Blog du grouik - Mot-clé - RéseauLe blog du grouik. Memos d'un Admin sys linux windows, logiciels libres, imprimante 3D2024-01-16T12:12:27+00:00Gniearkurn:md5:87c2396a7331cd5cd18f8751d216ec7bDotclearModifier les permissions des sites dans IE et Mozilla Firefox (Environnement Active Directory)urn:md5:10510517b3e5e7c5659094ac130c26222018-04-06T10:16:00+02:002018-04-06T09:31:52+02:00gniearkscripts shell bashFirefoxRéseauwindows <p>Voici tout d'abord une (pas assez courte) introduction pour expliquer le contexte.</p>
<p>Environnement Microsoft Windows avec un contrôleur de domaine AD/DS. Donc quand je parlerai de "domaine" dans ce billet, c'est bien sous entendu un domaine Microsoft Active directory. Oui, pour une fois ce billet touche à de l'administration système Windows.</p>
<p>Nous déployons une GED <sup>[<a href="https://blog-du-grouik.tinad.fr/post/2018/04/06/Modifier-les-permissions-des-sites-dans-Mozilla-Firefox-%28Environnement-Active-Directory%29#wiki-footnote-1" id="rev-wiki-footnote-1">1</a>]</sup>.
Certaines fonctionnalités de la GED déclenchent l'ouverture de Microsoft office. Fatalement par défaut, le navigateur et Office refusent de faire ça sans quelques avertissements.</p>
<p>Un des objectifs avant la mise en production est de limiter le nombre de messages d’avertissements que subiront les moldus:</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.image002_m.png" alt="image001.png" style="display:table; margin:0 auto;" title="image002.png, mar. 2018" /></p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.image001_m.png" alt="image001.png" style="display:table; margin:0 auto;" title="image001.png, mar. 2018" /></p>
<h3>Pour IE</h3>
<p>C'est assez simple. Une petite GPO pour ajouter l'URL dans les sites de confiance:</p>
<p>Configuration Ordinateur > stratégies > Modèles > Composants windows > Internet Explorer > Onglet sécurité</p>
<p>Liste des attributions de sites aux zones:</p>
<p><a href="https://blog-du-grouik.tinad.fr/public/Capture-gpo-attribution-sites-zones-ie.PNG" title="Capture-gpo-attribution-sites-zones-ie.PNG"><img src="https://blog-du-grouik.tinad.fr/public/.Capture-gpo-attribution-sites-zones-ie_m.png" alt="Capture-gpo-attribution-sites-zones-ie.PNG" style="display:table; margin:0 auto;" title="Capture-gpo-attribution-sites-zones-ie.PNG, mar. 2018" /></a></p>
<p>La valeur 2 correspond à la zone des sites approuvés<sup>[<a href="https://blog-du-grouik.tinad.fr/post/2018/04/06/Modifier-les-permissions-des-sites-dans-Mozilla-Firefox-%28Environnement-Active-Directory%29#wiki-footnote-2" id="rev-wiki-footnote-2">2</a>]</sup></p>
<h3>Pour Firefox</h3>
<p>C'est plus compliqué. Firefox ne fonctionne pas par "zones", mais vraiment site par site. Apres un click sur le "i" à gauche de l'URL; ">"; plus d'informations; onglet permission:</p>
<p><a href="https://blog-du-grouik.tinad.fr/public/Capture-permissions-bdg.PNG" title="Capture-permissions-bdg.PNG"><img src="https://blog-du-grouik.tinad.fr/public/.Capture-permissions-bdg_m.png" alt="Capture-permissions-bdg.PNG" style="display:table; margin:0 auto;" title="Capture-permissions-bdg.PNG, avr. 2018" /></a></p>
<p>Dans le cas de notre GED, il faudrait que Microsoft Office soit en mode "autorisé".</p>
<p>Je n'ai ni trouvé comment le faire via une GPO simple, ni en passant par la fonction "pref"du potentiel fichier user.js.</p>
<p>Les permissions des sites sont stockées dans le profil de l'user (app_data), dans un fichier sqlite. Voici le script qui:</p>
<ul>
<li>Télécharge le client sqlite</li>
<li>Fait la requête d'ajout d'une permission.</li>
</ul>
<p>Au préalable, Vous <a href="https://www.sqlite.org/download.html">téléchargez SQLITE</a>, en extrayez le fichier sqlite3.exe (le client sqlite) et le déposez sur un partage auquel les utilisateurs du domaine auront accès (j'utilise le sysvol pour ça).</p>
<p>Dans le script suivant, remplacez</p>
<ul>
<li>"https://yourSite.local" par l'URL qui doit avoir ce privilège (Il est possible d'utiliser des wildcards https//*.domaineAD.lan par exemple ) .</li>
<li>\\DOMAINE.local\sysvol\DOMAINE.local\scripts\sqlite3.exe par le chemin UNC qui correspond à l'endroit où vous avez déposé le binaire sqlite.</li>
</ul>
<pre>
@echo off
REM Configuration avancée de Firefox
REM l'utilisation de microsoft office via firefox depuis le site https://yourSite.local est autorisé.
copy \\DOMAINE.local\sysvol\DOMAINE.local\scripts\sqlite3.exe "%TEMP%\sqlite3.exe"
FOR /D %%P IN ("%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\*") DO (
%TEMP%\sqlite3.exe %%P\permissions.sqlite "insert into moz_perms values (null,'https://yourSite.local','plugin:npspwrap',1,0,0,null);" >NUL
%TEMP%\sqlite3.exe %%P\permissions.sqlite "insert into moz_perms values (null,'https://yourSite.local','plugin:npauthz',1,0,0,null);" >NUL
)
</pre>
<p>Voila il ne vous reste plus qu'à utiliser une GPO pour placer ce script à l'ouverture de session utilisateur.</p>
<div class="footnotes"><h4>Notes</h4>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2018/04/06/Modifier-les-permissions-des-sites-dans-Mozilla-Firefox-%28Environnement-Active-Directory%29#rev-wiki-footnote-1" id="wiki-footnote-1">1</a>] Gestion éléctronique de documents <a href="https://www.alfresco.com/fr/">Alfresco</a></p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2018/04/06/Modifier-les-permissions-des-sites-dans-Mozilla-Firefox-%28Environnement-Active-Directory%29#rev-wiki-footnote-2" id="wiki-footnote-2">2</a>] On pourrait croire que le comportement du navigateur et de l'OS soit encore moins durci pour la zone 1 qui correspond aux sites intranet. Les essais effectués m'ont montré que ce n'est pas le cas.</p></div>
Lien internet de secours pour tout le LANurn:md5:2fedf49e8efe219bfbcbd793844e548e2017-05-19T09:03:00+02:002017-05-19T09:03:00+02:00gniearkDépannages informatiquesdhcpRéseauwindows <h3>Le contexte:</h3>
<ul>
<li>Réseau active directory principalement Windows 7 et 10 (possibilité de passer des GPO)</li>
<li>Pas de Load balancer <sup>[<a href="https://blog-du-grouik.tinad.fr/post/2017/05/19/Lien-internet-de-secours#wiki-footnote-1" id="rev-wiki-footnote-1">1</a>]</sup> sur le lien internet</li>
<li>DHCP</li>
<li>1 lien internet principal et un "accessoire" (une freebox qui sert à quelques opérations de maintenance)</li>
</ul>
<h3>Objectif:</h3>
<p>En cas de panne du lien principal, les ordinateurs choisissent d'eux même de passer par le petit lien secondaire.</p>
<h3>Principes:</h3>
<p>Windows permet de mettre en place plusieurs passerelles avec une notion de "Métrique".
Si vous avez plusieurs passerelles, Celle avec le métrique le plus faible sera préférée.</p>
<p>Ca peut se régler au niveau de "propriétés de la carte" > IPV4 -> Propriétés > avancé</p>
<p><a href="https://blog-du-grouik.tinad.fr/public/reseau-avance.png" title="reseau-avance.png"><img src="https://blog-du-grouik.tinad.fr/public/.reseau-avance_m.png" alt="reseau-avance.png" style="display:table; margin:0 auto;" title="reseau-avance.png, mai 2017" /></a></p>
<p>Sauf que:</p>
<ul>
<li>Une passerelle qui a été mise en "dur" dans la configuration IP de l'ordinateur n'a par défaut pas de Métrique. N'importe quelle passerelle ajoutée avec une métrique sera donc prioritaire.</li>
<li>De façon contraire, une passerelle obtenue par DHCP obtient automatiquement la métrique de 10 (il n'est pas possible d'indiquer de métrique en DHCP) <sup>[<a href="https://blog-du-grouik.tinad.fr/post/2017/05/19/Lien-internet-de-secours#wiki-footnote-2" id="rev-wiki-footnote-2">2</a>]</sup></li>
</ul>
<h3>Mise en place:</h3>
<p>Les PC étant en DHCP, ils ont la passerelle principale avec la métrique 10, j'ajoute par GPO l'éxécution du script suivant au démarrage de l'ordinateur:</p>
<pre class="brush: bash">@echo off
route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.2 metric 20</pre>
<p>192.168.1.2 étant l'IP de la passerelle secondaire.</p>
<p>Pour les quelques serveurs à l'IP fixe (exclus de la GPO), le paramétrage se fait à la main "propriétés de la carte" > IPV4 -> Propriétés > avancé</p>
<h3>Vérifier / maintenir</h3>
<p>Pour vérifier la présence de la route sur un poste la commande MSDOS est:</p>
<pre class="brush: bash">route print</pre>
<div class="footnotes"><h4>Notes</h4>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2017/05/19/Lien-internet-de-secours#rev-wiki-footnote-1" id="wiki-footnote-1">1</a>] et je déconseille d'en avoir</p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2017/05/19/Lien-internet-de-secours#rev-wiki-footnote-2" id="wiki-footnote-2">2</a>] Enfin nous n'avons pas trouvé, les commentaires sont là pour ça, </p></div>
Debian 8 et les changements de réseauurn:md5:993fa2914d774161ca76858d1f8104f62016-08-07T17:11:00+02:002017-02-24T11:57:53+01:00gniearkDépannages informatiquesdebianRéseau <p>Nouveau rythme de vie, nouveaux usages de mon PC portable.</p>
<ul>
<li>Dans le train, j'"accroche" mon PC portable en USB <sup>[<a href="https://blog-du-grouik.tinad.fr/post/2016/08/07/Debian-8-et-les-changements-de-r%C3%A9seau#wiki-footnote-1" id="rev-wiki-footnote-1">1</a>]</sup> à mon téléphone Android afin de partager la connexion. La carte réseau est alors usb0</li>
<li>Au travail, je le relie en RJ45 au lan la carte réseau utilisée est alors eth0</li>
<li>Chez moi, c'est généralement en wifi que mon PC est connecté. Wlan0</li>
</ul>
<p>Sauf que ça marche mal. Voici le test à l'instant.</p>
<ul>
<li>Je me mets en partage de connexion USB.</li>
<li>Je vérifie le résultat de la commande ifconfig. OK</li>
<li>Je pingue 8.8.8.8 OK</li>
</ul>
<p><a href="https://blog-du-grouik.tinad.fr/public/logs1.txt">Voici les détails</a></p>
<ul>
<li>Je débranche mon tel,</li>
<li>Je me mets sur le wifi</li>
<li>Je checke l'ifconfig, c'est cohérent</li>
<li>Je pingue 8.8.8.8, ça ne marche pas.</li>
</ul>
<p><a href="https://blog-du-grouik.tinad.fr/public/logs2.txt">Voici les détails</a></p>
<p>J'envoie la commande:</p>
<pre>yash bash
dhcclient wlan0
</pre>
<p>Et ça marche</p>
<p>Et ce problème se produit dans d'autres sens (passage de la connexion wifi vers usb ou filaire vers wifi etc....</p>
<h3>La solution temporaire:</h3>
<p>Lorsque je suis en wifi, je saisis la commande:</p>
<pre class="brush: bash">dhcclient wlan0</pre>
<p>Lorsque je suis connecté en USB:</p>
<pre class="brush: bash">dhcclient usb0</pre>
<p>Et le rootage se fait comme il faut.
Mais je préfererais faire du plug and play et ne pas avoir à ouvrir un terminal en root à chaque changement de connexion.</p>
<h3>Cherchons la solution automatique</h3>
<p>Bah, j'ai la flegme de réfléchir. Je fais le bourrin, je dégage Network-manager et configure tout dans le fichier /etc/network/interfaces</p>
<p><a href="https://blog-du-grouik.tinad.fr/public/Capture_d_ecran_de_2016-08-07_15_13_16.png" title="Capture_d_ecran_de_2016-08-07_15_13_16.png"><img src="https://blog-du-grouik.tinad.fr/public/.Capture_d_ecran_de_2016-08-07_15_13_16_m.png" alt="Capture_d_ecran_de_2016-08-07_15_13_16.png" style="display:table; margin:0 auto;" title="Capture_d_ecran_de_2016-08-07_15_13_16.png, août 2016" /></a>
<em>Devinette, Quel est le prénom de mon voisin? Quel est son FAI? Est-ce que ces infos suffiraient à tenter un bon pishing bien personnalisé pour récupérer des codes de carte bleue?</em></p>
<pre class="brush: bash">apt-get remove network-manager
vi /etc/network/interfaces</pre>
<pre>
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
auto eth0
allow-hotplug eth0
iface eth0 inet dhcp
auto wlan0
allow-hotplug wlan0
iface wlan0 inet dhcp
wpa-ssid proutcacaboudin2
wpa-psk azerty
auto usb0
allow-hotplug usb0
iface usb0 inet dhcp
</pre>
<p>Voilà, ça marche mieux... Bon Ok, c'est la méthode "à la truelle dans les fichiers de paramétrage" ...
Pour gérer plusieurs réseaux wifi, jetez un coup d'oeil à<a href="https://wiki.debian.org/fr/WiFi/HowToUse#wpa_supplicant"> wpa_supplicant</a></p>
<div class="footnotes"><h4>Note</h4>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2016/08/07/Debian-8-et-les-changements-de-r%C3%A9seau#rev-wiki-footnote-1" id="wiki-footnote-1">1</a>] Je suppose que ça consomme moins la batterie que de faire un pont wifi, mais ça reste à vérifier</p></div>
IPTables2, Router via passerelle une différente en fonction du port de destinationurn:md5:aa5f1b79d8bbc0859009de51c4515c532014-07-08T16:10:00+02:002017-02-24T00:39:30+01:00gniearkServeurs http web et autresIPTablesRéseauTutoriel-mémo <p><a href="https://blog-du-grouik.tinad.fr/public/switch.jpg" title="switch.jpg"><img src="https://blog-du-grouik.tinad.fr/public/.switch_m.jpg" alt="switch.jpg" style="display:table; margin:0 auto;" title="switch.jpg, juil. 2014" /></a></p>
<p>::TOC::</p>
<h2>Descriptif de la passerelle</h2>
<p>Un serveur sous debian 7 qui sert de passerelle avec trois cartes réseaux.</p>
<ul>
<li>eth0 vers le LAN</li>
<li>eth1 vers un modem Orange Buisness</li>
<li>eth2 vers une Box Bouygues Telecom</li>
</ul>
<p>Les cartes sont configurées comme ceci dans le fichier /etc/network/interfaces</p>
<pre class="brush: bash">#s file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo eth0 eth1 eth2
iface lo inet loopback
# The primary network interface Carte vers le LAN
allow-hotplug eth0
iface eth0 inet static
address 192.168.15.253
netmask 255.255.255.0
network 192.168.15.0
broadcast 192.168.15.255
dns-nameservers 127.0.0.1 192.168.15.254
dns-search lan
#carte reseau vers le modem Orange
iface eth1 inet static
address 192.168.10.252
netmask 255.255.255.0
broadcast 192.168.10.255
network 192.168.10.0
gateway 192.168.10.1
#carte reseau vers le modem Bouygues (IP bytel box 192.168.1.254)
iface eth2 inet static
address 192.168.1.10
netmask 255.255.255.0
broadcast 192.168.1.255
network 192.168.1.0</pre>
<p>A ce niveau là, toutes les connexions vers l'extérieur passent par le lien Orange, mais on peut pinguer la box Bouygues.</p>
<p>La commande route -n retourne:</p>
<pre>
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.10.1 0.0.0.0 UG 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.15.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
</pre>
<p>Dans ce tuto je suppose que vous avez su configurer vos trois cartes réseau à peu près de cette manière.</p>
<h2>Objectif</h2>
<p>Dans ce billet, je ne vais pas décrire comment faire un vrai load balancing à base d'IPtable. Tout simplement parce que les deux points d'accès internet n'ont pas les même particularités. Le lien Orange Buisness a une IP fixe et un reverse DNS paramétré. Le smtp par exemple, doit absolument sortir par ce lien. Tandis que la box Bouygues est techniquement la même chose que ce qu'ils offrent aux particuliers (TV en moins).</p>
<p>On va router de cette manière:</p>
<ul>
<li>Par défaut: ça passe par le lien Orange</li>
<li>Le HTTPS et le HTTP (le surf du personnel et des quelques patients à qui je fournis un point internet) passent par le lien Bouygues.</li>
</ul>
<p>Ça me permet d'alléger le lien Orange, et aussi d'anonymiser un peu le surf des utilisateurs de l’Hôpital qui m'emploie. Jusqu'à avant hier, lorsqu'un patient allait sur internet, le webmaster du site pouvait voir avec le Reverse DNS et le WHOIS que la connexion provenait d'un centre Hospitalier (à vocation gériatrique vu l'intitulé qu'a mis Orange dans le Whois).</p>
<h2>C'est parti pour le paramétrage</h2>
<h3>Créer une deuxième table de routage</h3>
<p>Vu que dans le fichier /etc/network/interfaces la gateway est renseignée pour le lien Orange, la table de routage par défaut est automatiquement créée. On ne va donc pas se occuper d'Orange, mais seulement du lien bouygues dans la suite.</p>
<p>On ajoute "2 bouygues" à la fin du fichier /etc/iproute2/rt_tables comme ceci:</p>
<pre>
#
# reserved values
#
255 local
254 main
253 default
0 unspec
#
# local
#
#1 inr.ruhep
2 bouygues
</pre>
<h3>IPTABLES: Quand et comment le serveur doit appliquer cette table de routage.</h3>
<p>Toute la suite, je la fais dans mon script qui me sert de pare feu, et qui est lancé au démarrage du serveur.
Seule la fin du script sert au forwarding. L'idée est que vous puissiez adapter votre propre script de parefeu de votre passerelle.</p>
<pre></pre>
<p>Les explications sont en commentaire.</p>
<pre class="brush: bash">#! /bin/sh
### BEGIN INIT INFO
# Provides: firewall
# Required-Start:
# Required-Stop:
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: firewall
# Description:
### END INIT INFO
# Interface qui est sur Internet (WAN) Lien Orange IP fixe
WAN_IFACE="eth1"
#Inerface Bouygues (IP publique non fixe)
WAN_IFACE_BYTEL="eth2"
# Interface qui est dans votre réseau local (LAN)
LAN_IFACE="eth0"
###### Debut Initialisation ######
# Réinitialisation
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
# Les tables sont effacées.
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
# bloquer le trafic (comportement par défaut).
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
########### Regles pour que le serveur fonctionne (SSH, HTTP, HTTPS) ##########
#Cette partie est mise à titre d'exemple mais ce n'est pas l'objet de ce billet,
#Pour les règles concernant le FORWARDING et la répartition entre les deux tables
#de routage, allez directement à la fin du script
# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
#on accepte le ping
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
#NTP (synchronisation de l'heure du serveur)
iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT
#DNS (le serveur DNS est configuré pour ne pas répondre à une requete
# Ne provenant pas du LAN)
iptables -t filter -A INPUT -p tcp --destination-port 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --destination-port 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --destination-port 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --destination-port 53 -j ACCEPT
#SSH (accessible depuis l'extérieur avec une clé uniquement)
iptables -t filter -A INPUT -p tcp --destination-port 22 -j ACCEPT
# HTTP HTTPS
#Commentez ces lignes si votre serveur ne sert pas de serveur WEB
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 443 -j ACCEPT
#Pour que le serveur puisse faire des requetes http et https
iptables -A OUTPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 443 -j ACCEPT
# Dans mon cas, c'est un serveur de Mail
iptables -t filter -A INPUT -p tcp --destination-port 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --destination-port 110 -j ACCEPT
iptables -t filter -A INPUT -p tcp --destination-port 143 -j ACCEPT
iptables -t filter -A INPUT -p tcp --destination-port 993 -j ACCEPT
iptables -t filter -A INPUT -p tcp --destination-port 587 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --destination-port 993 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --destination-port 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --destination-port 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --destination-port 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --destination-port 587 -j ACCEPT
##Depuis Le LAN uniquement:
#c'est un serveur DHCP. Supprimez les lignes si non
iptables -t filter -A INPUT -i $LAN_IFACE -p tcp --destination-port 67:68 -j ACCEPT
iptables -t filter -A INPUT -i $LAN_IFACE -p udp --destination-port 67:68 -j ACCEPT
iptables -t filter -A OUTPUT -o $LAN_IFACE -p tcp --destination-port 67:68 -j ACCEPT
iptables -t filter -A OUTPUT -o $LAN_IFACE -p udp --destination-port 67:68 -j ACCEPT
#Proxy Squid
iptables -t filter -A INPUT -i $LAN_IFACE -p tcp --destination-port 3128 -j ACCEPT
#Puppet
iptables -t filter -A INPUT -i $LAN_IFACE -p tcp --destination-port 8140 -j ACCEPT
iptables -t filter -A OUTPUT -i $LAN_IFACE -p tcp --destination-port 8140 -j ACCEPT
# FTP
#Le FTP est autorisé depuis le lan untiqument
modprobe ip_conntrack_ftp
iptables -A INPUT -p tcp --dport ftp -j ACCEPT
iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT
iptables -A INPUT -p ALL -i $LAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $LAN_IFACE -p tcp --sport ftp -j ACCEPT
iptables -A OUTPUT -o $LAN_IFACE -p tcp --sport ftp-data -j ACCEPT
iptables -A INPUT -i $LAN_IFACE -m state --state NEW -p tcp --dport 49152:65534 -j ACCEPT
#serveur de cache de mise à jour pour les postes linux
iptables -A INPUT -i $LAN_IFACE -p tcp --dport 3142 -j ACCEPT
iptables -A OUTPUT -i $LAN_IFACE -p tcp --dport 3142 -j ACCEPT
################## FORWARDING ET ROUTAGE ######################################
#C'est là que commence l'objet du billet sur le blog du Grouik
#Pour débian
echo 0 > /proc/sys/net/ipv4/tcp_ecn
#activer le forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
#Forcer le passage dans le proxy: (à supprimer si vous nb'utilisez pas squid)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
#Empécher le transit de paquets SMTP.
