Ça claque à mort non d’avoir un nom de domaine en .42 ?
Vous l’avez rêvé ! Ils l’ont fait !
En clin d’œil à H2G2, pour épater un peu Marvin, et parce que la réponse universelle doit bien être ré-solvable quelque part sur le net

Pour le moment pure expérimentation de la 42registry de ce .42, juste avant de peut être conquérir le monde ! (L’univers et le reste !)

Pourquoi on vous parle de ça ?

Bah parce que la 42registry.org ils sont cool, on les aimes bien, et on a envie de les aider.
C’est des fous, et nous chez GeekFault on aime bien les fous.

Vous pouvez d’ailleurs remarquer que si vous savez résoudre les domaines en .42 http://geekfault.42 est disponible.

Vous pouvez d’ailleurs remarquer que vous pouvez venir nous parler de geekfault ou de 42registry sur Geeknode : 4.irc.42 / salon #geekfault / et salon : #42

Votre humble serviteur est également lisible sur son .42 : http://bragon.42

Erf, je sais pas résoudre les domaines en .42, comment je fais ?

3 méthodes pour le moment :
- Je possède mon propre serveur DNS bind9
- Je possède mon propre serveur DNScache DJBDNS.
- Je veux utiliser des serveurs DNS open qui savent résoudre .42

Je possède Bind

Et bah je rajoute à mon named.conf (ou named.conf.local selon les distribs):


zone “42″ IN {
type forward;
forwarders {81.93.248.69; 81.93.248.68; 91.194.60.196; 193.17.192.53; };
};


Je reload bind, et roulz.

/etc/init.d/bind9 reload

ou

/etc/init.d/named reload


J’ai DJB … Oui Je sais ….


cd /services/dnscache
echo 91.191.147.246 > root/servers/42
echo 91.191.147.243 >> root/servers/42
svc -t /services/dnscache


Je suis un pauvre pommé, j’ai pas de serveur de nom

Et bien j’utilise les openDNS de GeekNode.org :

On édite /etc/resolv.conf

nameserver 81.93.248.69
nameserver 81.93.248.68


Hey mec ? Comment je réserve mon .42 ?

Gros poulet ! t’es pas déjà sur : http://42registry.org, tout est expliqué en long en large et en travers !
Alors va vite réserver ton .42 et faire passer le message.

Merci à la team 42registry pour tout l’poisson !

(Et surtout à Colin qui se reconnaîtra ;D)

Liste des domaines enregistrés

Ils sont disponible ici : http://bragon.42/42.txt

Si vous avez aimé ce post...

1. Un geek en vacances
2. maintenir son DNS menteur avec Adblock
3. Ifconfig.me, connaitre son IP publique en un rien de temps

La Quality Of Service (QOS) , qualité de service en français, intervient principalement au niveau 3 du modèle OSI.
Il faut donc placer ses scripts de QOS sur la passerelle de votre réseau, c’est la raison pour laquelle, mettre en place de la QOS sur la eeegw prend tout son sens.

N’hésitez pas à revenir sur les précédents articles sur la eeegw :
eeegw part I
eeegw part II

Si vous avez besoin d’un rafraîchissement sur le concept, je vous oriente vers la page Qualité de service de Wikipedia.

La partie qui clairement nous intéresse ici est décrite au chapitre Ordonnancement :
L’ordonnancement désigne l’ensemble des méthodes visant à modifier l’ordre de départ des paquets, en remplacement de la règle du « premier arrivé, premier servi ».

Une de ses applications les plus courantes consistera ainsi à donner priorité à certains types de trafic.

Grosso modo j’ai mis en place de la QOS sur ma eeegw car j’en avais marre que mes communications SIP (Téléphonie voir futur article :p) ne soient pas de bonne qualité, lors d’upload de pièces jointes via mon mailer ou lorsque j’avais besoin d’utiliser beaucoup d’upload en même temps qu’une communication téléphonique.

