c:c02::1b]:25, delay=2.1, 
delays=1.3/0.02/0.21/0.64, dsn=4.7.1, status=SOFTBOUNCE (host 
gmail-smtp-in.l.google.com[2a00:1450:400c:c02::1b] said: 550-5.7.1 
[2001:41d0:8:c826::1] Our system has detected that this message does 550-5.7.1 
not meet IPv6 sending guidelines regarding PTR records and 550-5.7.1 
authentication. Please review 550-5.7.1  
https://support.google.com/mail/?p=ipv6_authentication_error for more 550 5.7.1 
information. z16si25936559wmc.51 - gsmtp (in reply to end of DATA command))
=
Mar 15 18:53:47 ma_machine postfix/smtp[19615]: 27AD2420116: lost connection 
with mx4.hotmail.com[65.54.188.126] while performing the HELO handshake
Mar 15 18:53:47 ma_machine postfix/smtp[19609]: CE187420115: lost connection 
with mx3.hotmail.com[65.55.37.72] while performing the HELO handshake

# postconf -n
=
alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
disable_vrfy_command = yes
inet_interfaces = all
mailbox_size_limit = 0
mailman_destination_recipient_limit = 1
mydestination = XX.XX.XX.in-addr.arpa, localhost.localdomain, localhost
myhostname = XX.XX.XX.in-addr.arpa
mynetworks = 127.0.0.0/8, XX.XX.XX
myorigin = 38.191.135.5.in-addr.arpa
policy_time_limit = 3600
recipient_delimiter = +
relay_domains = $mydestination, subdomain.example.com
relayhost =
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_client_restrictions = sleep 1, reject_unauth_pipelining, permit_mynetworks
smtpd_helo_required = yes
smtpd_helo_restrictions = reject_unknown_helo_hostname, 
reject_invalid_helo_hostname
smtpd_recipient_restrictions = permit_mynetworks, reject_non_fqdn_recipient, 
permit_sasl_authenticated, check_policy_service unix:private/policy, 
check_relay_domains
smtpd_sender_restrictions = warn_if_reject, permit_mynetworks
soft_bounce = yes
transport_maps = mysql:/etc/postfix/mysql-virtual_transports.cf
virtual_alias_maps = 
mysql:/etc/postfix/mysql-virtual_aliases.cf,mysql:/etc/postfix/mysql-virtual_aliases_comptes.cf
virtual_gid_maps = static:5000
virtual_mailbox_base = /var/spool/vmail/
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domaines.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_comptes.cf
virtual_uid_maps = static:5000

# cat mail.warn
=
Mar 15 19:24:03 ks3294494 postfix/smtpd[19765]: warning: support for 
restriction "check_relay_domains" will be removed from Postfix; use 
"reject_unauth_destination" instead
Mar 15 15:53:03 ks3294494 postfix/smtpd[17473]: fatal: parameter 
"smtpd_recipient_restrictions": specify at least one working instance of: 
check_relay_domains, reject_unauth_destination, reject, defer or defer_if_permit

# cat mail.err
=
Mar 15 15:53:03 ks3294494 postfix/smtpd[17473]: fatal: parameter 
"smtpd_recipient_restrictions": specify at least one working instance of: 
check_relay_domains, reject_unauth_destination, reject, defer or defer_if_permit
=

Une centaine de pages plus tard, je suis toujours dans les choux, j'ai la rate 
qui se dilate et je ne
parviens toujours pas à effectuer correctement mes relais…

Si vous avez une piste sérieuse, ne vous abstenez pas !

Ph. Gras

Re: fsck help

2015-11-14 Par sujet jbernon 
- Mail original -

> De: "Pascal Hambourg" <pas...@plouf.fr.eu.org>
> À: "Debian-user French" <debian-user-french@lists.debian.org>
> Envoyé: Vendredi 13 Novembre 2015 21:21:49
> Objet: Re: fsck help

> jber...@free.fr a écrit :
> > le système ouvre un shell initramfs qui permet de faire quelques
> > manips:
> > - on peut lancer fsck bien qu'il n'apparaisse pas dans la liste des
> > commandes possibles

> Quelle liste des commandes possibles ?

celle affichée par la commande help 

> > Mais tout de même il est ennuyeux que des applis "gèlent" et
> > finissent par tout bloquer.

> Des applis ne peuvent pas tout bloquer. On n'est plus au temps de
> Windows 9x. Tu as essayé les touches magiques ?

touches magiques ? Tu v eux dire basculer sur une session tty par ctrl+alt+fn ? 
Je ne suis pas sûr d'avoir essayé. En tout cas sur ma session gnome tout était 
totalement figé.

Re: fsck help

2015-11-14 Par sujet Jean-Michel OLTRA 

Bonjour,


Le samedi 14 novembre 2015, jber...@free.fr a écrit...


> touches magiques ? Tu v eux dire basculer sur une session tty par
> ctrl+alt+fn ? Je ne suis pas sûr d'avoir essayé. En tout cas sur ma
> session gnome tout était totalement figé. 

Non, les "magic keys". Voir ici (par exemple) :

http://www.cyberciti.biz/tips/reboot-or-halt-linux-system-in-emergency.html

La séquence s, puis u, puis b est particulièrement utile.

-- 
jm

Re: fsck help

2015-11-14 Par sujet jbernon 
Merci à Jean-Michel et Pascal pour les touches magiques. 

- Mail original -

> De: "Jean-Michel OLTRA" <jm.oltra.antis...@espinasse.net>
> À: debian-user-french@lists.debian.org
> Envoyé: Samedi 14 Novembre 2015 18:13:56
> Objet: Re: fsck help

> Bonjour,

> Le samedi 14 novembre 2015, jber...@free.fr a écrit...

> > touches magiques ? Tu v eux dire basculer sur une session tty par
> > ctrl+alt+fn ? Je ne suis pas sûr d'avoir essayé. En tout cas sur ma
> > session gnome tout était totalement figé.

> Non, les "magic keys". Voir ici (par exemple) :

> http://www.cyberciti.biz/tips/reboot-or-halt-linux-system-in-emergency.html

> La séquence s, puis u, puis b est particulièrement utile.

> --
> jm

Re: fsck help

2015-11-14 Par sujet Pascal Hambourg 
jber...@free.fr a écrit :
> 
>>> le système ouvre un shell initramfs qui permet de faire quelques
>>> manips:
>>> - on peut lancer fsck bien qu'il n'apparaisse pas dans la liste des
>>> commandes possibles
> 
>> Quelle liste des commandes possibles ?
> 
> celle affichée par la commande help 

La commande help n'affiche que les commandes intégrées (builtins) du
shell, ou de ce qui en tient lieu dans l'initramfs, à savoir busybox.

fsck help

2015-11-13 Par sujet jbernon 
Bonjour, 

Suite à un blocage de mon pc et à une mise hors tension pour redémarrer, 
celui-ci bloque au démarrage en demandant en boucle un fsck manuel qui échoue 
sans cesse. J'ai pu le redémarrer en mode rescue à partir de la précédente 
version de Debian proposée au boot et tout semble parfaitement normal sauf 
que... 

quand j'essaie de faire le fsck sur le système redémarré, j'ai toujours 
exactement le même problème qu'au démarrage 

root@pc-jean-debian:/home/jean# fsck 
fsck de util-linux 2.25.2 
e2fsck 1.42.12 (29-Aug-2014) 
/dev/sda8 est monté. 
e2fsck: Ne peut continuer, arrêt immédiat. 


root@pc-jean-debian:/home/jean# ^C 

J'ai lu pas mal de choses sur Internet et tenté diverses options de fsck avec 
toujours le même résultat. Sur Internet je trouve beaucoup de choses du style 
refaire les partitions disques ou carrément réinstaller, mais cela semble un 
peu extrême pour un système qui marche parfaitement par ailleurs. 

Au boot il y a quelques détails de plus et notamment un retour 4 de fsck qui 
signifie simplement qu'il reste des erreurs de fichiers non corrigées sur 
/dev/sda8 qui est le point de montage de la racine. 

Si quelqu'un a une suggestion, mille mercis. 
Jean

Re: fsck help

2015-11-13 Par sujet Belaïd 
Bonjour,
As tu essayé un fsck sur la partition non montée?  Dans le cas ou c'est la
racine,  essai avec un linux live

Le 13 nov. 2015 12:40,  a écrit :
>
> Bonjour,
>
> Suite à un blocage de mon pc et à une mise hors tension pour redémarrer,
celui-ci bloque au démarrage en demandant en boucle un fsck manuel qui
échoue sans cesse. J'ai pu le redémarrer en mode rescue à partir de la
précédente version de Debian proposée au boot et tout semble parfaitement
normal sauf que...
>
> quand j'essaie de faire le fsck sur le système redémarré, j'ai toujours
exactement le même problème qu'au démarrage
>
> root@pc-jean-debian:/home/jean# fsck
> fsck de util-linux 2.25.2
> e2fsck 1.42.12 (29-Aug-2014)
> /dev/sda8 est monté.
> e2fsck: Ne peut continuer, arrêt immédiat.
>
>
> root@pc-jean-debian:/home/jean# ^C
>
> J'ai lu pas mal de choses sur Internet et tenté diverses options de fsck
avec toujours le même résultat. Sur Internet je trouve beaucoup de choses
du style refaire les partitions disques ou carrément réinstaller, mais cela
semble un peu extrême pour un système qui marche parfaitement par ailleurs.
>
> Au boot il y a quelques détails de plus et notamment un retour 4 de fsck
qui signifie simplement qu'il reste des erreurs de fichiers non corrigées
sur /dev/sda8 qui est le point de montage de la racine.
>
> Si quelqu'un a une suggestion, mille mercis.
> Jean
>
>

Re: fsck help

2015-11-13 Par sujet jbernon 
On peut le faire sans disque live... puisque je l'ai fait. 

J'ai compris du coup qu'il ne fallait pas le faire avec la partition montée, 
mais : 
- e2fsck semble vérifier ce point puisqu'il refuse de démarrer avec la 
partition montée ; 
- en revanche la documentation Debian n'est pas très claire 
https://debian-facile.org/doc:systeme:fsck 

"Une première solution est bien sûr de démarrer sur un autre système, comme un 
liveCD. Mais c'est lourd, donc pour les cas désespérés. 
Une solution bien plus simple est de redémarrer en demandant une vérification 
au démarrage. Toujours en root : shutdown -rF now 
Si on ne veut pas redémarrer immédiatement mais simplement faire un test au 
prochain démarrage : touch / forcefsck" 

Ce qui manque ici c'est que le fsck au démarrage ne marche pas toujours si la 
partition contient des erreurs et qu'il faut le faire manuellement au sein du 
shell initramfs qui est alors lancé. C'est peut-être trop lié à la version 
actuelle de Debian pour être documenté ? 

- Mail original -

> De: "andre debian" < andre_deb...@numericable.fr >
> À: debian-user-french@lists.debian.org
> Envoyé: Vendredi 13 Novembre 2015 13:26:19
> Objet: Re: fsck help

> On Friday 13 November 2015 12:40:25 jkber...@free.fr wrote:
> > Suite à un blocage de mon pc et à une mise hors tension pour
> > redémarrer,
> celui-ci bloque au démarrage en demandant en boucle un fsck manuel
> qui échoue
> sans cesse. J'ai pu le redémarrer en mode rescue à partir de la
> précédente
> version de Debian proposée au boot et tout semble parfaitement normal
> sauf
> que...
> > quand j'essaie de faire le fsck sur le système redémarré, j'ai
> > toujours
> exactement le même problème qu'au démarrage
> > root@pc-jean-debian:/home/jean# fsck
> > fsck de util-linux 2.25.2
> > e2fsck 1.42.12 (29-Aug-2014)
> > /dev/sda8 est monté.
> > e2fsck: Ne peut continuer, arrêt immédiat.

> Ne jamais faire un "e2fsck" sur une partition montée !
> (sinon on flingue le système de fichiers et les données
> de sa partition).

> Utiliser un Linux Live pour faire un :
> e2fsck /dev/sd"xy"

> x = la partition
> y = son n°

> André

Re: fsck help

2015-11-13 Par sujet Pascal Hambourg 
jber...@free.fr a écrit :
> le système ouvre un shell initramfs qui permet de faire quelques manips: 
> - on peut lancer fsck bien qu'il n'apparaisse pas dans la liste des commandes 
> possibles

Quelle liste des commandes possibles ?

> Mais tout de même il est ennuyeux que des applis "gèlent" et finissent par 
> tout bloquer.

Des applis ne peuvent pas tout bloquer. On n'est plus au temps de
Windows 9x. Tu as essayé les touches magiques ?

Re: fsck help

2015-11-13 Par sujet andre_debian 
On Friday 13 November 2015 12:40:25 jber...@free.fr wrote:
> Suite à un blocage de mon pc et à une mise hors tension pour redémarrer, 
celui-ci bloque au démarrage en demandant en boucle un fsck manuel qui échoue 
sans cesse. J'ai pu le redémarrer en mode rescue à partir de la précédente 
version de Debian proposée au boot et tout semble parfaitement normal sauf 
que... 
> quand j'essaie de faire le fsck sur le système redémarré, j'ai toujours 
exactement le même problème qu'au démarrage 
> root@pc-jean-debian:/home/jean# fsck 
> fsck de util-linux 2.25.2 
> e2fsck 1.42.12 (29-Aug-2014) 
> /dev/sda8 est monté. 
> e2fsck: Ne peut continuer, arrêt immédiat. 

Ne jamais faire un "e2fsck" sur une partition montée !
(sinon on flingue le système de fichiers et les données
 de sa partition).

Utiliser un Linux Live pour faire un :
e2fsck /dev/sd"xy"

x = la partition
y = son n°

André

Re: fsck help

2015-11-13 Par sujet jbernon 
Finalement j'ai trouvé la solution. En fait après l'échec du fsck au démarrage, 
le système ouvre un shell initramfs qui permet de faire quelques manips: 
- df montre que seuls sont montés /dev et /run à ce moment là ; 
- on peut lancer fsck bien qu'il n'apparaisse pas dans la liste des commandes 
possibles (?) ; 
- pour que ça marche, il faut préciser que l'on veut vérifier la racine, donc 
dans mon cas la commande était "fsck /dev/sda8" ; 
- il m'a listé des inodes qui lui posaient problème et m'a proposé de fixer les 
choses. J'ai bien sûr accepté. 

Mon système redémarre sans problème et apparemment je n'ai rien qui 
dysfonctionne. Tout est bien qui finit bien. Mais tout de même il est ennuyeux 
que des applis "gèlent" et finissent par tout bloquer. Dans ce cas c'est 
LibreOffice qui a tout bloqué, parfois c'est Iceweasel. Heureusement c'est 
assez rare et en général ça fonctionne vite et bien. Ça n'empêche pas de 
fonctionner, mais ce serait quand même bien de comprendre d'où viennent ces 
blocages occasionnels. 

Merci à Belaïd de sa suggestion. J'étais en train de fouiller dans mes divers 
CD gravés pour trouver un live quand c'est reparti sur le démarrage qui 
bloquait et que j'ai fait cet essai qui a marché. 