#Je les envoie au serveur de mail (qui les rejettera mais loguera)
#supprimez si votre passerelle ne fait pas de mail
iptables -t nat -A PREROUTING -i $LAN_IFACE -p tcp --dport 25 -j REDIRECT --to-port 25
#!!!!!!!!!!!!!!!!!!!!!!!!!!!
#Marquer les paquets http et https qu'on fera passer par la connexion bouygues
#Le reste passe par la connexion par défaut (orange IP fixe)
#Marquage des paquets en Forward
iptables -A PREROUTING -t mangle -p tcp --dport 80 -j MARK --set-mark 2
iptables -A PREROUTING -t mangle -p tcp --dport 443 -j MARK --set-mark 2
#Optionnel, mais utile si vous utilisez squid; Marquer les paquets HTTP
#et HTTPS générés par le serveur lui même
iptables -t mangle -A OUTPUT -p tcp --dport 80 -j MARK --set-mark 2
iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 2
######### TABLE DE ROUTAGE ##########
#delete, puis place la table de routage boutygues
ip rule delete table bouygues
#Lui indiquer la passerelle (l'IP de la box)
ip route add default via 192.168.1.254 dev $WAN_IFACE_BYTEL table bouygues
#Les paquets marqués 2 doivent passer par la table bouygues:
ip rule add fwmark 2 table bouygues
#Autoriser le forwading dans les deux sens
#Bouygues
iptables -A FORWARD -i eth2 -o eth0 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
#Orange
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
exit 0</pre>
<p>Envoyer</p>Encapsuler une connexion RDP à travers un tunnel SSHurn:md5:a3000c70ba7fef5c863b18daa65a3ce72014-04-23T21:22:00+02:002017-02-24T12:30:42+01:00gniearkscripts shell bashRéseauSSL <p><a href="https://blog-du-grouik.tinad.fr/public/chez-moi-www-travail.jpg" title="chez-moi-www-travail.jpg"><img src="https://blog-du-grouik.tinad.fr/public/.chez-moi-www-travail_m.jpg" alt="chez-moi-www-travail.jpg" style="display:table; margin:0 auto;" title="chez-moi-www-travail.jpg, avr. 2014" /></a></p>
<p>Je suis chez moi, et j'ai un doute sur mes congés. Ce doute je peux le lever en prenant la main sur un serveur Windows du travail (CF image ci dessus).</p>
<p>J'ai une clé RSA qui me permet d'accéder à la passerelle en ssh (et c'est le seul accès au LAN du travail depuis l'extérieur). j'avais commencé à prendre la main dessus, bidouiller mon script iptables pour me faire temporairement une redirection de ports. ... ... oui, il y a beaucoup plus simple et je viens juste de m'en apercevoir. sans rien toucher à la passerelle, encapsuler la connexion RDP à travers un tunnel SSH</p>
<p>Onvrir un tunel ssh.</p>
<pre class="brush: bash">#1234 est un port au hazard
#192.168.11.248 est l'IP locale du serveur windows
#3389 est le port utilisé par le protocole RDP
ssh -L 1234:192.168.11.248:3389 user@ipPubliqueDeLaPasserelle</pre>
<p>et dans un autre terminal:</p>
<pre class="brush: bash">rdesktop localhost:1234</pre>
<p>Voila.
dans le même principe, je pourrai encapsuler une connexion telnet vers l'autocommutateur... ou n'importe quoi en fait. Je me suis permis ce billet car la pluspart des documentations qu'on trouve sont pour un PC client windows avec Putty.</p>
<p>Ah j'oubliais, la conclusion, j'aurai bien quelques congés début mai :p</p>
<p><a href="http://superuser.com/questions/131084/rdesktop-over-ssh">source</a></p>Le serveur d'alarmes Tamat (Transmission des Appels Malades et des Alarmes Techniques)urn:md5:e4ac199e137452ff40a75c95d9453c2d2014-03-07T17:32:00+01:002017-02-24T18:49:27+01:00gniearkServeurs http web et autresAlcatelhardwareRéseauserveurtelephoneélectronique <p><img src="https://blog-du-grouik.tinad.fr/public/tamat/.IMG_20140123_144607_m.jpg" alt="IMG_20140123_144607.jpg" style="display:table; margin:0 auto;" title="serveur tamat, fév. 2014" /></p>
<p>::TOC::</p>
<p>Toute l'info sur le tamat est disponible sur leur site:</p>
<ul>
<li><a href="http://www.mws.fr/tech/doc_v5/fr/introduction.html">le manuel</a></li>
<li><a href="http://www.mws.fr/14650_TAMAT_V5.html">la présentation du tamat</a>.</li>
</ul>
<p>Je vais quand même vous le présenter avec mes propres mots. <sup>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#wiki-footnote-1" id="rev-wiki-footnote-1">1</a>]</sup></p>
<p>Ça fait quelques semaines qu'il a été fixé dans la baie. On vient de finir de le mettre en production, il remplace le "<a href="https://blog-du-grouik.tinad.fr/post/2014/03/05/Technologies-du-pass%C3%A9-3-Le-notification-server-d-Alcatel">notification server</a>". Ce billet a pour objet de vous présenter cette technologie.</p>
<p>Ça sort un peu de la ligne de ce blog <sup>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#wiki-footnote-2" id="rev-wiki-footnote-2">2</a>]</sup> parce que c'est un produit industriel/tertiaire et non accessible au grand public. Si j'en fais un billet, c'est que j'ai été surpris par la qualité du produit. je vais essayer de vous expliquer pourquoi. Mais d'abord: A quoi que ça sert?</p>
<p>Ça sert d'intermédiaire entre des alarmes d'un coté, et le système téléphonique de l'autre. Je vous détaille ça.</p>
<h3>Les points d'entrées du Tamat sont toutes les technos (obsolètes ou actuelles) qu'on peut trouver dans un établissement industriel ou tertiaire</h3>
<p>C'est la magie du tamat, c'est qu'il saura se raccorder à tout et n'importe quoi.
Dans mon centre hospitalier en "alarmes", on trouve:</p>
<h4>Des appels malades,</h4>
<p>Il existe plusieurs systèmes d'appels malades. Ceux de la décennie précédente<sup>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#wiki-footnote-3" id="rev-wiki-footnote-3">3</a>]</sup> envoient les informations sur des trames série (protocoles V24). des ports COM.
Voici un exemple de trame d'un vieux système ASCOM:</p>
<pre>
Données brutes:
02 30 43 39 39 31 47 4e 34 30 30 30 20 20 20 20 .0C991GN4000
20 20 41 43 48 31 30 36 20 20 20 20 20 20 20 20 ACH106
20 20 20 41 50 50 45 4c 20 37 41 03 APPEL 7A.
</pre>
<p>Et sur un autre bâtiment, on est équipés en BLICK, peut être un peu plus respectueux des standards qu'ASCOM vu que les marqueurs de fin des trames sont des CR LF, voici un exemple de trame Pour l'appel</p>
<pre>
41 50 50 45 4c 20 20 20 20 20 20 20 20 20 20 20 APPEL
20 43 48 20 31 36 39 20 20 20 20 20 20 20 20 20 CH 169
20 20 20 31 2f 30 31 20 20 31 32 3a 31 34 20 20 1/01 12:14
20 38 2f 30 33 20 20 31 32 33 34 35 20 20 31 32 8/03 12345 12
3a 31 34 0d 0a :14..
</pre>
<p>et l’acquittement (l'aide soignante appuie sur un bouton pour prendre en compte l'appel):</p>
<pre>
41 43 51 20 20 20 20 20 20 20 20 20 20 20 20 4b ACQ K
42 43 48 20 31 36 39 20 20 20 20 20 20 20 20 20 BCH 169
20 20 20 31 2f 30 30 20 20 31 32 3a 31 34 20 20 1/00 12:14
20 38 2f 30 33 20 20 31 32 33 34 35 20 20 31 32 8/03 12345 12
3a 31 34 0d 0a :14..
</pre>
<p>Voici le boîtier répondant au doux nom de Moxa NPort qui reçoit les ports série:
<img src="https://blog-du-grouik.tinad.fr/public/tamat/.IMG_20140228_145009_m.jpg" alt="IMG_20140228_145009.jpg" style="display:table; margin:0 auto;" title="IMG_20140228_145009.jpg, fév. 2014" />
Les appels malade de la génération actuelle<sup>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#wiki-footnote-4" id="rev-wiki-footnote-4">4</a>]</sup> envoient les informations via un protocole TCP/IP , généralement de l'ESPA. Ils seront mis en place dans deux semaines, je n'ai pas encore étudié le détail, mais ce que je sais , c'est que le Tamat le prendra en charge facilement.</p>
<h4>Le système incendie</h4>
<p>Ceux qui savent qui se cache derrière le pseudonyme "Gnieark" savent que j'exerce des fonctions d'administrateur système/tech réseau, mais aussi les fonctions de chef de service de sécurité incendie et d'assistance à la personne (oui, je me la pète avec mon SSIAP3). je me permet donc ce petit avertissement:
Le report des alarmes incendie via le système Tamat ne se substitue pas aux répétiteurs d'alarmes conformes aux normes NFS61-930 à NFS61-937 rendues obligatoires dans certains établissement recevant du public.</p>
<p>En cas d'incendie je peux garantir que tout est fait pour que le SSI fonctionne (les câbles entre la centrale incendie et les répétiteurs d'alarme sont censés résister pendant une heure aux flammes, si l’incendie coupe l'électricité, l'ensemble est sous batteries etc... Par contre, pour le système de téléphones sans fil. Rien ne garantit qu'ils fonctionneront si le feu a rongé quelques câbles.</p>
<p>En fonction de votre SSI (et des options prises), vous aurez une trame série, ce qui permettra de localiser le départ d'incendie dans le texte de l'alarme; ou bien un simple contact sec. C'est malheureusement mon cas. Le texte sur les téléphones sans fil est simplement "Alarme incendie".</p>
<h4>Des contacts secs</h4>
<p>Voici le boitier qui gère ça
<img src="https://blog-du-grouik.tinad.fr/public/tamat/.IMG_20140305_165947_m.jpg" alt="IMG_20140305_165947.jpg" style="display:table; margin:0 auto;" title="IMG_20140305_165947.jpg, mar. 2014" /></p>
<p>Actuellement les quelques fils ci dessus nous permettent de superviser via le Moxa:</p>
<ul>
<li>l'alarme incendie</li>
<li>la nuit la présence à la barrière</li>
<li>Un éventuel problème sur la production de vide d'air</li>
<li>Un éventuel problème sur les détenteurs d'oxygène</li>
<li>Des défauts sur l'éclairage de secours</li>
<li>Une alarme intrusion.</li>
</ul>
<h4>Et plein de "signaux" informatiques</h4>
<p>Plein d'autres types de "signaux" peuvent être utilisés pour générer des alarmes. Dont de simples requetes HTTP. Le développement est en cours pour interfacer l'extranet sur la téléphonie de cette manière.</p>
<p>Voici un synoptique des possibilités du TAMAT:
<a href="https://blog-du-grouik.tinad.fr/public/tamat/13590_schmat_tamatv5_octobre_2012.png" title="13590_schmat_tamatv5_octobre_2012.png"><img src="https://blog-du-grouik.tinad.fr/public/tamat/.13590_schmat_tamatv5_octobre_2012_m.png" alt="13590_schmat_tamatv5_octobre_2012.png" style="display:table; margin:0 auto;" title="13590_schmat_tamatv5_octobre_2012.png, mar. 2014" /></a></p>
<h3>Les modules TAMAT</h3>
<p>Comme vous avez pu le voir dans les photos ci dessus, on a fait le choix d'utiliser des boitiers distants pour les trames série et la supervision des contacts secs car je n'envisageais pas le chantier de câblage mais on aurait pu, pour faire plus propre ajouter des cartes modules internes au tamat.</p>
<p>En différents modules on trouve:</p>
<h4>Une carte T2 ou T0</h4>
<p>Les communications téléphoniques vers l'autocom passent par là
<img src="https://blog-du-grouik.tinad.fr/public/tamat/T2.jpg" alt="T2.jpg" style="display:table; margin:0 auto;" title="T2.jpg, mar. 2014" /></p>
<p><img src="https://blog-du-grouik.tinad.fr/public/tamat/T0.jpg" alt="T0.jpg" style="display:table; margin:0 auto;" title="T0.jpg, mar. 2014" /></p>
<h4>Des ports V24</h4>
<p>Même si j'ai utilisé un boîtier Moxa, et pas cette carte, j'ai expliqué le principe un peu plus haut.
<img src="https://blog-du-grouik.tinad.fr/public/tamat/TAMAT-COM.jpg" alt="TAMAT-COM.jpg" style="display:table; margin:0 auto;" title="TAMAT-COM.jpg, mar. 2014" /></p>
<h4>Une carte SYNC</h4>
<p>Elle sert pour certains autocommutateurs<sup>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#wiki-footnote-5" id="rev-wiki-footnote-5">5</a>]</sup></p>
<p><img src="https://blog-du-grouik.tinad.fr/public/tamat/TAMAT-SYNC.jpg" alt="TAMAT-SYNC.jpg" style="display:table; margin:0 auto;" title="TAMAT-SYNC.jpg, mar. 2014" /></p>
<h4>Des cartes TAMATi</h4>
<p>Supervisent 32 contacts par carte (plus que le boitier Moxa dédié à cette fonction)
<img src="https://blog-du-grouik.tinad.fr/public/tamat/TAMATI.jpg" alt="TAMATI.jpg" style="display:table; margin:0 auto;" title="TAMATI.jpg, mar. 2014" /></p>
<p>Non, on ne clipse pas directement les contacts sur les petits picots de la carte. Ce serait galère. On relie cette carte à un panneau de brassage.</p>
<h4>Voici la façade du tamat en imaginant qu'on ait mis toutes les cartes:</h4>
<p><img src="https://blog-du-grouik.tinad.fr/public/tamat/.tamatall-cards_m.jpg" alt="tamatall-cards.jpeg" style="display:table; margin:0 auto;" title="tamatall-cards.jpeg, mar. 2014" /></p>
<h4>Les boitiers Moxa</h4>
<p>Vous l'avez vu au dessus, j'ai utilisé deux boîtiers <a href="http://fr.moxa.com/" hreflang="fr">Moxa</a> Ce n'est pas le même fabriquant, mais le tamat les gère de façon magique. Ils ont été reconnus semi-automatiquement.</p>
<h3>Mettons un peu les mains dans le Tamat</h3>
<p>Je ne crois pas que MWS vende le directement le tamat (à confirmer). L'achat et l'installation, je les ai fait avec l'entreprise NextiraOne... Ou plutôt un technicien de NextiraOne a tout fait et m'a expliqué comment ça marche. Je ne pense pas que j'aurai réussi seul à créer le faisceau T2 et à préparer l'autocommutateur. Mais pour le paramétrage des alarmes et leurs destinataires, ça ne nécessite pas de compétence particulière. La logique est la suivante il faut résonner à l'envers:</p>
<pre>
annuaire -> calendriers -> listes de diffusion -> plans de diffusion --> alarme
</pre>
<h4>On configure un annuaire</h4>
<p>Les contacts de l'annuaire peuvent etre des téléphones voix, des téléphones affichant du texte (CSTA), des e-mails, etc...</p>
<h4>On configure des calendriers:</h4>
<p>Je n'en ai as fait beaucoup:</p>
<ul>
<li>24/7</li>
<li>Journée</li>
<li>NUIT</li>
<li>Quart soignants nuit</li>
<li>quart soignants après-midi</li>
<li>quart soignants matin</li>
<li>service technique</li>
</ul>
<h4>On configure des listes de diffusion.</h4>
<p>Bref c'est là que j'indique quelles sont les personnes de l'annuaire qui appartiennent au service technique par exemple</p>
<h4>On configure les plans de diffusion</h4>
<p>Il s'agit de relier les listes de diffusion avec les calendriers. C'est aussi à ce niveau là qu'on définit les "cascades": savoir à quelle liste de diffusion on notifie le message s'il n'a pas été pris en compte dans les temps par la première liste.</p>
<h4>Enfin les alarmes.</h4>
<p>De façon simple on définit le déclencheur de l'alarme, le texte ou le son à transmettre, et le plan de diffusion à effectuer.</p>
<p>De façon plus avancée, on va définir de déclencheur de l’arrêt de l'alarme, ses modalités de répétitions tant qu'elle n'est pas acquittée (si elle doit être acquittée). Et en cas d’échecs de notification au premier niveau, au deuxième etc... on définit si on abandonne ou si on persiste.</p>
<h4>Les technologies utilisées dans le Tamat</h4>
<p>Il ne faut pas le dire à votre con de DSI quinquagénaire qui achète des licences Microsoft parce que Outlook, c'est quand même trop de la balle<sup>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#wiki-footnote-6" id="rev-wiki-footnote-6">6</a>]</sup><sup>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#wiki-footnote-7" id="rev-wiki-footnote-7">7</a>]</sup>, mais... dans le tamat, il y a un linux... L'interface est tellement bien faite, qu'il ne le saura pas, c'est un linux digne d'un système embarqué.</p>
<p>Et il est à jour en plus!</p>
<pre class="brush: bash">~ # uname -r
3.10.9</pre>
<p>Vous n'aurez besoin du prompt linux que quelques minutes pour définir l'IP, les DNS etc... du serveur, ensuite tout se fera par l'interface web. mais je suis curieux; la commande top m'indique que:</p>
<ul>
<li>Le serveur web est lighthtpd + PHP</li>
<li>Certains scripts tournent en python</li>
<li>Pour les communications, un serveur Asterisk tourne. <sup>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#wiki-footnote-8" id="rev-wiki-footnote-8">8</a>]</sup></li>
</ul>
<h4>Aperçus de l'interface de paramétrage:</h4>
<p>Le paramétrage du tamat demande des bonnes notions, (ou de se faire aider) pour son interfaçage sur le système de téléphonie (c'est un faisceau T2 ou T0, et du CTSA pour les textes). Mais une fois que c'est mis en place, le paramétrages des scénarios d'alarmes, c'est fastidieux s'il y a beaucoup d'alarmes, mais ce n'est pas très compliqué.</p>
