STH compatible 9online ?

"Remy Moulin" <niluomr*ReverseLetters*@club-internet.fr> a écrit dans le
message de news:3f5a30f1$0$20944$7a628cd7@news.club-internet.fr...

"El Cascador !!!" <elcascador@free.fr> a écrit

Bonjour,

Bonsoir,

D'ailleurs en parlant de ça, mon firmware est le suivant GV8BAA3.253, eh
oui, une version G, il "paraît" que c'est la plus débridable... qu'en
est-il?

Mais que c'est exact. Ce modèle en firmware G possède plus de mémoire que
la

version en firmware K, ce qui lui permet d'exécuter des firmwares de
modèle

alcatel supérieurs : ST Pro avec Firewall, voir ST510 (rev. 3). Mais ça
s'arrête là, Alcatel ayant apparemment changé de plateforme materielle et
... crypté ses firmwares (!) pour le ST510 v4 et plus.

Ayant eu à l'origine un STH en version G, j'ai d'abord débridé la fonction
routeur puis passé en version STP with Firewall. Je peux au moins
confirmer

que c'est ok : "chez moi, ça marche !" (tm). Pour le passage en ST510,
j'me

ferais un "God cable" avant... j'me connais...

Le God Cable consiste à se connecter à la RS232 du modem pour lui faire du
bouche à bouche, c'est bien cela?

Le fait de changer la valeur du regsitre au moyen d'un "drv write" lors du
débridage, transforme le modem en routeur. Pour le passer en STP+FW, ne
suffit-il
pas de le passer en mode firewalling=ON par la suite? Ou alors cela
exige-t-il encore
de nouvelles manips? En gros, quelles différences y'a-t-il entre un STP et
un STP+FW
au niveau des manips?

C'est vrai que je pourrais parcourir tout le site de forpage mais mes
questions ne demandent
pas de longues réponses, c'est pourquoi je me permets d'intervenir encore
une fois.

Est-il judicieux de l'upgrader avant? Vers quelle version? Où le
télécharger

le plus sûrement? Y'a-t-il un checksum connu de la bête pour éviter
d'uploader une version "fake"?

Il vaut mieux faire l'inverse : débrider d'abord, puis mettre à jour.

En fait, dans la manip, ça change juste la façon dont on se connecte au
modem en
mode superuser, on fait "td prompt" pour le vieux firmware

La fonction qui permet de changer le code modem/routeur est dispo dans les
STH, STP et STP Firewall, mais plus après...

Les mises à jours officielles STH (ou Pro, c'est pareil) se trouvent un
peu

partout. Les mises à jour vers STP Firewall et ST510 nécessitent d'être
retravaillées pour :
- Changer la signature du logiciel, et faire que le STH accepte de
l'executer
- Réduire la taille du fichier-firmware, car si il y a assez de RAM pour
l'execution, c'est limite pour l'EEPROM (qui simule l'unité de stockage à
long terme).

Peut-on néanmoins faire confiance à tous les firmwares qui traînent sur le
Net?

Concernant les checksums de fichier, l'admin de Forpage a compressé les
firmwares téléchargeables en format ZIP, ce qui permet de bénéficier du
contrôle CRC de ce format, tout en économisant la bande passante du site
(hebergé chez un particulier !)

Ca fait longtemps que j'ai mon modem mais j'ai toujours été frileux de
le

faire. De plus, développant un soft de reconnexion automatique, il eut
été

difficile de tester Casc'ADSL avec un appareil débridé... Enfin bref...

Ça, c'est sûr, tout comme je suis frileux pour le passage ST510, quoique
vu

le nombre de messages dans forpage.com, on peut dire qu'il y en a plus
d'un

qui y est arrivé ;-)

Concernant le firmware ST510v3, un véritable analyste-programmeur est en
train de faire du reverse-ingeneering pour améliorer encore la bête. Si,
jusqu'à présent, il faisait des corrections de bugs, il en est à ..
programmer de nouvelles fonctions ! (Dernières en date : rebouclage des
paquets LAN-WAN-LAN permettant de tester son site web depuis un poste
local,

via l'IP publique, et tester règles NAT et firewall en places;
amélioration

de la fonction "config save" pour ne sauvegarder que les règles NAT
génériques). Chercher les messages de "burningzeroad" sur forpage.

Ca, c'est déjà plus ou moins réalisables via les network tools de
speedguide.net,
par exemple...

