Reprise du message précédent :

 
ben oui mon  ptio, je fais pas parti des info ,en herbe, qui ne connaissent que le vocabualaire pompeux : je sais comment ca marche et comment faire marcher .. desolé !!!
 
le stateful ..ca faisait depuis 2 ans que j'en faisait , ben y'a un gros con en entretient d'embauche qui m'a sortie ce terme et je ne savais pas ce qu il voulait dire ... seulement ca faisait 2 ans que je faisait du --stat --RELATED,ESTABLISHED ss iptables ... sur ma gateway linux rh 7.0 ...
 
alors QoS ca va pas m'empecher de dormi vu que je ne m'en sert pas tous les jours !!!

Les gens confondent souvent "etre root sur un serveur de la boite" et "pouvoir simplement le contempler des yeux"
G un pote comme ca qui ventent que sa boite a des rack Bi ou quadri cpu, qu'il y a des panneaux complet avec des gros routeurs et switch cisco etc etcetc.
Sauf que lui c'est un trou du cul qui n'a meme pas le badge pour rentrer dans cette salle ...
Moi a cote bah ouai, je suis root sur le apache qui tourne sur un p2 400, je suis root sur le dhcp p133 ....
Rien d'exitant ..... sauf que je suis root ....

 
excelent !!!

 
c'est un pote à toi tu dis ?

oui
De toute facon il passe jamais ici, et s'il passait il sait tres bien ma position vis-a-vis de lui malgre le fait que ca soit un pote.
A savoir, qu'il ne doit pas ramer sa gueule avec ses machines de fou tant qu'il est pas admin dessus ....

allez dodo !!!
  , super topic ce soir . bonne discuss.
 
 

MODULES="ipt_conntrack ipt_conntrack_ftp ipt_nat_ftp ipt_conntrack_irc ipt_nat_irc"
 
Les modules c'est badtrip (cf adore) moi je prefere le monolithe sans le support module, au moins pas de rootkit
 
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_intvl
 
ok bonne initiative de brouiller un peu la pile d'empreinte mais on pourrait encore aller bcp plus loin ... vraiment plus loin ...
(/proc bien evidement , je ne parle pas de ce patch kernel qui change completement la pile)  
 
$IPTABLES -P OUTPUT  DROP
$IPTABLES -P INPUT   DROP
$IPTABLES -P FORWARD DROP
 
On log pas ces regles par default ?????????
 
#
# Rule 0(ppp0)
#
# 'anti spoof'
#
$IPTABLES -N ppp0_In_RULE_0
$IPTABLES -A INPUT -i ppp0  -s 192.168.1.253 -j ppp0_In_RULE_0
$IPTABLES -A INPUT -i ppp0  -s 192.168.0.253 -j ppp0_In_RULE_0
$IPTABLES -A INPUT -i ppp0  -s 192.168.0.0/24 -j ppp0_In_RULE_0
$IPTABLES -A INPUT -i ppp0  -s 192.168.1.0/24 -j ppp0_In_RULE_0
$IPTABLES -A FORWARD -i ppp0  -s 192.168.1.253 -j ppp0_In_RULE_0
$IPTABLES -A FORWARD -i ppp0  -s 192.168.0.253 -j ppp0_In_RULE_0
$IPTABLES -A FORWARD -i ppp0  -s 192.168.0.0/24 -j ppp0_In_RULE_0
$IPTABLES -A FORWARD -i ppp0  -s 192.168.1.0/24 -j ppp0_In_RULE_0
$IPTABLES -A ppp0_In_RULE_0  -j LOG  --log-level info --log-prefix "RULE 0 -- DROP "
$IPTABLES -A ppp0_In_RULE_0 -j DROP
 
C'est tout comme anti spoof ?????
Bon ok, les routeurs des FAI de toute maniere bloque le spoof mais bon la c'est quand meme + que light ...
Et dans /proc aussi il y a des options contre le spoof ...
 
 
#
# Rule 2(global)
#
# IP fragments 'shorts' and ' long'
# 'Christmas Tree' Protection
#
$IPTABLES -A OUTPUT -p ip -f  -j DROP
$IPTABLES -A OUTPUT -p tcp --tcp-flags ALL URG,ACK,PSH,RST,SYN,FIN -j DROP
$IPTABLES -A INPUT -p ip -f  -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags ALL URG,ACK,PSH,RST,SYN,FIN -j DROP
$IPTABLES -A FORWARD -p ip -f  -j DROP
$IPTABLES -A FORWARD -p tcp --tcp-flags ALL URG,ACK,PSH,RST,SYN,FIN -j DROP
 
Il en manque .....
 
Ok c'est du vite fait  ... mais de la a dire bien fait il y + que une legere nuance ....

Pour moi y a deux mondes différents
 
 
Y a le monde des passionnés et des experts qui s'intéressent au fond des choses et qui sont prêts à y mettre l'investissement nécessaire, qui sont perfectionnistes et qui aiment quand tout est beau et propre et tourne comme une horloge. C'est le linuxien canal historique.
 
