Admin6

IT, Réseau, Geek, Datacenter …

Règles de routage simple pour iptables

mar 1

Publié par minimoi dans Linux | Aucun commentaire

Un petit billet dédié pour mon ami foireatout qui aurait besoin de connaître quelques commandes afin d’implémenter des règles pour bien débuter dans ce monde :) Les règle ci-dessous sont très loin d’exploiter toute la puissance de netfilter ;)

Pour faire court, iptables est un logiciel libre qui va permettre de gérer le framework netfilter qui implémente un pare-feu (à partir du noyau 2.4).

Pour notre exemple, notre machine est frontale et possède deux interfaces réseau : WAN (eth0) et LAN (eth1)

Sur l’interface WAN (eth0) plusieurs adresses IP publiques sont directement reliées : (volontairement fausses hein ;) …23.780, 23.782… ca n’existe pas )

eth0 => 91.56.23.780

eth0:0 => 91.56.23.782

eth0:1 => 91.56.23.783

eth0:2 => 91.56.23.784

L’adresse de notre interface LAN eth1 est 192.168.1.254 et notre réseau 192.168.1.0/24

Parmi les machines qui sont sur le LAN nous avons :

machine utilisation adresse ip ip publique à utiliser redirection de ports nat d’adresse ip
www serveur web 192.168.1.10 91.56.23.784 - 91.56.23.784
asterisk serveur sip 192.168.1.11 91.56.23.782 UDP : 10000-20000,5060 -
srvtse serveur TSE 192.168.1.12 91.56.23.780 TCP : 3389 -
srvmail Serveur mail 192.168.1.13 91.56.23.783 TCP : 25,110,143 -
admin Machine administration 192.168.1.20 91.56.23.780 - -

Avant de commencer

Le travail ci-dessous va utiliser la table NAT qui permet d’effectuer de la traduction d’adresses réseau (le NAT) pour les paquets. Ensuite nous allons utiliser les chaines POSTROUTING, PREROUTING et les cibles SNAT, DNAT et MASQUERADE.

Chaine PREROUTING et cible DNAT

Dans la chaine PREROUTING (avant routage) on ne peut modifier que l’adresse de destination (et les numéros de ports au cas où ils seraient déja utilisés), d’ou l’utilisation de la cible DNAT (NAT de destination).

Chaine POSTROUTING et cible SNAT

Dans la chaine POSTROUTING (après routage) on ne peut modifier que l’adresse source, d’ou l’utilisation de la cible SNAT (NAT source).

Cible MASQUERADE

Cette cible permet de déterminer l’adresse IP de sortie pour chaque paquet, ce qui est moins performant car il va vérifier l’interface de sortie pour chaque connexion. MASQUERADE est utilisée dans le cas d’une adresse IP publique dynamique, dans le cas d’IP fixe nous préfèrerons utiliser la cible SNAT en spécifiant l’adresse IP de sortie.

Si déja vous êtes perdu(e) attaquez-vous à iptables-tutorial de Oskar Andreasson à cette adresse : http://www.inetdoc.net/guides/iptables-tutorial/

Simple passerelle

La machine admin a simplement besoin d’utiliser notre serveur en tant que passerelle :

iptables -t nat -A POSTROUTING -s 192.168.1.20/32 -o eth0 -j SNAT --to-source 91.56.23.780

ou en utilisant la cible MASQUERADE :

iptables -t nat -A POSTROUTING -s 192.168.1.20/32 -o eth0 -j MASQUERADE

Si toutefois vous deviez permettre à tout votre réseau 192.168.1.0/24 d’utiliser le serveur en passerelle, remplacez simplement 192.168.1.20/32 par 192.168.1.0/24

NAT d’adresse IP publique

La machine www doit avoir une IP publique nattée (91.56.23.784).