- Mail original -

> De: "Belaïd" <oblivion.ik...@gmail.com>
> À: jber...@free.fr
> Cc: "Liste Debian" <debian-user-french@lists.debian.org>
> Envoyé: Vendredi 13 Novembre 2015 12:46:57
> Objet: Re: fsck help

> Bonjour,
> As tu essayé un fsck sur la partition non montée? Dans le cas ou
> c'est la racine, essai avec un linux live
> Le 13 nov. 2015 12:40, < jber...@free.fr > a écrit :
> >
> > Bonjour,
> >
> > Suite à un blocage de mon pc et à une mise hors tension pour
> > redémarrer, celui-ci bloque au démarrage en demandant en boucle un
> > fsck manuel qui échoue sans cesse. J'ai pu le redémarrer en mode
> > rescue à partir de la précédente version de Debian proposée au
> > boot et tout semble parfaitement normal sauf que...
> >
> > quand j'essaie de faire le fsck sur le système redémarré, j'ai
> > toujours exactement le même problème qu'au démarrage
> >
> > root@pc-jean-debian:/home/jean# fsck
> > fsck de util-linux 2.25.2
> > e2fsck 1.42.12 (29-Aug-2014)
> > /dev/sda8 est monté.
> > e2fsck: Ne peut continuer, arrêt immédiat.
> >
> >
> > root@pc-jean-debian:/home/jean# ^C
> >
> > J'ai lu pas mal de choses sur Internet et tenté diverses options de
> > fsck avec toujours le même résultat. Sur Internet je trouve
> > beaucoup de choses du style refaire les partitions disques ou
> > carrément réinstaller, mais cela semble un peu extrême pour un
> > système qui marche parfaitement par ailleurs.
> >
> > Au boot il y a quelques détails de plus et notamment un retour 4 de
> > fsck qui signifie simplement qu'il reste des erreurs de fichiers
> > non corrigées sur /dev/sda8 qui est le point de montage de la
> > racine.
> >
> > Si quelqu'un a une suggestion, mille mercis.
> > Jean
> >
> >

Re: Help: tuto/best-practises debian-apache-https-wildcard

2013-09-24 Par sujet stephane . gaudiche 


 Message du 23/09/13 18:03
 De : stephane.gaudi...@laposte.net
 A : debian-user-french@lists.debian.org
 Copie à : Bzzz 
 Objet : Re: Help: tuto/best-practises debian-apache-https-wildcard


 
 
  Message du 23/09/13 17:47
  De : Bzzz 
  A : debian-user-french@lists.debian.org
  Copie à : stephane.gaudi...@laposte.net
  Objet : Re: Help: tuto/best-practises debian-apache-https-wildcard
 
  On Mon, 23 Sep 2013 16:55:45 +0200
  stephane.gaudi...@laposte.net wrote:
  
   faire qqch d'un peu plus pointu, je suis pommé.
  
  T'inquiètes, on va te feuilleter et te dorer aussi ;)
  
   Je cherche donc un bonne âme pouvant m'aider à atteindre mon
   objectif: installer un certificat x509/https (wildcard) pour
   httpS-ifié un site web.
   
   J'ai déjà un certain nombre de choses en tête sur comment cela
   devrait être fait mais c'est pas évident. Les tutoriels dont je
   fais lecture sont orientés
  
  Il faut que tu crées ta propre Certificate Authority (recherche:
  linux make your own CA), puis le certificat de ton site (à paramétrer
  dans le svr https) signé par ce CA, et enfin que les machines
  destinées à se connecter importent l'ICA pour éviter le msg 
  d'alerte du certif non authentifié.
  Ex:
  https://jamielinux.com/articles/2013/08/act-as-your-own-certificate-authority/
  
 J'ai déjà 3 fichiers par l'autorité de certification.
 donc si je suis pas besoin de généré de certificat.
 

Est-ce que le sujet ne parle à personne?
ou est-ce que je touches un truc vraiment trop compliqué?

Une messagerie gratuite, garantie à vie et des services en plus, ça vous tente ?
Je crée ma boîte mail www.laposte.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
http://lists.debian.org/1812356248.15152.1380034558530.JavaMail.www@wwinf8305

Re: Help: tuto/best-practises debian-apache-https-wildcard

2013-09-24 Par sujet Christophe 

Bonsoir,

Le 24/09/2013 16:55, stephane.gaudi...@laposte.net a écrit :


Est-ce que le sujet ne parle à personne?
ou est-ce que je touches un truc vraiment trop compliqué?



Rien de trop compliqué à première vue.

Certificat validé par une autorité de certification tierce , ou non ?

Si c'est le cas, pour une grosse majorité, il y a un tuto déjà tout prêt 
sur le site du prestataire .


Typiquement et sur apache : http://www.startssl.com/?app=21 (pour ne 
citer que ce prestataire)


A reproduire sur les différents sites (j'imagine que si c'est un 
wildcard , c'est qu'il y a une raison ;) ).


@+
Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/5241e195.70...@stuxnet.org

Help: tuto/best-practises debian-apache-https-wildcard

2013-09-23 Par sujet stephane . gaudiche 
Bonjour à la liste,
je manipule au quotidien des configurations de serveurs web apache sous debian
en ayant appris sur le tas et du coup quand je veux faire qqch d'un peu plus 
pointu, je suis pommé.

Je cherche donc un bonne âme pouvant m'aider à atteindre mon objectif:
installer un certificat x509/https (wildcard) pour httpS-ifié un site web.

J'ai déjà un certain nombre de choses en tête sur comment cela devrait être 
fait mais c'est pas évident. Les tutoriels dont je fais lecture sont orientés 
et j'y retrouve pas mon compte!

Merci d'avance.

Une messagerie gratuite, garantie à vie et des services en plus, ça vous tente ?
Je crée ma boîte mail www.laposte.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
http://lists.debian.org/1461752212.109835.1379948145955.JavaMail.www@wwinf8314

Re: Help: tuto/best-practises debian-apache-https-wildcard

2013-09-23 Par sujet stephane . gaudiche 


 Message du 23/09/13 17:47
 De : Bzzz 
 A : debian-user-french@lists.debian.org
 Copie à : stephane.gaudi...@laposte.net
 Objet : Re: Help: tuto/best-practises debian-apache-https-wildcard

 On Mon, 23 Sep 2013 16:55:45 +0200
 stephane.gaudi...@laposte.net wrote:
 
  faire qqch d'un peu plus pointu, je suis pommé.
 
 T'inquiètes, on va te feuilleter et te dorer aussi ;)
 
  Je cherche donc un bonne âme pouvant m'aider à atteindre mon
  objectif: installer un certificat x509/https (wildcard) pour
  httpS-ifié un site web.
  
  J'ai déjà un certain nombre de choses en tête sur comment cela
  devrait être fait mais c'est pas évident. Les tutoriels dont je
  fais lecture sont orientés
 
 Il faut que tu crées ta propre Certificate Authority (recherche:
 linux make your own CA), puis le certificat de ton site (à paramétrer
 dans le svr https) signé par ce CA, et enfin que les machines
 destinées à se connecter importent l'ICA pour éviter le msg 
 d'alerte du certif non authentifié.
 Ex:
 https://jamielinux.com/articles/2013/08/act-as-your-own-certificate-authority/
 
J'ai déjà 3 fichiers par l'autorité de certification.
donc si je suis pas besoin de généré de certificat.

Une messagerie gratuite, garantie à vie et des services en plus, ça vous tente ?
Je crée ma boîte mail www.laposte.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
http://lists.debian.org/915150507.116982.1379952194390.JavaMail.www@wwinf8223

Re: Help: tuto/best-practises debian-apache-https-wildcard

2013-09-23 Par sujet Bzzz 
On Mon, 23 Sep 2013 16:55:45 +0200
stephane.gaudi...@laposte.net wrote:

 faire qqch d'un peu plus pointu, je suis pommé.

T'inquiètes, on va te feuilleter et te dorer aussi ;)
 
 Je cherche donc un bonne âme pouvant m'aider à atteindre mon
 objectif: installer un certificat x509/https (wildcard) pour
 httpS-ifié un site web.
 
 J'ai déjà un certain nombre de choses en tête sur comment cela
 devrait être fait mais c'est pas évident. Les tutoriels dont je
 fais lecture sont orientés

Il faut que tu crées ta propre Certificate Authority (recherche:
linux make your own CA), puis le certificat de ton site (à paramétrer
dans le svr https) signé par ce CA, et enfin que les machines
destinées à se connecter importent l'ICA pour éviter le msg 
d'alerte du certif non authentifié.
Ex:
https://jamielinux.com/articles/2013/08/act-as-your-own-certificate-authority/

 et j'y retrouve pas mon compte!

Alors, ton login est stephane et ton MdP est gaudiche ;-P

-- 
sissou j'ai rencontré une meuf quand je suis allé cherché une chemise
sissou je vais l'enfiler demain
Valoute la meuf ou la chemise ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20130923174658.627bb5d7@anubis.defcon1

HELP

2012-08-08 Par sujet michk 

je suis étudiant à l' U.PN.(RDC) je des problèmes pour configurer mon serveur
de supervision avec Nagios ,je le réalise sur debain (squeeze 6.0).Le
problème se situe au niveau de la configuration pas à pas de Nagios .
 merci pour toutes formes de proposition
-- 
View this message in context: 
http://old.nabble.com/HELP-tp34271986p34271986.html
Sent from the debian-user-french mailing list archive at Nabble.com.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/34271986.p...@talk.nabble.com

Re: HELP

2012-08-08 Par sujet Bzzz 
On Wed, 8 Aug 2012 07:27:44 -0700 (PDT)
michk michklus...@gmail.com wrote:

 mon serveur de supervision avec Nagios ,je le réalise sur debain
 (squeeze 6.0).Le problème se situe au niveau de la configuration
 pas à pas de Nagios . merci pour toutes formes de proposition

Faut quand même pas exagérer, le net fourmille littéralement de
HOWTOs et autres mod'ops  docs sur Nagios, du fait notamment de
sa longévité.

Par ailleurs, s'il permet quasiment n'importe quoi, c'est au prix
d'une configuration relativement laborieuse - là, je ne parle que de
ce que j'ai pu lire en faisant mon choix, _pas_ d'expérience.

En fonction des besoins (et des contraintes?) YMMV, mais par exemple
j'ai choisi Zabbix pour sa facilité de mise en œuvre.

Et si tu as le choix du monitor, lis-ça (entre autres) avant de
plonger dans nagios:
http://www.freesoftwaremagazine.com/articles/nagios_and_icinga

JY
-- 
manoune : je suis une méga geek du portable !
Gilbert : ça existe pas 
Gilbert : ça s'appelle une pouffiasse.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120808165153.66a3a0c3@anubis.defcon1

Re: Help grub2 m'a tué ! [solution provisoire]

2011-06-12 Par sujet Mourad Jaber 



Le 11/06/2011 20:14, tv.deb...@googlemail.com a écrit :

Le 11/06/2011 19:04, C. Mourad Jaber a écrit :


Le 11/06/2011 18:47, tv.deb...@googlemail.com a écrit :

Le 11/06/2011 17:41, C. Mourad Jaber a écrit :

Bonjour,

J'ai fait un upgrade de ma testing ce matin et grub2 faisait parti des
mises à jour.

Grub a remonté des erreurs à l'installation et le redémarrage de la
machine n'est plus possible (la machine affiche GRUB et se fige !).

J'ai récupéré un parted magic pour pouvoir travaillé en CD live, mais je
ne parviens pas à restaurer grub.

Je suis revenu dans la version précédente, mais rien n'y fait, j'ai le
message suivant :
# grub-setup --force -b ../../boot/grub/boot.img -c
../../boot/grub/core.img -d /boot/grub /dev/sda
grub-setup: warn: This msdos-style partition label has no post-MBR gap;
embedding won't be possible!.
grub-setup: warn: Embedding is not possible.  GRUB can only be installed
in this setup by using blocklists.  However, blocklists are UNRELIABLE
and their use is discouraged..
grub-setup: error: impossible de lire `/grub/core.img' correctement.

Il semble impossible de modifier le chemin vers core.img

Est-ce que quelqu'un pourrait me donner quelques pistes pour sortir de
se guêpier parce que je sèche complètement et la doc de grub2 n'est pas
d'un grand secours ?

++

Mourad


Salut, c'est une table de partition gpt ?


Non, c'est du MBR tout bête, si j'ai bien compris la question !

++

Mourad


Je parlais de la table de partition, grub la détecte comme msdos-style
et je me disais qu'il s'agissait peut-être de gpt, d'où l'erreur. Si
c'était le cas tu saurais de quoi je parle puisque ça serait un choix
délibéré.

Là ton problème ressemble plus à un bug de grub-pc, j'ai vu passer des
rapports qui concernent des images core.img trop grande pour tenir dans
l'espace entre le MBR et la table de partition, dans ce cas
l'installation échoue. Tu devrais aller voir le bug tracker [1] pour le
paquet grub-pc, il y a peut-être un contournement possible. En attendant
tu peux essayer de réinstaller une version plus ancienne dans un chroot,
voir [2].
Tu peux aussi essayer une version plus récente pour voir si le problème
est corrigé en amont, ça aidera les mainteneurs Debian si c'est le cas.
Pour compiler grub depuis les sources voir [3]

[1] http://bugs.debian.org/cgi-bin/pkgreport.cgi?pkg=grub-pc;dist=unstable

[2] http://packages.debian.org/search?keywords=grub-pc

[3]
http://www.linuxpedia.fr/doku.php/expert/grub2?#compiler_grub2_depuis_les_sources

Comme la version de grub2 en testing est la même que celle en unstable, j'ai récupéré 
celle de la stable, et ça re-marche !


J'ai également essayé quelques versions glanées sur debian snapshot, mais je n'ai pas 
trouvé mieux que la stable !!


J'ai mis en hold les dépendances de grub, je jouerai quand une prochaine 
version sortira !

Merci pour les conseils !

++

Mourad

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4df48bc5.5060...@nativobject.net

Re: Help grub2 m'a tué ! [solution provisoire]

2011-06-12 Par sujet tv.deb...@googlemail.com 
Le 12/06/2011 11:49, Mourad Jaber a écrit :
[nettoyage]
 Comme la version de grub2 en testing est la même que celle en unstable,
 j'ai récupéré celle de la stable, et ça re-marche !
 
 J'ai également essayé quelques versions glanées sur debian snapshot,
 mais je n'ai pas trouvé mieux que la stable !!
 
 J'ai mis en hold les dépendances de grub, je jouerai quand une prochaine
 version sortira !
 
 Merci pour les conseils !
 
 ++
 
 Mourad
 

Un petit rapport de bogue serait judicieux, sinon ton problème ne sera
peut-être pas réglé avant longtemps... Les mainteneurs Debian de grub ne
mordent pas, et ils sont super compétents.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4df491d0.6010...@googlemail.com

Re: Help grub2 m'a tué ! [solution provisoire]

2011-06-12 Par sujet Mourad Jaber 

Le 12/06/2011 12:15, tv.deb...@googlemail.com a écrit :

Le 12/06/2011 11:49, Mourad Jaber a écrit :
[nettoyage]

Comme la version de grub2 en testing est la même que celle en unstable,
j'ai récupéré celle de la stable, et ça re-marche !

J'ai également essayé quelques versions glanées sur debian snapshot,
mais je n'ai pas trouvé mieux que la stable !!

J'ai mis en hold les dépendances de grub, je jouerai quand une prochaine
version sortira !

Merci pour les conseils !

++

Mourad


Un petit rapport de bogue serait judicieux, sinon ton problème ne sera
peut-être pas réglé avant longtemps... Les mainteneurs Debian de grub ne
mordent pas, et ils sont super compétents.


Tout à fait, c'est en cours ;)

++

Mourad

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4df5003c.80...@nativobject.net

Help grub2 m'a tué !

2011-06-11 Par sujet C. Mourad Jaber 

Bonjour,

J'ai fait un upgrade de ma testing ce matin et grub2 faisait parti des mises à 
jour.

Grub a remonté des erreurs à l'installation et le redémarrage de la machine n'est plus 
possible (la machine affiche GRUB et se fige !).


J'ai récupéré un parted magic pour pouvoir travaillé en CD live, mais je ne parviens pas à 
restaurer grub.


Je suis revenu dans la version précédente, mais rien n'y fait, j'ai le message 
suivant :
# grub-setup --force -b ../../boot/grub/boot.img -c ../../boot/grub/core.img -d /boot/grub 
/dev/sda
grub-setup: warn: This msdos-style partition label has no post-MBR gap; embedding won't be 
possible!.
grub-setup: warn: Embedding is not possible.  GRUB can only be installed in this setup by 
using blocklists.  However, blocklists are UNRELIABLE and their use is discouraged..

grub-setup: error: impossible de lire `/grub/core.img' correctement.

Il semble impossible de modifier le chemin vers core.img

Est-ce que quelqu'un pourrait me donner quelques pistes pour sortir de se guêpier parce 
que je sèche complètement et la doc de grub2 n'est pas d'un grand secours ?


++

Mourad

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4df38cbf.5060...@nativobject.net

Re: Help grub2 m'a tué !

2011-06-11 Par sujet Thierry Chatelet 
On Saturday 11 June 2011 17:41:51 C. Mourad Jaber wrote:
 Bonjour,
 
 J'ai fait un upgrade de ma testing ce matin et grub2 faisait parti des
 mises à jour.
 
 Grub a remonté des erreurs à l'installation et le redémarrage de la machine
 n'est plus possible (la machine affiche GRUB et se fige !).
 
 J'ai récupéré un parted magic pour pouvoir travaillé en CD live, mais je ne
 parviens pas à restaurer grub.
 