 
Y a le monde des employés de SSII payés à pisser du VB et autres horreurs le plus vite possible sur des projets inintéressants, la seule chose qui compte c'est que ca marche sans trop planter, et que ca soit fait le plus vite possible. Traditionellement, ils travaillent sur windows, mais comme linux est à la mode certains s'y mettent. Ils trouvent que le système a certaines qualités, mais, l'horreur, ils ne retrouvent pas leurs outils et méthodes de travails habituels pour pisser leur code vite fait mal fait. Alors ils s'écrient "Hey les barbus va falloir vous bouger le cul là, ca me plait pas votre truc, et magnez vous parce que Palladium arrivent bientot alors il faut que ca soit prêt juste avant".
 
En bref jamiroq et son nouveau copain vous savez dans quelle catégorie je vous place, et l'hilarité que vos propos m'inspirent. Retournez pisser du code dégueulasse à la souris sur vos OS sans administration, en clamant haut et fort que VOUS, vous etres des pros, que attention ca rigole pas, et que ceux qui s'intéressent à la qualité de la réalisation ne sont que des pauvres branleurs de barbus de merde.

 
ça y est je vois enfin ta signature  
les polices century schoolbook L sont vraiment bien sous mozilla  
en décochant la case "autoriser les sites web à utiliser d'autres polices" et en laissant mozilla choirir la local qui va bien pour chaque site, tout roule, sur n'importe quel site, quelque soit les caractères (même les apostrophe sur www.hardware.fr  
et tout ça sans fonts non-libre    
 
 
bon sinon je te rappelle qu'on est dans un monde capitaliste où la productivité est la seule raison d'être d'une entreprise et où l'utopie n'a pas sa place
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 
 
c marrant t tjrs contradictoire, y a encore 2 semaine tu ne connaissait rien de iptables et la magie tu l utilisent depuis 2ans pour faire ...
 
 
bon allez le mytho a plus  
 

 
 
et moi j ai les badges et la pancarte

 
 
c'est bien, d ailleurs on voit ou améne la productivité, à la fuite des capitaux vers les pays d'asie ou de l'est !
 
j'ai hate de voir les chiffres du chomage du premier et second trimestre à moins qu'il les traffics encore plus !
 
 
udok petit rigolo
 

merci pour l'info

Mais arretes de debloquer , la !!!
tu petes un cable ou quoi ?
 
d'ailleurs si tu etais a ton boulot tu sera pas la a poster à longueur de journée : moi j'ai une excuse je suis un licensié eco. !!!

de toute façon avec certain sur osa , ca part tjs en frite : meme la plus intressante des discussions !!!
pouah , vous me degouté...
 
entre l'autre qui n'y connaits et qui traite tt le monde de mytho ..
et l'autre qui casse a tour de bras .. ben on est bien monté , soit !!!  
 
Merci aux autres, c pour eux que je continue depoaster sur osa.

 
fallait savoir utiliser iptables sans gui \o/
t aurais pas ete ds le ploton de tete des licencié
 
 

 
 
tu etais dans la même entreprise aussi  

Tu te forces là ?

 
non je suis un peu mou today, me suis même pété la gueule !
 

T'es à fond, quoi ...

OSA ca casse !!!
Par Brice de Nice ...
 

 
désolé de m'initier comme ça à l'improviste dans la discussion, mais sous RH 7.0 c'était du kernel 2.2, donc pas iptables à l'origine, mais ipchains hein...  
 
 

Faut arreter de se vanter les gars ..
Ca apporte rien aux discutions ...
Surtout que en informatique tu trouveras toujours 100 fois plus fort que toi.

G beaucoup + par habitude de faire d'abord le script iptables et ensuite de faire les script QoS (si besoin).
G encore rarement (voir meme jamais) vu sur le net un script iptables avec des bouts de QoS a l'interieur.
D'ailleur on voit souvent d'une part un script firewall.sh et d'une autre par un script qos.sh
Je me trompe ?

hehe
On monte un projet GNU ensemble ?

Mon avis perso:
En faisant un DROP sur les paquets fragmentes, tu verras que tres tres peu de paquets seront droppés.
Ca ne gene en rien au bon fonctionnement des services.
En revanche c'est souvent utilise sur les scanners de ports pour dejouer les ids.
Donc un DROP s'impose

peut-être bien oui pour toi.
Mais si tu ne prend en compte ton mtu/mru et celui de la machine avec laquelle tu correspond à distance (si son mtu est trop élevé) tu vas recevoir plein de paquets fragmentés et là tu sera dans la merde avec ton DROP  

Tout a fait d'accord, mais bon qui ne contact pas son FAI pour se caler avec le mtu du routeur d'en face ?
Le routeur de ton FAI doit avoir 2 queue d'attente, une directe pour les paquets avec le bon mtu et une autre ou le cpu du routeur doit bosser pour retailler la taille des paquets.
Il est bien evident que ce retaillage des paquets doit etre effectue du cote client et non du cote serveur (routeur) afin de soulager le routeur en face, qui lui doit traiter un sacre nombre d'informations.
De meme qu'il est conseille de:
"Ralentir le flux descendant à une valeur légèrement plus faible que votre vitesse rélle de manière à éviter la mise en file d'attente chez notre FAI."
http://www.linux-france.org/prj/in [...] tml#ss15.8
 
Moi j'utilise le script cbq de la fin et meme si ca reduit tres legerement mon d/l et mon up, mon ssh et mon irc ne rame jamais.
 