Les commandes suivantes sont pour permettre les connexions entrantes et la seconde les connexions sortantes

iptables -t nat -A PREROUTING -d 91.56.23.784/32 -i eth0 -j DNAT --to-destination 192.168.1.10
iptables -t nat -A POSTROUTING -s 192.168.1.10/32 -o eth0 -j SNAT --to-source 91.56.23.784

Redirection de ports

Le serveur TSE utilise l’IP publique 91.56.23.780 et on veut rediriger le port 3389 TCP :

iptables -t nat -A PREROUTING -d 91.56.23.780/32 -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.12:3389
iptables -t nat -A POSTROUTING -s 192.168.1.12/32 -o eth0 -j SNAT --to-source 91.56.23.780

Le serveur de mail utilise l’IP publique 91.56.23.783 et les ports TCP 25, 110 et 143 :

iptables -t nat -A PREROUTING -d 91.56.23.783/32 -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.13:25
iptables -t nat -A PREROUTING -d 91.56.23.783/32 -i eth0 -p tcp -m tcp --dport 110-j DNAT --to-destination 192.168.1.13:110
iptables -t nat -A PREROUTING -d 91.56.23.783/32 -i eth0 -p tcp -m tcp --dport 143 -j DNAT --to-destination 192.168.1.13:143
iptables -t nat -A POSTROUTING -s 192.168.1.13/32 -o eth0 -j SNAT --to-source 91.56.23.783

Le serveur asterisk utilise l’IP publique 91.56.23.782 et on veut rediriger le port 5060 UDP :

iptables -t nat -A PREROUTING -d 91.56.23.782/32 -i eth0 -p udp -m udp --dport 5060 -j DNAT --to-destination 192.168.1.11:5060
iptables -t nat -A POSTROUTING -s 192.168.1.11/32 -o eth0 -j SNAT --to-source 91.56.23.782

Redirection d’une plage de ports

Le serveur asterisk utilise l’IP publique 91.56.23.782 et on veut rediriger la plage de ports 10000 à 20000 UDP :

iptables -t nat -A PREROUTING -d 91.56.23.782/32 -i eth0 -p udp -m udp --dport 10000:20000 -j DNAT --to-destination 192.168.1.11:10000-20000

Si vous ne l’avez pas déja fait avec une autre règle (cf. la dernière règle pour la redirection de ports), entrez cette commande :

iptables -t nat -A POSTROUTING -s 192.168.1.11/32 -o eth0 -j SNAT --to-source 91.56.23.782

Démarrage machine

Si vous redémarrez votre serveur sachez que les règles iptables ne seront pas restaurées automatiquement, des outils sont là pour vous aider :

iptables-backup et iptables-restore

Tags: , , ,

Concours de programmation IA : Sup’IA

jan 31

Publié par minimoi dans Informations | Aucun commentaire

Organisé par des étudiants de SUPINFO Caen, le concours, ouvert aux personnes de moins de 22 ans,
a pour objectif de proposer un challenge de programmation autour de l’intelligence artificielle.

Débutant comme passionné, vous aurez tout à gagner à participer à cette première édition de SUP’IA.

Ce concours se divisera en plusieurs étapes :
- La première, qui vous permettra aussi de vous inscrire, vous sensibilisera aux grands concepts de l’Intelligence artificielle.
- la deuxième visera à tester vos compétences.
- Puis viendra la finale. Le temps d’un weekend, les meilleurs des deux précédentes étapes se confronteront
sur la programmation d’une intelligence artificielle sur un jeu créé spécialement pour l’occasion.

De nombreux lots sont à prévoir !
Des entreprises seront aussi présentes !
Et bien plus encore !

Alors n’hésitez plus et rendez-vous sur www.sup-ia.fr

Bonne chance !

Tags: , ,

Free mobile … On a tous à y gagner ? ou pas ?

déc 12

Publié par minimoi dans Informations | 2 commentaires

Depuis mon dernier billet je fais preuve d’une patiente gigantesque d’une parce que je ne suis plus engagé auprès de mon opérateur, de deux parce que je n’en peut vraiment plus du téléphone (enfin il n’en peut plus de moi aussi).

J’entends partout Free va tout péter, oui mais à quel prix ? Sur divers forums je lis des réactions où on ne sait pas d’où les types sortent les tarifs de Free mais je vais essayer de faire quelque chose qui pourrait vous aiguiller :) .

Il faut savoir qu’un téléphone type « Smartphone » coûte cher, il est compris dans le prix du forfait que vous payez tous les mois avec votre opérateur.

Je pars du principe où je n’ai pas de freebox déja chez moi donc un nouveau client uniquement mobile ;) .

