Bonjour,
Voici le schéma pour un réseau personel:
Routeur<->Int1-PC1:NAT/Firewall/SQUID-Int2<->switch1<->Int3 PC1:SAMBA,CVS,..
<->PC2
<->PC3
aa]Pensez-vous que cette configuration est aussi securisante (avec les memes
paramètrages) que deux PC pour remplacer PC1?
bb]Mettre deux serveurs virtuels n'est-il pas mieux approprié (Xen)?
Merci de vos réponses,
Bonjour,
Voici le schéma pour un réseau personel:
Routeur<->Int1-PC1:NAT/Firewall/SQUID-Int2<->switch1<->Int3 PC1:SAMBA,CVS,..
<->PC2
<->PC3
aa]Pensez-vous que cette configuration est aussi securisante (avec les memes
paramètrages) que deux PC pour remplacer PC1?
bb]Mettre deux serveurs virtuels n'est-il pas mieux approprié (Xen)?
Merci de vos réponses,
Bonjour,
Voici le schéma pour un réseau personel:
Routeur<->Int1-PC1:NAT/Firewall/SQUID-Int2<->switch1<->Int3 PC1:SAMBA,CVS,..
<->PC2
<->PC3
aa]Pensez-vous que cette configuration est aussi securisante (avec les memes
paramètrages) que deux PC pour remplacer PC1?
bb]Mettre deux serveurs virtuels n'est-il pas mieux approprié (Xen)?
Merci de vos réponses,
Voici le schéma pour un réseau personel:
Routeur<->Int1-PC1:NAT/Firewall/SQUID-Int2<->switch1<->Int3 PC1:SAMBA,CVS,..
<->PC2
<->PC3
Pour plus d'explications: L'internet arrive sur l'interface 1 (Int1) de PC1.
Désolé, mais je ne comprends pas ton schéma. Tu as un switch qui relie
deux interfaces de ta passerelle entre-elles et est aussi utilisé pour
connecter les autres machines du LAN ? :-/
Bon, partons du principe que le schéma est en fait ceci :
Wild <- Passerelle -> Serveurs
-> Switch -> PC2
-> PC3
-> etc.aa]Pensez-vous que cette configuration est aussi securisante (avec les memes
paramètrages) que deux PC pour remplacer PC1?
[Note : Dans ton schéma, "PC1" c'est la passerelle]
Non. Un firewall configuré en bridge ethernet placé devant le machine
faisant le NAT est plus sécurisant, puisque tu as l'assurance que cette
machine ne sera que très très difficilement compromise. Or, comme c'est
d'elle que dépend le filtrage IP, c'est important.
Cependant, en considérant que la question est "est-ce suffisant", et
qu'il s'agit d'un réseau personnel et non d'un réseau professionnel, la
réponse deviendrait "oui".
bb]Mettre deux serveurs virtuels n'est-il pas mieux approprié (Xen)?
Sur le PC1 ? :-/ Quel intérêt ? :-/ A moins que par "PC1", tu ne
veuilles parler de celui qui fait tourner tes serveurs.
Si l'on excepte les services dits "de maintenance" (SSH par exemple),
il est toujours préférable de ne mettre qu'un seul service par machine.
C'est plus sûr et plus facile à administrer. Cependant la problématique
reste la même, bien qu'il existe des modèles bien plus sûr que
celui-ci, il n'en est pas moins suffisant pour des besoins limités.
Par contre, pas de Xen. Faire tourner des machines virtuelles sur un
serveur je trouve cela relativement casse-gueule, sans parler du
l'aspect bouffe-ressource qui ne doit pas être négligeable.
merci de ton avis
Maintenant, si tu pouvais expliciter les points obscurs, tu aurais
peut-être d'autres réponses.
Voici le schéma pour un réseau personel:
Routeur<->Int1-PC1:NAT/Firewall/SQUID-Int2<->switch1<->Int3 PC1:SAMBA,CVS,..
<->PC2
<->PC3
Pour plus d'explications: L'internet arrive sur l'interface 1 (Int1) de PC1.
Désolé, mais je ne comprends pas ton schéma. Tu as un switch qui relie
deux interfaces de ta passerelle entre-elles et est aussi utilisé pour
connecter les autres machines du LAN ? :-/
Bon, partons du principe que le schéma est en fait ceci :
Wild <- Passerelle -> Serveurs
-> Switch -> PC2
-> PC3
-> etc.
aa]Pensez-vous que cette configuration est aussi securisante (avec les memes
paramètrages) que deux PC pour remplacer PC1?