Sur la machine faisant office de ftp vers l'exterieur, j'utilise ce script:
 
 

ta gueule fils de pute !!!
 
c clair comme reponse ?

c vrai, la boite que j'ai acheté c du 7.2 ..sorry ! et c bien du iptables

Je veux absolument pas prendre part a votre debat bien "hot" mais bon si tu reponds aussi fermement c'est qu'il a peut-etre touche un point sensible.
Trouve une autre tournure pour lui repondre (cf Brice de Nice, ca casse !)
 

attends qd tu te retrouves au chomdu avec unefemme et un gosse ...ce genre de propos est intolerable !!!
 
Il ne respecte rien ce morveu , alors je luis reponds a sa maniere , avec la meme violence !!
 
Etre au chomage c deja assez .... dur moralment on dira !! alors c petites phrases de gamins : je m'en passe allégrement !!
 
mais bon c vrai, un gamin ca ne sait pas ce que sait tout ca ...

ce qui me rend malade, c'est cette attitude de certains... 'si vous insistez et faites des efforts, je veux bien deigner tester d'utiliser linux', mais le truc qui est nul c'est que:
- le kernel linux est trop monolithique, il faudrait tout remettre à zéro et utiliser un microkernel
- Un vrai programmeur de nos jours programme avec Visual studio (ou avec la copie très minable qui en tient lieu sur Linux) et pas avec VI
- La gui est lourde buguée et flicker comme un AppleII
- etc.
 

 
HAh vous voulez pas faire ce que je vous demande? Vous devriez sortir plus souvent, c'est à cause de vous qu'on est obligés de se taper Microsoft
 
Si linux vous plait, tant mieux, moi je suis prêt à vous aider si vous avez des problemes dans les limites de mes connaissances et de mon humeur du jour
Si linux ne vous plait pas, tant pis, ne l'utilisez pas, mais de grâce ne réclamez pas que la communauté se bouge pour en faire un clone de windows alors que ça n'intéresse que vous. Puisque vous vous ventez d'etre des développeurs expérimentés, si certaines choses ne vous plaisent pas, contribuez aux projets qui cherchent à les faire bouger dans le sens qui vous intéresse.
 
 
jamiroq> tu sais qu'il est possible de discuter sans que tu nous sortent à chaque fois ton couplet sur les entreprises chez qui tu as bossé et que tu mettes en doutes l'intégrité des autres forumeurs? Je sais que c'est dur d'etre au chomage avec une famille à entretenir, mais ça n'a que peu de rapport avec ce forum ou ce thread (qui pour moi n'etait pas une discussion intéressante mais qui tournait au troll grossier depuis l'intervention de sr16 et avant que JoWile et yold se lancent dans le dev d'un outil graphique )

Actuellement des potes et moi developpons un firewall qui arrive a sa phase final.
Son but est d'etre tres secure (sans pour autant faire chier les utilisateurs), et d'etre _ULTRA_ lisible pour un n00b.
Le code est donc ultra documente, tres clair, et la configuration se fait d'une maniere tres aisee pour n'importe qui.
Un script qos vient se greffer a la fin.
Une interface web (php) est en cours de developpement afin que les gens n'ai meme pas a editer le code pour rentrer les variable (dns1, dns2, ip du lan etc)
Pour le moment me reste a paufiner le firewall (il est en beta test chez plusieurs de mes potes).
Me reste a finir l'interface du site.
Et le plus dur essayer de paufiner le script qos (il y a vraiment pas de doc sur le net c'est hallucinant).
Autre probleme majeur: le firewall fait appelle a 3/4 patchs des chez patch-o-matic, et donc ca m'oblige a faire une doc complete, option par option, de la manip pour recompiler un kernel ...
Je compte ensuite mettre tout ca on-line vers aout-septembre et presenter le tout lors de ma soutenance de BTS fin octobre.
Bien evidement si il y a des experts iptables ici, je veux bien des avis. (le script restera private jusqu'a sa diffusion)

 
Merde j'ai raté ça  

C'est deja bien avance de mon cote
Mais j'avoue en fait que je dev ca tout seul, et que j'arrive plus trop a voir mes erreurs par moment.
Je te contact ce soir quand je serai chez moi et on mets ca au point.

 
n'oublie pas le dernier smiley de mon post !  
et les chiffres du chomage augmente, comme le déficit et les impots sur la pauvreté