<p>Ce billet 'est pas un tutoriel de paramétrage du serveur Tamat, voici simplement quelques aperçus de l'interface web.</p>
<p>Le liste des alarmes configurées:
<a href="https://blog-du-grouik.tinad.fr/public/tamat/tamat1.png" title="tamat1.png"><img src="https://blog-du-grouik.tinad.fr/public/tamat/.tamat1_m.png" alt="tamat1.png" style="display:table; margin:0 auto;" title="tamat1.png, mar. 2014" /></a></p>
<p>Le formulaire de configuration d'une alarme
<a href="https://blog-du-grouik.tinad.fr/public/tamat/tamat2.png" title="tamat2.png"><img src="https://blog-du-grouik.tinad.fr/public/tamat/.tamat2_m.png" alt="tamat2.png" style="display:table; margin:0 auto;" title="tamat2.png, mar. 2014" /></a></p>
<p>La page "état" du tamat:
<a href="https://blog-du-grouik.tinad.fr/public/tamat/tamat3.png" title="tamat3.png"><img src="https://blog-du-grouik.tinad.fr/public/tamat/.tamat3_m.png" alt="tamat3.png" style="display:table; margin:0 auto;" title="tamat3.png, mar. 2014" /></a></p>
<p>Voici le "fil de l'eau" des alarmes et des tentatives de notifications. Quand on coche "données brutes" on peut voir les trames series qui arrivent (sur le moxa dans mon cas). ça aide bien pour le paramétrage des alarmes.</p>
<p><a href="https://blog-du-grouik.tinad.fr/public/tamat/tamat4.png" title="tamat4.png"><img src="https://blog-du-grouik.tinad.fr/public/tamat/.tamat4_m.png" alt="tamat4.png" style="display:table; margin:0 auto;" title="tamat4.png, mar. 2014" /></a></p>
<p>La configuration et l'ajout de nouvelles cartes, c'est tres user friendly:
<a href="https://blog-du-grouik.tinad.fr/public/tamat/tamat5.png" title="tamat5.png"><img src="https://blog-du-grouik.tinad.fr/public/tamat/.tamat5_m.png" alt="tamat5.png" style="display:table; margin:0 auto;" title="tamat5.png, mar. 2014" /></a></p>
<p>Détail d'un "plan de notification". Si la notification des personnes prévue au niveau 1 échoue, on bascule sur celles du niveau 2. Notre scénario en très simplifié:</p>
<ul>
<li>niveau 1: l'aide soignante du service</li>
<li>niveau 2 si l'aide soignante ne lit pas l'alarme sur téléphone allumé; le Tamat notifie l'infirmière du secteur</li>
</ul>
<p><a href="https://blog-du-grouik.tinad.fr/public/tamat/tamat6.png" title="tamat6.png"><img src="https://blog-du-grouik.tinad.fr/public/tamat/.tamat6_m.png" alt="tamat6.png" style="display:table; margin:0 auto;" title="tamat6.png, mar. 2014" /></a></p>
<h3>Le SAV, la maintenance et la documentation du TAMAT</h3>
<p>Le SAV, on l'a appelé deux fois pour le moment. Pas pour une panne, mais pour des questions précises pour le paramétrage.</p>
<ul>
<li>C'est un numéro en 02 etc... Le SAV est bien à Tours chez MWS et n'a pas été délocalisé.</li>
<li>On n'a pas attendu.</li>
<li>Le monsieur a su répondre à nos questions.</li>
</ul>
<p>Bref nickel.</p>
<p>Concernant la documentation, elle est fournie dans le Tamat, ou en ligne sur le site de MWS. Ils ont créé une sorte de wiki en français. Elle est très complète.</p>
<p>Enfin, le code du Tamat est maintenu. Des mises à jour du système sont proposées gratuitement<sup>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#wiki-footnote-9" id="rev-wiki-footnote-9">9</a>]</sup> et s'installent en quelques clicks (apparemment plusieurs fois par an).Il y en a même eu une entre le soir où j'ai commencé à rédiger ce billet, et sa publication.</p>
<h3>Les petits défaut du TAMAT</h3>
<p>Je n'arrête pas de faire l'éloge de ce produit, il faut quand même que je montre mon esprit critique.</p>
<p>EDIT: QUASIMENT TOUS LES PETITS DÉFAUTS SITES DANS CE CHAPITRE ONT ÉTÉ CORRIGES DANS LES DERNIÈRES VERSIONS DU TAMAT (JE CROIS QUE MON BILLET DE BLOG LEUR A ÉTÉ UTILE ;) )</p>
<h4>Qu'une seule alim</h4>
<p>Il y a un mode haute disponibilité au Tamat<sup>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#wiki-footnote-10" id="rev-wiki-footnote-10">10</a>]</sup>. Sans aller jusqu'à de la haute disponibilité; il n'a qu'une alimentation. J'aurai bien aimé redonder son alim.</p>
<h4>Qu'une seule carte réseau</h4>
<p>De la même manière, il n'a qu'une carte réseau. Une seconde carte réseau permettrait de faire communiquer le tamat avec deux LAN distincts. Pratique si on a mis la vidéo-surveillance sur un LAN séparé<sup>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#wiki-footnote-11" id="rev-wiki-footnote-11">11</a>]</sup>. J'ai le projet d'envoyer les rooters et les équipements des appels malades sur une autre plage d'IP privées. Une seconde carte réseau au tamat m'aurait simplifié la vie pour qu'il puisse recevoir quand même les requêtes http provenant du LAN. Je mettrai une passerelle du coup.</p>
<h4>Pas de TLS</h4>
<p>Enfin, il manque une couche httpS au tamat. Pour les alarmes via requête http; il faut faire une requête via curl par exemple. On peut faire en sorte qu'une authentification http soit obligatoire, mais en ce cas là le mot de passe passe en clair. Du coup, j'ai fait le choix de désactiver l'authentification pour déclencher les alarmes.</p>
<h4>Des doutes sur le respect des licences libres</h4>
<p>Ils utilisent beaucoup de logiciel libre et si je le sais, c'est parce que j'ai fouiné. Mais dans l'interface web et la documentation je n'ai trouvé aucune trace de GPL ni de mention qu'ils utilisent du logiciel libre. Alors je me trompe peut être (lighthtpd est en licence BSD, Asterisk a une licence propriétaire...) mais je suis persuadé que certains éléments sont en GPL.</p>
<p>Cependant pour moi, l’intérêt principal du logiciel libre est d'avoir accès au code source. Imaginez si jamais un fournisseur venait à ne plus assurer un SAV. Un bug simple à corriger (genre une journée de recherche dans le code) vous bloque. Pour la plus part des logiciels propriétaires, en ce cas là, il faut supporter la frustration de ne rien pouvoir faire.</p>
<p>Pour le Tamat, MWS n'a produit peu ou pas de code compilé. Si un tel cas arrivait (Le SAV a l'air super, donc je pense que je ne le ferai jamais), j'ai la possibilité d'aller farfouiller dans les scripts.</p>
<h3>Conclusion</h3>
<blockquote><p>Monsieur le directeur des ressources humaines de MWS.</p>
<p>
J'adore votre produit, le Tamat. La finition est propre, Il est stable, parait solide. Les technologies employés (Linux) sont un très bon choix. Votre équipe a su compiler un noyau en l'optimisant pour qu'il fasse pile poil ce qu'on attend de votre machine. En fait, j'aurai aimé concevoir moi même le Tamat. N'y allons pas par quatre chemins:</p>
<p>
Je connais très bien le milieu hospitalier (votre cible commerciale).</p>
<p>
Je suis titulaire d'un SSIAP3, ma culture incendie/préventioniste peut vous servir. et on peut même imaginer que ma première mission soit de faire l'étude de faisabilité d'une version du tamat conforme NFS61-930. Parce que les fonctionnalités du tamat pourraient remplacer une centrale incendie, et que ça me ferait plaisir de contribuer à marcher dans le territoire du cartel SIEMENS, Chubb, DEF.</p>
<p>
Je suis plutôt à l'aise dans l'environnement Linux</p>
<p>
Je peux filer des coups de main pour les développements qui concernent l'interface utilisateur, je maitrise le PHP et le JavaScript.</p>
<p>
Mes connaissances en téléphonie sont basiques, je sais administrer basiquement un autocom Alcatel en ligne de commande (créer des lignes, installer des DECT etc...). Je maîtrise aussi les techniques de brassage. Cependant, certains cotés de la téléphonie me sont encore obscurs. Je sais ce qu'est un T0, un T1 ou un T2. Bref, je ne pars pas de zéro sur ce terrain là, même si j'ai pas mal de choses à découvrir.</p>
<p>
Je ne suis pas électronicien, mais mes bidouillages récents à base d'ATMEGA font que l’électronique basique ne me fait pas peur. A titre d'exemple sur mon niveau, si vous me demandez de multiplexer 140 contacts secs, je réussirai à concevoir le circuit électronique en quelques jours.</p>
<p>
Je sais rédiger des procédures et des notices techniques (et d'ailleurs, elles sont souvent mieux écrites que les tutoriels et articles de ce blog).</p>
<p>
Enfin, si vous avez besoin d'un coup de main pour animer vos sites web / blog, sachez que je suis à l'aise sur ce terrain; L'ensemble des sites web que j'administre à titre personnel cumulent 2 500 000 pages vues par mois.</p>
<p>
Tours, ce n'est pas très loin. Si vous cherchez un geek, qui serait ravi d'intégrer votre pole R&D, je peux me rendre disponible. Je serai peut être moins pointu que vos ingénieurs, mais avec une culture assez large (j'ai oublié de le préciser, j'ai de bonnes bases sur les marchés publics).
Et je pense que vous n'aurez pas de mal à compenser la perte de mes avantages liés au statut de fonctionnaire par un meilleur salaire.</p>
<p>
Veuillez agréer, monsieur le DRH l'expression de mes sincères salutations</p></blockquote>
<div class="footnotes"><h4>Notes</h4>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#rev-wiki-footnote-1" id="wiki-footnote-1">1</a>] Certaines des images contenues dans ce billet ont été empruntées sur le site de MWS. Elles ne sont pas libres de droit et de réutilisation</p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#rev-wiki-footnote-2" id="wiki-footnote-2">2</a>] Quoique de toutes façons, ces derniers mois je n'ai pas beaucoup écrit, alors on ne peut pas vraiment dire que ce blog a une ligne</p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#rev-wiki-footnote-3" id="wiki-footnote-3">3</a>] et je ne compte pas les changer pour le moment</p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#rev-wiki-footnote-4" id="wiki-footnote-4">4</a>] Pour les chambres qu'on est en train de créer</p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#rev-wiki-footnote-5" id="wiki-footnote-5">5</a>] La carte SYNC doit être utilisée uniquement lorsque le PABX ne fournit pas la synchronisation au TAMAT</p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#rev-wiki-footnote-6" id="wiki-footnote-6">6</a>] zut j'ai trollé dans ce billet</p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#rev-wiki-footnote-7" id="wiki-footnote-7">7</a>] Précision: Je n'ai pas de DSI au dessus de moi :-D Je dois juste expliquer à mon directeur l'objet des bons de commande que je lui demande de signer de temps en temps</p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#rev-wiki-footnote-8" id="wiki-footnote-8">8</a>] #troll: ça me fait sourire étant donné que MWS (l'entreprise qui développe les tamat) est très proche d'Alcatel</p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#rev-wiki-footnote-9" id="wiki-footnote-9">9</a>] Dans le marché des progiciels, c'est fréquent que les mises à jour pour un produit qui a coûté initialement plusieurs dizaines de milliers d'euros, soient payantes</p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#rev-wiki-footnote-10" id="wiki-footnote-10">10</a>] soumis à licence que je n'ai pas pris</p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat#rev-wiki-footnote-11" id="wiki-footnote-11">11</a>] Ça fait partie des recommandations que je reçois. Les caméras IP sont des bouses remplies de failles. Elles peuvent servir comme tremplin pour pirater un réseau d'entreprise</p></div>
Technologies du passé #3 Le "notification server" d'Alcatelurn:md5:fd71ac8eb5fb6210e88dd74a029bbb3c2014-03-05T11:42:00+01:002014-03-08T12:38:51+01:00gniearkTechnologies du passé (proche)AlcatelRéseautamattelephone <p>Mis hors service la semaine dernière, je viens de le rallumer 5 min pour en faire quelques photographies.</p>
<p>Le notification serveur est un programme qui a été développé pour/par Alcatel. Il servait à prendre en compte des alarmes (alarmes techniques/ appels malades) et générait un appel ou un message texte sur des téléphones sans fil.</p>
<p>Les alarmes arrivaient via des trames séries V24 sur les ports COM du notification serveur. Ce dernier était raccordé à l'autocommutateur (un alcatel 4400) via le réseau informatique.</p>
<p>Vous comprenez que dans un hôpital, c'était un élément quasiment vital <sup>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/05/Technologies-du-pass%C3%A9-3-Le-notification-server-d-Alcatel#pnote-1219-1" id="rev-pnote-1219-1">1</a>]</sup> pour le fonctionnement. Et pourtant... Voici la tête du "notification serveur":</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/notificationServer/.IMG_20140305_093910_m.jpg" alt="IMG_20140305_093910.jpg" style="display:block; margin:0 auto;" title="IMG_20140305_093910.jpg, mar. 2014" /></p>
<p>Deuxième frayeur, c'était un windows 2000. Je me souviens qu'en 2007 je crois on avait tenté de le migrer. Il n'avait pas été possible de le passer sous XP</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/notificationServer/.IMG_20140305_094002_m.jpg" alt="IMG_20140305_094002.jpg" style="display:block; margin:0 auto;" title="IMG_20140305_094002.jpg, mar. 2014" /></p>
<p>Troisième frayeur: Il ne démarre pas des services en tache fond, mais une fenetre de commandes DOS par service:</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/notificationServer/.IMG_20140305_094621_m.jpg" alt="IMG_20140305_094621.jpg" style="display:block; margin:0 auto;" title="IMG_20140305_094621.jpg, mar. 2014" />
Il n'est donc pas possible de fermer la session, ça arrêterait les programmes du notification server.</p>
<p>Et petit aparté, Voici la PCB qui reçoit des contacts secs et envoie les changements d'états des contacts sur une trame série. "Observation de contacts pour notification server" C'est une création de l'entreprise MWS (j'en reparlerai dans les jours qui viennent en bien au sujet de leur produit "tamat"):</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/notificationServer/.IMG_20140305_094940_m.jpg" alt="IMG_20140305_094940.jpg" style="display:block; margin:0 auto;" title="IMG_20140305_094940.jpg, mar. 2014" /></p>
<p>Au niveau du paramétrage (telle alarme est notifiée sur tel téléphone, dans telle tranche horaire, et le reste du temps, notifiée à ....), Il y avait un petit GUI qui se présentait comme ça.</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/notificationServer/.IMG_20140305_094654_m.jpg" alt="IMG_20140305_094654.jpg" style="display:block; margin:0 auto;" title="IMG_20140305_094654.jpg, mar. 2014" /></p>
<p><img src="https://blog-du-grouik.tinad.fr/public/notificationServer/.IMG_20140305_094808_m.jpg" alt="IMG_20140305_094808.jpg" style="display:block; margin:0 auto;" title="IMG_20140305_094808.jpg, mar. 2014" /></p>
<p><img src="https://blog-du-grouik.tinad.fr/public/notificationServer/.IMG_20140305_094834_m.jpg" alt="IMG_20140305_094834.jpg" style="display:block; margin:0 auto;" title="IMG_20140305_094834.jpg, mar. 2014" /></p>
<p>Présenté comme ça vous pourriez croire que le Notification Server était une bouse logicielle dévellopée par des stagiaires en turbo pascal et en visual basic pour le GUI. Et bah non, remettons le notification server dans son contexte:</p>
<p>On est au début du réseau informatique. Alcatel est précurseur/leader dans les autocommutateurs téléphoniques, mais ce sont des technos différentes.
Dixit les anciens installateurs téléphoniques avec qui j'ai pu en parler, ils ont vu le notification server pour la première fois sous windows 98 puis sur millenium. A cette époque, dans les petits hopitaux et les petites maisons de retraite, il y avait au maximum 3 ordinateurs qui se partageaient la bande passante du modem RTC 56k pour aller sur internet. Éventuellement il y avait un switch, mais pas forcément de réseau, et encore moins de serveurs dignes de se nom. Bref, je pense que c'est un produit qui allait avec son époque.