Sur 20 personnes interrogées ces derniers jours, personne n’a un forfait full illimité … ca tourne aux alentours des 2h, SMS, internet… le forfait de monsieur tout le monde (comme mon forfait !!!).

Je vous présente mon forfait actuel chez Orange :
- 2h + 2h soirs et week-ends
- SMS/MMS Illimités
- 500Mo Web (débit réduit au delà)
- TV Orange
- Avantage 24 mois
= 38€/Mois

C’est le forfait qu’il me faut, je n’utilise pas mes 2h en entier tous les mois, mais les 500 du net sont cramés au bout de 15 jours … La TV, ben heuuu option inutile mais comprise. Il faut aussi souligner que des options comme le double-appel très pratique 2 fois/an sont comprises dedans (certains opérateurs ne l’incluent pas de base)

Le téléphone qui va me servir de support est le HTC Sensation.

C’est un smartphone normal, (j’en entends déja dans la salle qui sont pour Samsung, d’autres pour la pomme et ben pas moi ^^)

Le téléphone neuf, sorti d’usine coûte 400€ soit sur 24 mois 16,67 € Si je garde mon forfait chez Orange il m’est présenté à 1€ (avec 100€ remboursés) ce qui me permet de calculer un forfait brut à 21,33€

 

En peut en lire de toutes les couleurs sur la toile au niveau des prix de Free mais ce ne sont que des spéculations :

Je ne cite pas les sources prises de manière volontaire mais en quelques clics vous les trouverez ;) D’autres avancent que l’offre de free sera une offre unique, d’autres non, la date, certains parlent de tests au mois de Septembre … rien de sûr ;)

Il y a tellement d’informations qui résulte de calculs scientifiques et qui ne sont en aucun cas officielles ni officieuses, Xavier Niel PDG de free nous garde bien la surprise :) Il y a quelques mois on lisait sur le net qu’une offre allait être sur le marché et internet en option à 5€/mois … bref toutes les informations sur les tarifs sont fausses !!!

Revenons à notre forfait :

  • Si Free propose un forfait à 25€ tout illimité (je rêve un peu :p j’ai le droit) je réfléchirais mais celà représenterai une somme totale de 25+16,67 = 41,67€ mois soit 3 euros et quelques de plus tous les mois
  • Si Free propose le même forfait que j’ai (2h, Internet + SMS) à une quinzaine d’euros (là je rêve mois ça j’approcherai de la réalité) cela représenterai une somme de 15€+16.67€ = 31.67€ / mois soit ~6.30€ d’économie par mois …

Ce Week-end Xavier Niel interrogé par les journaliste d’ITexpresso a annoncé quelques informations relayées ci-dessous :

« Je suis étonné d’un truc, c’est que nos concurrents n’ont toujours rien fait. Ils ont micro baissé leurs prix de quelques %. Ce n’est pas raisonnable il faut y aller pour de vrai, il faut vraiment baisser vos prix … avant qu’on arrive »

Oui effectivement les opérateurs n’ont pas baissé leurs tarifs de plusieurs euros … mais ils ont fait des efforts qui ne leur permettra peut-être pas de garder tous leurs clients …

« S’il y a des offres à 10 euros sur le marché, il y aura surement des offres à  5 euros, s’il y a des offres à 7 euros il y aura à 3,50 euros »

Sur cette déclaration je pense qu’il faut partir du principe où le concurrent ne subventionnerai pas lui non plus le mobile. C’est cette déclaration qui augmente le rêve de free :p Moi j’aimerais bien que cela soit réalité et Xavier Niel en est capable. On sera tous fixés et nous devons faire preuve de patiente encore et encore… mais Free mobile n’a pas fini de faire parler de lui :)

Tags: , ,

Panne de climatisation chez Level 3

nov 22

Publié par minimoi dans Datacenters, Informations | Aucun commentaire

Coup de chaud chez Level 3 ! Le spécialiste de l‘hébergement Web et de la colocation de serveurs a connu un incident majeur pendant la nuit de lundi à mardi. Passionné de datacenter (ben quoi ?) j’ai suivi l’actualité sur ce qui se passe chez Level 3.

Une rupture d’une canalisation d’eau alimentant le circuit de refroidissement s’est produite à l’aube. Les équipes technique des différents clients sont sur place afin de couper leurs serveurs avant d’atteindre une température trop élevée.