[Note : Dans ton schéma, "PC1" c'est la passerelle]
Non. Un firewall configuré en bridge ethernet placé devant le machine
faisant le NAT est plus sécurisant, puisque tu as l'assurance que cette
machine ne sera que très très difficilement compromise. Or, comme c'est
d'elle que dépend le filtrage IP, c'est important.
Cependant, en considérant que la question est "est-ce suffisant", et
qu'il s'agit d'un réseau personnel et non d'un réseau professionnel, la
réponse deviendrait "oui".
bb]Mettre deux serveurs virtuels n'est-il pas mieux approprié (Xen)?
Sur le PC1 ? :-/ Quel intérêt ? :-/ A moins que par "PC1", tu ne
veuilles parler de celui qui fait tourner tes serveurs.
Si l'on excepte les services dits "de maintenance" (SSH par exemple),
il est toujours préférable de ne mettre qu'un seul service par machine.
C'est plus sûr et plus facile à administrer. Cependant la problématique
reste la même, bien qu'il existe des modèles bien plus sûr que
celui-ci, il n'en est pas moins suffisant pour des besoins limités.
Par contre, pas de Xen. Faire tourner des machines virtuelles sur un
serveur je trouve cela relativement casse-gueule, sans parler du
l'aspect bouffe-ressource qui ne doit pas être négligeable.
merci de ton avis
Maintenant, si tu pouvais expliciter les points obscurs, tu aurais
peut-être d'autres réponses.
Voici le schéma pour un réseau personel:
Routeur<->Int1-PC1:NAT/Firewall/SQUID-Int2<->switch1<->Int3 PC1:SAMBA,CVS,..
<->PC2
<->PC3
Pour plus d'explications: L'internet arrive sur l'interface 1 (Int1) de PC1.
Désolé, mais je ne comprends pas ton schéma. Tu as un switch qui relie
deux interfaces de ta passerelle entre-elles et est aussi utilisé pour
connecter les autres machines du LAN ? :-/
Bon, partons du principe que le schéma est en fait ceci :
Wild <- Passerelle -> Serveurs
-> Switch -> PC2
-> PC3
-> etc.aa]Pensez-vous que cette configuration est aussi securisante (avec les memes
paramètrages) que deux PC pour remplacer PC1?
[Note : Dans ton schéma, "PC1" c'est la passerelle]
Non. Un firewall configuré en bridge ethernet placé devant le machine
faisant le NAT est plus sécurisant, puisque tu as l'assurance que cette
machine ne sera que très très difficilement compromise. Or, comme c'est
d'elle que dépend le filtrage IP, c'est important.
Cependant, en considérant que la question est "est-ce suffisant", et
qu'il s'agit d'un réseau personnel et non d'un réseau professionnel, la
réponse deviendrait "oui".
bb]Mettre deux serveurs virtuels n'est-il pas mieux approprié (Xen)?
Sur le PC1 ? :-/ Quel intérêt ? :-/ A moins que par "PC1", tu ne
veuilles parler de celui qui fait tourner tes serveurs.
Si l'on excepte les services dits "de maintenance" (SSH par exemple),
il est toujours préférable de ne mettre qu'un seul service par machine.
C'est plus sûr et plus facile à administrer. Cependant la problématique
reste la même, bien qu'il existe des modèles bien plus sûr que
celui-ci, il n'en est pas moins suffisant pour des besoins limités.
Par contre, pas de Xen. Faire tourner des machines virtuelles sur un
serveur je trouve cela relativement casse-gueule, sans parler du
l'aspect bouffe-ressource qui ne doit pas être négligeable.
merci de ton avis
Maintenant, si tu pouvais expliciter les points obscurs, tu aurais
peut-être d'autres réponses.
Avec une seule machine (PC1) équipée de plusieurs interface (int1-2-3) de
type ethernet, est-il possible par un savant réglage entre les différentes
interfaces d'assurer un circuit équivalent à une configuration identique sur
plusieurs machines (firewall, un nat et des services divers (pour un usage
personnel) (c'est plus clair ?? :-o)
Je comprends que cela est loin d'etre la solution préconisée, mais qu'es-ce
qui justifie d'avoir trois machines (firewall, nat, serveurs divers)?