De plus, le report des appels malades sur la téléphonie sans fil était comme je l'écrivais plus haut un confort qui allait en complément des bandeaux lumineux ou autres systèmes à LED, et n'avait pas de contrainte de haute disponibilité.</p>
<p>Et chose surprenante en fait il ne plantait pas si souvent que ça, je ne le redémarrais pas plus de deux fois par mois.</p>
<p>J'ai changé le notification serveur afin d'anticiper la mort de l'ordinateur qui le supportait, afin d'anticiper des travaux d'extension, mais aussi de façon à garder une technologie neutre par rapport du fabriquant des systèmes malades. A présent c'est un "vrai" serveur sous linux , le tamat<a href="https://blog-du-grouik.tinad.fr/post/2014/03/01/Le-serveur-d-alarmes-Tamat"></a>].</p>
<p>Et vous savez quoi? Dans certains hôpitaux, ils ont virtualisé le windows 2000 afin de pérenniser le notification serveur au lieu de chercher à le faire évoluer. Signalement de failles: Il reste des windows 2000 dans certains hôpitaux. Quand je vous dit que la virtualisation c'est le mal :p</p>
<div class="footnotes"><h4 class="footnotes-title">Note</h4>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2014/03/05/Technologies-du-pass%C3%A9-3-Le-notification-server-d-Alcatel#rev-pnote-1219-1" id="pnote-1219-1">1</a>] Il y a quand même les bandeaux lumineux dans les salles de soins qui préviennent des appels malades</p></div>
Nokia the man in the middleurn:md5:50d0dff834549e85aced13b88ebb9a722013-09-10T18:46:00+02:002013-09-10T18:44:19+02:00gniearkDecouvertes, tips and shits sur le webe-mailhackRéseautelephone <p>Configurons une boite mail sur un Nokia asha 302</p>
<p>"Autre"
<a href="https://blog-du-grouik.tinad.fr/public/nokia/photo3.jpg" title="photo3.jpg"><img src="https://blog-du-grouik.tinad.fr/public/nokia/.photo3_m.jpg" alt="photo3.jpg" style="display:block; margin:0 auto;" title="photo3.jpg, sept. 2013" /></a></p>
<p>e-mail + mot de passe (m'étonnerait qu'il trouve la configuration tout seul)
<a href="https://blog-du-grouik.tinad.fr/public/nokia/photo2.jpg" title="photo2.jpg"><img src="https://blog-du-grouik.tinad.fr/public/nokia/.photo2_m.jpg" alt="photo2.jpg" style="display:block; margin:0 auto;" title="photo2.jpg, sept. 2013" /></a></p>
<p>le serveur imap
<a href="https://blog-du-grouik.tinad.fr/public/nokia/photo1.jpg" title="photo1.jpg"><img src="https://blog-du-grouik.tinad.fr/public/nokia/.photo1_m.jpg" alt="photo1.jpg" style="display:block; margin:0 auto;" title="photo1.jpg, sept. 2013" /></a></p>
<p><a href="https://blog-du-grouik.tinad.fr/public/nokia/photo0.jpg" title="photo0.jpg"><img src="https://blog-du-grouik.tinad.fr/public/nokia/.photo0_m.jpg" alt="photo0.jpg" style="display:block; margin:0 auto;" title="photo0.jpg, sept. 2013" /></a></p>
<p>Le serveur SMTP. ça se corse un peu car même si l'interface donne l'impression qu'on peut choisir le port, en réalité on est limité au port 25 et au 465 <sup>[<a href="https://blog-du-grouik.tinad.fr/post/2013/09/10/Nokia-the-man-in-the-middle#pnote-1190-1" id="rev-pnote-1190-1">1</a>]</sup>. Bref, pour l'essai, j'ai temporairement réactivé le port 465 SSL dans la conf de postfix, bien que ce soit déconseillé à présent.</p>
<p><a href="https://blog-du-grouik.tinad.fr/public/nokia/photo00.jpg" title="photo00.jpg"><img src="https://blog-du-grouik.tinad.fr/public/nokia/.photo00_m.jpg" alt="photo00.jpg" style="display:block; margin:0 auto;" title="photo00.jpg, sept. 2013" /></a></p>
<p>j'envoie un mail à gnieark@jeannedhack.org (depuis gnieark@passerieu.fr)... Il a l'air d’être passé:</p>
<p><a href="https://blog-du-grouik.tinad.fr/public/nokia/photo.jpg" title="photo.jpg"><img src="https://blog-du-grouik.tinad.fr/public/nokia/.photo_m.jpg" alt="photo.jpg" style="display:block; margin:0 auto;" title="photo.jpg, sept. 2013" /></a></p>
<p>Je regarde les logs sur le serveur mail.passerieu.fr (qui doit envoyer le message)... Rien, pas de trace de mon mail.</p>
<p>5 minutes plus tard, sur le serveur mail.jeannedhack.org qui doit recevoir le message (Oui, je suis le postmaster de plusieurs serveurs): Surprise, le mail a transité par le smtp de nokia!!!</p>
<p>Pourtant je l'avais bien configuré pour qu'il passe en SSL par le serveur mail.passerieu.fr (Si SSL c'est pour qu'aucun tiers ne puisse le lire)</p>
<p>Je vous met le log en entier:</p>
<pre>
Sep 10 15:31:44 ks3308646 postfix/postscreen[12839]: CONNECT from [147.243.1.48]:46190 to [178.32.221.201]:25
Sep 10 15:31:50 ks3308646 postfix/postscreen[12839]: PASS NEW [147.243.1.48]:46190
Sep 10 15:31:51 ks3308646 postfix/smtpd[12844]: connect from smtp.nokia.com[147.243.1.48]
Sep 10 15:31:51 ks3308646 postfix/smtpd[12844]: Anonymous TLS connection established from smtp.nokia.com[147.243.1.48]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Sep 10 15:31:51 ks3308646 postfix/smtpd[12844]: 8650A5FF32: client=smtp.nokia.com[147.243.1.48]
Sep 10 15:31:51 ks3308646 postfix/cleanup[12856]: 8650A5FF32: message-id=<201309101327.r8ADRDFj018991@pr-mc1mon-01.pr.atl.nmsg.s.nokia.com>
Sep 10 15:31:51 ks3308646 postfix/qmgr[30869]: 8650A5FF32: from=<gnieark@passerieu.fr>, size=1561, nrcpt=1 (queue active)
Sep 10 15:31:51 ks3308646 amavis[4704]: (04704-01) ESMTP:[127.0.0.1]:10024 /var/amavis/tmp/amavis-20130910T153151-04704-ijX0wTbA: <gnieark@passerieu.fr> -> <gnieark@jeannedhack.org> SIZE=1561 Received: from mail.jeannedhack.org ([127.0.0.1]) by localhost (mail.jeannedhack.org [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for <gnieark@jeannedhack.org>; Tue, 10 Sep 2013 15:31:51 +0200 (CEST)
Sep 10 15:31:51 ks3308646 amavis[4704]: (04704-01) Checking: 5zwSwACWfzqP [147.243.1.48] <gnieark@passerieu.fr> -> <gnieark@jeannedhack.org>
Sep 10 15:31:51 ks3308646 amavis[4704]: (04704-01) Open relay? Nonlocal recips but not originating: gnieark@jeannedhack.org
Sep 10 15:31:51 ks3308646 amavis[4704]: (04704-01) p001 1 Content-Type: text/plain, size: 51 B, name:
Sep 10 15:31:55 ks3308646 postfix/smtpd[12844]: disconnect from smtp.nokia.com[147.243.1.48]
Sep 10 15:31:57 ks3308646 amavis[4704]: (04704-01) SA info: pyzor: [12862] error: TERMINATED, signal 15 (000f)
Sep 10 15:31:58 ks3308646 amavis[4704]: (04704-01) DSPAM result: Innocent, score=-0.390, sig=522f1f4e165781461057826
Sep 10 15:31:58 ks3308646 postfix/smtpd[12865]: connect from localhost.localdomain[127.0.0.1]
Sep 10 15:31:58 ks3308646 postfix/smtpd[12865]: 6056B602AB: client=localhost.localdomain[127.0.0.1]
Sep 10 15:31:58 ks3308646 postfix/cleanup[12856]: 6056B602AB: message-id=<201309101327.r8ADRDFj018991@pr-mc1mon-01.pr.atl.nmsg.s.nokia.com>
Sep 10 15:31:58 ks3308646 postfix/qmgr[30869]: 6056B602AB: from=<gnieark@passerieu.fr>, size=2031, nrcpt=1 (queue active)
Sep 10 15:31:58 ks3308646 amavis[4704]: (04704-01) FWD from <gnieark@passerieu.fr> -> <gnieark@jeannedhack.org>,BODY=7BIT 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6056B602AB
Sep 10 15:31:58 ks3308646 amavis[4704]: (04704-01) Passed CLEAN {RelayedOpenRelay}, [147.243.1.48]:46190 [66.54.67.182] <gnieark@passerieu.fr> -> <gnieark@jeannedhack.org>, Queue-ID: 8650A5FF32, Message-ID: <201309101327.r8ADRDFj018991@pr-mc1mon-01.pr.atl.nmsg.s.nokia.com>, mail_id: 5zwSwACWfzqP, Hits: -2.69, size: 1561, pt: 37, queued_as: 6056B602AB, 6840 ms
Sep 10 15:31:58 ks3308646 amavis[4704]: (04704-01) TIMING-SA total 6199 ms - parse: 4 (0.1%), extract_message_metadata: 12 (0.2%), get_uri_detail_list: 1.14 (0.0%), tests_pri_-1000: 17 (0.3%), tests_pri_-950: 4 (0.1%), tests_pri_-900: 4 (0.1%), tests_pri_-400: 4 (0.1%), tests_pri_0: 5899 (95.2%), check_dkim_adsp: 27 (0.4%), check_spf: 326 (5.3%), poll_dns_idle: 296 (4.8%), check_razor2: 1458 (23.5%), check_pyzor: 4004 (64.6%), tests_pri_500: 7 (0.1%), learn: 175 (2.8%), get_report: 2 (0.0%)
Sep 10 15:31:58 ks3308646 postfix/smtp[12857]: 8650A5FF32: to=<gnieark@jeannedhack.org>, relay=127.0.0.1[127.0.0.1]:10024, delay=7.2, delays=0.25/0.02/0.02/6.9, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6056B602AB)
Sep 10 15:31:58 ks3308646 postfix/qmgr[30869]: 8650A5FF32: removed
Sep 10 15:31:58 ks3308646 amavis[4704]: (04704-01) size: 1561, TIMING [total 6952 ms] - sql-prepare: 6 (0%)0, SMTP greeting: 5 (0%)0, SMTP EHLO: 2 (0%)0, SMTP pre-MAIL: 2 (0%)0, mkdir tempdir: 2 (0%)0, create email.txt: 0 (0%)0, sql-connect: 8 (0%)0, lookup_sql: 2 (0%)0, SMTP pre-DATA-flush: 3 (0%)0, SMTP DATA: 20 (0%)1, check_init: 1 (0%)1, digest_hdr: 4 (0%)1, digest_body_dkim: 1 (0%)1, gen_mail_id: 104 (2%)2, mkdir parts: 3 (0%)2, mime_decode: 17 (0%)3, get-file-type1: 26 (0%)3, parts_decode: 0 (0%)3, check_header: 2 (0%)3, AV-scan-1: 42 (1%)4, spam-wb-list: 2 (0%)4, SA msg read: 1 (0%)4, SA parse: 8 (0%)4, SA check: 6177 (89%)93, DSPAM: 217 (3%)96, decide_mail_destiny: 3 (0%)96, notif-quar: 1 (0%)96, fwd-connect: 36 (1%)96, fwd-mail-pip: 9 (0%)96, fwd-rcpt-pip: 1 (0%)96, fwd-data-chkpnt: 0 (0%)96, write-header: 2 (0%)96, fwd-data-contents: 0 (0%)96, fwd-end-chkpnt: 30 (0%)97, prepare-dsn: 2 (0%)97, main_log_entry: 103 (1%)98, sql-update: 101 (1%)100, update_snmp: 5 (0%)100, SMTP pre-response: 1 (0%...
Sep 10 15:31:58 ks3308646 amavis[4704]: (04704-01) ...)100, SMTP response: 0 (0%)100, unlink-2-files: 1 (0%)100, rundown: 1 (0%)100
Sep 10 15:31:58 ks3308646 dovecot: lda(gnieark@jeannedhack.org): copy from stdin: box=INBOX, uid=12051, msgid=<201309101327.r8ADRDFj018991@pr-mc1mon-01.pr.atl.nmsg.s.nokia.com>, size=2067
Sep 10 15:31:58 ks3308646 dovecot: lda(gnieark@jeannedhack.org): sieve: msgid=<201309101327.r8ADRDFj018991@pr-mc1mon-01.pr.atl.nmsg.s.nokia.com>: stored mail into mailbox 'INBOX'
Sep 10 15:31:58 ks3308646 postfix/pipe[12866]: 6056B602AB: to=<gnieark@jeannedhack.org>, relay=dovecot, delay=0.28, delays=0.04/0.01/0/0.23, dsn=2.0.0, status=sent (delivered via dovecot service)
Sep 10 15:31:58 ks3308646 postfix/qmgr[30869]: 6056B602AB: removed
</pre>
<p>Vous remarquerez au passage qu'amavis fait la gueule, le serveur de nokia n'est pas sensé envoyer du mail pour @passerieu.fr</p>
<p>Pour info, le mail reçu avec ses entêtes complets: <a href="https://blog-du-grouik.tinad.fr/public/nokia/mail-source.txt">mail-source.txt</a></p>
<p>Ce problème (le transit des mails via le smtp de nokia) je l'ai constaté d'abord dans le cadre de mon travail. Je paramétrais un téléphone de remplacement pour un médecin. Au moment de tester le mail, notre serveur a rejeté le smtp de Nokia (bah oui, il est censé être le seul à pouvoir envoyer du mail au nom de ...notre-domaine.fr). Bien qu'on interdise aux médecins d'envoyer des e-mails contenant des informations médicales en dehors du LAN, j'ai préféré ne pas lui fournir ce téléphone. Il y a un man in the middle non sollicité<sup>[<a href="https://blog-du-grouik.tinad.fr/post/2013/09/10/Nokia-the-man-in-the-middle#pnote-1190-2" id="rev-pnote-1190-2">2</a>]</sup>.</p>
<p>Les hypothèses qu'on peut émettre:</p>
<ul>
<li>Un bug dans le téléphone</li>
<li>Pire qu'un bug, ce téléphone n'implémente pas toutes les fonctions basiques d'un mailer, et c'est une façon détournée de résoudre le problème.</li>
<li>C'est volontaire pour que la NSA, (ou juste Nokia) puisse étudier les mails que vous envoyez.</li>
</ul>
<div class="footnotes"><h4 class="footnotes-title">Notes</h4>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2013/09/10/Nokia-the-man-in-the-middle#rev-pnote-1190-1" id="pnote-1190-1">1</a>] référence manquante, je sais, je la retrouve plus</p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2013/09/10/Nokia-the-man-in-the-middle#rev-pnote-1190-2" id="pnote-1190-2">2</a>] Blackberry au moins, son système push mail qui passait via le réseau RIM, on en était informés.</p></div>
un script qui dépose le "body" des emails non lus dans un fichier texteurn:md5:bc3e9c90bab3d515210909593b232e412013-04-02T12:51:00+02:002013-04-02T14:56:31+02:00gniearkServeurs http web et autrese-mailPHPRéseau <p>Pour réaliser une passerelle entre des progiciels, je cherchais un moyen de relever une boite imap ou pop, et de placer le contenu des nouveaux e-mails dans des fichiers textes. Et uniquement le contenu (pas les entêtes toussa).</p>
<p>J'ai regardé du coté de mutt en ligne de commande, mais j'ai fini par trouver qu'en php (avec la lib php5-imap), c'était plus simple, et après tout php est un langage de script efficace qui peut etre utilisé pour autre chose que des pages web.</p>
<p>Voici mon script:</p>
<pre class="php php" style="font-family:inherit"><ol><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #000000; font-weight: bold;"><?php</span> </div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #666666; font-style: italic;">/* </span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #666666; font-style: italic;">*Par gnieark http://blog-du-grouik.tinad.fr/ mars 2013 </span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #666666; font-style: italic;">*relève une boite aux lettres </span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #666666; font-style: italic;">*et place le body des nouveaux messages dans un fichier texte. </span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #666666; font-style: italic;">*/</span> </div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> </div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #666666; font-style: italic;">//parametres </span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #000088;">$imap_hote</span><span style="color: #339933;">=</span><span style="color: #0000ff;">"mail.domaine.fr"</span><span style="color: #339933;">;</span> </div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #000088;">$imap_port</span><span style="color: #339933;">=</span><span style="color: #0000ff;">"143"</span><span style="color: #339933;">;</span> </div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #000088;">$imap_identifiant</span><span style="color: #339933;">=</span><span style="color: #0000ff;">"votreIdentifiantMail"</span><span style="color: #339933;">;</span> </div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #000088;">$imap_password</span><span style="color: #339933;">=</span><span style="color: #0000ff;">"password"</span><span style="color: #339933;">;</span> </div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #000088;">$dossierDestination</span><span style="color: #339933;">=</span><span style="color: #0000ff;">"/dossier/de/destination/"</span><span style="color: #339933;">;</span> </div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> </div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #666666; font-style: italic;">//ouvrir la boite mail ADAPTEZ en fonction de vos parametres de connexion,</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #666666; font-style: italic;">//voir http://php.net/manual/fr/function.imap-open.php pour la liste des parametres possibles </span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #000088;">$imapConn</span><span style="color: #339933;">=</span><a href="http://www.php.net/imap_open"><span style="color: #990000;">imap_open</span></a><span style="color: #009900;">(</span><span style="color: #0000ff;">'{'</span><span style="color: #339933;">.</span><span style="color: #000088;">$imap_hote</span><span style="color: #339933;">.</span><span style="color: #0000ff;">':'</span><span style="color: #339933;">.</span><span style="color: #000088;">$imap_port</span><span style="color: #339933;">.</span><span style="color: #0000ff;">'/imap/tls}'</span><span style="color: #339933;">,</span><span style="color: #000088;">$imap_identifiant</span><span style="color: #339933;">,</span><span style="color: #000088;">$imap_password</span><span style="color: #009900;">)</span><span style="color: #339933;">;</span> </div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #b1b100;">if</span><span style="color: #009900;">(</span><span style="color: #000088;">$imapConn</span> <span style="color: #339933;">===</span> <span style="color: #009900; font-weight: bold;">FALSE</span><span style="color: #009900;">)</span><span style="color: #009900;">{</span> </div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> <span style="color: #b1b100;">echo</span> <span style="color: #0000ff;">"probleme de connexion"</span><span style="color: #339933;">;</span> </div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> <a href="http://www.php.net/die"><span style="color: #990000;">die</span></a><span style="color: #339933;">;</span> </div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #009900;">}</span> </div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> </div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #666666; font-style: italic;">//besoin d'avoir le nombre de messages total de la boite mails pour la suite</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #000088;">$info</span> <span style="color: #339933;">=</span> <a href="http://www.php.net/imap_check"><span style="color: #990000;">imap_check</span></a><span style="color: #009900;">(</span><span style="color: #000088;">$imapConn</span><span style="color: #009900;">)</span><span style="color: #339933;">;</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #b1b100;">if</span> <span style="color: #009900;">(</span><span style="color: #009900; font-weight: bold;">FALSE</span> <span style="color: #339933;">!==</span> <span style="color: #000088;">$info</span><span style="color: #009900;">)</span> <span style="color: #009900;">{</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> <span style="color: #666666; font-style: italic;">//télécharger les entetes des mails</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> <span style="color: #000088;">$mails</span> <span style="color: #339933;">=</span> <a href="http://www.php.net/imap_fetch_overview"><span style="color: #990000;">imap_fetch_overview</span></a><span style="color: #009900;">(</span><span style="color: #000088;">$imapConn</span><span style="color: #339933;">,</span> <span style="color: #0000ff;">"1:<span style="color: #006699; font-weight: bold;">{$info->Nmsgs}</span>"</span><span style="color: #339933;">,</span> <span style="color: #cc66cc;">0</span><span style="color: #009900;">)</span><span style="color: #339933;">;</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> <span style="color: #666666; font-style: italic;">//boucle pour tous les e-mails</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> <span style="color: #b1b100;">foreach</span><span style="color: #009900;">(</span><span style="color: #000088;">$mails</span> <span style="color: #b1b100;">as</span> <span style="color: #000088;">$lemail</span><span style="color: #009900;">)</span><span style="color: #009900;">{</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> <span style="color: #000088;">$mailId</span><span style="color: #339933;">=</span><span style="color: #000088;">$lemail</span><span style="color: #339933;">-></span><span style="color: #004000;">uid</span><span style="color: #339933;">;</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> <span style="color: #666666; font-style: italic;">//seul les non-lus m'interessent</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> <span style="color: #b1b100;">if</span><span style="color: #009900;">(</span><span style="color: #000088;">$lemail</span><span style="color: #339933;">-></span><span style="color: #004000;">seen</span> <span style="color: #339933;">==</span> <span style="color: #0000ff;">'0'</span><span style="color: #009900;">)</span><span style="color: #009900;">{</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> <span style="color: #666666; font-style: italic;">//envoyer leur contenu dans un fichier texte</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> <a href="http://www.php.net/file_put_contents"><span style="color: #990000;">file_put_contents</span></a><span style="color: #009900;">(</span><span style="color: #000088;">$dossierDestination</span><span style="color: #339933;">.</span><span style="color: #000088;">$mailId</span><span style="color: #339933;">.</span><span style="color: #0000ff;">".txt"</span><span style="color: #339933;">,</span><a href="http://www.php.net/imap_fetchbody"><span style="color: #990000;">imap_fetchbody</span></a><span style="color: #009900;">(</span><span style="color: #000088;">$imapConn</span><span style="color: #339933;">,</span><span style="color: #000088;">$mailId</span><span style="color: #339933;">,</span><span style="color: #cc66cc;">1</span><span style="color: #339933;">,</span>FT_UID<span style="color: #009900;">)</span><span style="color: #009900;">)</span><span style="color: #339933;">;</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> <span style="color: #666666; font-style: italic;">//note: l'e-mail est considéré lu apres son passage dans la function imap_fetch_body</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> <span style="color: #009900;">}</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> <span style="color: #009900;">}</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> <a href="http://www.php.net/imap_close"><span style="color: #990000;">imap_close</span></a><span style="color: #009900;">(</span><span style="color: #000088;">$imapConn</span><span style="color: #009900;">)</span><span style="color: #339933;">;</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #009900;">}</span><span style="color: #b1b100;">else</span><span style="color: #009900;">{</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"> <span style="color: #b1b100;">echo</span> <span style="color: #0000ff;">"impossible de lire le contenu de la boite email"</span><span style="color: #339933;">;</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #009900;">}</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #000000; font-weight: bold;">?></span></div></li></ol></pre>
<h3>et une tache planifiée (cron) pour que ce soit fait toutes les 5 minutes</h3>
<pre class="bash bash" style="font-family:inherit"><ol><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #c20cb9; font-weight: bold;">su</span> userUnixQuiReleveLeCourrier</div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;">crontab <span style="color: #660033;">-e</span></div></li></ol></pre>
<p>On y met:</p>
<pre>
*/5 * * * * /usr/bin/php5 /chemin/de/votre/script/php.php >/dev/null 2>&1
</pre>Le lien internet, c'est le wifi, pas le cable etherneturn:md5:7af806f8692aee0d026c42306d4a3e7e2013-03-16T15:29:00+01:002013-03-16T15:29:00+01:00gniearkbrevesRéseau <p><img src="https://blog-du-grouik.tinad.fr/public/.coupure-informatique_m.jpg" alt="coupure-informatique.jpg" style="display:block; margin:0 auto;" title="coupure-informatique.jpg, mar. 2013" /></p>
<p>Mon desktop est relié à la freebox par wifi. Il m'arrive de le brancher sur un autre switch en ethernet pour faire des tests sur un VLAN qui n'a pas accès à internet.</p>
<p>Sous fedora et sous debian, Si une connexion wifi et une connexion ethernet sont présentes à la fois:
L'OS va priviliéger la solution câblée, sauf que dans mon cas, il y a un LAN du coté du fil RJ45, mais pas d'internet.
Bref, ça marche pas</p>
<p>En root, voici la façon d'ordonner à votre machine de passer par la carte wifi pour toutes les destinations en dehors du LAN ou du WLAN</p>
<pre class="bash bash" style="font-family:inherit"><ol><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;">route add default gw 192.168.0.254 wlan0</div></li></ol></pre>
<p>192.168.0.254 étant est l'IP de la passerelle.</p>Serveur dhcp udhcpd vite fait sous débianurn:md5:c47f4e30b49829d06ea975b49cdba52b2013-03-08T23:27:00+01:002013-03-09T17:06:45+01:00gniearkServeurs http web et autresdebiandhcpRéseauserveur <p><img src="https://blog-du-grouik.tinad.fr/public/.DSCN0282_m.jpg" alt="DSCN0282.JPG" style="display:block; margin:0 auto;" title="DSCN0282.JPG, mar. 2013" /></p>
<p>::TOC::</p>
<p>Voici quelques notes vite fait sur ce serveur dhcp "uhcpd".</p>
<h2>Comparaison uhcpd VS isc-dhcp-server</h2>
<p>Jusqu'à présent c'était "isc-dhcp-server" le serveur dhcp mis en avant par débian.</p>
<p>A première vue, (d’après ce que je lis dans le fichier de configuration) uhcpd est plus simple que isc-dhcp-server, mais ne permet pas certaines configuration avancés<sup>[<a href="https://blog-du-grouik.tinad.fr/post/2013/03/08/serveur-dhcp-vite-fait-sous-d%C3%A9bian#pnote-1157-1" id="rev-pnote-1157-1">1</a>]</sup> par exemple:</p>
<ul>
<li>Paramétrer une plage d'adresses dynamiques discontinue</li>
<li>Le faire travailler sur une plage d'adresses IP pour une carte réseau, et une plage d'adresses IP différente pour l'autre carte</li>
</ul>
<p>Bref, dans le cas du serveur du travail (qui a trois pattes réseau), servant pour plusieurs LANS, ayant des trous dans la continuité des adresses dynamiques à causes de certains matériels qui ont des IP fixes, udhcpd ne me conviendrai pas.</p>
<p>Mais pour les tests<sup>[<a href="https://blog-du-grouik.tinad.fr/post/2013/03/08/serveur-dhcp-vite-fait-sous-d%C3%A9bian#pnote-1157-2" id="rev-pnote-1157-2">2</a>]</sup> que je veux faire ce soir sur mon LAN domestique composé d'une dizaine de matériels, c'est parfait, et ce sera installé en 3 minutes.</p>
<p>Concernant les performances de chacun, je n'ai aucune idée duquel est le meilleur.</p>
<h2>Prérequis fixer l'IP de la machine</h2>
<p>Le serveur dhcp doit avoir son IP fixée manuellement, dans la plage d'IP correspondante à sa fonction (genre 192.168.0.254 pour un serveur distribuant des IP de 192.168.0.5 à 192.168.0.253)</p>
<p>Si votre debian a une interface graphique (gnome), utilisez le GUI.
