Je reviens à l'assaut, désolé d'être bête et discipliné, après la
lecture de http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
je veux installer un ids selon le shéma suivant. Mes moyens étant
limités, je n'ai pas la possibilé d'avoir une appliance en parefeu, elle
sera remplacée par un routeur avec FW SPI, selon ce shéma donc:
http://www.winsnort.com/data/images/ids.gif
Ma question 1 donc:
Que dois-je mettre comme matériel faisant slave sensor ?
Dans une autre discussion (sur fcre) on m'a parlé de hub ethernet, mais
difficile à trouver parait-il. Est-ce celà?:
<http://www.actn.fr/productlistgen.php?tsearch=FAMSEARCH&CAT=RE&FAM=004&SFA=001>
Ma question 2:
Pour l'utilisation de TCPDump, l'installer ainsi convient-il ?
BoxADSL --- PC + TCPDump --- Routeur --- Lan
Ma question 3:
J'ai une sortie DMZ sur mon routeur FW SPI, où je peux mettre un PC avec
un server WEB, FTP, etc, et bien sûr Snort. Est-ce que la totalité du
trafic envoyé vers mon IP va-t-il être reçu par ce PC ? Ou seulement
tout le trafic qui n'a pas été initié par 1 des PC de mon Lan ?
Comme vous le voyez je patauge, mais je veux comprendre/apprendre, et
n'hésitez pas à me reprendre si les termes que j'emploie ne sont pas
appropriés.
Merci pour vos éclaircissement éventuels.
--
Steph
Enlever l'.adressebidon.invalid pour m'écrire en privé
Mais il m'arrive parfois de me demander quelle est la météo actuelle sur l'internet de m'dame Michu (donc moi), et je lance snort, met mon PC en DMZ (ou connexion directe), et je regarde quelle est la tonalité du bruit de fond à la mode ; le plus dur est de retrouver comment mettre à jour les règles.
ah ben je saurais à qui m'adresser lorsque j'en serais là ;)
D'ailleurs tu m'as fait penser à regarder ce qu'il pense des navigateurs, Snort, je m'y met le we prochain.
Est-ce que tu publies tes résultats sur une page perso ?
Il faut évidemment avoir une machine très religieusement tenue à jour, et savoir très précisément ce qui s'y passe... (enfin autant qu'on puisse). Si tu n'es pas capable au premier coup d'oeil d'identfier un process qui était pas là avant, ni d'interpréter les résultats des anti rootkit divers, mieux vaut oublier...
Oui j'apprends au fur et à mesure. Si tu as des url incontournables, n'hésite pas à me les envoyer, ma curiosité sur ce sujet est boulimique. Si tout le monde suivait à la lettre ton "mieux vaut oublier", il n'y aurait pas beaucoup de L(W)AMP en DMZ branché sur la Toile (à moins que tu parles d'autre chose).
Bon, je n'ai toujours pas de réponses à ma Q de 19h52 hier, mais c'est le WE, grand soleil bleu, profitons !
-- Steph Enlever l'.adressebidon.invalid pour m'écrire en privé
Le 29/09/2007 21:35, Nina Popravka disait:
Mais il m'arrive parfois de me demander quelle est la météo actuelle
sur l'internet de m'dame Michu (donc moi), et je lance snort, met mon
PC en DMZ (ou connexion directe), et je regarde quelle est la tonalité
du bruit de fond à la mode ; le plus dur est de retrouver comment
mettre à jour les règles.
ah ben je saurais à qui m'adresser lorsque j'en serais là ;)
D'ailleurs tu m'as fait penser à regarder ce
qu'il pense des navigateurs, Snort, je m'y met le we prochain.
Est-ce que tu publies tes résultats sur une page perso ?
Il faut évidemment avoir une machine très religieusement tenue à jour,
et savoir très précisément ce qui s'y passe... (enfin autant qu'on
puisse). Si tu n'es pas capable au premier coup d'oeil d'identfier un
process qui était pas là avant, ni d'interpréter les résultats des
anti rootkit divers, mieux vaut oublier...
Oui j'apprends au fur et à mesure. Si tu as des url incontournables,
n'hésite pas à me les envoyer, ma curiosité sur ce sujet est boulimique.
Si tout le monde suivait à la lettre ton "mieux vaut oublier", il n'y
aurait pas beaucoup de L(W)AMP en DMZ branché sur la Toile (à moins que
tu parles d'autre chose).
Bon, je n'ai toujours pas de réponses à ma Q de 19h52 hier, mais c'est
le WE, grand soleil bleu, profitons !