« Nous avons réparé la fuite et rempli à nouveau le système avec de l’eau, et le niveau suffisant de pression nous a permis de faire redémarrer la moitié du système de climatisation », a indiqué à la mi-journée un responsable du centre, où la température avait dépassé les 50 degrés celsius dans la matinée, mettant les serveurs en difficulté.

Un responsable de la société à indiqué à l’AFP : « Nous avons réparé la fuite et rempli à nouveau le système avec de l’eau, et le niveau suffisant de pression nous a permis de faire redémarrer la moitié du système de climatisation », a indiqué à la mi-journée un responsable du centre, où la température avait dépassé les 50 degrés celsius dans la matinée, mettant les serveurs en difficulté. »

Afin d’avoir une idée de la température subie par les serveurs, voici quelques images fournies par un client de Level3

Sources : AFP, Tom’s Guide

Tags: , ,

Lan party SUPINFO Caen en faveur du téléthon

nov 21

Publié par minimoi dans Informations | 2 commentaires

Une information qui me semble utile à relayer, les étudiants de SUPIFNO Caen organisent une LAN party en faveur du téléthondu 2 au 3 décembre 2011. Différents jeux seront joués en compétition.

Le prix de l’entrée est à 6€ en réservation et passe à 8€ si vous vous inscrivez sur place le 2 décembre !

Voici le site pour s’inscrire : lan.sco-caen.com

Tags: , ,

Free mobile : date de sortie connue ! ou pas !

nov 18

Publié par minimoi dans Informations | 1 commentaire

Comme tout bon geek qui se respecte j’ai suivi avec attention chaque information sur free mobile circulant sur le net.

 

C’est aujourd’hui qu’une information (jugée très fiable) d’après le site MacBidouille est apparue, je cite :

« Selon des informations très fiables que nous venons d’obtenir, la nouvelle date de lancement de Free mobile serait arrêtée au 19 décembre, soit dans un mois. »

Free avait annoncé ses offres mobiles pour Janvier 2012 mais a pris de l’avance.

Ce serait chouette de pouvoir obtenir son forfait chez free pour Noël non ?

On aurait tous aimé le croire ! Malheureusement il est impossible de voir free mobile fonctionner avant Janvier :

- L’accord d’itinérance avec orange ne sera effectif qu’au 1er Janvier 2012 (donc pas de réseau sur 72% du territoire)
- Free ne prendrait pas le risque de crash sur son infra à cause des sms envoyés le soir de la St Sylvestre !

Tags: , ,

Greenshot ! Le logiciel de capture d’écran pour Windows

nov 9

Publié par minimoi dans Logiciels | Aucun commentaire

Il devient très lassant d’utiliser la touche d’impression écran pour faire une capture et de mettre ca dans paint, d’ajouter des modifs, des traits, du texte … L’outil capture Windows est pratique pour les zones mais ne permet pas de modifier directement la capture. Aujourd’hui c’est du passé ! Voici maintenant quelques mois que j’utilise ce logiciel : « Greenshot » (et en plus c’est un projet libre et open source !!!), il est très pratique pour prendre une capture d’écran, il se fond dans la barre de tâches Windows. Il a énormément de fonctionnalités, je commence par vous montrer directement ce que je peux faire en quelques clics et en 2 minutes chrono :


Ces outils prédéfinis vous permettent de gagner du temps lors d’une capture en vous permettant de surligner, de flouter, d’ajouter des champs de texte, des flèches. Mais ce n’est pas tout greenshot vous permet plusieurs paramètres :

 

Ouverture du logiciel d’édition GS

Copier dans le Presse papier

Envoyer en file l’impression (pas très écolo :/ pour un logiciel comportant green dans son nom)

Sauvegarder sous (boite de dialogue)

Sauvegarder directement en respectant le schéma

 

Il se lance au démarrage de Windows (peut être personnalisé) et permet avec diverses combinaisons de capturer une zone (Impr écran), Capturer encore la même région (Shift + Impr écran), de capturer la fenêtre active (Alt + Impr écran) ou bien de capturer le/les écran(s) au complet (Ctrl + Impr écran)

Je vous le conseille, il est vraiment très pratique en environnement de travail Windows !