Si ce n'est pas le cas, voici un exemple de fichier /etc/network/interfaces sur un serveur ayant deux cartes réseaux avec IP fixes.
Supprimez toutes les références à eth1 et le deuxième bloc si vous n'avez qu'une carte, mais pensez à renseigner le "gateway" pour eth0 du coup</p>
<pre>
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
#Les interfaces qui seront activées au démarrage de la machine:
auto lo eth0 eth1
# The loopback network interface
iface lo inet loopback
# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 10.0.0.254
netmask 255.255.255.0
network 10.0.0.0
broadcast 10.0.0.255
dns-nameservers 127.0.0.1
dns-search lan
#carte reseau vers le modem
iface eth1 inet static
address 192.168.10.252
netmask 255.255.255.0
broadcast 192.168.10.255
network 192.168.10.0
gateway 192.168.10.1
</pre>
<h2>Installation</h2>
<pre class="bash bash" style="font-family:inherit"><ol><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #c20cb9; font-weight: bold;">apt-get</span> <span style="color: #c20cb9; font-weight: bold;">install</span> udhcpd</div></li></ol></pre>
<h2>Fichier de configuration vi /etc/udhcpd.conf</h2>
<p>Le fichier de configuration /etc/udhcpd.conf par défaut est fonctionnel, et plutôt clair, ça ne mérite pas un billet complexe, fouinez dedans.
Voici le mien <a href="https://blog-du-grouik.tinad.fr/public/udhcpd.conf">udhcpd.conf</a> configuré pour:</p>
<ul>
<li>la plage d'IP sera 10.0.0.* (afin de m'éviter toutes confusion avec les IP du LAN freebox pour les tests que je veux faire)</li>
<li>début de la plage 10.0.0.5 fin 10.0.0.253</li>
<li>le serveur DHCP est la meme machine que la passerelle IP 10.0.0.254</li>
</ul>
<h2>Activer udhcpd</h2>
<p>Lors de l'installation, il a du prévenir qu'il fallait faire un tour dans /etc/default/udhcpd pour l'activer.</p>
<p>Dans le fichier /etc/default/udhcpd:</p>
<pre>
DHCPD_ENABLED="yes"
</pre>
<p>lancez la commande</p>
<pre class="bash bash" style="font-family:inherit"><ol><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #000000; font-weight: bold;">/</span>etc<span style="color: #000000; font-weight: bold;">/</span>init.d<span style="color: #000000; font-weight: bold;">/</span>udhcpd start</div></li></ol></pre>
<p>Pour le mettre en marche.</p>
<h2>Conclusion</h2>
<p>Je vérifie de mon coté que ça fonctionne, puis je publie ce billet.</p>
<div class="footnotes"><h4>Notes</h4>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2013/03/08/serveur-dhcp-vite-fait-sous-d%C3%A9bian#rev-pnote-1157-1" id="pnote-1157-1">1</a>] Du moins ce n'est pas indiqué comment faire</p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2013/03/08/serveur-dhcp-vite-fait-sous-d%C3%A9bian#rev-pnote-1157-2" id="pnote-1157-2">2</a>] Qui ne feront pas l'objet d'un billet dans l'immédiat</p></div>
horde 5 - version groupwareurn:md5:f48992ec2283084ab13874eaf38b30162012-11-27T17:30:00+01:002015-06-18T09:57:23+02:00gniearkGroupware webmailhordeLogiciel-librePHPRéseauserveurSSL <p>Mis à jour: 18 juin 2015</p>
<pre></pre>
<p>::TOC::</p>
<p>On avait utilisé Horde3 pendant 1 ou 2 ans, puis, avec l'arrivée des smartphones il y a quelques années, horde a été délaissé au profit de google calendar. Comme il était pénible à mettre à jour, pour une utilisation anecdotique, j'ai mis roundcube qui me demandait moins de temps. Horde 5 est sorti il y a quelques jours. Pour le test, je l'ai installé sur un serveur de mail perso. J'ai été agréablement surpris. Du coup, roundcube va partir du serveur du travail et être remplacé par horde. Je vais peut être même profiter du renouvellement prochain de la flotte de mobiles pour tenter de reprendre à google nos informations.</p>
<p>Je vous présente la nouvelle monture de horde<del>. Attention, si vous souhaitez mettre à jour votre installation de horde en production,Sork n'a pas encore été rendu compatible (on verra comment utiliser quand même le module de changement de mot de passe passwd).</del></p>
<p>Rapidement en quelques impressions d'écran, je vous présente l’aspect du groupware (qui est tres personnalisable), Puis mon mémo d'installation sur un serveur de messagerie déjà prêt.</p>
<h2>Quelques screens shoots</h2>
<h3>La page de connexion</h3>
<p><a href="https://blog-du-grouik.tinad.fr/public/horde5/horde1.jpeg" title="horde1.jpeg"><img src="https://blog-du-grouik.tinad.fr/public/horde5/.horde1_s.jpg" alt="horde1.jpeg" style="display:block; margin:0 auto;" title="horde1.jpeg, nov. 2012" /></a></p>
<h3>La pace d'accueil</h3>
<p><a href="https://blog-du-grouik.tinad.fr/public/horde5/horde2.jpeg" title="horde2.jpeg"><img src="https://blog-du-grouik.tinad.fr/public/horde5/.horde2_s.jpg" alt="horde2.jpeg" style="display:block; margin:0 auto;" title="horde2.jpeg, nov. 2012" /></a></p>
<h3>IMP (le webmail)</h3>
<p><a href="https://blog-du-grouik.tinad.fr/public/horde5/horde3.jpeg" title="horde3.jpeg"><img src="https://blog-du-grouik.tinad.fr/public/horde5/.horde3_s.jpg" alt="horde3.jpeg" style="display:block; margin:0 auto;" title="horde3.jpeg, nov. 2012" /></a></p>
<h3>Kronolith (l'agenda)</h3>
<p><a href="https://blog-du-grouik.tinad.fr/public/horde5/horde4.jpeg" title="horde4.jpeg"><img src="https://blog-du-grouik.tinad.fr/public/horde5/.horde4_s.jpg" alt="horde4.jpeg" style="display:block; margin:0 auto;" title="horde4.jpeg, nov. 2012" /></a></p>
<h3>La page de réglages</h3>
<p><a href="https://blog-du-grouik.tinad.fr/public/horde5/horde5.jpeg" title="horde5.jpeg"><img src="https://blog-du-grouik.tinad.fr/public/horde5/.horde5_s.jpg" alt="horde5.jpeg" style="display:block; margin:0 auto;" title="horde5.jpeg, nov. 2012" /></a></p>
<h3>La version mobile (depuis un HTC explorer)</h3>
<p><img src="https://blog-du-grouik.tinad.fr/public/horde5/horde5-mobile.jpg" alt="horde5-mobile.jpg" style="display:block; margin:0 auto;" title="horde5-mobile.jpg, nov. 2012" /></p>
<h2>Préparer une base de données pour horde</h2>
<p>Utilisez phpmyadmin, ou la méthode qui vous plait. juste pour frimer, je le fait en console, pour mémo:</p>
<pre class="brush: bash">mysql -u root -p</pre>
<pre class="brush: sql">CREATE database horde;
GRANT ALL ON horde.* TO 'horde'@'localhost' IDENTIFIED BY 'opazeu:/2;A3558/!qeyuzeauioey';
#Au passage, donnez accès à horde à votre base postfix (enfin celle qui contient la liste des comptes e-mails)
GRANT ALL ON postfix.* TO 'horde'@'localhost' IDENTIFIED BY 'opazeu:/2;A3558/!qeyuzeauioey';
quit</pre>
<h2>Installation de horde 5</h2>
<h3>Prérequis</h3>
<ul>
<li>Un serveur mails dédié avec acces en root. Perso, l'installation que j'ai faite correspond à quelques pouyems à celle proposée sur le site starbridge. <a href="http://www.starbridge.org/spip/spip.php?article12" hreflang="fr">Installation Serveur Mail Postfix, Amavisd, Mysql, Spamassassin, Dspam, Dovecot</a>. Le point intéressant de cette solution, c'est que les comptes mails sont gérés dans une base de donnée mysql, ce qui va etre pratique pour interfacer horde</li>
<li>LAMP avec un VHOST HTTPS. Je ne détaillerai pas l'installation d'apache.</li>
</ul>
<h3>Installer pear (s'il n'est pas déja installé)</h3>
<p>Pear est un système d'installation de "paquets" PHP. C'est une alternative à GIT qui a été choisie par les développeurs de horde.
Sous debian, c'est simplement:</p>
<pre class="brush: bash">apt-get install php-pear
#le mettre à jour:
pear upgrade PEAR
#enregistrer le channel horde
pear channel-discover pear.horde.org</pre>
<h3>Installation de Horde 5</h3>
<pre class="brush: bash">#se placer dans le dossier du vhost (adaptez en fonction de votre configuration
cd /var/www/mail2.ton-domaine.fr-https/
#Optionnel, creer un sous dossier et s'y mettre dedans
mkdir webmail
cd webmail
pear install horde/horde_role
#configurer pour l'installation:
pear run-scripts horde/horde_role
#Dans mon cas: Filesystem location for the base Horde application : /var/www/mail2.ton-domaine.fr-https/webmail/
#
#la commande suivante peut prendre un peu de temps en fonction de votre connexion:
pear install -a -B horde/groupware</pre>
<h3>Premier paramétrage:</h3>
<p>On va faire un paramétrage assez générique, le but étant de pouvoir se connecter , pour ensuite paramétrer via l'interface web.</p>
<pre class="brush: bash">groupware-install</pre>
<p>Voici une copie du shell, j'ai pas mal répondu en laissant par défaut.</p>
<ul>
<li>Request persistent connections: Mettez 0 (no) sinon horde ne sera pas capable de se connecter à une autre base de donnée pour l'authentification</li>
<li>A la dernière question, "administrator account", mettez le même identifiant que celui qui sert à votre adresse e-mail. Ça permettra de faire en sorte que vous restiez administrateur lorsqu'on interfacera l'authentification sur les comptes e-mails.</li>
</ul>
<p>.</p>
<pre>
root@mail2:/var/www/mail2.ton-domaine.fr-https/webmail# groupware-install
Installing Horde Groupware
Configuring database settings
What database backend should we use?
(false) [None]
(mysql) MySQL / PDO
(mysqli) MySQL (mysqli)
(pgsql) PostgreSQL
(sqlite) SQLite
Type your choice []: mysql
Request persistent connections?
(1) Yes
(0) No
Type your choice [0]: 0
Username to connect to the database as* [] horde
Password to connect with
How should we connect to the database?
(unix) UNIX Sockets
(tcp) TCP/IP
Type your choice [unix]: tcp
Database server/host* [] localhost
Port the DB is running on, if non-standard [3306]
Database name to use* [] horde
Internally used charset* [utf-8]
Use SSL to connect to the server?
(1) Yes
(0) No
Type your choice [0]:
Certification Authority to use for SSL connections []
Split reads to a different server?
(false) Disabled
(true) Enabled
Type your choice [false]:
Writing main configuration file... done.
Creating and updating database tables... done.
Configuring administrator settings
Specify a user name for the administrator account: rpasserieu@ton-domaine.fr
Specify a password for the adminstrator account:
Writing main configuration file... done.
Thank you for using Horde Groupware!
</pre>
<pre class="brush: bash">#vu qu'on a tout fait en root, on va changer le propriétaire des fichiers de horde:
chown -R www-data:www-data /var/www/mail2.ton-domaine.fr-https/webmail</pre>
<h3>Vérifier que ça marche</h3>
<p>Rendez-vous via votre navigateur sur votre installation.</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/horde5/.horde7_m.jpg" alt="horde7.jpeg" style="display:block; margin:0 auto;" title="horde7.jpeg, nov. 2012" /></p>
<p>Normalement vous n'avez pas accès à la lecture du courrier. On installera IMP plus tard.</p>
<h3>Changer le mode d'authentification (synchroniser avec les comptes e-mails)</h3>
<ul>
<li>Allez dans la petite roue qui symbolise les parametres> administration Configuration.</li>
<li>Allez sur Horde (horde) Puis dans l'onglet authentification</li>
</ul>
<p><img src="https://blog-du-grouik.tinad.fr/public/horde5/.horde8_m.jpg" alt="horde8.jpeg" style="display:block; margin:0 auto;" title="horde8.jpeg, nov. 2012" /></p>
<h4>$conf[auth][driver]</h4>
<p>Choisissez "SQL authentification w/custom-made queries"</p>
<h4>$conf[auth][params][protocol]</h4>
<p>TCP/IP</p>
<h4>$conf[auth][params][hostspec]</h4>
<p>localhost</p>
<h4>$conf[auth][params][username]</h4>
<p>horde</p>
<h4>$conf[auth][params][password]</h4>
<p>opazeu:/2;A3558/!qeyuzeauioey</p>
<h4>$conf[auth][params][database]</h4>
<p>postfix</p>
<h3>Les requêtes MySQL</h3>
<p>Dans mon installation, la table mailbox qui contient les comptes des e-mails a cette structure:</p>
<pre>
mysql> describe mailbox;
+------------+--------------+------+-----+---------------------+-------+
| Field | Type | Null | Key | Default | Extra |
+------------+--------------+------+-----+---------------------+-------+
| username | varchar(255) | NO | PRI | | |
| password | varchar(255) | NO | | | |
| name | varchar(255) | NO | | NULL | |
| maildir | varchar(255) | NO | | | |
| quota | bigint(20) | NO | | 0 | |
| local_part | varchar(255) | NO | | NULL | |
| domain | varchar(255) | NO | | | |
| created | datetime | NO | | 0000-00-00 00:00:00 | |
| modified | datetime | NO | | 0000-00-00 00:00:00 | |
| active | tinyint(1) | NO | | 1 | |
+------------+--------------+------+-----+---------------------+-------+
</pre>
<p>Adaptez les requetes SQL suivantes en fonction de votre base:</p>
<p><em>Merci à <a href="https://blog-du-grouik.tinad.fr/post/2012/11/25/horde-5#c92266">Diablotin</a> qui a trouvé comment adapter les requêtes à un environnement multidomaine <a href="http://www.starbridge.org/support/viewtopic.php?f=3&t=1709">via dokho sur le forum de starbridge</a></em></p>
<h4>$conf[auth][params][query_auth]</h4>
<pre class="brush: sql">SELECT * FROM mailbox WHERE username=\L AND domain=SUBSTRING_INDEX(\L, '@', -1) AND password = \P AND active='1'</pre>
<h4>$conf[auth][params][query_add]</h4>
<pre class="brush: sql">INSERT INTO mailbox (domain, username, password, maildir, quota, created, modified, active) VALUES ( SUBSTRING_INDEX(\L, '@', -1), \L, \P, \L, '0', NOW(), NOW(), '1')</pre>
<h4>$conf[auth][params][query_getpw]</h4>
<pre class="brush: sql">SELECT password FROM mailbox WHERE username=\L</pre>
<h4>$conf[auth][params][query_update]</h4>
<pre class="brush: sql">UPDATE mailbox SET username=\L, password=\P, modified=NOW() WHERE username=\O;</pre>
<h4>$conf[auth][params][query_resetpassword]</h4>
<pre class="brush: sql">UPDATE mailbox SET password=\P, modified=NOW() WHERE username=\L;</pre>
<h4>$conf[auth][params][query_remove]</h4>
<pre class="brush: sql">UPDATE mailbox SET active='0' WHERE username=\L;</pre>
<h4>$conf[auth][params][query_list]</h4>
<pre class="brush: sql">SELECT username FROM mailbox WHERE domain=SUBSTRING_INDEX(\L, '@', -1) AND active='1'</pre>
<h4>$conf[auth][params][query_exists ]</h4>
<pre class="brush: sql">SELECT 1 FROM mailbox WHERE username = \L AND active='1'</pre>
<h4>$conf[auth][params][encryption]</h4>
<p>Dans mon installation, la méthode de chiffrement du mot de passe c'était "md5-hex" sur le serveur perso, et "crypt-md5" sur le serveur du travail (installation plus ancienne)</p>
<p>Validez la configuration.</p>
<p>maintenant, vous vous identifiez avec vos identifiants e-mail.</p>
<h3>Si vous ne pouvez plus vous identifier</h3>
<p>C'est qu'il y a une erreur dans dans les parametres qu'on vient de mettre au point précédent.
Pour restaurer les anciens parametres, remplacez le fichier conf.php par le conf.php.bak</p>
<pre class="brush: bash">mv config/conf.php config/conf.php.fail
mv config/conf.bak.php config/conf.php</pre>
<p>Refermez entièrement le navigateur et éventuellement supprimez les cookies,</p>
<p>et revenez sur horde pour corriger les requetes sql, la méthode de chiffrement du mot de passe ou autre.</p>
<h3>Le webmail IMP</h3>
<h4>Installation</h4>
<pre class="brush: bash">pear install -a -B horde/IMP
chown -R www-data:www-data imp/</pre>
<h4>Paramétrages d'IMP</h4>
<p>On va le paramétrer à la fois pour qu'il ait la bonne configuration du serveur mail, mais aussi pour que l'authentification au groupware horde fasse aussi l'authentification d'IMP de manière transparente (une sorte de SSO quoi).
Editez le fichier imp/config/backends.php</p>
<p>En bas du fichier, $servers['imap']</p>
<pre>
$servers['imap'] = array(
// ENABLED by default
'disabled' => false,
'name' => 'IMAP Server',
'hostspec' => 'localhost',
'realm' =>'tinad.fr',
'hordeauth' => 'full',
'protocol' => 'imap',
'port' => 143,
// Plaintext logins are disabled by default on IMAP servers (see RFC 3501
// [6.2.3]), so TLS is the only guaranteed authentication available by
// default.
'secure' => 'tls',
'maildomain' => '',
'smtp' => array(
// 'auth' => true,
// 'localhost' => 'localhost',
// 'host' => 'smtp.example.com',
// 'password' => null,
// 'port' => 25,
// 'username' => null
),
'cache' => false,
);
</pre>
<p>Dans ce fichier
Si comme sur ma config, c'est l'adresse e-mail complète qui sert d'identifiant:</p>
<ul>
<li>hordeauth => 'full',</li>
<li>'realm' =>'tinad.fr', (enfin, mettez votre domaine)</li>
</ul>
<p>Si ce n'est pas l'adresse mail complete qui sert d'identifiant:</p>
<ul>
<li>hordeauth => TRUE,</li>
</ul>
<p>retournez sur l’interface de horde.</p>
<ul>
<li>Allez dans la petite roue qui symbolise les parametres> administration Configuration.</li>
<li>Allez sur Horde (horde) Puis dans l'onglet authentification</li>
<li>cliquez sur "Le schéma de la base n'est pas à jour." à la ligne courrier(imp)</li>
<li>Déconnectez vous et reconnectez vous, idem, mais cette fois générez la configuration en cliquant sur "Configuration absente."</li>
<li>Générez celle par défaut, elle est tres bien!</li>
</ul>
<h2>Installer le module passwd pour permettre aux utilisateurs de changer de mot de passe</h2>
<p><img src="https://blog-du-grouik.tinad.fr/public/horde5/.passwd_m.jpg" alt="passwd.png" style="display:block; margin:0 auto;" title="passwd.png, déc. 2012" />
"passwd" est le module de horde 5 qui permet aux utilisateurs de modifier leur mot de passe. <del>son installation présente quelques difficultés actuellement.</del></p>
<h3>Installer passwd</h3>
<p>Sur le serveur:</p>
<pre class="brush: bash">pear install -a -B horde/passwd</pre>
<h3>Configurer les backends</h3>
<p>Editez le fichier passwd/config/backends.php</p>
<ul>
<li>Dans l'array $backends['hordesql'], Mettez 'disabled' => true,</li>
<li>Puis allez bien plus bas éditer le tableau $backends['postfixadmin']</li>
</ul>
<p>Comme quoi, la structure des bases de données de mon serveur n'est pas si marginale: Ils l'ont prévu dans le backend.