--
Steph
Enlever l'.adressebidon.invalid pour m'écrire en privé
Mais il m'arrive parfois de me demander quelle est la météo actuelle sur l'internet de m'dame Michu (donc moi), et je lance snort, met mon PC en DMZ (ou connexion directe), et je regarde quelle est la tonalité du bruit de fond à la mode ; le plus dur est de retrouver comment mettre à jour les règles.
ah ben je saurais à qui m'adresser lorsque j'en serais là ;)
D'ailleurs tu m'as fait penser à regarder ce qu'il pense des navigateurs, Snort, je m'y met le we prochain.
Est-ce que tu publies tes résultats sur une page perso ?
Il faut évidemment avoir une machine très religieusement tenue à jour, et savoir très précisément ce qui s'y passe... (enfin autant qu'on puisse). Si tu n'es pas capable au premier coup d'oeil d'identfier un process qui était pas là avant, ni d'interpréter les résultats des anti rootkit divers, mieux vaut oublier...
Oui j'apprends au fur et à mesure. Si tu as des url incontournables, n'hésite pas à me les envoyer, ma curiosité sur ce sujet est boulimique. Si tout le monde suivait à la lettre ton "mieux vaut oublier", il n'y aurait pas beaucoup de L(W)AMP en DMZ branché sur la Toile (à moins que tu parles d'autre chose).
Bon, je n'ai toujours pas de réponses à ma Q de 19h52 hier, mais c'est le WE, grand soleil bleu, profitons !
-- Steph Enlever l'.adressebidon.invalid pour m'écrire en privé
mpg
Le (on) samedi 29 septembre 2007 21:35, Nina Popravka a écrit (wrote) :
On 29 Sep 2007 19:04:12 GMT, Steph wrote:
Et toi donc, tu surfes avec ton PC en DMZ, où est installé Snort ?
Il faut évidemment avoir une machine très religieusement tenue à jour, et savoir très précisément ce qui s'y passe... (enfin autant qu'on puisse). Si tu n'es pas capable au premier coup d'oeil d'identfier un process qui était pas là avant, ni d'interpréter les résultats des anti rootkit divers, mieux vaut oublier...
Et sinon, c'est concevable de faire ça sur une machine de test ? Genre une machine que ça dérange pas de réinstaller régulièrement...
Manuel.
Le (on) samedi 29 septembre 2007 21:35, Nina Popravka a écrit (wrote) :
On 29 Sep 2007 19:04:12 GMT, Steph
<steph@lavillerose.com.adressebidon.invalid> wrote:
Et toi donc, tu surfes avec ton PC en DMZ, où est installé Snort ?
Il faut évidemment avoir une machine très religieusement tenue à jour,
et savoir très précisément ce qui s'y passe... (enfin autant qu'on
puisse). Si tu n'es pas capable au premier coup d'oeil d'identfier un
process qui était pas là avant, ni d'interpréter les résultats des
anti rootkit divers, mieux vaut oublier...
Et sinon, c'est concevable de faire ça sur une machine de test ? Genre une
machine que ça dérange pas de réinstaller régulièrement...
Le (on) samedi 29 septembre 2007 21:35, Nina Popravka a écrit (wrote) :
On 29 Sep 2007 19:04:12 GMT, Steph wrote:
Et toi donc, tu surfes avec ton PC en DMZ, où est installé Snort ?
Il faut évidemment avoir une machine très religieusement tenue à jour, et savoir très précisément ce qui s'y passe... (enfin autant qu'on puisse). Si tu n'es pas capable au premier coup d'oeil d'identfier un process qui était pas là avant, ni d'interpréter les résultats des anti rootkit divers, mieux vaut oublier...
Et sinon, c'est concevable de faire ça sur une machine de test ? Genre une machine que ça dérange pas de réinstaller régulièrement...
Manuel.
Fabien LE LEZ
On 30 Sep 2007 15:00:55 GMT, mpg :
Et sinon, c'est concevable de faire ça sur une machine de test ? Genre une machine que ça dérange pas de réinstaller régulièrement...
Tant qu'à faire, si possible, autant utiliser une machine virtuelle (VMware par exemple) : on peut enregistrer l'état de la machine (disque dur, RAM, écran) n'importe quand, ce qui permet de revenir en arrière pour annuler une manoeuvre dangereuse, ou comparer l'état de la machine à deux moments successifs.
On 30 Sep 2007 15:00:55 GMT, mpg <manuel.pg@free.fr>:
Et sinon, c'est concevable de faire ça sur une machine de test ? Genre une
machine que ça dérange pas de réinstaller régulièrement...