Voici mon tout premier script de QOS, ill date un peu et est loin de bien fonctionner
Je vous le montre afin que vous voyez un peu à quoi on s’attaque en parlant de QOS :

Script de QOS exemple1 basé sur HTB

#!/bin/bash

#Constantes
LOCALNET="213.41.xx.xx/255.255.255.255"
MARKPRIO1="1"
MARKPRIO2="2"
MARKPRIO3="3"
MARKPRIO4="4"
MARKPRIO5="5"
MARKPRIO6="6"
MARKPRIO7="7"

IFACE=eth0

UPRATE="8mbit"
DOWNRATE="0.8mbit"

PRIORATE1="5mbit"
PRIORATE2="3mbit"
PRIORATE3="2mbit"
PRIORATE4="0.5mbit"

QUANTUM1="12187"
QUANTUM2="8625"
QUANTUM3="5062"
QUANTUM4="1500"

BURST1="1000k"
BURST2="400k"
BURST3="200k"
BURST4="10k"

CBURST1="300k"
CBURST2="200k"
CBURST3="10k"
CBURST4="1k"

iptables -t mangle -F OUTPUT
iptables -t mangle -F FORWARD

iptables -t mangle -A FORWARD -p icmp -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A OUTPUT -p icmp -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A INPUT -p icmp -j MARK --set-mark $MARKPRIO1

iptables -t mangle -A FORWARD -p tcp --dport 22 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A OUTPUT -p tcp --dport 22 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A INPUT -p tcp --dport 22 -j MARK --set-mark $MARKPRIO1

iptables -t mangle -A FORWARD -p tcp --dport 687 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A OUTPUT -p tcp --dport 687 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A INPUT -p tcp --dport 687 -j MARK --set-mark $MARKPRIO1

iptables -t mangle -A FORWARD -p udp --dport 687 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A OUTPUT -p udp --dport 687 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A INPUT -p udp --dport 687 -j MARK --set-mark $MARKPRIO1

iptables -t mangle -A FORWARD -p tcp --dport 5060 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A OUTPUT -p tcp --dport 5060 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A INPUT -p tcp --dport 5060 -j MARK --set-mark $MARKPRIO1

iptables -t mangle -A FORWARD -p udp --dport 5060 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A OUTPUT -p udp --dport 5060 -j MARK --set-mark $MARKPRIO1
iptables -t mangle -A INPUT -p udp --dport 5060 -j MARK --set-mark $MARKPRIO1

iptables -t mangle -A FORWARD -p tcp --dport 25 -j MARK --set-mark $MARKPRIO3
iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark $MARKPRIO3

iptables -t mangle -A FORWARD -p tcp --dport 143 -j MARK --set-mark $MARKPRIO3
iptables -t mangle -A OUTPUT -p tcp --dport 143 -j MARK --set-mark $MARKPRIO3

iptables -t mangle -A FORWARD -p tcp --dport 80 -j MARK --set-mark $MARKPRIO2
iptables -t mangle -A OUTPUT -p tcp --dport 80 -j MARK --set-mark $MARKPRIO2
iptables -t mangle -A INPUT -p tcp --dport 80 -j MARK --set-mark $MARKPRIO2

iptables -t mangle -A FORWARD -p tcp --dport 443 -j MARK --set-mark $MARKPRIO2
iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark $MARKPRIO2
iptables -t mangle -A INPUT -p tcp --dport 443 -j MARK --set-mark $MARKPRIO2

iptables -t mangle -A FORWARD -p tcp --dport 21 -j MARK --set-mark $MARKPRIO3
iptables -t mangle -A OUTPUT -p tcp --dport 21 -j MARK --set-mark $MARKPRIO3
iptables -t mangle -A INPUT -p tcp --dport 21 -j MARK --set-mark $MARKPRIO3

ifconfig $IFACE txqueuelen 128

tc qdisc add dev $IFACE root handle 1:0 htb default 103 r2q 1
tc class add dev $IFACE parent 1:0 classid 1:1 htb rate $UPRATE burst $BURST1 cburst $CBURST1

tc class add dev $IFACE parent 1:1 classid 1:101 htb rate $PRIORATE1 ceil $UPRATE quantum $QUANTUM1 burst $BURST1 cburst $CBURST1 prio 0
tc class add dev $IFACE parent 1:1 classid 1:102 htb rate $PRIORATE2 ceil $UPRATE quantum $QUANTUM2 burst $BURST2 cburst $CBURST2 prio 1
tc class add dev $IFACE parent 1:1 classid 1:103 htb rate $PRIORATE3 ceil $UPRATE quantum $QUANTUM3 burst $BURST3 cburst $CBURST3 prio 2
tc class add dev $IFACE parent 1:1 classid 1:104 htb rate $PRIORATE4 ceil $P2PRATE quantum $QUANTUM4 burst $BURST4 cburst $CBURST4 prio 3

tc filter add dev $IFACE parent 1:0 protocol ip prio 0 handle $MARKPRIO1 fw classid 1:101
tc filter add dev $IFACE parent 1:0 protocol ip prio 1 handle $MARKPRIO2 fw classid 1:102
tc filter add dev $IFACE parent 1:0 protocol ip prio 2 handle $MARKPRIO3 fw classid 1:103
tc filter add dev $IFACE parent 1:0 protocol ip prio 3 handle $MARKPRIO4 fw classid 1:104

tc qdisc add dev $IFACE parent 1:101 sfq perturb 16 quantum $QUANTUM1
tc qdisc add dev $IFACE parent 1:102 sfq perturb 16 quantum $QUANTUM2
tc qdisc add dev $IFACE parent 1:103 sfq perturb 16 quantum $QUANTUM3
tc qdisc add dev $IFACE parent 1:104 sfq perturb 16 quantum $QUANTUM4