(rappel: réseau personnel)
j'espère avoir été plus clair ...
merci de ta réponse,
Avec une seule machine (PC1) équipée de plusieurs interface (int1-2-3) de
type ethernet, est-il possible par un savant réglage entre les différentes
interfaces d'assurer un circuit équivalent à une configuration identique sur
plusieurs machines (firewall, un nat et des services divers (pour un usage
personnel) (c'est plus clair ?? :-o)
Je comprends que cela est loin d'etre la solution préconisée, mais qu'es-ce
qui justifie d'avoir trois machines (firewall, nat, serveurs divers)?
(rappel: réseau personnel)
j'espère avoir été plus clair ...
merci de ta réponse,
Avec une seule machine (PC1) équipée de plusieurs interface (int1-2-3) de
type ethernet, est-il possible par un savant réglage entre les différentes
interfaces d'assurer un circuit équivalent à une configuration identique sur
plusieurs machines (firewall, un nat et des services divers (pour un usage
personnel) (c'est plus clair ?? :-o)
Je comprends que cela est loin d'etre la solution préconisée, mais qu'es-ce
qui justifie d'avoir trois machines (firewall, nat, serveurs divers)?
(rappel: réseau personnel)
j'espère avoir été plus clair ...
merci de ta réponse,
Un firewall configuré en bridge ethernet placé devant le machine
faisant le NAT est plus sécurisant, puisque tu as l'assurance que cette
machine ne sera que très très difficilement compromise. Or, comme c'est
d'elle que dépend le filtrage IP, c'est important.
Un firewall configuré en bridge ethernet placé devant le machine
faisant le NAT est plus sécurisant, puisque tu as l'assurance que cette
machine ne sera que très très difficilement compromise. Or, comme c'est
d'elle que dépend le filtrage IP, c'est important.
Un firewall configuré en bridge ethernet placé devant le machine
faisant le NAT est plus sécurisant, puisque tu as l'assurance que cette
machine ne sera que très très difficilement compromise. Or, comme c'est
d'elle que dépend le filtrage IP, c'est important.
Malebe devait dire quelque chose comme ceci :Avec une seule machine (PC1) équipée de plusieurs interface (int1-2-3) de
type ethernet, est-il possible par un savant réglage entre les différentes
interfaces d'assurer un circuit équivalent à une configuration identique sur
plusieurs machines (firewall, un nat et des services divers (pour un usage
personnel) (c'est plus clair ?? :-o)
C'est clair, mais c'est non. J'en connais un qui hurlerait, et à juste
titre, s'il était là.
Pour aller plus loin et ne pas seulement dire "c'est mal", ce que moi
je te conseille, c'est le basic. Tu as déjà une passerelle/filtrante
qui a trois interfaces, donc tu montes un trois-pattes des plus
simples.
1) Tu as ta passerelle, mais elle ne fait plus que passerelle et
firewall.
2) Tu gardes ton LAN sur l'interface 2
3) Tu places une machine directement derrière l'interface 3
en exemple, mais dans la mesure où la machine fait tourner des serveurs
et est sur un sous-réseau différents, la configuration du filtre IP est
simple :
En sortie sur l'interface 3, ce que tu veux en fonction de tes
serveurs.
En entrée depuis l'interface 3, *rien*. Ce sont des serveurs, sauf à
avoir un serveur FTP, ils n'ont aucune raison d'initier une connexion,
donc le filtre IP ne les laisse pas le faire.
Malebe devait dire quelque chose comme ceci :
Avec une seule machine (PC1) équipée de plusieurs interface (int1-2-3) de
type ethernet, est-il possible par un savant réglage entre les différentes
interfaces d'assurer un circuit équivalent à une configuration identique sur
plusieurs machines (firewall, un nat et des services divers (pour un usage
personnel) (c'est plus clair ?? :-o)
C'est clair, mais c'est non. J'en connais un qui hurlerait, et à juste
titre, s'il était là.
Pour aller plus loin et ne pas seulement dire "c'est mal", ce que moi
je te conseille, c'est le basic. Tu as déjà une passerelle/filtrante
qui a trois interfaces, donc tu montes un trois-pattes des plus
simples.