Tant qu'à faire, si possible, autant utiliser une machine virtuelle
(VMware par exemple) : on peut enregistrer l'état de la machine
(disque dur, RAM, écran) n'importe quand, ce qui permet de revenir en
arrière pour annuler une manoeuvre dangereuse, ou comparer l'état de
la machine à deux moments successifs.
Et sinon, c'est concevable de faire ça sur une machine de test ? Genre une machine que ça dérange pas de réinstaller régulièrement...
Tant qu'à faire, si possible, autant utiliser une machine virtuelle (VMware par exemple) : on peut enregistrer l'état de la machine (disque dur, RAM, écran) n'importe quand, ce qui permet de revenir en arrière pour annuler une manoeuvre dangereuse, ou comparer l'état de la machine à deux moments successifs.
Nina Popravka
On 30 Sep 2007 09:59:21 GMT, Pascal Hambourg wrote:
PS : rappel, sur le site de snort on trouve ce qu'il faut pour se passer de switch manageable : http://www.snort.org/docs/tap/
Allons, qui peut raisonnablement conseiller ce montage douteux ?
Groumpf, décourage pas les bonnes volontés, depuis le temps que j'attend le témoignage de quelqu'un d'assez inconscient pour tester ce truc... :-)))))) -- Nina
On 30 Sep 2007 09:59:21 GMT, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org> wrote:
PS : rappel, sur le site de snort on trouve ce qu'il faut pour se passer
de switch manageable : http://www.snort.org/docs/tap/
Allons, qui peut raisonnablement conseiller ce montage douteux ?
Groumpf, décourage pas les bonnes volontés, depuis le temps que
j'attend le témoignage de quelqu'un d'assez inconscient pour tester ce
truc...
:-))))))
--
Nina
On 30 Sep 2007 09:59:21 GMT, Pascal Hambourg wrote:
PS : rappel, sur le site de snort on trouve ce qu'il faut pour se passer de switch manageable : http://www.snort.org/docs/tap/
Allons, qui peut raisonnablement conseiller ce montage douteux ?
Groumpf, décourage pas les bonnes volontés, depuis le temps que j'attend le témoignage de quelqu'un d'assez inconscient pour tester ce truc... :-)))))) -- Nina
Eric Razny
Le Sun, 30 Sep 2007 09:59:21 +0000, Pascal Hambourg a écrit :
Par contre si quelqu'un a du temps, un p'tit wrt54gl avec openwrt[1] et netfilter passé au patchomatic avec ROUTE[2] et l'option --gw --tee ça doit faire un jouli switch manageable (comment ça c'est gacher? :) )
ROUTE, c'est mal. :-p
Pas grave, je suis le grand Satan.
D'ailleurs les développeurs de Netfilter ont fini par le virer du patch-o-matic-ng.
Elle reste dans le extra repository. Par parenthèse amha ce n'est pas parce qu'une option peut casser des trucs *avec* un mauvais paramètrage, qu'il ne faut pas la garder. Sinon on peut jeter REJECT ou DROP, car /sbin/iptables -I INPUT 1 -j DROP peut casser des trucs aussi :)
Comme certains regrettaient son option --tee, quelqu'un a écrit une cible TEE reprenant cette fonctionnalité
Oui mais elle n'est pas dans le patchomatic :) comment ça je suis têtu?
Par contre que ce soit TEE tout seul ou --tee --gw de ROUTE ça fait ce que cherche l'OP, et en plus c'est simple à mettre en place.
Archives des discussions sur la liste netfilter-devel : <http://www.gossamer-threads.com/lists/iptables/devel/68316> <http://www.gossamer-threads.com/lists/iptables/devel/68781>
[les archives sur lists.netfilter.org ne marchent plus]
Merci pour les liens.
PS : rappel, sur le site de snort on trouve ce qu'il faut pour se passer de switch manageable : http://www.snort.org/docs/tap/
Allons, qui peut raisonnablement conseiller ce montage douteux ?
Ca dépend clairement ce que tu compte en faire. Pour l'usage de l'OP ça me parait suffisant, pas toi?
Et puis je suis comme Nina, j'aimerais bien un retour!
Le Sun, 30 Sep 2007 09:59:21 +0000, Pascal Hambourg a écrit :
Par contre si quelqu'un a du temps, un p'tit wrt54gl avec openwrt[1] et
netfilter passé au patchomatic avec ROUTE[2] et l'option --gw --tee ça
doit faire un jouli switch manageable (comment ça c'est gacher? :) )
ROUTE, c'est mal. :-p
Pas grave, je suis le grand Satan.
D'ailleurs les développeurs de Netfilter ont fini par le virer du
patch-o-matic-ng.