 Je suis revenu dans la version précédente, mais rien n'y fait, j'ai le
 message suivant : # grub-setup --force -b ../../boot/grub/boot.img -c
 ../../boot/grub/core.img -d /boot/grub /dev/sda
 grub-setup: warn: This msdos-style partition label has no post-MBR gap;
 embedding won't be possible!.
 grub-setup: warn: Embedding is not possible.  GRUB can only be installed in
 this setup by using blocklists.  However, blocklists are UNRELIABLE and
 their use is discouraged.. grub-setup: error: impossible de lire
 `/grub/core.img' correctement.
 
 Il semble impossible de modifier le chemin vers core.img
 
 Est-ce que quelqu'un pourrait me donner quelques pistes pour sortir de se
 guêpier parce que je sèche complètement et la doc de grub2 n'est pas d'un
 grand secours ?
 
 ++
 
 Mourad


Pour info, as-tu choisi d' installer les fichiers du développeur ou bien de 
garder les tiens? Moi, j' ai installé ceux du développeur et tout c'est bien 
passé.
D'accord Mourad, ça t'aide pas mais mes connaissance sur grub sont très 
faibles..., mais ça peut aider des personnes qui n'ont pas encore fait la mise 
à jour.
Thierry

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/201106111824.31607.tchate...@free.fr

Re: Help grub2 m'a tué !

2011-06-11 Par sujet C. Mourad Jaber 



Le 11/06/2011 18:24, Thierry Chatelet a écrit :

On Saturday 11 June 2011 17:41:51 C. Mourad Jaber wrote:

Bonjour,

J'ai fait un upgrade de ma testing ce matin et grub2 faisait parti des
mises à jour.

Grub a remonté des erreurs à l'installation et le redémarrage de la machine
n'est plus possible (la machine affiche GRUB et se fige !).

J'ai récupéré un parted magic pour pouvoir travaillé en CD live, mais je ne
parviens pas à restaurer grub.

Je suis revenu dans la version précédente, mais rien n'y fait, j'ai le
message suivant : # grub-setup --force -b ../../boot/grub/boot.img -c
../../boot/grub/core.img -d /boot/grub /dev/sda
grub-setup: warn: This msdos-style partition label has no post-MBR gap;
embedding won't be possible!.
grub-setup: warn: Embedding is not possible.  GRUB can only be installed in
this setup by using blocklists.  However, blocklists are UNRELIABLE and
their use is discouraged.. grub-setup: error: impossible de lire
`/grub/core.img' correctement.

Il semble impossible de modifier le chemin vers core.img

Est-ce que quelqu'un pourrait me donner quelques pistes pour sortir de se
guêpier parce que je sèche complètement et la doc de grub2 n'est pas d'un
grand secours ?

++

Mourad


Pour info, as-tu choisi d' installer les fichiers du développeur ou bien de
garder les tiens? Moi, j' ai installé ceux du développeur et tout c'est bien
passé.
D'accord Mourad, ça t'aide pas mais mes connaissance sur grub sont très
faibles..., mais ça peut aider des personnes qui n'ont pas encore fait la mise
à jour.
Thierry


Bah, ma config est très simple, uniquement debian, pas d'autre OS.

Le seul truc qui pourrait fâcher grub, c'est LVM mais la partition /boot est en ext2 hors 
lvm pour éviter les problèmes !


Je n'ai pas de modification des fichiers par défaut et donc apt ne m'a rien 
demandé :(

Ce que je ne comprends pas c'est pourquoi il cherche désespérément '/grub/core.img' alors 
que je lui précise le chemin en dur !


++

Mourad

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4df39acf.3000...@nativobject.net

Re: Help grub2 m'a tué !

2011-06-11 Par sujet tv.deb...@googlemail.com 
Le 11/06/2011 17:41, C. Mourad Jaber a écrit :
 Bonjour,
 
 J'ai fait un upgrade de ma testing ce matin et grub2 faisait parti des
 mises à jour.
 
 Grub a remonté des erreurs à l'installation et le redémarrage de la
 machine n'est plus possible (la machine affiche GRUB et se fige !).
 
 J'ai récupéré un parted magic pour pouvoir travaillé en CD live, mais je
 ne parviens pas à restaurer grub.
 
 Je suis revenu dans la version précédente, mais rien n'y fait, j'ai le
 message suivant :
 # grub-setup --force -b ../../boot/grub/boot.img -c
 ../../boot/grub/core.img -d /boot/grub /dev/sda
 grub-setup: warn: This msdos-style partition label has no post-MBR gap;
 embedding won't be possible!.
 grub-setup: warn: Embedding is not possible.  GRUB can only be installed
 in this setup by using blocklists.  However, blocklists are UNRELIABLE
 and their use is discouraged..
 grub-setup: error: impossible de lire `/grub/core.img' correctement.
 
 Il semble impossible de modifier le chemin vers core.img
 
 Est-ce que quelqu'un pourrait me donner quelques pistes pour sortir de
 se guêpier parce que je sèche complètement et la doc de grub2 n'est pas
 d'un grand secours ?
 
 ++
 
 Mourad
 

Salut, c'est une table de partition gpt ?

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4df39c21.6040...@googlemail.com

Re: Help grub2 m'a tué !

2011-06-11 Par sujet C. Mourad Jaber 



Le 11/06/2011 18:47, tv.deb...@googlemail.com a écrit :

Le 11/06/2011 17:41, C. Mourad Jaber a écrit :

Bonjour,

J'ai fait un upgrade de ma testing ce matin et grub2 faisait parti des
mises à jour.

Grub a remonté des erreurs à l'installation et le redémarrage de la
machine n'est plus possible (la machine affiche GRUB et se fige !).

J'ai récupéré un parted magic pour pouvoir travaillé en CD live, mais je
ne parviens pas à restaurer grub.

Je suis revenu dans la version précédente, mais rien n'y fait, j'ai le
message suivant :
# grub-setup --force -b ../../boot/grub/boot.img -c
../../boot/grub/core.img -d /boot/grub /dev/sda
grub-setup: warn: This msdos-style partition label has no post-MBR gap;
embedding won't be possible!.
grub-setup: warn: Embedding is not possible.  GRUB can only be installed
in this setup by using blocklists.  However, blocklists are UNRELIABLE
and their use is discouraged..
grub-setup: error: impossible de lire `/grub/core.img' correctement.

Il semble impossible de modifier le chemin vers core.img

Est-ce que quelqu'un pourrait me donner quelques pistes pour sortir de
se guêpier parce que je sèche complètement et la doc de grub2 n'est pas
d'un grand secours ?

++

Mourad


Salut, c'est une table de partition gpt ?


Non, c'est du MBR tout bête, si j'ai bien compris la question !

++

Mourad

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4df3a01d.3040...@nativobject.net

Re: Help grub2 m'a tué !

2011-06-11 Par sujet tv.deb...@googlemail.com 
Le 11/06/2011 19:04, C. Mourad Jaber a écrit :
 
 
 Le 11/06/2011 18:47, tv.deb...@googlemail.com a écrit :
 Le 11/06/2011 17:41, C. Mourad Jaber a écrit :
 Bonjour,

 J'ai fait un upgrade de ma testing ce matin et grub2 faisait parti des
 mises à jour.

 Grub a remonté des erreurs à l'installation et le redémarrage de la
 machine n'est plus possible (la machine affiche GRUB et se fige !).

 J'ai récupéré un parted magic pour pouvoir travaillé en CD live, mais je
 ne parviens pas à restaurer grub.

 Je suis revenu dans la version précédente, mais rien n'y fait, j'ai le
 message suivant :
 # grub-setup --force -b ../../boot/grub/boot.img -c
 ../../boot/grub/core.img -d /boot/grub /dev/sda
 grub-setup: warn: This msdos-style partition label has no post-MBR gap;
 embedding won't be possible!.
 grub-setup: warn: Embedding is not possible.  GRUB can only be installed
 in this setup by using blocklists.  However, blocklists are UNRELIABLE
 and their use is discouraged..
 grub-setup: error: impossible de lire `/grub/core.img' correctement.

 Il semble impossible de modifier le chemin vers core.img

 Est-ce que quelqu'un pourrait me donner quelques pistes pour sortir de
 se guêpier parce que je sèche complètement et la doc de grub2 n'est pas
 d'un grand secours ?

 ++

 Mourad

 Salut, c'est une table de partition gpt ?

 Non, c'est du MBR tout bête, si j'ai bien compris la question !
 
 ++
 
 Mourad
 

Je parlais de la table de partition, grub la détecte comme msdos-style
et je me disais qu'il s'agissait peut-être de gpt, d'où l'erreur. Si
c'était le cas tu saurais de quoi je parle puisque ça serait un choix
délibéré.

Là ton problème ressemble plus à un bug de grub-pc, j'ai vu passer des
rapports qui concernent des images core.img trop grande pour tenir dans
l'espace entre le MBR et la table de partition, dans ce cas
l'installation échoue. Tu devrais aller voir le bug tracker [1] pour le
paquet grub-pc, il y a peut-être un contournement possible. En attendant
tu peux essayer de réinstaller une version plus ancienne dans un chroot,
voir [2].
Tu peux aussi essayer une version plus récente pour voir si le problème
est corrigé en amont, ça aidera les mainteneurs Debian si c'est le cas.
Pour compiler grub depuis les sources voir [3]

[1] http://bugs.debian.org/cgi-bin/pkgreport.cgi?pkg=grub-pc;dist=unstable

[2] http://packages.debian.org/search?keywords=grub-pc

[3]
http://www.linuxpedia.fr/doku.php/expert/grub2?#compiler_grub2_depuis_les_sources

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4df3b06d.80...@googlemail.com

Re: [HS] Help pour débuter avec iptables

2010-09-15 Par sujet giggzounet 
Le 14/09/2010 23:41, giggz a écrit :
 Le 14/09/2010 15:46, Pascal Hambourg a écrit :
 Pascal Hambourg a écrit :
 giggz a écrit :

 -A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT

 Utile pour un routeur seulement.

 Oups, j'ai confondu avec router-solicitation. Ok.

 -A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT

 Ok. Il faut aussi accepter le type neighbour-solicitation.

 
 ok super j'ai fait les modifs. je vais voir à l'usage.
 
 Y a des règles pour définir les limites avec -m limit --limit ? ou alors
 c'est au pif ?
 
 Merci pour tout!
 
 

J'ai trouvé un tuto en anglais vraiment bien expliqué sur iptables
(c'est pas spécifique debian), je colle l'adresse:
http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables

Bon les règles iptables étant bien fonctionnelles, je m'intéresse aux
variables modifiables via sysctl:

Pour l'instant les variables redirects sont à 1 :
net.ipv4.conf.all.send_redirects
net.ipv4.conf.default.send_redirects
net.ipv4.conf.all.accept_redirects
net.ipv4.conf.all.secure_redirects
net.ipv4.conf.default.accept_redirects
net.ipv4.conf.default.secure_redirects

est ce intéressant de les mettre à 0 ?

Bonne journée
Guillaume

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/i6pu4g$9q...@dough.gmane.org

Re: [HS] Help pour débuter avec iptables

2010-09-15 Par sujet Pascal Hambourg 
giggzounet a écrit :

 Y a des règles pour définir les limites avec -m limit --limit ? ou alors
 c'est au pif ?

Non, ce n'est pas au pif. Elles doivent être adaptées aux capacités de
la machine, du réseau...

 Bon les règles iptables étant bien fonctionnelles, je m'intéresse aux
 variables modifiables via sysctl:
 
 Pour l'instant les variables redirects sont à 1 :
 net.ipv4.conf.all.send_redirects
 net.ipv4.conf.default.send_redirects
 net.ipv4.conf.all.accept_redirects
 net.ipv4.conf.all.secure_redirects
 net.ipv4.conf.default.accept_redirects
 net.ipv4.conf.default.secure_redirects
 
 est ce intéressant de les mettre à 0 ?

Déjà, seule une machine fonctionnant en routeur (ip_forward=1,
conf.ipv4.*.forwarding=1) peut envoyer des ICMP redirect. Et elle-même
ignore les ICMP redirect reçus. Pour une machine fonctionnant en simple
hôte ce n'est pas catastrophique d'ignorer les ICMP redirect, c'est
juste sous-optimal. De toute façon il est rare qu'un réseau contienne
plusieurs passerelles, donc la probabilité d'en recevoir est réduite.
Comme les ICMP redirect peuvent être exploités par une machine du réseau
local pour détourner du trafic, il peut être intéressant d'un point de
vue sécurité de les ignorer. Néanmoins il y a d'autre moyens de
détourner du trafic dans un réseau local, notamment avec les attaques
basées sur ARP qu'iptables ignore complètement.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4c90d8ab.7050...@plouf.fr.eu.org

Re: [HS] Help pour débuter avec iptables

2010-09-15 Par sujet giggzounet 
Le 15/09/2010 16:31, Pascal Hambourg a écrit :
 giggzounet a écrit :

 Y a des règles pour définir les limites avec -m limit --limit ? ou alors
 c'est au pif ?
 
 Non, ce n'est pas au pif. Elles doivent être adaptées aux capacités de
 la machine, du réseau...
 

je vouslais dire: j'en teste une première (600/min) et si ça passe je
laisse sinon je mets 300/min...

 Bon les règles iptables étant bien fonctionnelles, je m'intéresse aux
 variables modifiables via sysctl:

 Pour l'instant les variables redirects sont à 1 :
 net.ipv4.conf.all.send_redirects
 net.ipv4.conf.default.send_redirects
 net.ipv4.conf.all.accept_redirects
 net.ipv4.conf.all.secure_redirects
 net.ipv4.conf.default.accept_redirects
 net.ipv4.conf.default.secure_redirects

 est ce intéressant de les mettre à 0 ?
 
 Déjà, seule une machine fonctionnant en routeur (ip_forward=1,
 conf.ipv4.*.forwarding=1) peut envoyer des ICMP redirect. Et elle-même
 ignore les ICMP redirect reçus. Pour une machine fonctionnant en simple
 hôte ce n'est pas catastrophique d'ignorer les ICMP redirect, c'est
 juste sous-optimal. De toute façon il est rare qu'un réseau contienne
 plusieurs passerelles, donc la probabilité d'en recevoir est réduite.
 Comme les ICMP redirect peuvent être exploités par une machine du réseau
 local pour détourner du trafic, il peut être intéressant d'un point de
 vue sécurité de les ignorer. Néanmoins il y a d'autre moyens de
 détourner du trafic dans un réseau local, notamment avec les attaques
 basées sur ARP qu'iptables ignore complètement.
 

ok. merci pour l'explication. donc j'ai mis:
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0

Bonne soirée,
Guillaume

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/i6qoq6$61...@dough.gmane.org

Re: [HS] Help pour débuter avec iptables

2010-09-14 Par sujet giggz 
Pascal Hambourg a écrit :
 giggz a écrit :
 Le 11/09/2010 12:48, Pascal Hambourg a écrit :
 [...]
 Oui, même si le traitement d'ICMPv6 pourrait être affiné un poil.
 ok. j'ai mis ça:
 -A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
 
 Euh, là ça devient un peu trop restrictif. Je pensais plutôt à autoriser
 les types ICMPv6 impliqués dans le protocole Neighbour Discovery (NDP) :
 neighbour-solicitation, neighbour-advertisement (équivalents d'ARP
 request et reply) et, pour les interfaces en auto-configuration sans
 état, router-advertisement ou au contraire router-solicitation pour une
 machine fonctionnant en routeur IPv6 avec radvd dessus. Les paquets de
 type redirect sont normalement classés RELATED donc pas besoin de s'en
 occuper spécifiquement.
 

ok. j'ai lu un peu de doc:
pour l'instant j'ai ça:
-A INPUT -i eth1 -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-request -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT


mais sur un site j'ai vu des règles plus fines:

# Allow some ICMPv6 types in the INPUT chain
# Using ICMPv6 type names to be clear.

ip6tables -A INPUT -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT

# Allow some other types in the INPUT chain, but rate limit.
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -m limit --limit
600/min -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-reply -m limit --limit
600/min -j ACCEPT

# Allow others ICMPv6 types but only if the hop limit field is 255.

ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement   -m hl
--hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation  -m hl
--hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl
--hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type redirect   -m hl
--hl-eq 255 -j ACCEPT


qu'en penses tu ?