Caractèristiques de l'un des derniers firmwares avec améliorations :
http://www.forpage.com/forum/viewtopic.php?t@15

Alléchant, non ?

Oui, mais je vais commencer par le débridage de base, d'abord ;-)

Sur ce, je vous remercie pour toutes vos éventuelles informations...

C'est un plaisir,

--
Herm

Encore merci pour vos informations qui seront les bienvenues !

Cordialement,
Arno

Keep your connection alive with Casc'ADSL @
http://cascadsl.free.fr/
Join the mailing-list @
cascadsl-request@ml.free.fr?subject=subscribe

"El Cascador !!!" <elcascador@free.fr> a écrit

[...]
Le God Cable consiste à se connecter à la RS232 du modem pour lui faire du
bouche à bouche, c'est bien cela?

Oui... Mais pas à la prise RS232 'classique' (dispo dans les "vrais" ST Pro,
et dont l'emplacement est visible sur le PCB des ST Homes).

Il y a un autre port RS232, en basse tension (3,3v), accessible via la prise
bleue visible au milieu de la carte-mère de l'appareil. Celui-ci permet de
dialoguer avec un "Bios" en mémoire morte, et est donc accessible même quand
on a planté l'appareil (Par ex, via une commande fdisk un peu trop vigoureux
;-) ).

C'est l'équivalent de la "disquette/CD de boot" des ordinateurs...

Comme c'est du 3,3v il faut un peut d'électronique de réduction de tension
pour éviter de griller le ST en le reliant à l'ordinateur...

Le fait de changer la valeur du registre au moyen d'un "drv write" lors du
débridage, transforme le modem en routeur.

Ouaip.

Pour le passer en STP+FW, ne suffit-il pas de le passer en mode
firewalling=ON par la suite?

Ou alors cela exige-t-il encore de nouvelles manips?
En gros, quelles différences y'a-t-il entre un STP et un STP+FW au niveau
des manips?

Par défaut, le 'mini-firewall', contrôllable par la commande :
:ip config firewalling=on/off

... ne permet qu'un filtrage de base, et ne fait que protéger la
configuration du modem lui-même (accès http, ftp, telnet : ok uniquement
depuis le LAN; échanges question DNS / réponse DNS uniquement depuis le
WAN).

C'est un piètre firewall en somme, un niveau zéro de sécurité pour le réseau
local.

En firmware STH/P, les ordinateurs ne sont pas protégés par ce firewall -
là, mais par le module de translation d'adresses NAT.

Ce routeur, comme tous les autres, n'est capable de router correctement des
paquets WAN->LAN qu'en réponse à une requête préalable ayant eu pour sens
LAN->WAN, c'est à dire, il ne peut acheminer correctement une réponse venant
du WAN à une machine LAN que s'il a pu mémoriser l'émetteur du paquet
contenant la question. Quand un paquet arrive à l'improviste, c'est
direction poubelle.

Si l'on veut héberger quelque chose sur son LAN et le rendre accessible via
le WAN, il faut impérativement renseigner le routeur, lui faire "ouvrir un
port", lui indiquer quoi faire exactement quand tel ou tel type de paquet
arrive, émis de la part d'un parfait inconnu. C'est ce qu'on appelle, créer
une règle NAT manuelle. Si on traduit en français une règle NAT, mettons
pour permette l'accessibilité d'un site web, ça donne un truc du style "Pour
tout paquet TCP/IP venant du WAN sur le port 80, à destination du routeur,
le remettre sur le LAN à destination de <<mon serveur Web>> sur le port
<<port utilisé par le logiciel gérant le serveur Web>> ".

En l'absence de telle règle NAT, le routeur rends inaccessible les machines
situées après lui.

Le Speed Touch Pro Firewall possède un autre logiciel, bien plus puissant.
Outre le fait qu'il gère ce routage NAT exactement comme le routeur STP, il
est en plus capable de faire du filtrage fin, par port, par plage de port,
par IP, par plage d'IP (en magouillant sur les masques), par sens de
transfert (LAN->WAN, WAN->LAN), par interface (Ethernet->Ethernet,
Ethernet->ATM, ...), etc.