Elle reste dans le extra repository.
Par parenthèse amha ce n'est pas parce qu'une option peut casser des
trucs *avec* un mauvais paramètrage, qu'il ne faut pas la garder.
Sinon on peut jeter REJECT ou DROP, car
/sbin/iptables -I INPUT 1 -j DROP
peut casser des trucs aussi :)
Comme certains regrettaient son option --tee,
quelqu'un a écrit une cible TEE reprenant cette fonctionnalité
Oui mais elle n'est pas dans le patchomatic :) comment ça je suis têtu?
Par contre que ce soit TEE tout seul ou --tee --gw de ROUTE ça fait ce
que cherche l'OP, et en plus c'est simple à mettre en place.
Archives des discussions sur la liste netfilter-devel :
<http://www.gossamer-threads.com/lists/iptables/devel/68316>
<http://www.gossamer-threads.com/lists/iptables/devel/68781>
[les archives sur lists.netfilter.org ne marchent plus]
Merci pour les liens.
PS : rappel, sur le site de snort on trouve ce qu'il faut pour se passer
de switch manageable : http://www.snort.org/docs/tap/
Allons, qui peut raisonnablement conseiller ce montage douteux ?
Ca dépend clairement ce que tu compte en faire.
Pour l'usage de l'OP ça me parait suffisant, pas toi?
Et puis je suis comme Nina, j'aimerais bien un retour!
Le Sun, 30 Sep 2007 09:59:21 +0000, Pascal Hambourg a écrit :
Par contre si quelqu'un a du temps, un p'tit wrt54gl avec openwrt[1] et netfilter passé au patchomatic avec ROUTE[2] et l'option --gw --tee ça doit faire un jouli switch manageable (comment ça c'est gacher? :) )
ROUTE, c'est mal. :-p
Pas grave, je suis le grand Satan.
D'ailleurs les développeurs de Netfilter ont fini par le virer du patch-o-matic-ng.
Elle reste dans le extra repository. Par parenthèse amha ce n'est pas parce qu'une option peut casser des trucs *avec* un mauvais paramètrage, qu'il ne faut pas la garder. Sinon on peut jeter REJECT ou DROP, car /sbin/iptables -I INPUT 1 -j DROP peut casser des trucs aussi :)
Comme certains regrettaient son option --tee, quelqu'un a écrit une cible TEE reprenant cette fonctionnalité
Oui mais elle n'est pas dans le patchomatic :) comment ça je suis têtu?
Par contre que ce soit TEE tout seul ou --tee --gw de ROUTE ça fait ce que cherche l'OP, et en plus c'est simple à mettre en place.
Archives des discussions sur la liste netfilter-devel : <http://www.gossamer-threads.com/lists/iptables/devel/68316> <http://www.gossamer-threads.com/lists/iptables/devel/68781>
[les archives sur lists.netfilter.org ne marchent plus]
Merci pour les liens.
PS : rappel, sur le site de snort on trouve ce qu'il faut pour se passer de switch manageable : http://www.snort.org/docs/tap/
Allons, qui peut raisonnablement conseiller ce montage douteux ?
Ca dépend clairement ce que tu compte en faire. Pour l'usage de l'OP ça me parait suffisant, pas toi?
Et puis je suis comme Nina, j'aimerais bien un retour!
Pascal Hambourg
ROUTE, c'est mal. :-p
Pas grave, je suis le grand Satan.
D'ailleurs les développeurs de Netfilter ont fini par le virer du patch-o-matic-ng.
Elle reste dans le extra repository.
Ben non, justement. Elle reste juste mentionnée sur le site web et le docs qui ne sont pas à jour. Télécharge un snapshot récent ou va voir dans le SVN, tu ne le trouveras plus. Il n'est même pas dans le sources.list comme certains patches qui on été "externalisés".
Par parenthèse amha ce n'est pas parce qu'une option peut casser des trucs *avec* un mauvais paramètrage, qu'il ne faut pas la garder. Sinon on peut jeter REJECT ou DROP, car /sbin/iptables -I INPUT 1 -j DROP peut casser des trucs aussi :)
Oui mais non. :-) Le problème est que ROUTE court-circuite le routage alors que Netfilter n'est pas censé agir directement à ce niveau mais seulement influer avec les marques ou le NAT. Il bloque, il marque, il modifie les paquets, mais il ne route pas. C'est très sale.
Comme certains regrettaient son option --tee, quelqu'un a écrit une cible TEE reprenant cette fonctionnalité
Oui mais elle n'est pas dans le patchomatic :) comment ça je suis têtu?
C'est vrai - pour les deux.