Pour répondre à ta question: est ce qu'on utilise ipv6 ? je crois bien
que non en ce moment. mais bon un jour ou l'autre ça va nous tomber
dessus. donc je prépare un peu le terrain ;)

 Bon j'ai lu encore un peu de doc sur iptables. On peut paufiner les
 règles avec --match limit. Je suppose qu'il faut que j'attende un peu
 avant de me lancer dedans non ?
 
 Comme la correspondance recent, c'est à manier avec précaution et il
 faut regarder si c'est vraiment utile.
 

ok. pour l'instant je me renseigne juste sur la chose.

merci!

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/i6nfjs$le...@dough.gmane.org

Re: [HS] Help pour débuter avec iptables

2010-09-14 Par sujet Pascal Hambourg 
giggz a écrit :
 
 pour l'instant j'ai ça:
 -A INPUT -i eth1 -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
 -A INPUT -i eth1 -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
 -A INPUT -i eth1 -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
 -A INPUT -i eth1 -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT

Les paquets de ces types (types d'erreurs) sont normalement classés dans
l'état RELATED lorsqu'ils sont liés à une connexion existante et INVALID
dans le cas contraire, donc pas besoin de les traiter spécifiquement.

 -A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-request -j ACCEPT

Ok pour autoriser le ping en entrée.

 -A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-reply -j ACCEPT

Normalement classé ESTABLISHED si correspond à une requête émise et
INVALID sinon, donc pas besoin de traiter spécifiquement.

 -A INPUT -i eth1 -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT

Utile pour une interface d'hôte en autoconf, mais pas pour un routeur.

 -A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT

Utile pour un routeur seulement.

 -A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT

Ok. Il faut aussi accepter le type neighbour-solicitation.

 mais sur un site j'ai vu des règles plus fines:
[...]
 # Allow some other types in the INPUT chain, but rate limit.
 ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -m limit --limit
 600/min -j ACCEPT

Ça se défend, notamment dans le cas d'une liaison à débits asymétriques
de type ADSL.

 ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-reply -m limit --limit
 600/min -j ACCEPT

Là par contre, je ne vois pas l'intérêt. Si on reçoit des réponses,
c'est normalement qu'on a envoyé les requêtes et donc qu'on attend ces
réponses. La correspondance avec l'état ESTABLISHED me semble plus
pertinente pour vérifier que ce sont bien des réponses attendues.

 # Allow others ICMPv6 types but only if the hop limit field is 255.
 
 ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement   -m hl
 --hl-eq 255 -j ACCEPT
 ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation  -m hl
 --hl-eq 255 -j ACCEPT
 ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl
 --hl-eq 255 -j ACCEPT
 ip6tables -A INPUT -p icmpv6 --icmpv6-type redirect   -m hl
 --hl-eq 255 -j ACCEPT

La vérification du champ HL (hop limit, équivalent au TTL d'IPv4) à 255
pour les types NDP de portée limitée au lien est une bonne mesure pour
vérifier que ces messages viennent bien d'un voisin du réseau local et
pas de plus loin, même si tout routeur bien constitué ne devrait jamais
retransmettre ces messages.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4c8f5df5.6050...@plouf.fr.eu.org

Re: [HS] Help pour débuter avec iptables

2010-09-14 Par sujet Pascal Hambourg 
Pascal Hambourg a écrit :
 giggz a écrit :
 
 -A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
 
 Utile pour un routeur seulement.

Oups, j'ai confondu avec router-solicitation. Ok.

 -A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
 
 Ok. Il faut aussi accepter le type neighbour-solicitation.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4c8f7cc2.1040...@plouf.fr.eu.org

Re: [HS] Help pour débuter avec iptables

2010-09-14 Par sujet giggz 
Le 14/09/2010 15:46, Pascal Hambourg a écrit :
 Pascal Hambourg a écrit :
 giggz a écrit :

 -A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT

 Utile pour un routeur seulement.
 
 Oups, j'ai confondu avec router-solicitation. Ok.
 
 -A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT

 Ok. Il faut aussi accepter le type neighbour-solicitation.
 

ok super j'ai fait les modifs. je vais voir à l'usage.

Y a des règles pour définir les limites avec -m limit --limit ? ou alors
c'est au pif ?

Merci pour tout!


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/i6oq5h$gt...@dough.gmane.org

Re: [HS] Help pour débuter avec iptables

2010-09-13 Par sujet giggz 
Pascal Hambourg a écrit :
 giggz a écrit :
 ok. j'ai mis ça:
 -A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
 [...]
 bon apparemment ça l'air de bien fonctionner avec les règles que vous
 m'avez donné. merci bcp!
 
 Même en IPv6 ? Si les types ICMPv6 NDP sont bloqués, j'ai un doute.
 


entre temps j'ai un doute sur un autre point. Pour limiter les ip qui se
connectent sur le port 80, je tente de restreindre au max: tous nos
ordinateurs ont des ip commençant par 139.11.215.* . comme on est par
énormément j'ai mis:
139.11.215.0/24

ça a l'air de marcher mais j'ai un doute sur le /24. C'est trop restrictif ?

merci

PS je suis en train de regarder pour l'icmpv6...ça prend du temps.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/i6kpbt$lr...@dough.gmane.org

Re: [HS] Help pour débuter avec iptables

2010-09-13 Par sujet Pascal Hambourg 
giggz a écrit :
 
 entre temps j'ai un doute sur un autre point. Pour limiter les ip qui se
 connectent sur le port 80, je tente de restreindre au max: tous nos
 ordinateurs ont des ip commençant par 139.11.215.* . comme on est par
 énormément j'ai mis:
 139.11.215.0/24
 
 ça a l'air de marcher mais j'ai un doute sur le /24. C'est trop restrictif ?

Non, 24 bits de préfixe, cela correspond bien à 3 octets, soit
139.11.215.*.

 PS je suis en train de regarder pour l'icmpv6...ça prend du temps.

Vérifie d'abord que ton bazar a bien une connectivité IPv6 globale, et
pas seulement des adresses link-local. Sinon, pas la peine de s'embêter
à faire du filtrage IPv6.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4c8deb65.4080...@plouf.fr.eu.org

Re: [HS] Help pour débuter avec iptables

2010-09-11 Par sujet giggz 
Le 11/09/2010 00:21, Serge Cavailles a écrit :
 Bonjour,
 
 Je me permets d'intervenir, j'adore me faire reprendre par Pascal. ;)
 
 Le Friday 10 September 2010 22:25:20 giggz, vous avez écrit :

 *filter

 :INPUT ACCEPT [0:0]

 La politique par défaut devrait être DROP.

 alors là ya un truc que je ne pige pas:
 si c'est à DROP tout ce qui rentre va être droppé non ? 
 
 La politique par _defaut_ s'applique en fin de chaîne aux paquets restants 
 (comprendre qui n'auront pas été acceptés par une règle).
 

ah ok. j'avais pas saisi. Donc si je comprends bien, en mettant
:INPUT DROP au début je n'ai plus besoin d'avoir:
-A INPUT -j DROP juste avant le commit, non ?

 
 Dans quel ordre iptables lit il les règles ? 
 
 Dans l'ordre ou elles apparaissent dans les tables.
 Chaque ajout (-A) à lieu à la suite des règles existantes, d'où la remarque 
 de 
 Pascal (plus loin dans le même message) de placer les règles concernant les 
 paquets ESTABLISHED/RELATED en début de table, pour éviter que ces paquets ne 
 doivent tout d'abord passer par les autres règles.
 

ok. je saisis.
Faut il mieux mettre la règle pour lo et RELATED,ESTABLISHED avant ou
après anti-spoofing ?

 ## Allow previously established connections
 -A Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

 Cette règle devrait se trouver en début de chaîne car c'est elle qui
 traite normalement le plus de paquets.
 
 
 Plus globalement, une politique de DROP par défaut me paraît beaucoup plus 
 sûre; si on oublie d'ouvrir un port ça se remarque généralement assez  
 rapidement, ce qui n'est pas forcément le cas de ceux que l'on oublie de 
 fermer. De plus AMA c'est plus facile à lire et à comprendre, on n'a que des 
 règles ACCEPT au lieu d'un mélange de règles ACCEPT (pour récupérer les 
 paquets sans traverser toute la chaîne) et de règles DROP dans le cas d'une 
 politique par défaut en ACCEPT.
 

ok . merci de tes explications. BOn en combinant vos 2 réponses. J'ai
pour l'instant:

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
#
## Allow all traffic on localhost
-A INPUT -i lo -j ACCEPT
#
## Allow previously established connections
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#
# IP DROP SPOOF
-A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
-A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
-A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
-A INPUT -i eth1 -s 240.0.0.0/4 -j DROP
# IP DROP link-local
-A INPUT -i eth1 -s 169.254.0.0/16  -j DROP
# IP DROP
-A INPUT -i eth1 -s 0.0.0.0/8  -j DROP
-A INPUT -i eth1 -s 240.0.0.0/4  -j DROP
-A INPUT -i eth1 -s 168.254.0.0/16  -j DROP
#
# begin: allowed networks
#
## Allow all traffic from the nodes
-A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
-A INPUT -i ib0 -s 192.168.100.0/24 -j ACCEPT
-A INPUT -s 192.168.200.0/24 -j ACCEPT
# end: allowed networks
#
## SSH + test brute force
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW -m recent
--set --name SSH --rsource -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -m recent --update --seconds
60 --hitcount 4 --rttl --name SSH --rsource -j LOG --log-prefix
SSH_brute_force 
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -m recent --update --seconds
60 --hitcount 4 --rttl --name SSH --rsource -j DROP
#
## Allow icmp echo-request
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
#
## Allow WWW http port 80 for PFS IP
-A INPUT -i eth1 -s 139.11.215.0/17 -p tcp -m state --state NEW -m tcp
--dport 80 -j ACCEPT
## Packets are DROPPED
-A INPUT -j DROP
COMMIT



Donc les points qui restent obscurent pour le moment ce sont:
- peut on mettre -A INPUT -eth0 -s 192.168.200.0/24 -j ACCEPT ? ou alors
-A INPUT -eth0:2 -s 192.168.200.0/24 -j ACCEPT ?

- la ligne -A INPUT -j DROP est elle nécessaire ? si j'ai bien compris
la réponse de Serge, je suppose que je peux la supprimer.

- les règles de spoof doivent être en premier ou alors lo et
related/established ?


- si je veux permettre à mes noeuds d'avoir internet, il suffit que je
fasse :
iptables -t nat -A POSTROUTING --out-interface eth1 -j MASQUERADE -s
192.168.0.0/16
sysctl -w net.ipv4.ip_forward=1
non ?

Merci de votre aide! je commence à entrevoir la chose...
Guillaume

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/i6fbpn$8a...@dough.gmane.org

Re: [HS] Help pour débuter avec iptables

2010-09-11 Par sujet Pascal Hambourg 
giggz a écrit :
 Le 11/09/2010 00:21, Serge Cavailles a écrit :

 La politique par _defaut_ s'applique en fin de chaîne aux paquets restants 
 (comprendre qui n'auront pas été acceptés par une règle).

Pas seulement acceptés. La politique par défaut est appliquée aux
paquets qui atteignent la fin de la chaîne sans avoir rencontré de cible
dite terminale : DROP, ACCEPT, REJECT, DNAT, SNAT, MASQUERADE...

 ah ok. j'avais pas saisi. Donc si je comprends bien, en mettant
 :INPUT DROP au début je n'ai plus besoin d'avoir:
 -A INPUT -j DROP juste avant le commit, non ?

En effet.

 Faut il mieux mettre la règle pour lo et RELATED,ESTABLISHED avant ou
 après anti-spoofing ?

Pour lo, tu peux la mettre avant sauf si tu soupçonnes ta machine de
faire du spoofing lorsqu'elle se cause à elle-même (ce qui traduirait de
graves troubles de la personnalité).

Pour RELATED,ESTABLISHED, en toute rigueur il faudrait la mettre après.
En effet le suivi de connexion ne tient pas compte de l'interface
d'arrivée des paquets (après tout, le routage sur internet est
asymétrique par nature et une machine multihomée peut recevoir un paquet
légitime par n'importe quelle interface). On pourrait imaginer une
situation où la machine communique avec une machine A sur l'interface
interne, et une machine B extérieure profite de la connexion établie
pour injecter des paquets par l'interface externe en se faisant passer
pour A. Mais cette situation a autant sinon plus de chances de se
produire si la machine usurpée et la machine usurpatrice sont du même
côté, et là le filtrage anti-spoofing n'y peut rien.

 ok . merci de tes explications. BOn en combinant vos 2 réponses. J'ai
 pour l'instant:
[...]
 -A INPUT -i eth1 -s 240.0.0.0/4 -j DROP
[...]
 -A INPUT -i eth1 -s 240.0.0.0/4  -j DROP

Doublon.

 Donc les points qui restent obscurent pour le moment ce sont:
 - peut on mettre -A INPUT -eth0 -s 192.168.200.0/24 -j ACCEPT ?

Plutôt -i eth0.

 ou alors -A INPUT -eth0:2 -s 192.168.200.0/24 -j ACCEPT ?

Encore moins, eth0:2 n'est pas une interface.

 - la ligne -A INPUT -j DROP est elle nécessaire ? si j'ai bien compris
 la réponse de Serge, je suppose que je peux la supprimer.

En effet, puisque la politique par défaut de la chaîne est DROP.

 - si je veux permettre à mes noeuds d'avoir internet, il suffit que je
 fasse :
 iptables -t nat -A POSTROUTING --out-interface eth1 -j MASQUERADE -s
 192.168.0.0/16
 sysctl -w net.ipv4.ip_forward=1
 non ?

Il faudra aussi des règles dans FORWARD pour accepter les connexions
routées arrivant par eth0 puisque la politique par défaut est DROP.

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT

A précéder par des règles anti-spoofing sur eth1 si tu y tiens. Elles
peuvent être factorisées dans une chaîne utilisateur appelée depuis
INPUT et FORWARD.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4c8b43c6.7050...@plouf.fr.eu.org

Re: [HS] Help pour débuter avec iptables

2010-09-11 Par sujet Pascal Hambourg 
giggz a écrit :
 Le 10/09/2010 20:11, Pascal Hambourg a écrit :

 eth0:2 n'est pas une interface mais un alias IP, une façon obsolète
 d'affecter une adresse IP supplémentaire à l'interface eth0.
 
 oui. d'ailleurs je suppose que je ne peux pas faire:
 -A Firewall-1-INPUT -i eth0:2 -s 192.168.200.0/255.255.255.0 -j ACCEPT non ?

Tu peux, même si iptables affiche un avertissement. Mais ça ne fera pas
ce que tu attends. Cette règle n'accrochera jamais aucun paquet puisque
l'interface eth0:2 n'existe pas.

 :Firewall-1-INPUT - [0:0]
 Cette chaîne est inutile, tout ce qu'elle contient peut être mis dans INPUT.
 
 mais via cette chaine je traite INPUT et FORWARD en même temps, non ?

Justement, il y a de forte chances que les besoins de filtrage dans
INPUT et FORWARD soient très différents. Seules les règles communes sont
susceptibles d'être factorisées dans une chaîne utilisateur.

 -A INPUT -i eth1 -s 240.0.0.0/4  -j DROP
 Ah, voilà la bonne longueur de préfixe.

 -A INPUT -i eth1 -s 255.255.255.255/32  -j DROP
 Déjà inclus dans le préfixe précédent.
 
 donc à virer ?

Oui, cette règle n'accrochera aucun paquet puisque tous les paquets
qu'elle pourrait accrocher auront déjà été bloqués par la règle
précédente plus large.

 -A INPUT -i eth1 -s 168.254.0.0/16  -j DROP
 Pourquoi, tu as quelque chose contre les écoles publiques du comté de
 Hillsborough en Floride ?
 
 ben je les aime po :p

C'est toi qui vois.

 ok. mais qu'est ce que je met qd c'est un alias ? dans mon cas eth0:2,
 je met eth0 ?

Oui. iptables ne connaît que les interfaces et les adresses, pas les alias.

 c'est encore un reste. j'ai tenté de logguer mais il y a tellement de
 tentative...que je me suis  retrouvé avec un fichier message de 10 mo en
 30 minutes...donc encore un reste.

Trop de log tue le log...

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4c8b4683.2070...@plouf.fr.eu.org

Re: [HS] Help pour débuter avec iptables

2010-09-11 Par sujet giggz 
Le 11/09/2010 10:54, Pascal Hambourg a écrit :
 giggz a écrit :
 Le 11/09/2010 00:21, Serge Cavailles a écrit :

 La politique par _defaut_ s'applique en fin de chaîne aux paquets restants 
 (comprendre qui n'auront pas été acceptés par une règle).
 