Une application courante de ce Firewall (car c'en est un, un vrai !), c'est
de bloquer les ports 135, 136, 137, plus ceux sur lesquels les OS Microsoft
ont des "petits soucis". Cela permet d'utiliser, avec un peu plus de
tranquilité d'esprit, une autre commande NAT, la commande :nat deferserver,
qui permet de rediriger vers une machine tout paquet entrant inconnu, au
lieu que le modem les poubellisent. Quand on heberge des serveurs divers de
façon temporaire, que l'on fait serveur pour certains jeux, etc... c'est
bien plus simple d'utiliser cette fonction plutôt que d'essayer de trouver
les ports utilisés et de faire une redirection NAT par port.

Ça ne remplace quand même pas les firewalls logiciel que l'on a sur les
ordinateurs : le firewall du routeur NE peut PAS savoir l'identité du
logiciel auteur des trames qu'il voit passer. Il ne peut filtrer que sur la
base des infos présentes dans les paquets IP (adresse IP source/destination,
port source/destination), ou de l'interface par laquelle ils arrivent ou
partent (wan/lan, atm/ethernet). Un logiciel firewall d'ordinateur peut, en
plus, contrôller logiciel par logiciel.

Je ne suis pas un pro du firewall du routeur. Il nécessite quelques heures
de lecture avant de comprendre sa façon de fonctionner, mais les exemples
dispos sur Forpage permettent de faire des filtrages génériques de bonne
qualité, que l'on peut ensuite retoucher au grès de ses envies.

Passer du STH/P en STP with Firewall nécessite donc d'installer un autre
programme, un autre firmware, dans l'appareil. D'ailleurs, l'interface STPwF
est un poil déroutante au début, mais on s'y fait ;-).

C'est vrai que je pourrais parcourir tout le site de forpage mais mes
questions ne demandent pas de longues réponses, c'est pourquoi je me
permets d'intervenir encore

une fois.

Désolé, mais en fait, ces sujets sont complexes. De très bons résumés sont
dispos dans le 'forum' (qui n'en n'est pas un) appelé "FAQs", de forpage.

En fait, dans la manip, ça change juste la façon dont on se connecte au
modem en mode superuser, on fait "td prompt" pour le vieux firmware.

Bon, d'abord, brider / débrider la fonction routeur ne modifie pas la façon
d'entrer en mode expert.

C'est le firmware lui-même qui dicte la façon de faire, donc sans mettre à
jour le firmware, la commande ne change pas.

Avec les firmwares STH/STP officiels, GV8BA... :
- Version 253 et 261, il faut entrer la commande EXPERT (en majuscules) sous
Telnet.
- Version 264, 270 et 281, la commande devient td prompt (deux mots, en
minuscule).

En firmwares modifiés, version STP with Firewall, on revient à la commande
EXPERT.

En firmwares modifié ST510, c'est td prompt (deux mots, nécessite de
connaître le mot de passe), ou td EXPERT (sans même avoir à connaître le mot
de passe superutilisateur).

Ensuite, et comme je le disais, la fonction permettant le changement de code
modem/routeur disparaît avec le ST510. Si vous mettez à jour un STH en
ST510... il reste modem et impossible de le basculer en routeur ! Il faut
re-basculer vers un 'ancien' logiciel, faire le basculement, puis revenir en
ST510.

Pour simplifier : d'abord débrider en routeur, ensuite mettre à jour. C'est
plus simple.

Peut-on néanmoins faire confiance à tous les firmwares qui traînent sur le
Net?

Non. Par contre, ceux de Forpage sont (intensivement) testés et utilisés.
S'il en était un qui mettait systématiquement le souk dans les appareils, ça
se saurait vite. Les manipulations peuvent bloquer l'appareil, donc il est
de bon ton de télécharger le mode d'emploi de mise à jour et de suivre
scrupuleusement ce qui est indiqué pour assurer la réussite de l'opération.
C'est là dessus que je me connais, et que je souhaite me faire ce câble de
backup au cas'z'où :-D.

Ca, c'est déjà plus ou moins réalisables via les network tools de
speedguide.net, par exemple...

C'est encore mieux quand ça fonctionne de façon native, sans béquille
logicielle, non ?

Oui, mais je vais commencer par le débridage de base, d'abord ;-)

Oh oui, une chose après l'autre...

Encore merci pour vos informations qui seront les bienvenues !

Cela va vous faire quelque chose ne ne plus utiliser votre soft si durement
développé :-)

Pour d'autres questions, enregistez-vous sur Forpage et postez dans le forum
STH/P non patchés... enfin, jusqu'à ce que vous ayez fait la manip', bien
sûr !

Ils sont nombreux à donner de l'aide, par là-bas,

--
Herm