Par contre que ce soit TEE tout seul ou --tee --gw de ROUTE ça fait ce que cherche l'OP, et en plus c'est simple à mettre en place.
ROUTE et TEE ont néanmoins un inconvénient : comme ils interviennent dans la couche réseau, ils ne prennent en compte que les paquets IPv4 et ne préservent pas les adresses MAC. Et si le suivi de connexion s'en mêle, la fragmentation n'est pas préservée non plus. Il faut voir si c'est gênant ou pas pour l'OP.
PS : rappel, sur le site de snort on trouve ce qu'il faut pour se passer de switch manageable : http://www.snort.org/docs/tap/
Allons, qui peut raisonnablement conseiller ce montage douteux ?
Ca dépend clairement ce que tu compte en faire. Pour l'usage de l'OP ça me parait suffisant, pas toi?
Ça dépend. Déjà ça ne peut marcher qu'en 10Base-T et 100Base-TX, mais pas en gigabit ethernet 1000Base-T qui utilise les 4 paires de façon bidirectionnelle.
Et puis je suis comme Nina, j'aimerais bien un retour!
Tas de feignasses, vous n'avez qu'à essayer vous-mêmes. :-p
ROUTE, c'est mal. :-p
Pas grave, je suis le grand Satan.
D'ailleurs les développeurs de Netfilter ont fini par le virer du
patch-o-matic-ng.
Elle reste dans le extra repository.
Ben non, justement. Elle reste juste mentionnée sur le site web et le
docs qui ne sont pas à jour. Télécharge un snapshot récent ou va voir
dans le SVN, tu ne le trouveras plus. Il n'est même pas dans le
sources.list comme certains patches qui on été "externalisés".
Par parenthèse amha ce n'est pas parce qu'une option peut casser des
trucs *avec* un mauvais paramètrage, qu'il ne faut pas la garder.
Sinon on peut jeter REJECT ou DROP, car
/sbin/iptables -I INPUT 1 -j DROP
peut casser des trucs aussi :)
Oui mais non. :-)
Le problème est que ROUTE court-circuite le routage alors que Netfilter
n'est pas censé agir directement à ce niveau mais seulement influer avec
les marques ou le NAT. Il bloque, il marque, il modifie les paquets,
mais il ne route pas. C'est très sale.
Comme certains regrettaient son option --tee,
quelqu'un a écrit une cible TEE reprenant cette fonctionnalité
Oui mais elle n'est pas dans le patchomatic :) comment ça je suis têtu?
C'est vrai - pour les deux.
Par contre que ce soit TEE tout seul ou --tee --gw de ROUTE ça fait ce
que cherche l'OP, et en plus c'est simple à mettre en place.
ROUTE et TEE ont néanmoins un inconvénient : comme ils interviennent
dans la couche réseau, ils ne prennent en compte que les paquets IPv4 et
ne préservent pas les adresses MAC. Et si le suivi de connexion s'en
mêle, la fragmentation n'est pas préservée non plus. Il faut voir si
c'est gênant ou pas pour l'OP.
PS : rappel, sur le site de snort on trouve ce qu'il faut pour se passer
de switch manageable : http://www.snort.org/docs/tap/
Allons, qui peut raisonnablement conseiller ce montage douteux ?
Ca dépend clairement ce que tu compte en faire.
Pour l'usage de l'OP ça me parait suffisant, pas toi?
Ça dépend. Déjà ça ne peut marcher qu'en 10Base-T et 100Base-TX, mais
pas en gigabit ethernet 1000Base-T qui utilise les 4 paires de façon
bidirectionnelle.
Et puis je suis comme Nina, j'aimerais bien un retour!
Tas de feignasses, vous n'avez qu'à essayer vous-mêmes. :-p
D'ailleurs les développeurs de Netfilter ont fini par le virer du patch-o-matic-ng.
Elle reste dans le extra repository.
Ben non, justement. Elle reste juste mentionnée sur le site web et le docs qui ne sont pas à jour. Télécharge un snapshot récent ou va voir dans le SVN, tu ne le trouveras plus. Il n'est même pas dans le sources.list comme certains patches qui on été "externalisés".
Par parenthèse amha ce n'est pas parce qu'une option peut casser des trucs *avec* un mauvais paramètrage, qu'il ne faut pas la garder. Sinon on peut jeter REJECT ou DROP, car /sbin/iptables -I INPUT 1 -j DROP peut casser des trucs aussi :)
Oui mais non. :-) Le problème est que ROUTE court-circuite le routage alors que Netfilter n'est pas censé agir directement à ce niveau mais seulement influer avec les marques ou le NAT. Il bloque, il marque, il modifie les paquets, mais il ne route pas. C'est très sale.