 Pas seulement acceptés. La politique par défaut est appliquée aux
 paquets qui atteignent la fin de la chaîne sans avoir rencontré de cible
 dite terminale : DROP, ACCEPT, REJECT, DNAT, SNAT, MASQUERADE...
 
 ah ok. j'avais pas saisi. Donc si je comprends bien, en mettant
 :INPUT DROP au début je n'ai plus besoin d'avoir:
 -A INPUT -j DROP juste avant le commit, non ?
 
 En effet.
 
 Faut il mieux mettre la règle pour lo et RELATED,ESTABLISHED avant ou
 après anti-spoofing ?
 
 Pour lo, tu peux la mettre avant sauf si tu soupçonnes ta machine de
 faire du spoofing lorsqu'elle se cause à elle-même (ce qui traduirait de
 graves troubles de la personnalité).
 
 Pour RELATED,ESTABLISHED, en toute rigueur il faudrait la mettre après.
 En effet le suivi de connexion ne tient pas compte de l'interface
 d'arrivée des paquets (après tout, le routage sur internet est
 asymétrique par nature et une machine multihomée peut recevoir un paquet
 légitime par n'importe quelle interface). On pourrait imaginer une
 situation où la machine communique avec une machine A sur l'interface
 interne, et une machine B extérieure profite de la connexion établie
 pour injecter des paquets par l'interface externe en se faisant passer
 pour A. Mais cette situation a autant sinon plus de chances de se
 produire si la machine usurpée et la machine usurpatrice sont du même
 côté, et là le filtrage anti-spoofing n'y peut rien.
 

ok. donc
#
## Allow all traffic on localhost
-A INPUT -i lo -j ACCEPT
#
# IP DROP SPOOF
-A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
-A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
-A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
-A INPUT -i eth1 -s 240.0.0.0/4 -j DROP
# IP DROP link-local
-A INPUT -i eth1 -s 169.254.0.0/16  -j DROP
# IP DROP
-A INPUT -i eth1 -s 0.0.0.0/8  -j DROP
-A INPUT -i eth1 -s 168.254.0.0/16  -j DROP
#
## Allow previously established connections
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#



 ok . merci de tes explications. BOn en combinant vos 2 réponses. J'ai
 pour l'instant:
 [...]
 -A INPUT -i eth1 -s 240.0.0.0/4 -j DROP
 [...]
 -A INPUT -i eth1 -s 240.0.0.0/4  -j DROP
 
 Doublon.
 

damned. j'ai pas les yeux en face des trous...

 Donc les points qui restent obscurent pour le moment ce sont:
 - peut on mettre -A INPUT -eth0 -s 192.168.200.0/24 -j ACCEPT ?
 
 Plutôt -i eth0.
 

redamned. bon j'ai mis -i eth0.

c'est difficile de voir si ça fonctionne...mais ipmitool a l'air de
discuter avec le switch donc ça a l'air de fonctionner.

 ou alors -A INPUT -eth0:2 -s 192.168.200.0/24 -j ACCEPT ?
 
 Encore moins, eth0:2 n'est pas une interface.
 
 - la ligne -A INPUT -j DROP est elle nécessaire ? si j'ai bien compris
 la réponse de Serge, je suppose que je peux la supprimer.
 
 En effet, puisque la politique par défaut de la chaîne est DROP.
 
 - si je veux permettre à mes noeuds d'avoir internet, il suffit que je
 fasse :
 iptables -t nat -A POSTROUTING --out-interface eth1 -j MASQUERADE -s
 192.168.0.0/16
 sysctl -w net.ipv4.ip_forward=1
 non ?
 
 Il faudra aussi des règles dans FORWARD pour accepter les connexions
 routées arrivant par eth0 puisque la politique par défaut est DROP.
 
 iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
 

bon ben l'internet sur les noeuds marche!
en gros j'ajoute ces lignes qd je veux avoir internet sur les noeuds.
sinon je les vire.

 A précéder par des règles anti-spoofing sur eth1 si tu y tiens. Elles
 peuvent être factorisées dans une chaîne utilisateur appelée depuis
 INPUT et FORWARD.
 

bah je pense que ce n'est pas vraiment nécessaire. j'ai besoin
d'internet sur les noeuds de manière ponctuelle (genre 5 à 10 minutes
pour télécharger un paquet). ensuite FORWARD est vide et à DROP.

bon pour ip6tables j'ai mis ça :
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
#
## Allow all traffic on localhost
-A INPUT -i lo -j ACCEPT
#
## Allow previously established connections
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#
# begin: allowed networks
#
## Allow all traffic from the nodes
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i ib0 -j ACCEPT
#
# end: allowed networks
#
## Allow icmp
-A INPUT -p icmpv6 -j ACCEPT
## Allow mdns (avahi)
#-A INPUT -p udp --dport 5353 -d ff02::fb -j ACCEPT
## Allow WWW http port 80
#-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
## Allow SSH
-A INPUT -m tcp -p tcp --dport 22 -j ACCEPT
#
#-A INPUT -j LOG
COMMIT


c'est pas exactement la même chose...mais ça devrait suffire pour
l'instant. et pour le moment je ne comprends rien au ip ipv6. faut
encore que je lise des docs...

Merci beaucoup à tous les 2! si vous avez encore des commentaires je
suis à l'écoute.

Guillaume

-- 
Lisez la

Re: [HS] Help pour débuter avec iptables

2010-09-11 Par sujet Pascal Hambourg 
giggz a écrit :

 iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
 
 bon ben l'internet sur les noeuds marche!
 en gros j'ajoute ces lignes qd je veux avoir internet sur les noeuds.
 sinon je les vire.

Tu peux aussi laisser la première et ne supprimer que la seconde. Ainsi
les connexions en cours pourront continuer jusqu'à ce qu'elles se
terminent et les nouvelles connexion seront bloquées.

 bon pour ip6tables j'ai mis ça :
[...]
 c'est pas exactement la même chose...mais ça devrait suffire pour
 l'instant.

Oui, même si le traitement d'ICMPv6 pourrait être affiné un poil.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4c8b5e80.8070...@plouf.fr.eu.org

Re: [HS] Help pour débuter avec iptables

2010-09-11 Par sujet giggz 
Le 11/09/2010 12:48, Pascal Hambourg a écrit :
 giggz a écrit :

 iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT

 bon ben l'internet sur les noeuds marche!
 en gros j'ajoute ces lignes qd je veux avoir internet sur les noeuds.
 sinon je les vire.
 
 Tu peux aussi laisser la première et ne supprimer que la seconde. Ainsi
 les connexions en cours pourront continuer jusqu'à ce qu'elles se
 terminent et les nouvelles connexion seront bloquées.
 

ok. modifié.

 bon pour ip6tables j'ai mis ça :
 [...]
 c'est pas exactement la même chose...mais ça devrait suffire pour
 l'instant.
 
 Oui, même si le traitement d'ICMPv6 pourrait être affiné un poil.
 

ok. j'ai mis ça:
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT


Bon j'ai lu encore un peu de doc sur iptables. On peut paufiner les
règles avec --match limit. Je suppose qu'il faut que j'attende un peu
avant de me lancer dedans non ?

bon apparemment ça l'air de bien fonctionner avec les règles que vous
m'avez donné. merci bcp!

Bon week-end!
Guillaume

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/i6fuq0$7d...@dough.gmane.org

Re: [HS] Help pour débuter avec iptables

2010-09-11 Par sujet Pascal Hambourg 
giggz a écrit :
 Le 11/09/2010 12:48, Pascal Hambourg a écrit :
 [...]
 Oui, même si le traitement d'ICMPv6 pourrait être affiné un poil.
 
 ok. j'ai mis ça:
 -A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT

Euh, là ça devient un peu trop restrictif. Je pensais plutôt à autoriser
les types ICMPv6 impliqués dans le protocole Neighbour Discovery (NDP) :
neighbour-solicitation, neighbour-advertisement (équivalents d'ARP
request et reply) et, pour les interfaces en auto-configuration sans
état, router-advertisement ou au contraire router-solicitation pour une
machine fonctionnant en routeur IPv6 avec radvd dessus. Les paquets de
type redirect sont normalement classés RELATED donc pas besoin de s'en
occuper spécifiquement.

 Bon j'ai lu encore un peu de doc sur iptables. On peut paufiner les
 règles avec --match limit. Je suppose qu'il faut que j'attende un peu
 avant de me lancer dedans non ?

Comme la correspondance recent, c'est à manier avec précaution et il
faut regarder si c'est vraiment utile.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4c8c02d3.4090...@plouf.fr.eu.org

Re: [HS] Help pour débuter avec iptables

2010-09-11 Par sujet Pascal Hambourg 
giggz a écrit :
 
 ok. j'ai mis ça:
 -A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
[...]
 bon apparemment ça l'air de bien fonctionner avec les règles que vous
 m'avez donné. merci bcp!

Même en IPv6 ? Si les types ICMPv6 NDP sont bloqués, j'ai un doute.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4c8c0313.5000...@plouf.fr.eu.org

[HS] Help pour débuter avec iptables

2010-09-10 Par sujet giggzounet 
Bonjour,

suite à des problèmes avec la surcouche firewall apportée par
firestarter, je me décide à m'intéresser à iptables. Mais je suis un peu
perdu. Et la doc d'iptables est plus que conséquente. donc j'ai besoin
d'aide pour débuter. J'ai tenté ma chance sur la list de
netfilter...mais bon pas eu de réponse...alors je me tourne vers vous.

j'ai un cluster. les noeuds n'ont pas accès au net. Donc je monte un
parefeu sur le master node. Naturellement le master doit accepter tout
ce que vient des noeuds. Et j'aimerais que tout ce que vienne de
l'extérieur soit filtré à part qqs services comme ssh et http.

pour l'instant j'ai ça:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:Firewall-1-INPUT - [0:0]
-A INPUT -j Firewall-1-INPUT
-A FORWARD -j Firewall-1-INPUT
#
#
-A INPUT -j Firewall-1-INPUT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set
--name SSH --rsource -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60
--hitcount 4 --rttl --name SSH --rsource -j LOG --log-prefix
SSH_brute_force 
-A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60
--hitcount 4 --rttl --name SSH --rsource -j DROP
#
#
-A Firewall-1-INPUT -i lo -j ACCEPT
#
# begin: allowed networks
# Intern Network
-A Firewall-1-INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
-A Firewall-1-INPUT -s 192.168.100.0/255.255.255.0 -j ACCEPT
-A Firewall-1-INPUT -s 192.168.200.0/255.255.255.0 -j ACCEPT
#
-A Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A Firewall-1-INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A Firewall-1-INPUT -p esp -j ACCEPT
-A Firewall-1-INPUT -p ah -j ACCEPT
-A Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
-A Firewall-1-INPUT -j LOG
-A Firewall-1-INPUT -j DROP
COMMIT



Est ce qu'on peut faire mieux ? ou alors plus simple? bref si vous avez
des idées...je suis preneur.



UNe autre question:
si je mets ces règles pour iptables. Qu'en est il pour ip6tables ? dois
je mettre les mêmes rêgles ?

Merci d'avance,
BOnne journée
Guillaume

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/i6ckvh$51...@dough.gmane.org

Re: [HS] Help pour débuter avec iptables

2010-09-10 Par sujet moi-meme 
Le Fri, 10 Sep 2010 09:00:02 +0200, giggzounet a écrit :

 suite à des problèmes avec la surcouche firewall apportée par
 firestarter, je me décide à m'intéresser à iptables. Mais je suis un peu
 perdu. Et la doc d'iptables est plus que conséquente. donc j'ai besoin
 d'aide pour débuter. J'ai tenté ma chance sur la list de
 netfilter...mais bon pas eu de réponse...alors je me tourne vers vous.

c'est vieux mais ça m'a bien dépanné pour comprendre
http://olivieraj.free.fr/fr/linux/information/firewall/

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4c8a27fd$0$23401$426a3...@news.free.fr

Re: [HS] Help pour débuter avec iptables

2010-09-10 Par sujet giggzounet 
Le 10/09/2010 14:43, moi-meme a écrit :
 Le Fri, 10 Sep 2010 09:00:02 +0200, giggzounet a écrit :
 
 suite à des problèmes avec la surcouche firewall apportée par
 firestarter, je me décide à m'intéresser à iptables. Mais je suis un peu
 perdu. Et la doc d'iptables est plus que conséquente. donc j'ai besoin
 d'aide pour débuter. J'ai tenté ma chance sur la list de
 netfilter...mais bon pas eu de réponse...alors je me tourne vers vous.
 
 c'est vieux mais ça m'a bien dépanné pour comprendre
 http://olivieraj.free.fr/fr/linux/information/firewall/
 

merci. je vais regarder ça.

GiGGz

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/i6db4n$4p...@dough.gmane.org

Re: [HS] Help pour débuter avec iptables

2010-09-10 Par sujet Pascal Hambourg 
Salut,

giggzounet a écrit :
 
 suite à des problèmes avec la surcouche firewall apportée par
 firestarter, je me décide à m'intéresser à iptables.

Bravo !

 J'ai tenté ma chance sur la list de
 netfilter...mais bon pas eu de réponse...

J'ai vu cluster dans le sujet alors j'ai passé en me disant houla,
j'y connais rien et ça doit être compliqué.

 j'ai un cluster. les noeuds n'ont pas accès au net. Donc je monte un
 parefeu sur le master node. Naturellement le master doit accepter tout
 ce que vient des noeuds. Et j'aimerais que tout ce que vienne de
 l'extérieur soit filtré à part qqs services comme ssh et http.

Le master se comporte comme un genre de load balancer ? Il fonctionne
plutôt comme un routeur, ou un reverse proxy, ou selon un autre mécanisme ?

 pour l'instant j'ai ça:
 
 *filter
 :INPUT ACCEPT [0:0]
 :FORWARD ACCEPT [0:0]
 :OUTPUT ACCEPT [0:0]
 :Firewall-1-INPUT - [0:0]
 -A INPUT -j Firewall-1-INPUT
 -A FORWARD -j Firewall-1-INPUT

C'est pas la peine de virer la surcouche si c'est pour faire pareil...

 #
 #
 -A INPUT -j Firewall-1-INPUT
 -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set
 --name SSH --rsource -j ACCEPT
 -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60
 --hitcount 4 --rttl --name SSH --rsource -j LOG --log-prefix
 SSH_brute_force 
 -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60
 --hitcount 4 --rttl --name SSH --rsource -j DROP

Mon conseil : quand on débute, commencer par des choses simples et
basiques : suivi de connexion, filtrage des flux par interface d'entrée
et/ou de sortie, protocole et port. Pour les trucs subtils à base de
recent (susceptible de provoquer un auto-DoS si mal maîtrisé), on
verra plus tard.

couic le reste
 Est ce qu'on peut faire mieux ? ou alors plus simple? bref si vous avez
 des idées...je suis preneur.

Ben en fait, c'est difficile à dire car je vois pas trop le rapport avec
le cahier des charges mentionné plus haut. Faut dire qu'il est
tellement vague...

 UNe autre question:
 si je mets ces règles pour iptables. Qu'en est il pour ip6tables ?

C'est indépendant. ip6tables n'est utile que si la machine a une
connectivité IPv6.

 dois je mettre les mêmes rêgles ?

Tu ne pourras pas forcément : les adresses et les types ICMP sont
spécifiques à chacun des deux protocole.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4c8a3508.5090...@plouf.fr.eu.org

Re: [HS] Help pour débuter avec iptables

2010-09-10 Par sujet giggzounet 
Le 10/09/2010 15:39, Pascal Hambourg a écrit :
 Salut,
 
 giggzounet a écrit :

 suite à des problèmes avec la surcouche firewall apportée par
 firestarter, je me décide à m'intéresser à iptables.
 
 Bravo !
 

merci. mais j'ai un de ces mal de tête maintenant!!!

 J'ai tenté ma chance sur la list de
 netfilter...mais bon pas eu de réponse...
 
 J'ai vu cluster dans le sujet alors j'ai passé en me disant houla,
 j'y connais rien et ça doit être compliqué.
 
 j'ai un cluster. les noeuds n'ont pas accès au net. Donc je monte un
 parefeu sur le master node. Naturellement le master doit accepter tout
 ce que vient des noeuds. Et j'aimerais que tout ce que vienne de
 l'extérieur soit filtré à part qqs services comme ssh et http.
 