Passez le disabled à false et adaptez les parametres des connexion à votre base de données postfix (sans oublier le paramètre 'encryption'):</p>
<pre class="brush: php">$backends['postfixadmin'] = array (
'disabled' => false,
'name' => 'Postfix Admin server',
'preferred' => '',
'policy' => array(
'minLength' => 6,
'maxLength' => 20,
'minNumeric' => 1,
),
'driver' => 'Sql',
'params' => array(
'phptype' => 'mysql',
'hostspec' => 'localhost',
'username' => 'horde',
'password' => 'opazeu:/2;A3558/mljkmjioey',
'encryption' => 'md5-hex',
'database' => 'postfix',
'table' => 'mailbox',
'user_col' => 'username',
'pass_col' => 'password',
'show_encryption' => false,
// The following two settings allow you to specify custom queries for
// lookup and modify functions if special functions need to be
// performed. In places where a username or a password needs to be
// used, refer to this placeholder reference:
// %d -> gets substituted with the domain
// %u -> gets substituted with the user
// %U -> gets substituted with the user without a domain part
// %p -> gets substituted with the plaintext password
// %e -> gets substituted with the encrypted password
//
'query_lookup' => 'SELECT password FROM mailbox WHERE username = %u and active = 1',
'query_modify' => 'UPDATE mailbox SET password = %e WHERE username = %u'
),
);</pre>
<h3>Activer passwd</h3>
<ul>
<li>Allez dans la petite roue qui symbolise les parametres> administration Configuration.</li>
<li>Cliquez sur "Mot de passe (passwd) 5.0.0 " pour charger sa configuration</li>
</ul>
<p>Je vous conseille de décocher $conf[user][change] afin que les utilisateurs ne puissent pas changer leur identifiant (et par là même leur adresse e-mail).
<img src="https://blog-du-grouik.tinad.fr/public/horde5/.horde-passwd1_m.jpg" alt="horde-passwd1.png" style="display:block; margin:0 auto;" title="horde-passwd1.png, déc. 2012" /></p>
<p>Validez, C'est prêt, je vous conseille cependant de tester avec un compte test et pas le seul compte administrateur que vous avez ;)</p>
<h2>Mettre Horde à jour</h2>
<p>Si dans les parametres il vous prévient que de nouvelles mises à jours sont disponibles.... La commande pour mettre toute l'installation à jour via pear c'est:</p>
<pre>[bash]
pear upgrade -a -B -c horde
#dans un prochain billet j'expliquerai comment demander à pear d'agir en tant que l'utilisateur www-data,
#mais comme dans l'immédiat on ne l'a pas fait, redonnez les droits à www-data sur votre vhost:
chown -R www-data:www-data /var/www/mail.vhost.fr-https/
</pre>
<p>Une fois que pear a fini son travail, rafraîchissez la page des paramètres, et cliquez sur les éventuels boutons "mettre à jour les schémas de bases".</p>
<h2>ActiveSync</h2>
<h3>Activation d'activeSync</h3>
<p>Un petit tour dans les paramétrages de horde.
<a href="https://blog-du-grouik.tinad.fr/public/horde5/active-sync.jpeg" title="active-sync.jpeg"><img src="https://blog-du-grouik.tinad.fr/public/horde5/.active-sync_m.jpg" alt="active-sync.jpeg" style="display:block; margin:0 auto;" title="active-sync.jpeg, nov. 2012" /></a></p>
<h3>Apache - Redirection</h3>
<p>Dans le fichier de configuration du vhost, ajoutez un alias. Entre les balises <VirtualHost *:443> et</VirtualHost> ajoutez la ligne suivante en adaptant en fonction du chemin de votre installation.</p>
<pre class="brush: bash">Alias /Microsoft-Server-ActiveSync /var/www/mail2.vhost-https/webmail/rpc.php</pre>
<p>Rechargez la configuration Apache:</p>
<pre class="brush: bash">/etc/init.d/apache2 reload</pre>
<h3>Sur mon android</h3>
<h4>Parametres comptes et synchronisation, Bouton "ajouter un compte"</h4>
<p><img src="https://blog-du-grouik.tinad.fr/public/horde5/2012-11-29_10-38-26.jpg" alt="2012-11-29_10-38-26.jpg" style="display:block; margin:0 auto;" title="2012-11-29_10-38-26.jpg, nov. 2012" /></p>
<h4>Un compte Exchange active sync</h4>
<p><img src="https://blog-du-grouik.tinad.fr/public/horde5/2012-11-29_10-38-34.jpg" alt="2012-11-29_10-38-34.jpg" style="display:block; margin:0 auto;" title="2012-11-29_10-38-34.jpg, nov. 2012" /></p>
<h4>Mon e-mail et son mot de passe</h4>
<p><img src="https://blog-du-grouik.tinad.fr/public/horde5/2012-11-29_10-39-08.jpg" alt="2012-11-29_10-39-08.jpg" style="display:block; margin:0 auto;" title="2012-11-29_10-39-08.jpg, nov. 2012" /></p>
<ul>
<li>l'adresse e-mail</li>
<li>le nom du serveur pleinement qualifié serveur.domaine.tld</li>
<li>le domaine qui peut etre laissé vide</li>
<li>le nom d'utilisateur, dans mon cas, c'est l'adresse e-mail complète</li>
<li>le mot de passe</li>
</ul>
<p><img src="https://blog-du-grouik.tinad.fr/public/horde5/2012-11-29_10-40-37.jpg" alt="2012-11-29_10-40-37.jpg" style="display:block; margin:0 auto;" title="2012-11-29_10-40-37.jpg, nov. 2012" /></p>
<h4>Il veut bien tout synchroniser</h4>
<p><img src="https://blog-du-grouik.tinad.fr/public/horde5/2012-11-29_10-42-42.jpg" alt="2012-11-29_10-42-42.jpg" style="display:block; margin:0 auto;" title="2012-11-29_10-42-42.jpg, nov. 2012" /></p>
<p>Trop cool! Merci à microsoft d'avoir créé ce protocole qui s'est imposé sur tous les smartphones, (et j'ai même essayé avec succès sur un macbook), même si je suis ravi d'avoir un équivalent d'un serveur exchange pour peanuts. Quelques heures de travail seulement.</p>Serveur de sauvegarde -- BackupPCurn:md5:057cbb0d8351dd8a41f2d0281adb25812012-06-25T23:37:00+02:002017-03-31T22:50:08+02:00gniearkServeurs http web et autresLogiciel-libreRéseausauvegardeserveurTutoriel-mémo <p>::TOC::</p>
<p>Ce billet est le deuxième volet de ma recherche du système de sauvegarde.</p>
<p>Crevons le suspense de suite, je retiens cette solution, mais j'y apporterai des compléments (liés aux limitation de backupPC)</p>
<p>Comme je dédierai un petit <sup>[<a href="https://blog-du-grouik.tinad.fr/post/2012/06/25/Serveur-de-sauvegarde-BackupPC#wiki-footnote-1" id="rev-wiki-footnote-1">1</a>]</sup> serveur à cette fonction (il est en commande). Là pour ce mémo, je pars d'une débian sans interface graphique, ni rien, fraichement (ré-)installée.</p>
<p>Quelques screens sont faits de chez moi avec le test depuis une fedora et une debian dans une virtual box, d'autres, depuis le test en live du LAN du travail. Sur les impressions d'écran les IP ne sont pas toujours cohérentes avec l'ordre du tutoriel, n'y faites pas attention.</p>
<h2>Installer apache (basique, sans php) et backuppc</h2>
<p>Le Gui de backupPc fonctionne avec des scripts CGI, pas besoin de base de donnée mysql, ni de PHP.</p>
<p>En root exécuter:</p>
<pre class="brush: bash">apt-get install apache2 apache2-doc backuppc</pre>
<p>Il va installer plein de dépendances, dont samba qui vous pose cette question:</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.Backup-PC-samba_m.jpg" alt="Backup-PC-samba.jpeg" style="display:table; margin:0 auto;" title="Backup-PC-samba.jpeg, juin 2012" /></p>
<p>Là je suis dans mon réseau de virtualbox, donc je laisse workgroup, cependant lors des tests effectués au travail, j'avais mis le nom du domaine windows.</p>
<p>Ensuite il propose d'auto-configurer un VHOST apache:</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.Backup-PC-apache_m.jpg" alt="Backup-PC-apache.jpeg" style="display:table; margin:0 auto;" title="Backup-PC-apache.jpeg, juin 2012" /></p>
<p>Appuyez la barre espace pour cocher "apache" puis tab et entrée pour valider :p</p>
<p>Notez le mot de passe qu'il vous indique!</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.Backup-PC-apache-htpassword_m.jpg" alt="Backup-PC-apache-htpassword.jpeg" style="display:table; margin:0 auto;" title="Backup-PC-apache-htpassword.jpeg, juin 2012" /></p>
<p>Si comme moi (lors de la première installation avant de rédiger ce billet) vous avez oublié le mot de passe, vous pouvez le changer ainsi:</p>
<pre class="brush: bash">htpasswd /etc/backuppc/htpasswd backuppc</pre>
<h2>Rendez vous sur la page d'admin de BackupPc</h2>
<p>l'adresse est http://IpDuServeurDeBackup/backuppc dans mon cas: http://192.168.0.31/backuppc/</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.Backup-PC-auth_m.jpg" alt="Backup-PC-auth.jpeg" style="display:table; margin:0 auto;" title="Backup-PC-auth.jpeg, juin 2012" /></p>
<p>Vous l'aurez compris, c'est une identification par un .htpassword seulement. Dans l'état actuel, ce serait une jolie négligence d'ouvrir l'interface sur le Web. Je reviendrai en fin du billet sur la façon de sécuriser un peu mieux cette interface (https) si j'ai le temps.</p>
<p>La première chose que je fais, c'est passer l'interface en français. aller dans "Edit Config" puis l'onglet "CGI" pour passer l'interface en Français.</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.BackupPC-french_m.jpg" alt="BackupPC-french.jpeg" style="display:table; margin:0 auto;" title="BackupPC-french.jpeg, juin 2012" /></p>
<p>Cliquez sur le gros bouton save qui est apparu.</p>
<h2>Maintenant on va configurer les sauvegardes.</h2>
<p>On va voir comment sauver une machine sous windows, puis un linux.</p>
<p>Si vous avez un contrôleur du domaine, avec un active directory correctement configuré, créez un compte "sauveur" avec un mot de passe bien bourrin et donnez donnez lui les droits administrateurs afin qu'il puisse passer partout.</p>
<p>Le Lan dans lequel j'installerai BackupPc a les particularités suivantes:</p>
<ul>
<li>Les clients sont des adresses dynamiques (DHCP), mais une stratégie de profils itinérants est déployée, ce qui fait que je ne vais pas sauvegarder les postes clients, mais juste le serveur accueillant les profils itinérants. (et les autres serveurs)</li>
<li>Les serveurs ont des adresses IP fixes.</li>
</ul>
<p>Du coup, je vais utiliser les IP des machines, mais il serait tout à fait possible d'utiliser les noms DNS de ces dernières des fois que ce soit dynamique.</p>
<h3>Sauvegarder un windows</h3>
<h4>Créer un utilisateur qui aura accès à tout le poste.</h4>
<p>Le principe, est de créer un partage à la racine du / des disques durs, qu'on ouvre à un compte windows qui a tous les droits :D</p>
<div id="divToHide1">
<script type="text/javascript">
document.getElementById("divToHide1").style.display='none';
</script>
<p>Là c'est parce que je suis en dehors d'un domaine pour les tests, je le ferai au niveau du contrôleur de domaine lors du vrai déploiement de cette solution. Mais dans l'immédiat, sur le Windows qui me sert de test, on va créer un nouvel administrateur du dit poste.</p>
<p>Le principe est le même sur un widows Seven, c'est juste que je n'ai pas de license en rabe pour en virtualiser un.</p>
<p>Allez hop, j'allume un windows dans une vbox.</p>
<p>Click droit sur le poste de travail, gérer, allez dans utilisateurs et groupes, puis utilisateurs.</p>
<h5>Un click droit pour créer un nouvel utilisateur:</h5>
<p><img src="https://blog-du-grouik.tinad.fr/public/.winXPnouvelUtilisateur_m.jpg" alt="winXPnouvelUtilisateur.jpeg" style="display:table; margin:0 auto;" title="winXPnouvelUtilisateur.jpeg, juin 2012" /></p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.winXP-Partage-C1_m.jpg" alt="winXP-Partage-C1.jpeg" style="display:table; margin:0 auto;" title="winXP-Partage-C1.jpeg, juin 2012" /></p>
<h5>Rendez vous dans les groupes, Celui administrateurs, click droit -> propriétés -> onglet "Membres" pour ajouter le compte sauveur:</h5>
<p><img src="https://blog-du-grouik.tinad.fr/public/.winXP-Partage-C3_m.jpg" alt="winXP-Partage-C3.jpeg" style="display:table; margin:0 auto;" title="winXP-Partage-C3.jpeg, juin 2012" /></p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.winXP-Partage-C4_m.jpg" alt="winXP-Partage-C4.jpeg" style="display:table; margin:0 auto;" title="winXP-Partage-C4.jpeg, juin 2012" /></p>
<h5>Dans le poste de travail, click droit sur le disque c, propriétés, et dans l'onglet partage:</h5>
<p><img src="https://blog-du-grouik.tinad.fr/public/.winXP-Partage-C_m.jpg" alt="winXP-Partage-C.jpeg" style="display:table; margin:0 auto;" title="winXP-Partage-C.jpeg, juin 2012" /></p>
<h5>Et un petit tour dans les autorisation pour donner tous les droits au groupe "Administrateurs"</h5>
<p><img src="https://blog-du-grouik.tinad.fr/public/.winXP-Partage-C5_m.jpg" alt="winXP-Partage-C5.jpeg" style="display:table; margin:0 auto;" title="winXP-Partage-C5.jpeg, juin 2012" /></p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.winXP-Partage-C6_m.jpg" alt="winXP-Partage-C6.jpeg" style="display:table; margin:0 auto;" title="winXP-Partage-C6.jpeg, juin 2012" /></p>
<p>Voila, on a fini pour la préparation du poste windows, retournons à BackupPc.</p>
</div>
<p><a onclick='document.getElementById("divToHide1").style.display="";'>Voir les impression d'écran et le mémo pour créer le partage</a></p>
<h4>Configurer le backup d'une machine windows</h4>
<p>Dans l'interface de backupPc, je vais dans "Modifier les machines" et j'ajoute la nouvelle:</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.BackupPc-addMachine_m.jpg" alt="BackupPc-addMachine.jpeg" style="display:table; margin:0 auto;" title="BackupPc-addMachine.jpeg, juin 2012" /></p>
<p>Une fois ajoutée, je sélectionne la nouvelle machine dans la liste déroulante en haut à gauche et je vais dans modifier la configuration.</p>
<p>onglet Xfer et j'ajoute les paramètres samba:</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.BackupPc-addMachine1_m.jpg" alt="BackupPc-addMachine1.jpeg" style="display:table; margin:0 auto;" title="BackupPc-addMachine1.jpeg, juin 2012" /></p>
<h3>Sauvegarder un linux</h3>
<p>Ça va être moins galère à expliquer que sur windows ça.</p>
<ul>
<li>192.0.168.254 c'est le client</li>
<li>192.0.168.31 c'est le serveur</li>
</ul>
<p>Evidemment, remplacez ces IP par les votres dans la suite.</p>
<h4>Générer des clés ssh sur le serveur</h4>
<p>Les clés ssh du serveur lui permettront de se connecter aux clients à sauver.</p>
<p>En tant que root, sur le serveur:</p>
<pre class="brush: bash">#installer openssh-server
apt-get install openssh-server
#se mettre en user backuppc
su -l backuppc
#générer un couple de clés
ssh-keygen -t rsa
#laissez le chemin par défaut (/var/lib/backuppc/.ssh/id_rsa dans mon cas),
#et ne mettez pas de mot de passe
#redevenir root
exit
#envoyer la clé publique sur le repertoire web du serveur
cp /var/lib/backuppc/.ssh/id_rsa.pub /var/www/</pre>
<h4>Sur le PC client:</h4>
<p>Il faut lui autoriser les connexions avec la clé qu'on vient de générer sur le serveur backuppc
en Root:</p>
<pre class="brush: bash">apt-get install openssh-server
#remplacez l'IP ici donnée par celle de votre serveur
wget http://192.168.0.31/id_rsa.pub
mkdir
touch ~/.ssh/authorized_keys
cat id_rsa.pub >> ~/.ssh/authorized_keys</pre>
<h4>revenir sur le serveur</h4>
<p>en root:</p>
<pre class="brush: bash">su -l backuppc
#faire une connexion ssh vers le client histoire de l'enregistrer dans le fichier know_hosts
ssh root@192.0.168.254
#validez par yes
#au passage, supprimez la clé publique du dossier web (on l'a mise là tout à l'heure)
rm /var/www/id_rsa.pub</pre>
<h4>Revenir sur l'interface web de backuppc pour ajouter la machine linux</h4>
<p>Serveur>Modifier les machines, ajoutez votre machine.
Bilan des machines -> selectionnez celle qui correspond à la nouvelle.
Modifiez la configuration -> onglet Xfer
et mettez les paramètres comme ceci:</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.backuppc-cles1_m.jpg" alt="backuppc-cles1.jpeg" style="display:table; margin:0 auto;" title="backuppc-cles1.jpeg, juin 2012" /></p>
<p>nottemment:</p>
<ul>
<li>XferMethod rsync</li>
</ul>
<p>Le reste des paramètres était ok par défaut.</p>
<p>Enfin lancez la sauvegarde.</p>
<h2>Et comment qu'on restaure?</h2>
<p>Dans le Gui web, tous simplement, sur une machine, en allant dans "explorer les sauvegardes"</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.backuppc-restaure_m.jpg" alt="backuppc-restaure.jpeg" style="display:table; margin:0 auto;" title="backuppc-restaure.jpeg, juin 2012" /></p>
<h2>BackupPc Peut-il saturer les disques d'un serveur? -- Créer une partition uniquement pour les sauvegardes</h2>
<p>Oui et non:</p>
<p>Voici le screen du test de BackupPC que j'avais laissé tourner sans m'en occuper sur un serveur du travail.
<img src="https://blog-du-grouik.tinad.fr/public/.backuppc-full3_m.jpg" alt="backuppc-full3.jpg" style="display:table; margin:0 auto;" title="backuppc-full3.jpg, juin 2012" /></p>
<p>A 97% de la place occupée il s'est arrêté de faire des sauvegardes, S'il n'a pas la place de sauvegarder, il ne sauvegarde pas. Dans mon cas, les 3% restant suffisaient au fonctionnement normal des autres fonctions du serveur (ouf)</p>
<p>Bref pour être tranquilou, le plus simple est d'obliger backuppc de sauvegarder sur un disque séparé, ou au moins une autre partition que la partition système.