1) Tu as ta passerelle, mais elle ne fait plus que passerelle et
firewall.
2) Tu gardes ton LAN sur l'interface 2
3) Tu places une machine directement derrière l'interface 3
en exemple, mais dans la mesure où la machine fait tourner des serveurs
et est sur un sous-réseau différents, la configuration du filtre IP est
simple :
En sortie sur l'interface 3, ce que tu veux en fonction de tes
serveurs.
En entrée depuis l'interface 3, *rien*. Ce sont des serveurs, sauf à
avoir un serveur FTP, ils n'ont aucune raison d'initier une connexion,
donc le filtre IP ne les laisse pas le faire.
Malebe devait dire quelque chose comme ceci :Avec une seule machine (PC1) équipée de plusieurs interface (int1-2-3) de
type ethernet, est-il possible par un savant réglage entre les différentes
interfaces d'assurer un circuit équivalent à une configuration identique sur
plusieurs machines (firewall, un nat et des services divers (pour un usage
personnel) (c'est plus clair ?? :-o)
C'est clair, mais c'est non. J'en connais un qui hurlerait, et à juste
titre, s'il était là.
Pour aller plus loin et ne pas seulement dire "c'est mal", ce que moi
je te conseille, c'est le basic. Tu as déjà une passerelle/filtrante
qui a trois interfaces, donc tu montes un trois-pattes des plus
simples.
1) Tu as ta passerelle, mais elle ne fait plus que passerelle et
firewall.
2) Tu gardes ton LAN sur l'interface 2
3) Tu places une machine directement derrière l'interface 3
en exemple, mais dans la mesure où la machine fait tourner des serveurs
et est sur un sous-réseau différents, la configuration du filtre IP est
simple :
En sortie sur l'interface 3, ce que tu veux en fonction de tes
serveurs.
En entrée depuis l'interface 3, *rien*. Ce sont des serveurs, sauf à
avoir un serveur FTP, ils n'ont aucune raison d'initier une connexion,
donc le filtre IP ne les laisse pas le faire.
Une espèce de DMZ sur l'interface 3, en quelque sorte ?
Mais ce n'est utile que si la machine héberge des services accessibles
depuis l'extérieur, à moins d'avoir bien peu confiance en ses propres
machines, non ? Or je vois mal un serveur Samba entrer dans ce cadre.
Quant au proxy Squid, où le mettrais-tu ? Sur la passerelle ou sur une
machine en DMZ ?
En sortie sur l'interface 3, ce que tu veux en fonction de tes
serveurs.
En entrée depuis l'interface 3, *rien*. Ce sont des serveurs, sauf à
avoir un serveur FTP, ils n'ont aucune raison d'initier une connexion,
donc le filtre IP ne les laisse pas le faire.
Pas sûr qu'avec Samba ce soit aussi simple.
Et si un serveur a besoin de faire des requêtes DNS ?
Une espèce de DMZ sur l'interface 3, en quelque sorte ?
Mais ce n'est utile que si la machine héberge des services accessibles
depuis l'extérieur, à moins d'avoir bien peu confiance en ses propres
machines, non ? Or je vois mal un serveur Samba entrer dans ce cadre.
Quant au proxy Squid, où le mettrais-tu ? Sur la passerelle ou sur une
machine en DMZ ?
En sortie sur l'interface 3, ce que tu veux en fonction de tes
serveurs.
En entrée depuis l'interface 3, *rien*. Ce sont des serveurs, sauf à
avoir un serveur FTP, ils n'ont aucune raison d'initier une connexion,
donc le filtre IP ne les laisse pas le faire.
Pas sûr qu'avec Samba ce soit aussi simple.
Et si un serveur a besoin de faire des requêtes DNS ?
Une espèce de DMZ sur l'interface 3, en quelque sorte ?
Mais ce n'est utile que si la machine héberge des services accessibles
depuis l'extérieur, à moins d'avoir bien peu confiance en ses propres
machines, non ? Or je vois mal un serveur Samba entrer dans ce cadre.
Quant au proxy Squid, où le mettrais-tu ? Sur la passerelle ou sur une
machine en DMZ ?
En sortie sur l'interface 3, ce que tu veux en fonction de tes
serveurs.
En entrée depuis l'interface 3, *rien*. Ce sont des serveurs, sauf à
avoir un serveur FTP, ils n'ont aucune raison d'initier une connexion,
donc le filtre IP ne les laisse pas le faire.