 Le master se comporte comme un genre de load balancer ? Il fonctionne
 plutôt comme un routeur, ou un reverse proxy, ou selon un autre mécanisme ?
 

le master se charge de distribuer les jobs sur les noeuds. C'est via le
master que tout le monde se connecte. En gros j'ai 5 interfaces:

lo locahost
eth0 interface ethernet vers les noeuds
eth0:2 interface de controle/monitoring des noeuds (ipmi)
ib0 interface infiniband vers les noeuds
eth1 interface ethernet vers l'extérieur.

En gros je voudrais qu'en interne il n'y ait aucun filtrage (donc tout
passe sur lo,ib0,eth0,eth0:2 dans tous les sens). par contre que tout en
entrée de eth1 soit bloqué sauf le port 22 (pour commencer). en sortie
sur eth1 je peux laissé ouvert.

 pour l'instant j'ai ça:

 *filter
 :INPUT ACCEPT [0:0]
 :FORWARD ACCEPT [0:0]
 :OUTPUT ACCEPT [0:0]
 :Firewall-1-INPUT - [0:0]
 -A INPUT -j Firewall-1-INPUT
 -A FORWARD -j Firewall-1-INPUT
 
 C'est pas la peine de virer la surcouche si c'est pour faire pareil...
 
 #
 #
 -A INPUT -j Firewall-1-INPUT
 -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set
 --name SSH --rsource -j ACCEPT
 -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60
 --hitcount 4 --rttl --name SSH --rsource -j LOG --log-prefix
 SSH_brute_force 
 -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60
 --hitcount 4 --rttl --name SSH --rsource -j DROP
 
 Mon conseil : quand on débute, commencer par des choses simples et
 basiques : suivi de connexion, filtrage des flux par interface d'entrée
 et/ou de sortie, protocole et port. Pour les trucs subtils à base de
 recent (susceptible de provoquer un auto-DoS si mal maîtrisé), on
 verra plus tard.
 


ben pour l'instant ça a l'air de marcher. en gros si je me connecte
normal ça va. par contre si je lance un nmap par exemple il gueule.

 couic le reste
 Est ce qu'on peut faire mieux ? ou alors plus simple? bref si vous avez
 des idées...je suis preneur.
 
 Ben en fait, c'est difficile à dire car je vois pas trop le rapport avec
 le cahier des charges mentionné plus haut. Faut dire qu'il est
 tellement vague...
 


cf plus haut.


 UNe autre question:
 si je mets ces règles pour iptables. Qu'en est il pour ip6tables ?
 
 C'est indépendant. ip6tables n'est utile que si la machine a une
 connectivité IPv6.
 

ok. bon je suis sur le réseau interne d'une uni...alors je suppose que oui.

 dois je mettre les mêmes rêgles ?
 
 Tu ne pourras pas forcément : les adresses et les types ICMP sont
 spécifiques à chacun des deux protocole.
 

oui ça j'ai vu. et j'ai modifié.


Merci.

pour l'instant j'ai ça; qu'en pensez vous (résultat de mon mal de tête...) ?

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:Firewall-1-INPUT - [0:0]
#
## SSH (test brute force)
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW -m recent
--set --name SSH --rsource -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -m recent --update --seconds
60 --hitcount 4 --rttl --name SSH --rsource -j LOG --log-prefix
SSH_brute_force 
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -m recent --update --seconds
60 --hitcount 4 --rttl --name SSH --rsource -j DROP
#
# IP DROP SPOOF
-A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
-A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
-A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
-A INPUT -i eth1 -s 240.0.0.0/5 -j DROP
# IP DROP MULTICAST
-A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
-A INPUT -i eth1 -s 169.254.0.0/16  -j DROP
# IP DROP LOOPBACK
-A INPUT -i eth1 -d 127.0.0.0/8 -j DROP
# IP DROP
-A INPUT -i eth1 -s 0.0.0.0/8  -j DROP
-A INPUT -i eth1 -s 240.0.0.0/4  -j DROP
-A INPUT -i eth1 -s 255.255.255.255/32  -j DROP
-A INPUT -i eth1 -s 168.254.0.0/16  -j DROP
-A INPUT -i eth1 -s 248.0.0.0/5  -j DROP
#
##
-A INPUT -j Firewall-1-INPUT
-A FORWARD -j Firewall-1-INPUT
#
## Allow all traffic on localhost
-A Firewall-1-INPUT -i lo -j ACCEPT
#
# begin: allowed networks
#
## Allow all traffic from the nodes
-A Firewall-1-INPUT -i eth0 -s 192.168.0.0/255.255.255.0 -j ACCEPT
-A Firewall-1-INPUT -i ib0 -s 192.168.100.0/255.255.255.0 -j ACCEPT
-A Firewall-1-INPUT -s 192.168.200.0/255.255.255.0 -j ACCEPT
# end: allowed networks
#
## Allow icmp
-A Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
## Allow IPsec

Re: [HS] Help pour débuter avec iptables

2010-09-10 Par sujet Pascal Hambourg 
giggzounet a écrit :
 Le 10/09/2010 15:39, Pascal Hambourg a écrit :

 giggzounet a écrit :

 j'ai un cluster. les noeuds n'ont pas accès au net. Donc je monte un
 parefeu sur le master node. Naturellement le master doit accepter tout
 ce que vient des noeuds. Et j'aimerais que tout ce que vienne de
 l'extérieur soit filtré à part qqs services comme ssh et http.

 Le master se comporte comme un genre de load balancer ? Il fonctionne
 plutôt comme un routeur, ou un reverse proxy, ou selon un autre mécanisme ?
 
 le master se charge de distribuer les jobs sur les noeuds. C'est via le
 master que tout le monde se connecte.

Via, ça reste vague. Ça peut être via routage et redirection de ports,
ou via un programme. Je suppose que c'est via un programme, donc le
master ne fonctionne pas en routeur et dans ce cas il n'est pas censé y
avoir de trafic dans la chaîne FORWARD.

 En gros j'ai 5 interfaces:
 
 lo locahost
 eth0 interface ethernet vers les noeuds
 eth0:2 interface de controle/monitoring des noeuds (ipmi)

eth0:2 n'est pas une interface mais un alias IP, une façon obsolète
d'affecter une adresse IP supplémentaire à l'interface eth0.

 ib0 interface infiniband vers les noeuds
 eth1 interface ethernet vers l'extérieur.
 
 En gros je voudrais qu'en interne il n'y ait aucun filtrage (donc tout
 passe sur lo,ib0,eth0,eth0:2 dans tous les sens). par contre que tout en
 entrée de eth1 soit bloqué sauf le port 22 (pour commencer). en sortie
 sur eth1 je peux laissé ouvert.

Ça, c'est facile. Ton jeu de règles va déjà plus loin.

 ben pour l'instant ça a l'air de marcher. en gros si je me connecte
 normal ça va. par contre si je lance un nmap par exemple il gueule.

C'est important qu'il gueule ?

 pour l'instant j'ai ça; qu'en pensez vous (résultat de mon mal de tête...) ?
 
 *filter
 :INPUT ACCEPT [0:0]

La politique par défaut devrait être DROP.

 :FORWARD ACCEPT [0:0]

Même chose, si la machine n'est pas routeur rien ne doit traverser cette
chaîne.

 :OUTPUT ACCEPT [0:0]
 :Firewall-1-INPUT - [0:0]

Cette chaîne est inutile, tout ce qu'elle contient peut être mis dans INPUT.

 ## SSH (test brute force)

Ces règles devraient arriver après les règles anti-spoof.

 # IP DROP SPOOF
 -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
 -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
 -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP

Je suppose que tu sais ce que tu fais et que personne n'est censé
communiquer avec ta machine par cette interface depuis ces adresses.

 -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP

Pourquoi /5 et pas /4 ?

 # IP DROP MULTICAST
 -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP

Pas absolument nécessaire, la plage multicast est invalide en tant que
source donc ces paquets sont de toute façon écartés par la pile IP du noyau.

 -A INPUT -i eth1 -s 169.254.0.0/16  -j DROP

Ce n'est pas du multicast, c'est la plage link-local IPv4.

 # IP DROP LOOPBACK
 -A INPUT -i eth1 -d 127.0.0.0/8 -j DROP

Pas absolument nécessaire, la plage de loopback est invalide en tant que
source ou destination à l'extérieur de la machine donc ces paquets sont
de toute façon écartés par la pile IP du noyau.
Accessoirement tu n'as pas mis de règle pour bloquer la plage de
loopback en source.

 -A INPUT -i eth1 -s 240.0.0.0/4  -j DROP

Ah, voilà la bonne longueur de préfixe.

 -A INPUT -i eth1 -s 255.255.255.255/32  -j DROP

Déjà inclus dans le préfixe précédent.

 -A INPUT -i eth1 -s 168.254.0.0/16  -j DROP

Pourquoi, tu as quelque chose contre les écoles publiques du comté de
Hillsborough en Floride ?

 -A INPUT -i eth1 -s 248.0.0.0/5  -j DROP

Déjà inclus dans 240.0.0.0/4.

 -A INPUT -j Firewall-1-INPUT

Comme déjà dit, autant mettre les règles directement dans INPUT.

 -A FORWARD -j Firewall-1-INPUT

Comme déjà dit, aucun paquet ne traverse cette chaîne si la machine
n'est pas routeur.

 ## Allow all traffic from the nodes
 -A Firewall-1-INPUT -i eth0 -s 192.168.0.0/255.255.255.0 -j ACCEPT
 -A Firewall-1-INPUT -i ib0 -s 192.168.100.0/255.255.255.0 -j ACCEPT
 -A Firewall-1-INPUT -s 192.168.200.0/255.255.255.0 -j ACCEPT

Toujours vérifier l'interface d'entrée.
Note : spécifier la longueur de préfixe plutôt que le masque est AMA
plus lisible.

 ## Allow icmp
 -A Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT

Bof. Le ping (echo-request), c'est suffisant.

 ## Allow IPsec (ESP port 50 and AH port 51)

Protocoles 50 et 51, pas ports.

 -A Firewall-1-INPUT -p esp -j ACCEPT
 -A Firewall-1-INPUT -p ah -j ACCEPT

C'est utile ?

 ## Allow previously established connections
 -A Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Cette règle devrait se trouver en début de chaîne car c'est elle qui
traite normalement le plus de paquets.

 ## Allow SSH
 -A Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

Déjà traité plus haut avec le bazar recent, non ?

 ## Do not log smb/windows sharing packets - too much logging
 -A Firewall-1-INPUT -p tcp -i eth1 --dport 137:139 -j REJECT
 -A Firewall-1-INPUT -p udp -i eth1

Re: [HS] Help pour débute r avec iptables

2010-09-10 Par sujet steve 
Pascal,

J'adore te lire, merci pour ce bon début de wiknd !


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20100910194932.ga25...@localdomain

Re: [HS] Help pour débuter avec iptables

2010-09-10 Par sujet giggz 
Le 10/09/2010 20:11, Pascal Hambourg a écrit :
 giggzounet a écrit :
 Le 10/09/2010 15:39, Pascal Hambourg a écrit :

 giggzounet a écrit :

 j'ai un cluster. les noeuds n'ont pas accès au net. Donc je monte un
 parefeu sur le master node. Naturellement le master doit accepter tout
 ce que vient des noeuds. Et j'aimerais que tout ce que vienne de
 l'extérieur soit filtré à part qqs services comme ssh et http.

 Le master se comporte comme un genre de load balancer ? Il fonctionne
 plutôt comme un routeur, ou un reverse proxy, ou selon un autre mécanisme ?

 le master se charge de distribuer les jobs sur les noeuds. C'est via le
 master que tout le monde se connecte.
 
 Via, ça reste vague. Ça peut être via routage et redirection de ports,
 ou via un programme. Je suppose que c'est via un programme, donc le
 master ne fonctionne pas en routeur et dans ce cas il n'est pas censé y
 avoir de trafic dans la chaîne FORWARD.
 

disons que normalement il n'agit pas en routeur. mais si les noeuds ont
besoin d'internet j'active temporairement l'ip forwarding.

 En gros j'ai 5 interfaces:

 lo locahost
 eth0 interface ethernet vers les noeuds
 eth0:2 interface de controle/monitoring des noeuds (ipmi)
 
 eth0:2 n'est pas une interface mais un alias IP, une façon obsolète
 d'affecter une adresse IP supplémentaire à l'interface eth0.
 

oui. d'ailleurs je suppose que je ne peux pas faire:
-A Firewall-1-INPUT -i eth0:2 -s 192.168.200.0/255.255.255.0 -j ACCEPT non ?

 ib0 interface infiniband vers les noeuds
 eth1 interface ethernet vers l'extérieur.

 En gros je voudrais qu'en interne il n'y ait aucun filtrage (donc tout
 passe sur lo,ib0,eth0,eth0:2 dans tous les sens). par contre que tout en
 entrée de eth1 soit bloqué sauf le port 22 (pour commencer). en sortie
 sur eth1 je peux laissé ouvert.
 
 Ça, c'est facile. Ton jeu de règles va déjà plus loin.
 

ok. donc c'est correct.

 ben pour l'instant ça a l'air de marcher. en gros si je me connecte
 normal ça va. par contre si je lance un nmap par exemple il gueule.
 
 C'est important qu'il gueule ?
 

ben non :)

 pour l'instant j'ai ça; qu'en pensez vous (résultat de mon mal de tête...) ?

 *filter
 :INPUT ACCEPT [0:0]
 
 La politique par défaut devrait être DROP.
 

alors là ya un truc que je ne pige pas:
si c'est à DROP tout ce qui rentre va être droppé non ? Dans quel ordre
iptables lit il les règles ? pourquoi si :INPUT est à DROP j'arrive tout
de même à avoir une connection ssh avec l'autre règle ?

 :FORWARD ACCEPT [0:0]
 
 Même chose, si la machine n'est pas routeur rien ne doit traverser cette
 chaîne.
 

ok. sauf si j'active temporairement l'ip forwarding, non ?

 :OUTPUT ACCEPT [0:0]
 :Firewall-1-INPUT - [0:0]
 
 Cette chaîne est inutile, tout ce qu'elle contient peut être mis dans INPUT.
 

mais via cette chaine je traite INPUT et FORWARD en même temps, non ?

 ## SSH (test brute force)
 
 Ces règles devraient arriver après les règles anti-spoof.
 

ok. je corrige

 # IP DROP SPOOF
 -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
 -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
 -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
 
 Je suppose que tu sais ce que tu fais et que personne n'est censé
 communiquer avec ta machine par cette interface depuis ces adresses.
 

oui. c'est voulu.

 -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP
 
 Pourquoi /5 et pas /4 ?
 

aucune idée...le mal de tête :D

 # IP DROP MULTICAST
 -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
 
 Pas absolument nécessaire, la plage multicast est invalide en tant que
 source donc ces paquets sont de toute façon écartés par la pile IP du noyau.
 

ok. donc à virer.

 -A INPUT -i eth1 -s 169.254.0.0/16  -j DROP
 
 Ce n'est pas du multicast, c'est la plage link-local IPv4.
 

ok.

 # IP DROP LOOPBACK
 -A INPUT -i eth1 -d 127.0.0.0/8 -j DROP
 
 Pas absolument nécessaire, la plage de loopback est invalide en tant que
 source ou destination à l'extérieur de la machine donc ces paquets sont
 de toute façon écartés par la pile IP du noyau.
 Accessoirement tu n'as pas mis de règle pour bloquer la plage de
 loopback en source.
 

ok.

 -A INPUT -i eth1 -s 240.0.0.0/4  -j DROP
 
 Ah, voilà la bonne longueur de préfixe.
 
 -A INPUT -i eth1 -s 255.255.255.255/32  -j DROP
 
 Déjà inclus dans le préfixe précédent.
 

donc à virer ?

 -A INPUT -i eth1 -s 168.254.0.0/16  -j DROP
 
 Pourquoi, tu as quelque chose contre les écoles publiques du comté de
 Hillsborough en Floride ?
 

ben je les aime po :p

 -A INPUT -i eth1 -s 248.0.0.0/5  -j DROP
 
 Déjà inclus dans 240.0.0.0/4.
 

ok. donc je vire.

 -A INPUT -j Firewall-1-INPUT
 
 Comme déjà dit, autant mettre les règles directement dans INPUT.
 