Voici le site du projet : http://getgreenshot.org

 

 

Tags: , ,

Honda dévoile la nouvelle version d’Asimo

nov 9

Publié par minimoi dans Informations, Technologie | 2 commentaires

ASIMO (アシモ) est un robot Humanoïde » développé par Honda.

« ASIMO » est l’acronyme de « Advanced Step in Innovative MObility » ; prononcé « ashimo » (« des jambes aussi ») en japonais.

ASIMO est un robot de recherche, il n’est donc pas commercialisé. Néanmoins, il a déjà été prêté pour quelques événements publics. Il a aussi été loué par de grandes entreprises comme IBM, afin de remplir la tâche d’hôte d’accueil. En février 2009, il existait plus de 100 robots ASIMO, dans quatre versions différentes.

À terme, les robots ASIMO devront pouvoir venir en aide aux personnes handicapées, âgées ou malades. Ils pourront aussi effectuer des tâches dangereuses pour les humains. (source : wikipedia)

L’ancienne version datait de 2007. Aujourd’hui en Novembre 2011, cette nouvelle version d’Asimo est encore plus fine, arrondie, affinée et avancée car cet humanoïde peut marcher sur des plans inclinés et courir à une vitesse de 7km/h.

Cette nouvelle version est très loin de celle ou Asimo avait chuté en montant un escalier !

Tags: , ,

Le point sur mes produits chez OVH

nov 9

Publié par minimoi dans Informations | 3 commentaires

Pour veux qui ne connaissent pas OVH « OnVous Héberge » sachez que c’est une société basée à Roubaix qui vient de souffler ses 10 premières bougies en 2010. Spécialisée dans l’hébergement, la téléphonie sur IP, les serveurs dédiés, la messagerie électronique, le cloud, le housing, les datacenters et maintenant l’ADSL/VSDL ! Une société qui carbure ! A l’occasion de leurs 10 ans un magasine papier fût édité et livré gratuitement à ceux qui le désiraient. Pour les retardataires la version numérique est disponible ici

Étant client depuis maintenant 4 ans chez OVH et une trentaine de produits chez eux j’ai décidé de partager mon expérience avec vous. Une explication rapide des produits que j’ai utilisés/testés aussi bien pour le travail qu’en perso.

Je vais d’abord faire un récapitulatif des produits puis passer un peu sur l’ensemble de ce que je pense sur OVH :)

Hébergement

Mon premier produit OVH ! De quoi ravir n’importe qui, il a hébergé un morceau de site communautaire quelques temps. Jamais eu de soucis à déclarer. On tous commencé par là (ou presque). J’ai choisi OVH parce que j’avais déjà entendu ce nom plusieurs fois. Il a largement remplacé mon hébergeur pourri de l’époque …

Noms de domaines

Aujourd’hui quand on me pose une question type « Ou déposer mon nom de domaine » la réponse s’arrête à trois lettres : OVH. Aucun commentaire supplémentaire :) J’ai déjà eu à faire à d’autres … j’ai tout migré chez OVH, simplicité de configuration, aucun retard, accréditation sur plusieurs extensions. Le choix est fait ;)

VoIP

Client depuis la gamma de cette offre, j’en suis entièrement ravi pour le prix ! Une bonne qualité, un service très réactif, quelques problèmes rencontrés en 3 ans qui se compte sur les doigts de la main. J’ai installé plusieurs entreprises en VoIP qui représente grosso-modo 150 lignes. C’est bien le seul fournisseur testé qui j’ai conseillé à plein de monde ! J’en ai testé d’autres qui ne sont pas satisfaisants (autant en qualité qu’en service) …

Serveurs : RPS (Real Private Server) et Kimsufi !

Ah la grande histoire du RPS ! C’était un petit serveur mono-coeur avec quelques centaines de Mo en mémoire vive. J’ai eu quelques soucis avec dûs aux fillers. Cette techno s’est avérée très complexe à gérer pour l’entreprise. Octave (DG d’OVH) a annoncé l’arrêt des RPS en Juin 2011. La nouvelle techno est le VPS (Virtual Private Server)

Cela fait maintenant 3 ans que j’ai des kimsufi en location. Ce sont de bons serveurs, j’ai eu quelques soucis avec au niveau matériel qui ont déclenché un incident. Sachez qu’il y a seulement une GTI 4h 24/7 pas de GTR avancée sur les Kimsufi je n’ai jamais eu une interruption supérieur à 1h pour un remplacement de pièce. J’en suis ravi, c’est pour cela que j’ai recommandé ma troisième kimsufi ce mois.