Pas sûr qu'avec Samba ce soit aussi simple.
Et si un serveur a besoin de faire des requêtes DNS ?
Un firewall configuré en bridge ethernet placé devant le machine
faisant le NAT est plus sécurisant, puisque tu as l'assurance que cette
machine ne sera que très très difficilement compromise. Or, comme c'est
d'elle que dépend le filtrage IP, c'est important.
En quoi est-ce significativement plus sécurisant de séparer le filtrage
IP et le NAT sur deux machines différentes ?
Un firewall configuré en bridge ethernet placé devant le machine
faisant le NAT est plus sécurisant, puisque tu as l'assurance que cette
machine ne sera que très très difficilement compromise. Or, comme c'est
d'elle que dépend le filtrage IP, c'est important.
En quoi est-ce significativement plus sécurisant de séparer le filtrage
IP et le NAT sur deux machines différentes ?
Un firewall configuré en bridge ethernet placé devant le machine
faisant le NAT est plus sécurisant, puisque tu as l'assurance que cette
machine ne sera que très très difficilement compromise. Or, comme c'est
d'elle que dépend le filtrage IP, c'est important.
En quoi est-ce significativement plus sécurisant de séparer le filtrage
IP et le NAT sur deux machines différentes ?
Ce n'est pas tant le fait de séparer le NAT et le filtrage IP qui
apporte le plus, que le fait de confier le filtrage IP à un bridge
ethernet.
Pour le NAT, tu es obligé de donner une adresse IP au(x) point(s)
d'entrée et au(x) point(s) de sortie de la machine.
Celle ci est donc
accessible, tant depuis ton LAN en utilisant son adresse IP, que depuis
l'extérieur en jouant sur le TTL des paquets.
Par contre, un bridge ethernet n'a pas d'adresse IP,
et si l'OS sait
gérer tout cela, c'est comme s'il n'existait tout simplement pas. Par
exemple, les paquets passant par le bridge n'auront pas leur TTL
réduite d'une unitée.
Placer le filtre IP sur une telle machine est
donc forcément un plus non négligeable en matière de sécurité, car tu
as l'assurance que quoi qu'il arrive à ton réseau, personne ne pourra
jamais modifier les règles de filtrage.
Ce n'est pas tant le fait de séparer le NAT et le filtrage IP qui
apporte le plus, que le fait de confier le filtrage IP à un bridge
ethernet.
Pour le NAT, tu es obligé de donner une adresse IP au(x) point(s)
d'entrée et au(x) point(s) de sortie de la machine.
Celle ci est donc
accessible, tant depuis ton LAN en utilisant son adresse IP, que depuis
l'extérieur en jouant sur le TTL des paquets.
Par contre, un bridge ethernet n'a pas d'adresse IP,
et si l'OS sait
gérer tout cela, c'est comme s'il n'existait tout simplement pas. Par
exemple, les paquets passant par le bridge n'auront pas leur TTL
réduite d'une unitée.
Placer le filtre IP sur une telle machine est
donc forcément un plus non négligeable en matière de sécurité, car tu
as l'assurance que quoi qu'il arrive à ton réseau, personne ne pourra
jamais modifier les règles de filtrage.
Ce n'est pas tant le fait de séparer le NAT et le filtrage IP qui
apporte le plus, que le fait de confier le filtrage IP à un bridge
ethernet.
Pour le NAT, tu es obligé de donner une adresse IP au(x) point(s)
d'entrée et au(x) point(s) de sortie de la machine.
Celle ci est donc
accessible, tant depuis ton LAN en utilisant son adresse IP, que depuis
l'extérieur en jouant sur le TTL des paquets.
Par contre, un bridge ethernet n'a pas d'adresse IP,
et si l'OS sait
gérer tout cela, c'est comme s'il n'existait tout simplement pas. Par
exemple, les paquets passant par le bridge n'auront pas leur TTL
réduite d'une unitée.
Placer le filtre IP sur une telle machine est
donc forcément un plus non négligeable en matière de sécurité, car tu
as l'assurance que quoi qu'il arrive à ton réseau, personne ne pourra
jamais modifier les règles de filtrage.