 -A FORWARD -j Firewall-1-INPUT
 
 Comme déjà dit, aucun paquet ne traverse cette chaîne si la machine
 n'est pas routeur.
 
 ## Allow all traffic from the nodes
 -A Firewall-1-INPUT -i eth0 -s 192.168.0.0/255.255.255.0 -j ACCEPT
 -A Firewall-1-INPUT -i ib0 -s 192.168.100.0/255.255.255.0 -j ACCEPT
 -A Firewall-1-INPUT -s 192.168.200.0/255.255.255.0

Re: [HS] Help pour débuter avec iptables

2010-09-10 Par sujet Serge Cavailles 
Bonjour,

Je me permets d'intervenir, j'adore me faire reprendre par Pascal. ;)

Le Friday 10 September 2010 22:25:20 giggz, vous avez écrit :
 
  *filter
 
  :INPUT ACCEPT [0:0]
 
  La politique par défaut devrait être DROP.

 alors là ya un truc que je ne pige pas:
 si c'est à DROP tout ce qui rentre va être droppé non ? 

La politique par _defaut_ s'applique en fin de chaîne aux paquets restants 
(comprendre qui n'auront pas été acceptés par une règle).


 Dans quel ordre iptables lit il les règles ? 

Dans l'ordre ou elles apparaissent dans les tables.
Chaque ajout (-A) à lieu à la suite des règles existantes, d'où la remarque de 
Pascal (plus loin dans le même message) de placer les règles concernant les 
paquets ESTABLISHED/RELATED en début de table, pour éviter que ces paquets ne 
doivent tout d'abord passer par les autres règles.

  ## Allow previously established connections
  -A Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
  Cette règle devrait se trouver en début de chaîne car c'est elle qui
  traite normalement le plus de paquets.


Plus globalement, une politique de DROP par défaut me paraît beaucoup plus 
sûre; si on oublie d'ouvrir un port ça se remarque généralement assez  
rapidement, ce qui n'est pas forcément le cas de ceux que l'on oublie de 
fermer. De plus AMA c'est plus facile à lire et à comprendre, on n'a que des 
règles ACCEPT au lieu d'un mélange de règles ACCEPT (pour récupérer les 
paquets sans traverser toute la chaîne) et de règles DROP dans le cas d'une 
politique par défaut en ACCEPT.


mes 2cts.
-- 
Serge

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/201009110021.43607.debse...@free.fr

[HELP] Partionnement: agrandir une partition étendue

2010-07-11 Par sujet giggz 
Bonjour,

j'ai un eeepc avec le partionnement actuel suivant (dans l'ordre):
/dev/sda1 : primaire : w7
/dev/sda4 : partition étendue comprenant ma debian:
/dev/sda5: /
/dev/sda6: /home
/dev/sda7: /usr
/dev/sda8: /var
/dev/sda9: /tmp
/dev/sda10: swap
/dev/sda11: data1
/dev/sda12: backtrack
non alloué : 72 Go
/dev/sda2 : fat32 : partition de récup w7
/dev/sda3 : bootbooster

j'ai téléchargé et installé sur une clé USB gparted live. Et j'essaye
d'agrandir ma partition étendue avec les 72GO non alloués sans rien
casser! et ça ne marche pas. il dit que ça échoue sans autre message
d'erreur...qd je reboote, tout est normal.

Est ce qu'il est possible dans mon cas d'étendre la partition étendue
sans rien effacer ? des idées ?

Merci d'avance
Guillaume

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/i1bv2g$d8...@dough.gmane.org

Re: [HELP] Partionnement: agrandir une partition étendue [resolu]

2010-07-11 Par sujet giggz 
Le 11/07/2010 10:23, giggz a écrit :
 Bonjour,
 
 j'ai un eeepc avec le partionnement actuel suivant (dans l'ordre):
 /dev/sda1 : primaire : w7
 /dev/sda4 : partition étendue comprenant ma debian:
   /dev/sda5: /
   /dev/sda6: /home
   /dev/sda7: /usr
   /dev/sda8: /var
   /dev/sda9: /tmp
   /dev/sda10: swap
   /dev/sda11: data1
   /dev/sda12: backtrack
 non alloué : 72 Go
 /dev/sda2 : fat32 : partition de récup w7
 /dev/sda3 : bootbooster
 
 j'ai téléchargé et installé sur une clé USB gparted live. Et j'essaye
 d'agrandir ma partition étendue avec les 72GO non alloués sans rien
 casser! et ça ne marche pas. il dit que ça échoue sans autre message
 d'erreur...qd je reboote, tout est normal.
 
 Est ce qu'il est possible dans mon cas d'étendre la partition étendue
 sans rien effacer ? des idées ?
 
 Merci d'avance
 Guillaume
 

bon j'ai résolu la chose...
apparemment j'avais un overlapping de partition...étrange...alors j'ai
demandé d'agrandir ma partition de 71 GO et non de 72 et là ça a marché...

bye

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/i1c7io$2s...@dough.gmane.org

Re: [HELP] Partionnement: agrandir une partition ét endue [resolu]

2010-07-11 Par sujet Jean-Yves F. Barbier 
Le Sun, 11 Jul 2010 12:48:56 +0200,
giggz giggzou...@gmail.com a écrit :

...
 bon j'ai résolu la chose...
 apparemment j'avais un overlapping de partition...étrange...alors j'ai
 demandé d'agrandir ma partition de 71 GO et non de 72 et là ça a marché...

c'est impossible (sauf avec m$), le truc c'est juste que l'arrondissement
brouille les cartes: 71.95 == 72.

-- 
Penalty for private use.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20100711125900.6922f...@anubis.defcon1

help

2010-01-02 Par sujet Pierre-André Morier 


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Help: paquets installés mais pas vus par apt...

2009-12-31 Par sujet Frederic Baldit 
Bonjour,
suite à une erreur (arg!) j'ai du réinstaller mon système (lenny/amd64).
Heureusement mes partitions n'ont pas été reformatées, et je récupère
mes données. Voici mon problème:
Tous les paquets que j'avais installés sont bien là (normal) mais ils ne
sont plus référencés (par synaptic par exemple). Mon sources.list avait
été écrasé mais j'ai pu remettre l'ancien. Je me retrouve dans une
situation plutôt pénible: les paquets qui sont installés ne sont pas
vus. Puis-je solutionner cette situation et comment ?
Merci d'avance pour toute aide.
Cordialement,
Frédéric.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Help: paquets installés mais pas vus par apt...

2009-12-31 Par sujet Frederic Baldit 
Je me réponds à moi-même, car je pense avoir des idées (et compris des
petites choses) mais avant de tout casser (si c'est pas déjà fait !!)
j'aimerais (je préfèrerais) avoir confirmation:

dpkg, qui est l'outil debian de base de gestion des paquets, utilise
le fichier /var/lib/dpkg/status poir mémoriser l'état des paquets sur le
système. De plus il y a des sauvegardes hebdomadaires de ce fichier
dans /var/backup/dpkg.status*, le plus récent étant le dpkg.status.0
(les autres étant compréssés). donc l'idée serait:

* par précaution sauver le fichier status (status.sauv)
* le remplacer par le fichier de backup le plus récent
* aptitude update

Sauf que ça va retélécharger tous les paquets qui sont déjà installés...
(regarde-t-il si ils sont dans un cache ?) et ça risque donc d'être
long.

Dites-moi si c'est bon/pas bon ou si il y a mieux.
Cdlt,
  Frédéric 

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

[Resolu?] Help: paquets installés mais pas vus par apt...

2009-12-31 Par sujet Frederic Baldit 
Je me re-réponds à moi même !!! (bon d'accord il est tard)
Je me suis lançé:

sudo mv /var/lib/dpkg/status /var/lib/dpkg/status.sauv
sudo mv /var/backup/dpkg.status.0 /var/lib/dpkg/status
aptitude update

et les paquets dont je savais qu'ils étaient en fait installés mais
absents pour aptitude sont maintenant bien présents Et comme
certainement ils étaient dans le cache cela n'a pris que quelques
secondes.  Maintenant, je croise le doigts, et espère qu'il n'y a pas
autre chose d'important à faire. Merci de vos conseils, surtout les
spécialistes de dpkg et du système de paquets debian.

Premier message de 2010 sur la liste: bonne année !
Cdlt,
  Frédéric.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: [Resolu?] Help: paquets installés mais pas vus par apt...

2009-12-31 Par sujet xorox 
Bonne année a toi.

-- 
In The Donkey We Trust.
xorox5...@gmail.com
ID: 0x393F4A08
Fingerprint: 9170 4DD5 31D5 4C01 1EF2  9852 0DB1 A9E5 393F 4A08

Re: Help config Postfix Fetchmail Mutt pour Gmail

2009-06-28 Par sujet Nicolas KOWALSKI 
Michaël Pierson michaelpierso...@gmail.com writes:

 Hors j'utilise 3 comptes mails différents.
 Existe t il une solution pour utiliser les *smpt* respectifs?

Dans ce cas-là, j'utiliserais msmtp, qui est capable facilement de
changer de serveur smtp cible en fonction de l'adresse d'expéditeur.

Dans le ~/.muttrc, il *faut* enlever l'option smtp_url, et mettre à la
place l'appel à msmtp, plus diverses options qui indiqueront comment
invoquer msmtp correctement:

set sendmail=/usr/bin/msmtp
set use_envelope_from=yes
set use_8bitmime
set allow_8bit=yes
set mime_forward=yes
set use_from=yes


Puis, dans le ~/.msmtprc, il faut indiquer quels sont les comptes smtp
disponibles. Le fichier
/usr/share/doc/msmtp/examples/msmtprc-user.example donne un bon
exemple des possibilités.

-- 
Nicolas

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Help config Postfix Fetchmail Mutt pour Gmail

2009-06-28 Par sujet Michaël Pierson 
Le dimanche 28 juin 2009 à 12:50:48, Nicolas KOWALSKI a écrit :
 Michaël Pierson michaelpierso...@gmail.com writes:
 
  Hors j'utilise 3 comptes mails différents.
  Existe t il une solution pour utiliser les *smpt* respectifs?
 
 Dans ce cas-là, j'utiliserais msmtp, qui est capable facilement de
 changer de serveur smtp cible en fonction de l'adresse d'expéditeur.

Nicolas, c'est ce que je cherche. Je plonge dans la documentation.
Merci pour l'aide,
Michaël

 
 Dans le ~/.muttrc, il *faut* enlever l'option smtp_url, et mettre à la
 place l'appel à msmtp, plus diverses options qui indiqueront comment
 invoquer msmtp correctement:
 
 set sendmail=/usr/bin/msmtp
 set use_envelope_from=yes
 set use_8bitmime
 set allow_8bit=yes
 set mime_forward=yes
 set use_from=yes
 
 
 Puis, dans le ~/.msmtprc, il faut indiquer quels sont les comptes smtp
 disponibles. Le fichier
 /usr/share/doc/msmtp/examples/msmtprc-user.example donne un bon
 exemple des possibilités.
 
 -- 
 Nicolas
 
 -- 
 Lisez la FAQ de la liste avant de poser une question :
 http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
 ``spam'' dans vos champs From et Reply-To:
 
 Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
 vers debian-user-french-requ...@lists.debian.org
 En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Help config Postfix Fetchmail Mutt pour Gmail

2009-06-27 Par sujet Nicolas KOWALSKI 
Michaël Pierson michael.y.f.pier...@gmail.com writes:

 Nicolas KOWALSKI a écrit :

 Michaël Pierson michael.y.f.pier...@gmail.com writes:

 Bonjour,

 Bonjour,

 Je découvre les mails en console et il me reste a configurer l'envoi
 de mails via  smtp.gmail.com en ssl ou tsl port 465 ou 587 avec
 authentification: nom + mot de passe. Est ce bien
 /etc/postfix/main.cf qui doit-être modifier?Ou bien uniquement
 .muttrc? Y a t il d'autres fichiers à modifier?

 Il existe la variable smtp_url à mettre dans le ~/.muttrc, cf.
 http://www.mutt.org/doc/devel/manual.html#smtp-url
 
 Je pencherais pour une valeur du style:
 
 smtp_url=smtps://michael.y.f.pier...@smtp.gmail.com/

 set  smtp_url='smtps://michael.y.f.pierson:motdepa...@smtp.gmail.com:465/'
 Mutt me répond La session smtp a échoué : 535 
 5.7.1http://mail.google.com/support/bin/answer
 Ce lien ne donne rien...

Je viens d'essayer avec:

set smtp_url=smtps://nicolas.kowal...@smtp.gmail.com/

Donc, sans numéro de port, et avec le slash terminal. Aucun problème
de mon côté ; mutt me demande mon mot de passe, puis le mail est bien
envoyé.

-- 
Nicolas

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Help config Postfix Fetchmail Mutt pour Gmail

2009-06-27 Par sujet Michaël Pierson 
Le samedi 27 juin 2009 à 09:50:22, Nicolas KOWALSKI a écrit :
 Michaël Pierson michael.y.f.pier...@gmail.com writes:
 
  Nicolas KOWALSKI a écrit :
 
  Michaël Pierson michael.y.f.pier...@gmail.com writes:
 
  Bonjour,
 
  Bonjour,
 
  Je découvre les mails en console et il me reste a configurer l'envoi
  de mails via  smtp.gmail.com en ssl ou tsl port 465 ou 587 avec
  authentification: nom + mot de passe. Est ce bien
  /etc/postfix/main.cf qui doit-être modifier?Ou bien uniquement
  .muttrc? Y a t il d'autres fichiers à modifier?
 
  Il existe la variable smtp_url à mettre dans le ~/.muttrc, cf.
  http://www.mutt.org/doc/devel/manual.html#smtp-url
  
  Je pencherais pour une valeur du style:
  
  smtp_url=smtps://michael.y.f.pier...@smtp.gmail.com/
 
  set  smtp_url='smtps://michael.y.f.pierson:motdepa...@smtp.gmail.com:465/'
  Mutt me répond La session smtp a échoué : 535 
  5.7.1http://mail.google.com/support/bin/answer
  Ce lien ne donne rien...
 
 Je viens d'essayer avec:
 
 set smtp_url=smtps://nicolas.kowal...@smtp.gmail.com/
 
 Donc, sans numéro de port, et avec le slash terminal. Aucun problème
 de mon côté ; mutt me demande mon mot de passe, puis le mail est bien
 envoyé.

set smtp_url='smtps://michael.y.f.pier...@gmail:mot_de_pa...@smtp.gmail.com:465'
Oui Nicolas, celà fonctionne, Merci! Je vous écris en utilisant Mutt. d:-)

Dans la doc de mutt; *Setting this variable overrides the value of the 
$sendmail variable.*
Donc tous les envois utilisent *mpt_url* définit ci-dessus... :-|

Hors j'utilise 3 comptes mails différents.
Existe t il une solution pour utiliser les *smpt* respectifs?

 
 -- 
 Nicolas
 
 -- 
 Lisez la FAQ de la liste avant de poser une question :
 http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
 ``spam'' dans vos champs From et Reply-To:
 
 Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
 vers debian-user-french-requ...@lists.debian.org
 En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Help config Postfix Fetchmail Mutt pour Gmail

2009-06-26 Par sujet Michaël Pierson 




Bonjour,

Je découvre les mails en console et il me reste a configurer l'envoi de
mails via  smtp.gmail.com en ssl ou tsl port 465 ou 587 avec
authentification: nom + mot de passe.
Est ce bien /etc/postfix/main.cf qui doit-être modifier?Ou bien
uniquement .muttrc? Y a t il d'autres fichiers à modifier?
Pouvez vous m'aider sur la procédure à suivre ou me diriger vers un
tutoriel francophone?

Voici où j'en suis:
Fetchmail récupère les mails pour trois comptes:
moncom...@voo.be
moncomp...@gmail.com
moncomp...@gmail.com
; qui sont ensuite triés par procmail, spamassassin et enfin lus avec
Mutt.