Pour modifier le lieu où backupPC va mettre ses sauvegardes, dans le fichier /etc/backuppc/config.pl
.changez la ligne</p>
<pre class="brush: php">$Conf{TopDir} = '/var/lib/backuppc';</pre>
<p>par ce que vous voulez,</p>
<p>Dans le cas du serveur de test en attendant la livraison du serveur qui sera dédié à cette tâche, je mets: /home/backuppc/ car /home est monté sur un autre groupe de disques qui a un chouilla plus d'espace.</p>
<pre class="brush: bash">#créer le repertoire avec les bons droits
mkdir /home/backuppc
chown -R backuppc:backuppc /home/backuppc
#y mettre l'arboressence dont backuppc se sert
cd /var/lib/backuppc
mv * /home/backuppc/</pre>
<h2>Complément: mySQL et SQL-Serveur</h2>
<p>Pour <a href="https://blog-du-grouik.tinad.fr/post/2012/07/17/Backup-de-bases-de-donn%C3%A9es-mySQL-et-Microsoft-SQL-server">préparer les bases avant leurs sauvegardes, c'est traité dans ce billet.</a></p>
<h2>Conclusion</h2>
<p>Backuppc répond totalement à ma problématique de l'utilisateur qui a perdu un fichier il y a plusieurs jours. Pour la sauvegarde des bases de données et éventuellement envisager la sauvegrade de partitions entières, l'outil seul ne suffit pas. Je ferai prochainement un mémo sur comment faire un backup d'un serveur Microsoft SQL et d'une base de données MySQL.</p>
<div class="footnotes"><h4>Note</h4>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2012/06/25/Serveur-de-sauvegarde-BackupPC#rev-wiki-footnote-1" id="wiki-footnote-1">1</a>] dimmensionné à 4 GO de RAM et je sais plus quoi en processeur, mais 4 Téras octets mis en raid 1, donc 8 téras de disques durs</p></div>
Serveur de sauvegarde -- Baculaurn:md5:373a413f47197a2028f5934b0820962b2012-06-09T16:44:00+02:002017-06-12T09:36:23+02:00gniearkServeurs http web et autresRéseausauvegardeserveur <p>::TOC::</p>
<p>Je veux remplacer le système de sauvegarde sur bande au travail par des sauvegardes sur disque dur, sur un serveur dédié à cette fonction. Avant d'acheter un serveur avec quelques tera Octets de disques dur, je souhaite tester la solution que je vais retenir. D'après ce que j'ai lu Bacula parait convenir à mes besoins, cette série de billets sur les serveurs de sauvegarde s'arrètera éventuellement là. on verra la conclusion à la fin de ce billet.</p>
<p>Comme d'habitude, je pars d'une débian 6 fraichement installée, dans une virtualBox.</p>
<h2>Prérequis, le serveur web et la base de données:</h2>
<pre class="brush: bash">apt-get install apache2 apache2-doc mysql-server php5 libapache2-mod-php5 php5-mysql php5-gd
#Mettez un code root à la base de donnée quand il le demande
#redémarrer apache (prise en compte de php)
/etc/init.d/apache2 restart</pre>
<h3>Installer baculla (version pour mysql)</h3>
<pre class="brush: bash">apt-get install bacula-director-mysql</pre>
<p>Lors de l'installation il va vous demander s'il doit paramétrer la base de données.</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.bacula-mysql-1_m.jpg" alt="bacula-mysql-1.jpg" style="display:table; margin:0 auto;" title="bacula-mysql-1.jpg, juin 2012" /></p>
<p>Je mets oui. Il va ensuite poser les questions qui lui permettrond de créer la base de données.</p>
<p>Lorsqu'il vous dit:</p>
<pre>
┌────────────────────────────────────────────┤ Configuration de bacula-director-mysql ├─────────────────────────────────────────────┐
│ Veuillez indiquer un mot de passe de connexion pour bacula-director-mysql sur le serveur de bases de données. Si vous laissez ce │
│ champ vide, un mot de passe aléatoire sera créé. │
│ │
│ Mot de passe de connexion MySQL pour bacula-director-mysql : │
│ │
│ _________________________________________________________________________________________________________________________________ │
│ │
│ <Ok> <Annuler> │
│ │
└───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
</pre>
<p>laissez le mot de passe vide, on ira rechercher les paramètres de connexion sql dans le fichier /etc/dbconfig-common/bacula-director-mysql.conf</p>
<pre class="brush: bash">cat /etc/dbconfig-common/bacula-director-mysql.conf</pre>
<p>Notez le mot de passe qu'il a mis à la ligne dbc_dbpass='nB8XqnwRbAE8'</p>
<h2>Le GUI bacula-web</h2>
<p>Par là:</p>
<p>http://www.bacula-web.org/download.html</p>
<h3>Télécharger et installer bacula-web</h3>
<pre class="brush: bash">cd /var/www
#virer le index.html par défaut d'apache
rm index.html
#dl bacula-web
wget http://www.bacula-web.org/tl_files/downloads/bacula-web-5.2.6.tar.gz
tar -zxvf bacula-web-5.2.6.tar.gz
chown -R www-data:www-data ../www</pre>
<h3>Configurer</h3>
<pre class="brush: bash">cd config
cp -v config.php.sample config.php</pre>
<p>En modifiez le fichier. config.php
passez le en français en changeant une des premières lignes:</p>
<pre>
$config['language'] = 'fr_FR'
</pre>
<p>et changez le password mysql par celui que je vous ai demandé de noter au dessus:</p>
<pre>
$config[0]['password'] = 'sdfsdfsdfdzr';
</pre>
<p>Le reste des variables par défaut est bon.</p>
<p>rendez vous sur votre machine via un navigateur.</p>
<p><a href="https://blog-du-grouik.tinad.fr/public/bacula-web.jpg" title="bacula-web.jpg"><img src="https://blog-du-grouik.tinad.fr/public/.bacula-web_m.jpg" alt="bacula-web.jpg" style="display:table; margin:0 auto;" title="bacula-web.jpg, juin 2012" /></a></p>
<p>Là c'est la déception, dans l'état actuel, bacula-web est "juste" un outil de reporting, pas de paramétrage, ni de restauration possible depuis cette interface. Mon boulet de prestataire qui assurera les dépannages pendant mes congés ne s'en sortira pas s'il doit taper des commandes linux (c'est le cas de tous ses homologues sur l'agglo de Rouen). Et puis, pour moi aussi, pas trop envie de batailler lors de la restauration d'un fichier isolé.</p>
<p>Pour ceux qui voudraient quand même tester des sauvegardes avec bacula, la configuration se passe dans:
/etc/bacula/bacula-dir.conf</p>
<p>et je vous invite à lire le tutoriel sur le <a href="http://doc.ubuntu-fr.org/bacula" hreflang="fr">site de ubuntu</a>, perso, je ne vais pas plus loin (désolé)</p>
<p>Prochain test: backupPc (surement dans le courant de la semaine prochaine)</p>Bonnes pratiques de Gnieark pour installer et ou maintenir une baie informatiqueurn:md5:79814947d2fd17c4ec3f158003da8aa62012-06-02T01:16:00+02:002012-06-28T22:59:47+02:00gniearkDépannages informatiquescâblageRéseauserveur <p>Je ne suis pas électricien ni spécialiste câbleur. Ce billet n'aura pas la prétention d'être exhaustif. Cependant, j'ai un bon retour d'expérience.</p>
<p>Ces derniers jours, nous avons changé le cœur du réseau au travail, c'était l'occasion de faire du gros ménage dans la baie.</p>
<h2>Voici la baie avant:</h2>
<p>Elle contient les arrivées des fibres optiques; une cascade de switchs pour brancher ces fibres, les routeurs servant au lien VOIP pour la téléphonie.</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/baie-old.JPG" alt="baie-old.JPG" style="display:block; margin:0 auto;" title="baie-old.JPG, mai 2012" /></p>
<p>Bon ok, c'est une baie qui était probablement propre à l'origine. un bâtiment s'est construit, il y a eu des répartiteurs supplémentaires. Lors du passage en VOIP, comme l'arrivée téléphonique était collé à coté, j'ai collé les routeurs dedans. Le système d'onduleur général à toute la salle a été changé, il a fallu pendant une période ajouter des petits onduleurs avec batterie etc...
Ces défauts sont les suivants:</p>
<ul>
<li>Trop haute, je montais systématiquement sur une chaise quand j'avais besoin d'y accéder.</li>
<li>C'est une armoire fermée. L'accès se fait en façade uniquement. J'y allais à taton pour brancher les prises électriques à l'arrière des répartiteurs. et à chaque fois que je bougeais le fil qui relie le routeur de téléphonie... plouf téléphone off pendant 15 min pour tout l'hôpital.</li>
<li>Trop chargée, je vous laisse imaginer le sac de nœud (en façade ce n'est que la partie émergée; derrière les équipements, c'est pire.)</li>
<li>Les câbles ethernet arrivent bruts, ça fait fouillis.</li>
</ul>
<p>A titre d'excuse (spamoi c'est les autres), certes, j'ai rajouté mes merdes, mais elle ne fermait déjà plus quand j'ai pris mon poste actuel, à cause de câbles qui avaient été passés par la façade.</p>
<p>Une fois nettoyée (recâblée quasi totalement) et la cascade de répartiteurs remplacée par un rack cisco;</p>
<h2>La baie devient:</h2>
<p>Ce n'est pas parfait, loin de là, j'y reviendrai... mais haaa!!! Visuellement, j'ai l'impression que le réseau respire mieux là.</p>
<p>Elle garde les arrivées optiques (les jarretières sont reliées à une autre baie, photo plus loin), les rooteurs de téléphonie, et juste un switch (les quelques câbles RJ45 que je n'ai pas ramené au niveau du rack cisco, mais ça ne saurait tarder)</p>
<p>(désolé pour la qualité de la photographie)</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.IMAG0243_m.jpg" alt="IMAG0243.jpg" style="display:block; margin:0 auto;" title="IMAG0243.jpg, mai 2012" /></p>
<p>et en plus maintenant je peux la fermer!</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.IMAG0242_m.jpg" alt="IMAG0242.jpg" style="display:block; margin:0 auto;" title="IMAG0242.jpg, mai 2012" /></p>
<p>Quand à la cascade de switchs qui a disparue, elle est remplacée par un rack cisco; installé 3 mètres plus loin dans la pièce, à hauteur d'homme et accessible par les cotés:</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.IMAG0246_m.jpg" alt="IMAG0246.jpg" style="display:block; margin:0 auto;" title="IMAG0246.jpg, mai 2012" /></p>
<h2>La morale de tout ça, les bonnes pratiques par Gnieark:</h2>
<p>En "bonnes pratiques", je vous invite à consulter les articles suivants d'Alain Faure sur son blog, il traite ce sujet plus sérieusement que moi:</p>
<ul>
<li><a href="http://alainfaure.net/2011/03/29/article-promis-sur-le-cablage-isoosi-niveau-1/">le câblage (ISO/OSI niveau 1)</a></li>
<li><a href="http://alainfaure.net/2011/03/07/osi-couche-2-les-switchs/">Un rappel sur la nécessité de limiter le nombre de switchs</a>.</li>
</ul>
<p>Revenons à mon cas et mes conseils gniearkiens (qui sont en légère contradiction avec Alain Faure, mais c'est, je pense qu'il a l'habitude d'intervenir sur des grosses salles des serveurs)</p>
<p>Vous l'aurez compris, au passage il y a eu une modification de la structure du réseau. Entre certains points du LAN, il y avait jusqu'à 8 répartiteurs intermédiaires à cause de la cascade de switchs. Remplacée par un rack cisco avec une ligne de prises optiques. A présent il y a au maximum 3 éléments intermédiaires entre deux points du LAN et bien souvent seulement 2, alors que je distribue 4 bâtiments dont les deux plus haut ont 5 niveaux.</p>
<p>Mais ce n'est pas l'objet de ce billet. Ici je souhaite écrire au sujet de l'organisation de la (les) baie(s) informatique(s). J'ai mis plusieurs jours à nettoyer le sac de nœud de câbles Ethernet, de jarretières optiques et de prises d'alimentation. #sachezLe</p>
<h3>Tout d'abord, le choix de la baie et fonction de son implantation</h3>
<p>fermée? (une armoire ou juste une armature):</p>
<p>Dans une circulation ou une pièce non dédiée uniquement à ça, il faut une armoire pour la protéger, je le conçois. Cependant dans une "salle des serveurs" fermée à clefs, climatisée, où que presque personne ne rentre... Qu'est-ce qu'on va s'emmerder avec une armoire!? Un châssis (squelette) de rack c'est mieux! La protection est assurée par la porte de la pièce, et on ne bloque pas la circulation d'air climatisé (à moins qu'on ait les moyens de faire passer la clim sous la baie).</p>
<p>En résumé:</p>
<ul>
<li>Dans un circulation / pièce non dédiée : armoire fermée</li>
<li>Dans une salle informatique:<ul>
<li>Vous pouvez amener la clim sous la ou les baies: armoire fermée (avec les ouvertures en dessous et au dessus quand meme), mais avec une paroi démontable sur un des coté</li>
<li>La clim est plus classique: juste un chassis.</li></ul>
</ul>
<p>A la bonne hauteur et accessible par les cotés, c'est le bonheur du technicien réseau.</p>
<h3>L'arrivée des câbles</h3>
<h4>Dans un rack ouvert</h4>
<p>J'aurai tendance à faire arriver le courant faible par le haut de la baie, et le courant fort par le bas <sup>[<a href="https://blog-du-grouik.tinad.fr/post/2012/05/30/Bonnes-pratiques-pour-installer-une-baie-informatique#pnote-1069-1" id="rev-pnote-1069-1">1</a>]</sup>.</p>
<h4>Cependant dans le cas d'une armoire fermée,</h4>
<p>Idéalement tout arrive par le bas.</p>
<h3>Les panneaux de brassage</h3>
<p>Faire arriver les câbles sur un panneau de brassage en haut de la baie c'est le plus clean (là je reconnais que je ne l'ai pas fait, mais la plupart des câbles avaient déjà un ou deux point de coupure, je ne voulais pas en rajouter <sup>[<a href="https://blog-du-grouik.tinad.fr/post/2012/05/30/Bonnes-pratiques-pour-installer-une-baie-informatique#pnote-1069-2" id="rev-pnote-1069-2">2</a>]</sup>). Oui mais attention au piège suivant: Les panneaux de noyaux ne sont compatibles qu'avec la même marque de noyau... et encore, j'ai des noyaux 3M qui ne vont pas avec le panneau 3M <sup>[<a href="https://blog-du-grouik.tinad.fr/post/2012/05/30/Bonnes-pratiques-pour-installer-une-baie-informatique#pnote-1069-3" id="rev-pnote-1069-3">3</a>]</sup>.</p>
<p>Je conseille donc d'installer un panneau avec tous ses noyaux, même si vous ne les câblerez pas tous. Mais dans un an ou deux lorsque des câbles devront être ajoutés, vous serez content de ne pas avoir à soit démonter la plaque existante ou en installer une seconde alors que la première n'est pas remplie, juste parce que vous ne trouvez plus le bon modèle de noyau.</p>
<h3>Le brassage dans la baie</h3>
<p>Pour fignoler, attribuons 1 U à un guide de cables. Quelques colsons pour fixer les cables, c'est bien; mais ça c'est classe:</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/giga-media-panneau-guide-cables-a.jpg" alt="giga-media-panneau-guide-cables-a.jpg" style="display:block; margin:0 auto;" title="giga-media-panneau-guide-cables-a.jpg, juin 2012" /></p>
<p>Et comme l'écrivait Alain Faure, juste pour l'esthétique, les cordons sont verticaux et/ou horizontaux, mais pas en biais, ça fait propre à l’œil (votre directeur ne bite rien en informatique, mais un truc qui fait clean, ça le rassurera)</p>
<p>Et non, ne profitez pas de vos stocks de câbles ethernet de 3 mètres ou plus (je l'ai fait), ça fait forcément dégueulasse. Prenez le temps d'acheter une réserve de cordons de 50cm voire 1 m pour brasser dans les baies.</p>
<p>Ah et aussi, faites pas <a href="https://blog-du-grouik.tinad.fr/post/2012/05/21/Tutoriel%3A-Sertir-des-cables-r%C3%A9seau">comme moi</a>, ne sertissez pas vous même les câbles.</p>
<h4>Les rares équipements qui ne sont pas rackables.</h4>
<p>Il faut les éviter mais bon parfois c'est dur: Le modem qui vous a été imposé par votre fournisseur d'accès par exemple.
Ne le mettez pas à l’arrache au sur le plancher de la baie, voire pire les empiler (vous aurez vite un sac de noeud et ne pourrez pas les bouger.)
Une plaque qui vous permettra de les poser proprement sur un ou deux U dans la baie, c'est mieux.</p>
<h3>Les prises électriques.</h3>
<p>Argh, L'ancienne baie évoquée en début de ce billet avait une multiprise collée au fond de la baie. Les cordons électriques contribuaient au sac de nœuds derrière. Certains équipements n'ont pas de bouton off si par malheur un reboot électrique est nécessaire, amusez vous bien pour trouver la bonne prise.</p>
<p>Bref au delà de 4 équipements électriques dans la baie, mettez une réglette de prises sur un U.</p>
<p>Je crois que j'ai fait le tour de mon retour d'expérience gniearkien.</p>
<p>Ah si, au fait: Le provisoire devient systématiquement du permanent. Il faut faire propre du premier coup, tant pis si c'est plus long. On ne prend jamais le temps de recâbler (ou autre) un truc fait dans l'urgence.</p>
<div class="footnotes"><h4>Notes</h4>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2012/05/30/Bonnes-pratiques-pour-installer-une-baie-informatique#rev-pnote-1069-1" id="pnote-1069-1">1</a>] Les prises électriques se trouvent en général au bas des murs, mais c'est aussi que ma salle des serveurs dispose d'un faux plancher (la majorité des câbles de courant fort sont dedans) et d'un faux plafond (contenant les câbles réseau les fibres, et les câbles incendie).</p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2012/05/30/Bonnes-pratiques-pour-installer-une-baie-informatique#rev-pnote-1069-2" id="pnote-1069-2">2</a>] Roh l'excuse</p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2012/05/30/Bonnes-pratiques-pour-installer-une-baie-informatique#rev-pnote-1069-3" id="pnote-1069-3">3</a>] pas si vieux pourtant, installée en 1999</p></div>
Tutoriel: Sertir des cables réseauurn:md5:ff63723b84870e0ed9b6114db437adc92012-05-21T23:16:00+02:002012-06-02T00:09:28+02:00gniearkDépannages informatiquescâblageRéseau <p>Je suis sûr qu'il y a plein d'informaticiens qui ne l'ont jamais fait, et pourtant, c'est la base quelque part... les fils.</p>
<p>J'avoue, mes activités pros et persos ces dernières semaines n'ont pas été fructueuses en tutoriels ou comparatifs de solutions techniques. Les projets en cours ne manquent pas, mais ils n'ont soit pas encore aboutit, soit ne sont pas blogables, soit trop spécifiques pour en ressortir un billet.</p>
<p>Cette après midi, j'avançais dans le réaménagement de la salle du serveur (et le nouveau cœur de réseau) Bref, j'ai passé mon après midi à sertir des embouts RJ45 de cables ethernet.</p>
<p>Mais c'est mal de sertir soit même des câbles ethernet, je vais vous expliquer pourquoi, puis après je vous explique comment qu'on les serti (tutoriel expliqué à 10 000 endroits sur la toile, je sais).</p>
<h3>C'est mal de sertir soi-même les câbles réseau:</h3>
<ul>
<li>Parce que c'est ringard, plus personne ne le fait.</li>
<li>Parce que ça prend du temps, pas sur qu'il y ait une plus value à les sertir soit même.</li>
<li>Y'a un risque d'erreur dans le sertissage, et les câbles avec les embouts tout prêts supporteront mieux les torsions au niveau du connecteur.</li>
<li>Arriver au dessus du switch dans une baie avec un panneau et cabler des noyaux, pour ensuite brasser avec des cordons tout faits de 50 cm à 1 m, ça fait plus propre.</li>
</ul>
<p><img src="https://blog-du-grouik.tinad.fr/public/p012_1_00.jpg" alt="p012_1_00.jpg" style="display:block; margin:0 auto;" title="p012_1_00.jpg, mai 2012" /></p>
<p>L'image provient de <a href="http://www.elips-sarl.fr/reseaux_infotel.html">Elip's</a> (les suivantes seront de bibi).</p>
<p>Il m'arrive quand meme de sertir des cables, mais attention, c'est dans des cas particuliers, et sûrement pas pour les cables terminaux (entre la prise et le PC utilisateur).</p>
<p>Cette après midi , c'était dans la salle informatique, les câbles arrivaient déjà sur des panneaux, mais à un autre endroit dans la pièce, et je ne souhaitais pas créer un point de coupure supplémentaire. Quand aux câbles tout faits, je n'aurai pas eu la longueur pile poil, et aurait du les enrouler (dans le faux plafond probablement), ce qui est aussi un peu crado. Le meilleur compromis entre l'esthétique et le minimum de points de coupures était de sertir moi même les câbles pour arriver pile poil à la bonne longueur.</p>
<h3>Convention de câblage T568A</h3>
<p>Voici l'ordre des couleurs:</p>
<ul>
<li>1) blanc-vert</li>
<li>2) vert</li>
<li>3) blanc-orange</li>
<li>4) bleu</li>
<li>5) blanc-bleu</li>
<li>6) orange</li>
<li>7) blanc-brun</li>
<li>8) brun</li>
</ul>
<p><img src="https://blog-du-grouik.tinad.fr/public/rj45.jpg" alt="rj45.jpg" style="float:left; margin: 0 1em 1em 0;" title="rj45 T568A" />Un câble catégorie 5 ou 6 (RJ45), comporte 4 paires de brins. Quelque part la convention de cablage on s'en fout, suffit de câbler pareil à chaque extrémités du fil pour que ça marche.