Mais ce n'est utile que si la machine héberge des services accessibles
depuis l'extérieur, à moins d'avoir bien peu confiance en ses propres
machines, non ? Or je vois mal un serveur Samba entrer dans ce cadre.
Le second serveur dont Malebe a parlé est un serveur CVS, il serait
étonnant que celui-ci ne soit pas ouvert vers l'extérieur. Mais bon, de
toute façon, dans la mesure ou la machine dispose déjà de la troisième
interface, autant l'utiliser tout de suite pour prendre de bonnes
habitudes. De cette façon, s'il n'a pas encore de serveurs ouvert sur
l'extérieur, il sera prêt lorsque l'envie lui prendra d'en mettre un.
Quant au proxy Squid, où le mettrais-tu ? Sur la passerelle ou sur une
machine en DMZ ?
Etant donné qu'amha il est là pour le filtrage et non pour servir de
cache, sa place est sur la passerelle. Bon, il serait mieux sur une
machine à part, mais cela reste un réseau personnel, on ne va pas non
plus multiplier les machines constituant le firewall.
Mais ce n'est utile que si la machine héberge des services accessibles
depuis l'extérieur, à moins d'avoir bien peu confiance en ses propres
machines, non ? Or je vois mal un serveur Samba entrer dans ce cadre.
Le second serveur dont Malebe a parlé est un serveur CVS, il serait
étonnant que celui-ci ne soit pas ouvert vers l'extérieur. Mais bon, de
toute façon, dans la mesure ou la machine dispose déjà de la troisième
interface, autant l'utiliser tout de suite pour prendre de bonnes
habitudes. De cette façon, s'il n'a pas encore de serveurs ouvert sur
l'extérieur, il sera prêt lorsque l'envie lui prendra d'en mettre un.
Quant au proxy Squid, où le mettrais-tu ? Sur la passerelle ou sur une
machine en DMZ ?
Etant donné qu'amha il est là pour le filtrage et non pour servir de
cache, sa place est sur la passerelle. Bon, il serait mieux sur une
machine à part, mais cela reste un réseau personnel, on ne va pas non
plus multiplier les machines constituant le firewall.
Mais ce n'est utile que si la machine héberge des services accessibles
depuis l'extérieur, à moins d'avoir bien peu confiance en ses propres
machines, non ? Or je vois mal un serveur Samba entrer dans ce cadre.
Le second serveur dont Malebe a parlé est un serveur CVS, il serait
étonnant que celui-ci ne soit pas ouvert vers l'extérieur. Mais bon, de
toute façon, dans la mesure ou la machine dispose déjà de la troisième
interface, autant l'utiliser tout de suite pour prendre de bonnes
habitudes. De cette façon, s'il n'a pas encore de serveurs ouvert sur
l'extérieur, il sera prêt lorsque l'envie lui prendra d'en mettre un.
Quant au proxy Squid, où le mettrais-tu ? Sur la passerelle ou sur une
machine en DMZ ?
Etant donné qu'amha il est là pour le filtrage et non pour servir de
cache, sa place est sur la passerelle. Bon, il serait mieux sur une
machine à part, mais cela reste un réseau personnel, on ne va pas non
plus multiplier les machines constituant le firewall.
Cela dit, ce sont des requêtes simples à filtrer. Deux serveurs NTP
sont suffisants, même chose pour les requêtes DNS, et il n'y a besoin
que d'un serveur SMTP. Pour pouvoir exploiter l'une de ces portes de
sortie, l'attaquant devra d'abord avoir compromis le serveur qui se trouve
à l'autre bout, ce qui limite grandement leur intérêt.
Cela dit, ce sont des requêtes simples à filtrer. Deux serveurs NTP
sont suffisants, même chose pour les requêtes DNS, et il n'y a besoin
que d'un serveur SMTP. Pour pouvoir exploiter l'une de ces portes de
sortie, l'attaquant devra d'abord avoir compromis le serveur qui se trouve
à l'autre bout, ce qui limite grandement leur intérêt.
Cela dit, ce sont des requêtes simples à filtrer. Deux serveurs NTP
sont suffisants, même chose pour les requêtes DNS, et il n'y a besoin
que d'un serveur SMTP. Pour pouvoir exploiter l'une de ces portes de
sortie, l'attaquant devra d'abord avoir compromis le serveur qui se trouve
à l'autre bout, ce qui limite grandement leur intérêt.