Postfix est configuré avec le relayhost de mon fai. et gère le mail en
local et l'envoi des mails (Il ne s'agit pas d'un vrai serveur de mail avec entrées dns)
10:36 m...@gogol ~% postconf -n                     
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
inet_interfaces = all
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
mydestination = gogol.brutele.be, localhost.brutele.be, localhost
myhostname = gogol.brutele.be
mynetworks = 127.0.0.0/8
myorigin = /etc/mailname
recipient_delimiter = +
relayhost = smtp.voo.be
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_use_tls = yes
unknown_local_recipient_reject_code = 450

Dès qu'il est possible d'envoyer des mails via Gmail, je décommente
dans .muttrc la ligne suivante
#send-hook '~t Â...@lists\.debian\.org$' 'my_hdr From: moi
moncomp...@gmail.com'
afin d'utiliser mon adresse gmail abonné aux listes debian (ici je vous
écrit en utilisant Icedove - tiens avec Icedove pas besoin de modifier
postfix. Pourquoi? Est il possible de faire de même avec mutt? Je suis
largé! :-(

D'avance merci,
Michaël




-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Help config Postfix Fetchmail Mutt pour Gmail

2009-06-26 Par sujet Michaël Pierson 

Bonjour,

Je découvre les mails en console et il me reste a configurer l'envoi de 
mails via  smtp.gmail.com en ssl ou tsl port 465 ou 587 avec 
authentification: nom + mot de passe.
Est ce bien /etc/postfix/main.cf qui doit-être modifier?Ou bien 
uniquement .muttrc? Y a t il d'autres fichiers à modifier?
Pouvez vous m'aider sur la procédure à suivre ou me diriger vers un 
tutoriel francophone?


Voici où j'en suis:
Fetchmail récupère les mails pour trois comptes:
moncom...@voo.be
moncomp...@gmail.com
moncomp...@gmail.com
; qui sont ensuite triés par procmail, spamassassin et enfin lus avec Mutt.

Postfix est configuré avec le relayhost de mon fai. et gère le mail en 
local et l'envoi des mails (Il ne s'agit pas d'un vrai serveur de mail 
avec entrées dns)
10:36 m...@gogol ~% postconf -n   
alias_database = hash:/etc/aliases

alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
inet_interfaces = all
mailbox_command = procmail -a $EXTENSION
mailbox_size_limit = 0
mydestination = gogol.brutele.be, localhost.brutele.be, localhost
myhostname = gogol.brutele.be
mynetworks = 127.0.0.0/8
myorigin = /etc/mailname
recipient_delimiter = +
relayhost = smtp.voo.be
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_use_tls = yes
unknown_local_recipient_reject_code = 450

Dès qu'il est possible d'envoyer des mails via Gmail, je décommente dans 
.muttrc la ligne suivante
#send-hook '~t Â...@lists\.debian\.org$' 'my_hdr From: moi 
moncomp...@gmail.com'
afin d'utiliser mon adresse gmail abonné aux listes debian (ici je vous 
écrit en utilisant Icedove - tiens avec Icedove pas besoin de modifier 
postfix. Pourquoi? Est il possible de faire de même avec mutt? Je suis 
largé! :-(


D'avance merci,
Michaël

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Help config Postfix Fetchmail Mutt pour Gmail

2009-06-26 Par sujet Nicolas KOWALSKI 
Michaël Pierson michael.y.f.pier...@gmail.com writes:

 Bonjour,

Bonjour,

 Je découvre les mails en console et il me reste a configurer l'envoi
 de mails via  smtp.gmail.com en ssl ou tsl port 465 ou 587 avec
 authentification: nom + mot de passe. Est ce bien
 /etc/postfix/main.cf qui doit-être modifier?Ou bien uniquement
 .muttrc? Y a t il d'autres fichiers à modifier?

Il existe la variable smtp_url à mettre dans le ~/.muttrc, cf.
http://www.mutt.org/doc/devel/manual.html#smtp-url

Je pencherais pour une valeur du style:

smtp_url=smtps://michael.y.f.pier...@smtp.gmail.com/

-- 
Nicolas

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Help config Postfix Fetchmail Mutt pour Gmail

2009-06-26 Par sujet Michaël Pierson 




Nicolas KOWALSKI a écrit :

  Michaël Pierson michael.y.f.pier...@gmail.com writes:

  
  
Bonjour,

  
  
Bonjour,

  
  
Je découvre les mails en console et il me reste a configurer l'envoi
de mails via  smtp.gmail.com en ssl ou tsl port 465 ou 587 avec
authentification: nom + mot de passe. Est ce bien
/etc/postfix/main.cf qui doit-être modifier?Ou bien uniquement
.muttrc? Y a t il d'autres fichiers à modifier?

  
  
Il existe la variable smtp_url à mettre dans le ~/.muttrc, cf.
http://www.mutt.org/doc/devel/manual.html#smtp-url

Je pencherais pour une valeur du style:

smtp_url=smtps://michael.y.f.pier...@smtp.gmail.com/

  

set 
smtp_url='smtps://michael.y.f.pierson:motdepa...@smtp.gmail.com:465/'
Mutt me répond "La session smtp a échoué : 535
5.7.1http://mail.google.com/support/bin/answer 
Ce lien ne donne rien...

set
smtp_url='smtp://michael.y.f.pier...@gmail.com:motdepa...@smtp.gmail.com:465/'
Mutt indique qu'il se connecte à smtp.gmail.com... (sans réaction)



-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Help config Postfix Fetchmail Mutt pour Gmail

2009-06-26 Par sujet Thomas Harding 

Michaël Pierson wrote:

Il existe la variable smtp_url à mettre dans le ~/.muttrc, cf.
http://www.mutt.org/doc/devel/manual.html#smtp-url


set smtp_url='smtps://michael.y.f.pierson:motdepa...@smtp.gmail.com:465/'
Mutt me répond La session smtp a échoué : 535 
5.7.1http://mail.google.com/support/bin/answer

Ce lien ne donne rien...


il ne faut pas mettre de slash à la fin.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Help config Postfix Fetchmail Mutt pour Gmail

2009-06-26 Par sujet Michaël Pierson 

Thomas Harding a écrit :

Michaël Pierson wrote:

Il existe la variable smtp_url à mettre dans le ~/.muttrc, cf.
http://www.mutt.org/doc/devel/manual.html#smtp-url

set 
smtp_url='smtps://michael.y.f.pierson:motdepa...@smtp.gmail.com:465/'
Mutt me répond La session smtp a échoué : 535 
5.7.1http://mail.google.com/support/bin/answer

Ce lien ne donne rien...


il ne faut pas mettre de slash à la fin.


ok
J'ai le message: L'authentification SASL a échoué

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Help config Postfix Fetchmail Mutt pour Gmail

2009-06-26 Par sujet Michaël Pierson 

Nicolas KOWALSKI a écrit :

Michaël Pierson michael.y.f.pier...@gmail.com writes:

  

Bonjour,



Bonjour,

  

Je découvre les mails en console et il me reste a configurer l'envoi
de mails via  smtp.gmail.com en ssl ou tsl port 465 ou 587 avec
authentification: nom + mot de passe. Est ce bien
/etc/postfix/main.cf qui doit-être modifier?Ou bien uniquement
.muttrc? Y a t il d'autres fichiers à modifier?



Il existe la variable smtp_url à mettre dans le ~/.muttrc, cf.
http://www.mutt.org/doc/devel/manual.html#smtp-url

Je pencherais pour une valeur du style:

smtp_url=smtps://michael.y.f.pier...@smtp.gmail.com/

  

set  smtp_url='smtps://michael.y.f.pierson:motdepa...@smtp.gmail.com:465/'
Mutt me répond La session smtp a échoué : 535 
5.7.1http://mail.google.com/support/bin/answer

Ce lien ne donne rien...

set 
smtp_url='smtp://michael.y.f.pier...@gmail.com:motdepa...@smtp.gmail.com:465/'

Mutt indique qu'il se connecte à smtp.gmail.com... (sans réaction)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Désincription imposs ible, help, help, he lp !

2009-03-23 Par sujet Alain Nicolas 

Bonjour,

Je sais que cela fait cent fois que la question a été posée, mais en désespoir 
de cause, je m'en remets à vous.

Impossible de se désinscrire de cette (sorry) foutue liste de diffusion, j'ai 
tout essayé : le unsubscribe en majuscules, minuscules, accompagné ou non d'un 
texte et cela fait des mois que je continue à recevoir des dizaines, que dis-je 
ces centaines de messages, probablement forts instructifs, mais voilà, je n'en 
ai pas (plus) besoin !

Alors de grâce si quelqu'un ici peut quelque chose pour moi faites-le, 
délivrez-moi de cette nom de D... de put... liste ! Dieu (s'il existe) vous le 
rendra au centuple !

 

Mille merci d'avance !

Alain

 

_
Téléphonez gratuitement à tous vos proches avec Windows Live Messenger  !  
Téléchargez-le maintenant ! 
http://www.windowslive.fr/messenger/1.asp

Re: Désincription impossible, help, help, help !

2009-03-23 Par sujet Adrien 

Salut, 

Un mail à  debian-user-french-requ...@lists.debian.org avec comme sujet « 
unsubscribe » ne marche pas ?
Ton client mail a sûrement un bouton « se désinscrire de la liste » (message, 
puis liste de diffusion dans claws-mail)

Sinon la prochaine fois tu peux aussi passer par gmane pour avoir la liste 
comme newsgroup ; C’est très pratique :)

adrien

En cette soirée du lundi 23 mars 2009,
Alain Nicolas alain.nicola...@hotmail.fr a écrit :

 Impossible de se désinscrire de cette (sorry) foutue liste de diffusion, 
 j'ai tout essayé : le unsubscribe en majuscules, minuscules, accompagné ou 
 non d'un texte et cela fait des mois que je continue à recevoir des dizaines, 
 que dis-je ces centaines de messages, probablement forts instructifs, mais 
 voilà, je n'en ai pas (plus) besoin !


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Désincription impossible, help, help, he lp !

2009-03-23 Par sujet Nicolas PHAM 

On Mon, 23 Mar 2009 22:36:43 +0100, Alain Nicolas
alain.nicola...@hotmail.fr wrote:
 Bonjour,
 
 Je sais que cela fait cent fois que la question a été posée, mais en
 désespoir de cause, je m'en remets à vous.
 
 Impossible de se désinscrire de cette (sorry) foutue liste de
diffusion,
 j'ai tout essayé : le unsubscribe en majuscules, minuscules, accompagné
 ou non d'un texte et cela fait des mois que je continue à recevoir des
 dizaines, que dis-je ces centaines de messages, probablement forts
 instructifs, mais voilà, je n'en ai pas (plus) besoin !
 
 Alors de grâce si quelqu'un ici peut quelque chose pour moi faites-le,
 délivrez-moi de cette nom de D... de put... liste ! Dieu (s'il existe)
 vous le rendra au centuple !
 
  
 
 Mille merci d'avance !
 
 Alain

Salut,
pour ma part j'écris un mail en texte seul à
debian-user-french-requ...@ml.debian.org (faut pas oublier le 'request')
avec unsubscribe en objet et unsubscribe dans le corps du mail. Ca marche
à tout les coups !
@+

-- 
Nicolas PHAM

eMail : nicolas[at]phamily.fr
Jabber : nicop[at]jabber.fr
Site : http://nico.phamily.fr

Propulsé par Debian GNU/Linux - Vers l'infini et au-delà !
Membre de l'April - http://www.april.org - Promouvoir et défendre le
logiciel libre
--

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re : help...plus d'accès au serveur x

2008-04-03 Par sujet djibrilo 
Bonjour,

dpkg-reconfgure xserver-xorg sera ton ami

Djibril

- Message d'origine 
De : jean-marc dufour [EMAIL PROTECTED]
À : debian-user-french@lists.debian.org
Envoyé le : Jeudi, 3 Avril 2008, 11h32mn 55s
Objet : help...plus d'accès au serveur x

Bonjour a tous,

(je suis sous debian etch 4.0  2.6.18_...)



en voulant installer une tablette graphique Wacom Bamboo
en suivant un tuto ...

http://forum.ubuntu-fr.org/viewtopic.php?id=201340

  j'ai du faire une erreur dans le fichier /etc/X11/xorg.conf  et au 
redemarrage je n'ai plus du tout accès au serveur x,

si je type startx, il me renvoi:

X10 error 104 (Connection reset by peer) on x server :0.0
after 0 report (0 known processed) with 0 events remaining

...entre temps j'ai essayé avec vi (en etant très ignorant de son 
utilisation)de modifier le fichier /etc/X11/xorg.conf (c'est l'erreur 
que l'on m'a annonce au 1er redemarrage)
je n'y suis pas arrive et maintenant lorsque je type:

  #vi /etc/X11/xorg.conf

cette fois il me renvoi:

/etc/X11/xorg.conf [read only] 0 lines, 0 characters

...Je me rends compte que ce tuto s'adressait au noyau 2.6.22-14 alors 
que je dispose d'un 2.6.18-... oups


j'ai l'impression que mon erreur de tuto du depart va me couter cher

j'aimerais bien vos lumieres de linuxiens avertis
si vous savez comment on peut se sortir de ce mauvais pas...

merci d'avance,
amicalement
Jmarc dufour

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]







  
_ 
Envoyez avec Yahoo! Mail. Plus de moyens pour rester en contact. 
http://mail.yahoo.fr

Re: help...plus d'accès au serveur x

2008-04-03 Par sujet Raphaël RIGNIER 

jean-marc dufour a écrit :

Bonjour a tous,

(je suis sous debian etch 4.0  2.6.18_...)



en voulant installer une tablette graphique Wacom Bamboo
en suivant un tuto ...

http://forum.ubuntu-fr.org/viewtopic.php?id=201340

 j'ai du faire une erreur dans le fichier /etc/X11/xorg.conf  et au 
redemarrage je n'ai plus du tout accès au serveur x,


si je type startx, il me renvoi:

X10 error 104 (Connection reset by peer) on x server :0.0
after 0 report (0 known processed) with 0 events remaining

...entre temps j'ai essayé avec vi (en etant très ignorant de son 
utilisation)de modifier le fichier /etc/X11/xorg.conf (c'est l'erreur 
que l'on m'a annonce au 1er redemarrage)

je n'y suis pas arrive et maintenant lorsque je type:

 #vi /etc/X11/xorg.conf

cette fois il me renvoi:

/etc/X11/xorg.conf [read only] 0 lines, 0 characters

...Je me rends compte que ce tuto s'adressait au noyau 2.6.22-14 alors 
que je dispose d'un 2.6.18-... oups



j'ai l'impression que mon erreur de tuto du depart va me couter cher

j'aimerais bien vos lumieres de linuxiens avertis
si vous savez comment on peut se sortir de ce mauvais pas...

merci d'avance,
amicalement
Jmarc dufour


Salut,
Je dirais pour commencer lancer la commande (en root) : dpkg-reconfgure 
xserver-xorg.

Il va poser des questions et regénérer un xorg.conf de base.

Raphaël

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

help...plus d'accès au serveur x

2008-04-03 Par sujet jean-marc dufour 

Bonjour a tous,

(je suis sous debian etch 4.0  2.6.18_...)



en voulant installer une tablette graphique Wacom Bamboo
en suivant un tuto ...

http://forum.ubuntu-fr.org/viewtopic.php?id=201340

 j'ai du faire une erreur dans le fichier /etc/X11/xorg.conf  et au 
redemarrage je n'ai plus du tout accès au serveur x,


si je type startx, il me renvoi:

X10 error 104 (Connection reset by peer) on x server :0.0
after 0 report (0 known processed) with 0 events remaining

...entre temps j'ai essayé avec vi (en etant très ignorant de son 
utilisation)de modifier le fichier /etc/X11/xorg.conf (c'est l'erreur 
que l'on m'a annonce au 1er redemarrage)

je n'y suis pas arrive et maintenant lorsque je type:

 #vi /etc/X11/xorg.conf

cette fois il me renvoi:

/etc/X11/xorg.conf [read only] 0 lines, 0 characters

...Je me rends compte que ce tuto s'adressait au noyau 2.6.22-14 alors 
que je dispose d'un 2.6.18-... oups



j'ai l'impression que mon erreur de tuto du depart va me couter cher

j'aimerais bien vos lumieres de linuxiens avertis
si vous savez comment on peut se sortir de ce mauvais pas...

merci d'avance,
amicalement
Jmarc dufour

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

resolu ....help...plus d'accès au serveur x

2008-04-03 Par sujet jmarco 

Ouaou...

Super, me voici de nouveau sur ma debian favorite,
un grand merci a tous, j'ai fait

#dpkg-reconfigure xserver-xorg

comme vous me l'avez suggere, et tout est rentre dans l'ordre,
c'est vraiment super linux pour cela...

je vais essayer maintenant d'installer cette tablette graphique sans 
faire de c...


encore merci,

amicalement, Jmarc Dufour

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

  1   2   3   4   5   >