Sauf que lors des emménagements, lorsqu'on peut récupérer un câble existant (mais inutilisé) c'est du temps de gagné, et du coup, histoire de ne pas aller démonter l'armoire pour savoir comment il a été cablé, c'est cool qu'une convention de câblage ait été respectée. Dans mon établissements, avec le service technique, on s'est mis d'accord sur la convention T568A (la raison, c'est que c'est la première indiquée sur les prises etc...)</p>
<h3>1) Se dépatouiller pour dénuder le câble:</h3>
<p><img src="https://blog-du-grouik.tinad.fr/public/.IMAG0228_m.jpg" alt="IMAG0228.jpg" style="display:block; margin:0 auto;" title="IMAG0228.jpg, mai 2012" /></p>
<p>Quelques coups de pince à couper dans la gaine et avec les dents pour la suite.</p>
<h3>2) mettre les brins dans le bon sens:</h3>
<p><img src="https://blog-du-grouik.tinad.fr/public/.IMAG0221_m.jpg" alt="IMAG0221.jpg" style="display:block; margin:0 auto;" title="IMAG0221.jpg, mai 2012" /></p>
<p>blanc-vert vert blanc-orange bleu blanc-bleu orange blanc-brun brun<br />
blanc-vert vert blanc-orange bleu blanc-bleu orange blanc-brun brun<br />
blanc-vert vert blanc-orange bleu blanc-bleu orange blanc-brun brun<br />
blanc-vert vert blanc-orange bleu blanc-bleu orange blanc-brun brun<br />
blanc-vert vert blanc-orange bleu blanc-bleu orange blanc-brun brun<br /></p>
<p>j'ai du me la répéter une 50aine de fois cette suite de couleur.</p>
<h3>3) Les couper pour qu'ils fassent un peu moins de la longueur du connecteur</h3>
<p><img src="https://blog-du-grouik.tinad.fr/public/.IMAG0224_m.jpg" alt="IMAG0224.jpg" style="display:block; margin:0 auto;" title="IMAG0224.jpg, mai 2012" /></p>
<p>ça aide aussi pour les enfourner à l'étape suivante.</p>
<h3>4)Enfourner les brins dans le connecteur.</h3>
<p><img src="https://blog-du-grouik.tinad.fr/public/.IMAG0225_m.jpg" alt="IMAG0225.jpg" style="display:block; margin:0 auto;" title="IMAG0225.jpg, mai 2012" /></p>
<p>Pousser jusqu'au bout les brins au fond de leur gaine.</p>
<h3>5) S'apercevoir que les brins se sont chevauchés dans le connecteur.</h3>
<ul>
<li>Vérifier une deuxième fois à travers le plastique (opaque) du connecteur</li>
</ul>
<p><q>blanc-vert vert blanc-orange bleu blanc-bleu orange blanc-brun brun</q></p>
<ul>
<li>Etre sceptique, re-revérifier:</li>
</ul>
<p><q>blanc-vert vert blanc-orange bleu blanc-bleu orange blanc-brun brun</q></p>
<ul>
<li>Raler</li>
</ul>
<ul>
<li>Retirer le connecteur et revenir à l'étape 2</li>
</ul>
<h3>6) Sertir à l'aide de la pince</h3>
<p><img src="https://blog-du-grouik.tinad.fr/public/.IMAG0227_m.jpg" alt="IMAG0227.jpg" style="display:block; margin:0 auto;" title="IMAG0227.jpg, mai 2012" /></p>
<h3>7) Contempler son câble!</h3>
<p>c'est mérité, mais il en reste 60 à faire, allez allez!</p>
<p>Ça devient tellement rare de sertir des câbles, que ça méritait un billet. J'en ai encore un paquet à faire dans les jours qui viennent - réaménagement de la salle des serveurs oblige - mais une fois fini, je ne pense pas que j'aurai d'autres occasions avant la prochaine modernisation du cœur de réseau, dans 6 à 7 ans.</p>Firefox et les liens torrent magneturn:md5:4022d28e655197f3891f6482b7f5483d2012-04-06T13:25:00+02:002012-04-06T12:32:38+02:00gniearkNunuxfedoraP2PRéseau <p>Pour que firefox prenne en charge les liens magnet:</p>
<ul>
<li>Tapez about:config dans la barre d'adresse. Un joli avertissement vous prévient que attention, faut pas faire de bétise!</li>
</ul>
<p><img src="https://blog-du-grouik.tinad.fr/public/.magnet1_m.jpg" alt="magnet1.jpeg" style="display:block; margin:0 auto;" title="magnet1.jpeg, avr. 2012" /></p>
<ul>
<li>Click droit, -> nouvelle -> valeur booléenne</li>
</ul>
<p>mettez ceci: network.protocol-handler.expose.magnet</p>
<p><img src="https://blog-du-grouik.tinad.fr/public/.magnet2_m.jpg" alt="magnet2.jpeg" style="display:block; margin:0 auto;" title="magnet2.jpeg, avr. 2012" /></p>
<p>Puis définissez la valeur sur false.</p>
<p>Redmarrez firefox et cliquez sur un lien magnet. Firefox vous propose de choisir le programme à associer. Sous fedora kde, j'ai associé le programme: /usr/bin/ktorrent .</p>dhcpd-pools Juste pour vérifier la taille de la plage DHCPurn:md5:db1aeb20153e6938e5f0b02c81f81f322011-10-26T13:29:00+02:002011-10-26T12:31:47+02:00gniearkbrevesLogiciel-libreRéseauserveur <p><img src="https://blog-du-grouik.tinad.fr/public/Reseau4.jpg" alt="Reseau4.jpg" style="display:block; margin:0 auto;" title="Reseau4.jpg, mar. 2011" />
4 ans après l'installation d'un DHCP dans mon établissement (ouais ils étaient un peu à la bourre niveau informatisation). J'ai eu subitement des douttes sur la largeur de la plage d'adresses du serveur DHCP.</p>
<p>Le serveur DHCP est sur une débian (qui fait autre chose) et il tourne sans que je me pose trop de questions, je vais juste de temps en temps dans le dhcpd.conf pour fixer une IP à partir de l'adresse MAC.</p>
<p>La première solution pour connaitre le taux d'utilisation de la plage d'adresses est de faire un tour dans le fichier dhcpd.leases
Sous les débian like:</p>
<pre class="bash bash" style="font-family:inherit"><ol><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #c20cb9; font-weight: bold;">cat</span> <span style="color: #000000; font-weight: bold;">/</span>var<span style="color: #000000; font-weight: bold;">/</span>lib<span style="color: #000000; font-weight: bold;">/</span>dhcp<span style="color: #000000; font-weight: bold;">/</span>dhclient.leases</div></li></ol></pre>
<p>et heu bon courage pour calculer le nombre d'adresses libres.</p>
<p>Sinon il existe (parmis d'autres) un petit tool nommé <a href="http://dhcpd-pools.sourceforge.net/" hreflang="en">dhcpd-pools</a> qui à partir du dhcpd;conf et du dhclient.leases génère une synthèse simpliste.</p>
<h3>Installation</h3>
<pre class="bash bash" style="font-family:inherit"><ol><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #7a0874; font-weight: bold;">cd</span> ~</div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #c20cb9; font-weight: bold;">wget</span> http:<span style="color: #000000; font-weight: bold;">//</span>downloads.sourceforge.net<span style="color: #000000; font-weight: bold;">/</span>project<span style="color: #000000; font-weight: bold;">/</span>dhcpd-pools<span style="color: #000000; font-weight: bold;">/</span>dhcpd-pools-<span style="color: #000000;">2.16</span>.tar.gz</div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #c20cb9; font-weight: bold;">tar</span> <span style="color: #660033;">-zxvf</span> dhcpd-pools-<span style="color: #000000;">2.16</span>.tar.gz </div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #c20cb9; font-weight: bold;">rm</span> dhcpd-pools-<span style="color: #000000;">2.16</span>.tar.gz </div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #7a0874; font-weight: bold;">cd</span> dhcpd-pools-<span style="color: #000000;">2.16</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;">.<span style="color: #000000; font-weight: bold;">/</span>configure</div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #c20cb9; font-weight: bold;">make</span></div></li><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;"><span style="color: #c20cb9; font-weight: bold;">make</span> <span style="color: #c20cb9; font-weight: bold;">install</span></div></li></ol></pre>
<h3>Utilisation:</h3>
<p>Il prend trois paramètres à l'utilisation:</p>
<ul>
<li>-c chemin du fichier de configuration du dhcp</li>
<li>-l chemin de la base de données (le dhcpd.leases)</li>
<li>-o le fichier de sortie</li>
</ul>
<p>Comme ceci dans mon cas:</p>
<pre class="bash bash" style="font-family:inherit"><ol><li style="font-weight: normal; vertical-align:top;"><div style="font: normal normal 1em/1.2em monospace; margin:0; padding:0; background:none; vertical-align:top;">dhcpd-pools <span style="color: #660033;">-c</span> <span style="color: #000000; font-weight: bold;">/</span>etc<span style="color: #000000; font-weight: bold;">/</span>dhcp<span style="color: #000000; font-weight: bold;">/</span>dhcpd.conf <span style="color: #660033;">-l</span> <span style="color: #000000; font-weight: bold;">/</span>var<span style="color: #000000; font-weight: bold;">/</span>lib<span style="color: #000000; font-weight: bold;">/</span>dhcp<span style="color: #000000; font-weight: bold;">/</span>dhcpd.leases <span style="color: #660033;">-o</span> <span style="color: #000000; font-weight: bold;">/</span>plop.txt</div></li></ol></pre>
<p>Le fichier plop.txt contient un rapport du genre:</p>
<pre>
Ranges:
shared net name first ip last ip max cur percent touch t+c t+c perc
All networks 192.168.10.105 - 192.168.10.139 35 20 57.143 14 34 97.143
Shared networks:
name max cur percent touch t+c t+c perc
Sum of all ranges:
name max cur percent touch t+c t+c perc
All networks 35 20 57.143 14 34 97.143
</pre>
<p>Ouep en fait je n'ai pas beaucoup de matériel qui utilise le DHCP. La centaine d'autres IP sont fixes.</p>Piwik testurn:md5:3885523a20dbdfe8ce9f9f8ea73f4caa2011-10-12T19:19:00+02:002011-10-12T19:36:45+02:00gniearkServeurs http web et autresBig-BrotherLogiciel-libreRéseauserveur <p>Piwik <a href="http://piwik.org/">http://piwik.org/</a> est un outil de statistiques de visites pour les sites web. Il fonctionne comme google Analitycs, c'est à dire un morceau de code javascript sur chaque page. Vos utilisateurs feront du coup une requête vers le site piwik que vous avez précédemment installé.</p>
<p><a href="http://fr.twitter.com/#!/madm4as" hreflang="fr">@madm4as</a> m'a conseillé de le tester. Je ne suis pas déçu.</p>
<p>L'installation se présente comme l'installation de n'importe quel CMS. Créer une base de données, décompresser le code sur votre site, et suivre les indications. Pas grand chose à détailler là dessus. C'est simple.</p>
<p>Les types de statistiques de Piwik ressemblent à première vue, beaucoup à celles fournies par google analitycs. (sans fournir de données à un tiers).</p>
<p><del>Pour vous en rendre compte allez y jeter un coup d’œil à mes statistiques <a href="https://blog-du-grouik.tinad.fr/piwik" hreflang="fr">http://blog-du-grouik.tinad.fr/piwik</a>. j'ai ouvert l'accès en prenant soins de masquer les IP préalablement). Mais soyez indulgents, je viens juste d'installer Piwik, et je n'ai pas été super actif sur ce blog dernièrement.</del> J'ai finalement fermé l'accès, Il y a quelques infos que je ne souhaite pas publier (mon propre reverse DNS) et Piwik va plus loin que Analitycs, on peut mieux profiler les visiteurs, c'est un peu délicat de publier ça.</p>
<h3>Quelques screens de l'interface:</h3>
<h4>Le tableau de bord</h4>
<p>Il est composé de plugins déplaçables. tous ne sont pas actifs par défaut.</p>
<p><a href="https://blog-du-grouik.tinad.fr/public/piwik-home.jpeg" title="piwik-home.jpeg"><img src="https://blog-du-grouik.tinad.fr/public/.piwik-home_m.jpg" alt="piwik-home.jpeg" style="display:block; margin:0 auto;" title="piwik-home.jpeg, oct. 2011" /></a></p>
<h4>Visite par heures locale.</h4>
<p>Cela fait partie des données que ne fournit pas analitycs et que j'avais la curiosité de connaitre.</p>
<p><a href="https://blog-du-grouik.tinad.fr/public/piwik-users-horaires.jpeg" title="piwik-users-horaires.jpeg"><img src="https://blog-du-grouik.tinad.fr/public/.piwik-users-horaires_m.jpg" alt="piwik-users-horaires.jpeg" style="display:block; margin:0 auto;" title="piwik-users-horaires.jpeg, oct. 2011" /></a></p>
<p>Je viens juste d'installer piwik, spourssa qu'il n'y a que trois barres bleues.</p>
<h4>Les pages du site:</h4>
<p><a href="https://blog-du-grouik.tinad.fr/public/piwik-pages.jpeg" title="piwik-pages.jpeg"><img src="https://blog-du-grouik.tinad.fr/public/.piwik-pages_m.jpg" alt="piwik-pages.jpeg" style="display:block; margin:0 auto;" title="piwik-pages.jpeg, oct. 2011" /></a></p>
<h4>Les logs visiteurs:</h4>
<p><a href="https://blog-du-grouik.tinad.fr/public/piwik-users-logs.jpeg" title="piwik-users-logs.jpeg"><img src="https://blog-du-grouik.tinad.fr/public/.piwik-users-logs_m.jpg" alt="piwik-users-logs.jpeg" style="display:block; margin:0 auto;" title="piwik-users-logs.jpeg, oct. 2011" /></a>
(le second sur l'image, c'est moi)</p>
<h3>Quelques fonctionnalités originales que j'ai noté:</h3>
<ul>
<li>La possibilité d'afficher un Iframe sur votre site contenant un lien pour vos visiteurs pour ne pas être suivis dans Piwik en installant un cookie de neutralisation dans leur navigateur.</li>
<li>Pouvoir donner l'accès à ses statistiques à des utilisateurs anonymes (je ne l'ai pas fait finalement).</li>
<li>La vue des visiteurs en temps réel.</li>
<li>La possibilité d'intégrer publiquement (ou non) des morceaux du tableau de bord sur son site web</li>
<li>La possibilité d'exclure des IP des statistiques (celle du webmestre par exemple)</li>
</ul>
<p>Pour conclure, Piwik me parait plus complet qu'Analitycs (il faudrait pit etre que je creuse un peu plus ce dernier) et permet d'éviter d'envoyer des informations à la plus grosse base de données du monde... Cet argument peut etre mis à mal par le fait que piwik est beaucoup intrusif qu'analytics pour les visiteurs. Je n'aurai pas quelques années d'historique (et la gestion des adscence) chez google, je n'hésiterai pas.</p>Le NAS de la Freebox V6 pour les nulsurn:md5:c675017ae3fbdbf7cde4d8c1630697322011-06-21T02:13:00+02:002017-04-10T14:31:22+02:00gniearkDépannages informatiquesfreeboxftpRéseauTutoriel-mémowindows <p><img src="https://blog-du-grouik.tinad.fr/public/.freebox-v6-revolution_s.jpg" alt="freebox-v6-revolution.jpg" style="float:left; margin: 0 1em 1em 0;" title="freebox-v6-revolution.jpg, juin 2011" />C'est sympa d'avoir un disque accessible par tous les ordinateurs (voire consoles, téléviseurs chaine hifi) du réseau domestique.</p>
<p>Chers lecteurs, vous n'êtes pas tous des admins réseau habitués à faire du mappage de lecteurs toussa, d'où ce petit tutoriel expliquant comment profiter de son NAS, ici celui de la freebox V6.</p>
<p>C'est assez chiant de devoir se connecter manuellement à chaque fois. On va voir sur linux, puis sous windows comment se faire un raccourci, puis mieux comment monter de façon permanente le lecteur.</p>
<p>La freebox supporte plusieurs protocoles:</p>
<ul>
<li>FTP</li>
<li>Partages windows (samba)</li>
</ul>
<p>Le choix de l'un ou l'autre peut être un débat passionné. Je choisis le partage windows même sous linux<sup>[<a href="https://blog-du-grouik.tinad.fr/post/2011/06/21/Freebox-V6-faciliter-l-acc%C3%A8s-au-NAS#wiki-footnote-1" id="rev-wiki-footnote-1">1</a>]</sup></p>
<h3>Les paramétrages de la freebox.</h3>
<h4>Sur l'interface de la freebox (http://mafreebox.freebox.fr), NAS > Windows; comme ceci:</h4>
<p><img src="https://blog-du-grouik.tinad.fr/public/.freebox-nas-windows_m.jpg" alt="freebox-nas-windows.jpg" style="display:table; margin:0 auto;" title="freebox-nas-windows.jpg, juin 2011" /></p>
<h3>Linux</h3>
<h4>Juste un raccourci</h4>
<p>la commande</p>
<pre class="brush: bash">nautilus "smb://freebox/disque dur"</pre>
<p>permet d'ouvrir le disque dur de la box.</p>
<p>Cilck droit sur le bureau > créer un lanceur;
<img src="https://blog-du-grouik.tinad.fr/public/freebox-lanceur.jpg" alt="freebox-lanceur.jpg" style="display:table; margin:0 auto;" title="freebox-lanceur.jpg, juin 2011" /></p>
<p>C'est cool, à présent d'un double click sur l'icone on accede au NAS.</p>
<p>Oui mais si vous allez un peu au delà d'une utilisation "glisser déposer des fichiers". Genre utiliser des scripts de sauvegardes; il sera préférable de monter cet emplacement réseau de façon permanente.</p>
<h4>Emplacement monté de façon permanente sur le système de fichiers.<sup>[<a href="https://blog-du-grouik.tinad.fr/post/2011/06/21/Freebox-V6-faciliter-l-acc%C3%A8s-au-NAS#wiki-footnote-2" id="rev-wiki-footnote-2">2</a>]</sup></h4>
<p>Les commandes suivantes sont à utiliser en tant que root</p>
<pre class="brush: bash">#creer le repertoire dans lequel sera monté le NAS
mkdir /media/freebox
#éditer le fichier fstab
vi /etc/fstab</pre>
<p>et y ajouter la ligne suivante:</p>
<pre>
//mafreebox.freebox.fr/disque\040dur/ /media/freebox cifs _netdev,rwx,uid=1000,gid=1000,credentials=/root/.smbcredentials,iocharset=utf8 0 0
</pre>
<p>Créer le fichier credentials</p>
<pre class="brush: bash">vi /root/.smbcredentials</pre>
<p>y mettre ceci:</p>
<pre>
username=
password=
</pre>
<p>(ne pas remplir l'userame et le password)</p>
<p>Monter:</p>
<pre class="brush: bash">mount /media/freebox</pre>
<p>(ce sera monté a chaque démarrage)</p>
<h3>Windaube</h3>
<h4>Juste créer un raccourci</h4>
<p>Allez dans démarrer puis exécuter
<img src="https://blog-du-grouik.tinad.fr/public/.freebox-nas-windaube_m.jpg" alt="freebox-nas-windaube.jpg" style="display:table; margin:0 auto;" title="freebox-nas-windaube.jpg, juin 2011" />
entrez:</p>
<pre>
//FREEBOX
</pre>
<p>On arrive sur la racine du NAS, plus qu'à créer un raccourci du partage disque dur sur le bureau.
<img src="https://blog-du-grouik.tinad.fr/public/.freebox-nas-windaube1_m.jpg" alt="freebox-nas-windaube1.jpg" style="display:table; margin:0 auto;" title="freebox-nas-windaube1.jpg, juin 2011" /></p>
<h4>Créer un lecteur réseau, avec une tête de lecteur genre i:</h4>
<p>démarrer exécuter</p>
<pre>
net use i: "\\freebox\Disque dur"
</pre>
<p>et la freebox apparait dans le poste de travail. Magique non?</p>
<h3>Pour les sauvegardes vers le NAS de la freebox;</h3>
<p>Sous linux, de façon totalement objective je conseille backup-manager, mais avec un export en FTP.</p>
<p>Sous windows, <a href="http://www.fbackup.com/" hreflang="fr">Freebackup</a> me parait pas mal.</p>
<div class="footnotes"><h4>Notes</h4>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2011/06/21/Freebox-V6-faciliter-l-acc%C3%A8s-au-NAS#rev-wiki-footnote-1" id="wiki-footnote-1">1</a>] On reste dans un LAN domestique, la sécurité ne rentre pas en compte pour le choix. Si vous êtes sous windows, le partage windows est beaucoup mieux pris en charge que le ftp (pas toujours la possibilité d'éditer les fichiers directement sur le serveur). Si vous êtes sous linux, le choix devrait dépendre de l'utilisation. Si le NAS vous servira juste à basculer des gros fichiers pour de la sauvegarde, préferez le FTP, ce sera plus efficace. Par contre, si vous déposez des vidéos, préférez le partage samba. Je ne pense pas qu'en FTP, l'OS puisse demander à lire juste un morceau d'un fichier, celui ci doit etre chargé linéairement. Ça empêche de pouvoir naviguer dans un film.</p>
<p>[<a href="https://blog-du-grouik.tinad.fr/post/2011/06/21/Freebox-V6-faciliter-l-acc%C3%A8s-au-NAS#rev-wiki-footnote-2" id="wiki-footnote-2">2</a>] Solution expliquée par philarete sur ce <a href="http://freebox.toosurtoo.com/forum/viewtopic.php?f=62&t=2552#p32596" hreflang="fr">forum</a></p></div>