Comme certains regrettaient son option --tee, quelqu'un a écrit une cible TEE reprenant cette fonctionnalité
Oui mais elle n'est pas dans le patchomatic :) comment ça je suis têtu?
C'est vrai - pour les deux.
Par contre que ce soit TEE tout seul ou --tee --gw de ROUTE ça fait ce que cherche l'OP, et en plus c'est simple à mettre en place.
ROUTE et TEE ont néanmoins un inconvénient : comme ils interviennent dans la couche réseau, ils ne prennent en compte que les paquets IPv4 et ne préservent pas les adresses MAC. Et si le suivi de connexion s'en mêle, la fragmentation n'est pas préservée non plus. Il faut voir si c'est gênant ou pas pour l'OP.
PS : rappel, sur le site de snort on trouve ce qu'il faut pour se passer de switch manageable : http://www.snort.org/docs/tap/
Allons, qui peut raisonnablement conseiller ce montage douteux ?
Ca dépend clairement ce que tu compte en faire. Pour l'usage de l'OP ça me parait suffisant, pas toi?
Ça dépend. Déjà ça ne peut marcher qu'en 10Base-T et 100Base-TX, mais pas en gigabit ethernet 1000Base-T qui utilise les 4 paires de façon bidirectionnelle.
Et puis je suis comme Nina, j'aimerais bien un retour!
Tas de feignasses, vous n'avez qu'à essayer vous-mêmes. :-p
Nina Popravka
On 30 Sep 2007 20:23:49 GMT, Pascal Hambourg wrote:
Et puis je suis comme Nina, j'aimerais bien un retour! Tas de feignasses, vous n'avez qu'à essayer vous-mêmes. :-p
Franchement, je ne me sens pas au niveau technique, faut bricoler plein de fils avec plein de couleurs, certains même avec des rayures. Je préférerais avoir le retour de quelqu'un de techniquement expérimenté, comme Razny ou toi. <panthère rose feignasse> podom, podom, podompodompodom, podompodm...podoooooooommm </panthère rose feignasse> :-)))))))))) -- Nina
On 30 Sep 2007 20:23:49 GMT, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org> wrote:
Et puis je suis comme Nina, j'aimerais bien un retour!
Tas de feignasses, vous n'avez qu'à essayer vous-mêmes. :-p
Franchement, je ne me sens pas au niveau technique, faut bricoler
plein de fils avec plein de couleurs, certains même avec des rayures.
Je préférerais avoir le retour de quelqu'un de techniquement
expérimenté, comme Razny ou toi.
<panthère rose feignasse>
podom, podom, podompodompodom, podompodm...podoooooooommm
</panthère rose feignasse>
:-))))))))))
--
Nina
On 30 Sep 2007 20:23:49 GMT, Pascal Hambourg wrote:
Et puis je suis comme Nina, j'aimerais bien un retour! Tas de feignasses, vous n'avez qu'à essayer vous-mêmes. :-p
Franchement, je ne me sens pas au niveau technique, faut bricoler plein de fils avec plein de couleurs, certains même avec des rayures. Je préférerais avoir le retour de quelqu'un de techniquement expérimenté, comme Razny ou toi. <panthère rose feignasse> podom, podom, podompodompodom, podompodm...podoooooooommm </panthère rose feignasse> :-)))))))))) -- Nina
Nina Popravka
On 30 Sep 2007 15:18:13 GMT, Fabien LE LEZ wrote:
Tant qu'à faire, si possible, autant utiliser une machine virtuelle (VMware par exemple) : on peut enregistrer l'état de la machine (disque dur, RAM, écran) n'importe quand, ce qui permet de revenir en arrière pour annuler une manoeuvre dangereuse, ou comparer l'état de la machine à deux moments successifs.
Eventuellement, et surtout si il s'agit de machine virtuelle, installer un *nix plutôt qu'un win, dans ce cas de figure. La config est strictement identique, sauf qu'il faut être très rompu aux subtilités des chemins d'accès dans le fichier de conf pour faire tomber le truc en marche sous Win, en général (les docs de pingouins laissent toujours de nombreuses embûches pour perturber le windowsien de base...) -- Nina
On 30 Sep 2007 15:18:13 GMT, Fabien LE LEZ <gramster@gramster.com>
wrote:
Tant qu'à faire, si possible, autant utiliser une machine virtuelle
(VMware par exemple) : on peut enregistrer l'état de la machine
(disque dur, RAM, écran) n'importe quand, ce qui permet de revenir en
arrière pour annuler une manoeuvre dangereuse, ou comparer l'état de
la machine à deux moments successifs.