Pour ces services l’accès au manager est très bien fait, un large choix de systèmes à installer. Je pourrais dire que je regrette simplement que les licences Windows MSDNAA ne soient pas prises en compte (j’ai essayé et du coup fait déplacer un technicien sur un serveur pour rien, la clé était refusée, j’ai pas cherché plus longtemps et rien retenté pour ne pas faire perdre de temps, un Linux ! Hop ;) ) EDIT : D’après le commentaire de PoZZyX aujourd’hui c’est possible

Une réinstallation d’un serveur prend environ 20-30 minutes. Pour la sauvegarde un espace disque est mis en place (à activer dans le manager) d’une capacité de 100Go par serveur loué. Largement suffisant pour backuper le principal !

Housing !

Administrateur de plusieurs dizaines de serveurs j’ai eu à faire à certains datacentres. Les plus sérieux avec qui j’ai travaillé sont les personnes de l’équipe d’OVH ! Cette offre se compare avec du plug-and-play : Vous venez avec vos serveurs, vos switchs, vos routeurs, et après c’est du tout cuit :)

Pour info : si vous arrivez avec des racks Dell, il faut dévisser le petit piton qui permet la rotation pour arriver au fond de la baie :) J’avais fait appel à un technicien sur place pour le problème : résolu en 3 minutes chrono !

Vous avez à disposition : téléphones, écran, clavier, souris et outillage pour installer vos machines. Que demande le peuple ?!

C’est la meilleure offre de housing que j’ai rencontrée ! Une bande passante impeccable, un DC assez sécurisé (Badge à chaque porte , caméras). Un petit salon pour travailler dans l’entrée (sur DC1, par contre il fait une chaleur du diable).

Dans les coulisses !

Il faut savoir qu’OVH compte énormément de passionnées, ce n’est pas une boite qui fait du fric pour faire du fric ! C’est mon impression, on a la plupart du temps un problème résolu rapidement. Il y a souvent des versions beta à tester qui permet de faire des remontés de problèmes sur la Mailing-Liste. Il y a plusieurs moyens de contacts avec la team OVH. C’est assez pratique.

Pour le moment j’ai rien à reprocher à OVH, j’ai rencontré un service que qualité depuis le début. Un support réactif qui répond à mes besoins et à celles des sociétés. Il y a ceux qui sont contents et ceux qui n’y sont pas. Moi c’est des autres que je ne suis pas content. Soit parce qu’ils ne réponde pas dans la journée soit parce que leur interface de gestion est un énorme labyrinthe ou d’autres parce que c’est le contrat qui me dérange.

Le futur ?

Je me commanderai bien une VDSL … A 700m du NRA ça pourrait être le pied … Si seulement la zone était dégroupée ! Faites vite les gars! Je connais une bonne cinquantaine de geeks dans le coin qui auraient déjà commandé sinon :)

Emploi ?

OVH recrute ! 110 postes étaient à pourvoir récemment, il reste encore quelques place ! Dommage que je n’habite pas dans le Nord-pas-de-Calais ! Peut-être un jour …

Tags:

Laboratoire sécurité SUPINFO

sept 22

Publié par minimoi dans Informations | Aucun commentaire

Certains connaissent les laboratoires SUPINFO dans lesquels les étudiants participent (articles, news, tips …)

Certains labos se sont retrouvés figés par manque d’intérêt des communautés. je tenais ainsi à partage l’adresse d’un labo qui a été refondé cette année qui est très actif ! On y retrouve des conférences, des articles, des news, des tutos … bref tout ce qui va toucher à la sécurité !

Sachez que le labo sécu a été retenu aux SUPINFO Community Awards, une distinction qui montre la qualité et l’intéressement au travail, vous pouvez les encourage en Aimant leur page Facebook : http://www.facebook.com/labosecu

 

Voici le lien du site labo-security : http://www.labo-security.com/

Tags: , , , , ,