Eventuellement, et surtout si il s'agit de machine virtuelle,
installer un *nix plutôt qu'un win, dans ce cas de figure.
La config est strictement identique, sauf qu'il faut être très rompu
aux subtilités des chemins d'accès dans le fichier de conf pour faire
tomber le truc en marche sous Win, en général (les docs de pingouins
laissent toujours de nombreuses embûches pour perturber le windowsien
de base...)
--
Nina
Tant qu'à faire, si possible, autant utiliser une machine virtuelle (VMware par exemple) : on peut enregistrer l'état de la machine (disque dur, RAM, écran) n'importe quand, ce qui permet de revenir en arrière pour annuler une manoeuvre dangereuse, ou comparer l'état de la machine à deux moments successifs.
Eventuellement, et surtout si il s'agit de machine virtuelle, installer un *nix plutôt qu'un win, dans ce cas de figure. La config est strictement identique, sauf qu'il faut être très rompu aux subtilités des chemins d'accès dans le fichier de conf pour faire tomber le truc en marche sous Win, en général (les docs de pingouins laissent toujours de nombreuses embûches pour perturber le windowsien de base...) -- Nina
Eric Razny
Le Sun, 30 Sep 2007 20:46:58 +0000, Nina Popravka a écrit :
Tas de feignasses, vous n'avez qu'à essayer vous-mêmes. :-p
Eh, ça va pas non, à quoi ça sert sinon de se reposer sur les autres? Steph à l'air plein de bonne volonté.
Franchement, je ne me sens pas au niveau technique, faut bricoler plein de fils avec plein de couleurs, certains même avec des rayures.
Ah les filles... tu préfères les carreaux pour les couleurs?
Je préférerais avoir le retour de quelqu'un de techniquement expérimenté, comme Razny ou toi.
Tu ne m'as visiblement jamais vu souder! Tu sais les gros pâtés qui portent en plus le doux nom de soudures sèches ;) Bon, la pince à sertir ça va mieux quand même.
Plaisanteries mises à part 10Base-T ou 100Base-TX sont probablement suffisant pour l'OP et ça prend de facto en compte la remarque de Pascal sur la couche OSI.
Le Sun, 30 Sep 2007 20:46:58 +0000, Nina Popravka a écrit :
Tas de feignasses, vous n'avez qu'à essayer vous-mêmes. :-p
Eh, ça va pas non, à quoi ça sert sinon de se reposer sur les autres?
Steph à l'air plein de bonne volonté.
Franchement, je ne me sens pas au niveau technique, faut bricoler
plein de fils avec plein de couleurs, certains même avec des rayures.
Ah les filles... tu préfères les carreaux pour les couleurs?
Je préférerais avoir le retour de quelqu'un de techniquement
expérimenté, comme Razny ou toi.
Tu ne m'as visiblement jamais vu souder!
Tu sais les gros pâtés qui portent en plus le doux nom de soudures
sèches ;)
Bon, la pince à sertir ça va mieux quand même.
Plaisanteries mises à part 10Base-T ou 100Base-TX sont probablement
suffisant pour l'OP et ça prend de facto en compte la remarque de Pascal
sur la couche OSI.
Le Sun, 30 Sep 2007 20:46:58 +0000, Nina Popravka a écrit :
Tas de feignasses, vous n'avez qu'à essayer vous-mêmes. :-p
Eh, ça va pas non, à quoi ça sert sinon de se reposer sur les autres? Steph à l'air plein de bonne volonté.
Franchement, je ne me sens pas au niveau technique, faut bricoler plein de fils avec plein de couleurs, certains même avec des rayures.
Ah les filles... tu préfères les carreaux pour les couleurs?
Je préférerais avoir le retour de quelqu'un de techniquement expérimenté, comme Razny ou toi.
Tu ne m'as visiblement jamais vu souder! Tu sais les gros pâtés qui portent en plus le doux nom de soudures sèches ;) Bon, la pince à sertir ça va mieux quand même.
Plaisanteries mises à part 10Base-T ou 100Base-TX sont probablement suffisant pour l'OP et ça prend de facto en compte la remarque de Pascal sur la couche OSI.
Eric Razny
Le Sun, 30 Sep 2007 20:23:49 +0000, Pascal Hambourg a écrit :
Ben non, justement. Elle reste juste mentionnée sur le site web et le docs qui ne sont pas à jour. Télécharge un snapshot récent ou va voir dans le SVN, tu ne le trouveras plus. Il n'est même pas dans le sources.list comme certains patches qui on été "externalisés".
Glups. Ca c'est du nettoyage.
Oui mais non. :-) Le problème est que ROUTE court-circuite le routage alors que Netfilter n'est pas censé agir directement à ce niveau mais seulement influer avec les marques ou le NAT. Il bloque, il marque, il modifie les paquets, mais il ne route pas. C'est très sale.
C'est clair que ça justifie sa disparition du pom, mais ils auraient pu le laisser en sources.list, ça ne fait pas de mal parfois les quicks&dirty tricks : quand tu veux juster tester un truc pendant un temps court et que ça prendrait trois plombes à faire proprement Remarque c'est comme ça en général que ça dégénère, quand le bidule bien cracra est finalement utile et finit par rester (et c'est aussi super bon pour la sécurité du tout :) )
ROUTE et TEE ont néanmoins un inconvénient : comme ils interviennent dans la couche réseau, ils ne prennent en compte que les paquets IPv4 et ne préservent pas les adresses MAC. Et si le suivi de connexion s'en mêle, la fragmentation n'est pas préservée non plus. Il faut voir si c'est gênant ou pas pour l'OP.
Au temps pour moi, l'OP parlait de mettre snort après le routeur, et dans ce cas effectivement il faut redescendre au moins d'un niveau s'il veut voir les trames ethernet passer.
Le Sun, 30 Sep 2007 20:23:49 +0000, Pascal Hambourg a écrit :
Ben non, justement. Elle reste juste mentionnée sur le site web et le
docs qui ne sont pas à jour. Télécharge un snapshot récent ou va voir
dans le SVN, tu ne le trouveras plus. Il n'est même pas dans le
sources.list comme certains patches qui on été "externalisés".
Glups. Ca c'est du nettoyage.
Oui mais non. :-)
Le problème est que ROUTE court-circuite le routage alors que Netfilter
n'est pas censé agir directement à ce niveau mais seulement influer avec
les marques ou le NAT. Il bloque, il marque, il modifie les paquets,
mais il ne route pas. C'est très sale.
C'est clair que ça justifie sa disparition du pom, mais ils auraient pu
le laisser en sources.list, ça ne fait pas de mal parfois les
quicks&dirty tricks : quand tu veux juster tester un truc pendant un
temps court et que ça prendrait trois plombes à faire proprement
Remarque c'est comme ça en général que ça dégénère, quand le
bidule bien cracra est finalement utile et finit par rester (et c'est
aussi super bon pour la sécurité du tout :) )
ROUTE et TEE ont néanmoins un inconvénient : comme ils interviennent
dans la couche réseau, ils ne prennent en compte que les paquets IPv4 et
ne préservent pas les adresses MAC. Et si le suivi de connexion s'en
mêle, la fragmentation n'est pas préservée non plus. Il faut voir si
c'est gênant ou pas pour l'OP.
Au temps pour moi, l'OP parlait de mettre snort après le routeur, et dans
ce cas effectivement il faut redescendre au moins d'un niveau s'il veut
voir les trames ethernet passer.
Le Sun, 30 Sep 2007 20:23:49 +0000, Pascal Hambourg a écrit :
Ben non, justement. Elle reste juste mentionnée sur le site web et le docs qui ne sont pas à jour. Télécharge un snapshot récent ou va voir dans le SVN, tu ne le trouveras plus. Il n'est même pas dans le sources.list comme certains patches qui on été "externalisés".
Glups. Ca c'est du nettoyage.
Oui mais non. :-) Le problème est que ROUTE court-circuite le routage alors que Netfilter n'est pas censé agir directement à ce niveau mais seulement influer avec les marques ou le NAT. Il bloque, il marque, il modifie les paquets, mais il ne route pas. C'est très sale.
C'est clair que ça justifie sa disparition du pom, mais ils auraient pu le laisser en sources.list, ça ne fait pas de mal parfois les quicks&dirty tricks : quand tu veux juster tester un truc pendant un temps court et que ça prendrait trois plombes à faire proprement Remarque c'est comme ça en général que ça dégénère, quand le bidule bien cracra est finalement utile et finit par rester (et c'est aussi super bon pour la sécurité du tout :) )
ROUTE et TEE ont néanmoins un inconvénient : comme ils interviennent dans la couche réseau, ils ne prennent en compte que les paquets IPv4 et ne préservent pas les adresses MAC. Et si le suivi de connexion s'en mêle, la fragmentation n'est pas préservée non plus. Il faut voir si c'est gênant ou pas pour l'OP.
Au temps pour moi, l'OP parlait de mettre snort après le routeur, et dans ce cas effectivement il faut redescendre au moins d'un niveau s'il veut voir les trames ethernet passer.