Ce script est loin d’être optimisé.
Son but était de marquer via iptables certain type de flux, afin de les faire passer via des règles de tc/qdisc pour en limiter la bande passante. il utilise HTB (voir plus loin)
Ce script manque clairement de flexibilité.

Soyons clairs, la QOS sous GNU/Linux est un cauchemar à gérer.
Autre concept à bien avoir en tête, vous ne pouvez gérer la QOS que de votre lien sortant, en aucun cas vous ne pouvez gérer ce qui rentre via votre lien. Par analogie, vous ne pouvez pas contrôler la pluie qui tombe dans votre piscine, par contre vous pouvez contrôler l’eau que vous enlevez, et l’eau que vous décidez de rajouter.
Il existe quelques bidouilles afin de réussir tout de même à gérer ce trafic entrant, nous allons essayer de vous présenter ça un peu plus loin dans l’article.

Nous allons donc utiliser Mangle de iptables (pour qos.sh) ainsi que la fonction de mark des packets de iptables.
Il faut donc aller activer cela dans le noyau.


#
# QoS and/or fair queueing
#
CONFIG_NET_SCHED=y
CONFIG_NET_SCH_CBQ=m
CONFIG_NET_SCH_HTB=m
CONFIG_NET_SCH_CSZ=m
CONFIG_NET_SCH_PRIO=m
CONFIG_NET_SCH_RED=m
CONFIG_NET_SCH_SFQ=m
CONFIG_NET_SCH_TEQL=m
CONFIG_NET_SCH_TBF=m
CONFIG_NET_SCH_GRED=m
CONFIG_NET_SCH_DSMARK=m
CONFIG_NET_SCH_INGRESS=m
CONFIG_NET_QOS=y
CONFIG_NET_ESTIMATOR=y
CONFIG_NET_CLS=y
CONFIG_NET_CLS_TCINDEX=m
CONFIG_NET_CLS_ROUTE4=m
CONFIG_NET_CLS_ROUTE=y
CONFIG_NET_CLS_FW=m
CONFIG_NET_CLS_U32=m
CONFIG_NET_CLS_RSVP=m
CONFIG_NET_CLS_RSVP6=m
CONFIG_NET_CLS_POLICE=y


Scheduler / Ordonnanceur

Mise en place des outils

En tout premier lieu vous aurez besoin de iptables et de iproute2
iproute2 est une suite d’utilitaires en ligne de commande qui vous permettent de manipuler les structures kernel liées aux couches réseau de votre machine.

Gentoo :


emerge -av iproute2 iptables


Debian :

apt-get install iptables iproute2


Verifiez que vous avez bien l’utilitaire tc :

Traduction du manuel de tc

Les “classful qdiscs” sont :

“Class Based Queueing” implémente une hierarchie de classes. il contient des éléments de shaping comme des fonctions de prioritisations. Le shape est calculé à partir de latence et de taille de packets

“Hierarchy Token Bucket”
HTB permet de garantir de la bande passante a une classe, définir des limites entre les classes et de fixer des priorités entre elles.

PRIO qdisc n’effectue pas de traffic shapping en tant que tel, il permet juste de fixer des priorités entre les différents type de protocoles transitant dans le lien.
PRIO permet de classifier les classes qui prennent en priorité de la bande passante, en ne laissant aux autres que ce qui reste de bande passante disponible.

Qu’est-ce qu’une classe

Une classe forme, en fait, un arbre avec des branches.
Le but est de former une classe root qui va permettre de faire rentrer tout le trafic et, en fonction des protocoles, on va faire passer le traffic dans différentes branches.

ici nous définissons nos classes root :

## On met en place la classe root pour la BP disponible.
/sbin/tc qdisc add dev $EXTERNAL_IFACE root handle 1: cbq avpkt 1000 bandwidth $BNDWIDTH
## Match ici l'upload de la connexion
/sbin/tc class add dev $EXTERNAL_IFACE parent 1: classid 1:1 cbq rate ${UPLINK}kbit allot 1500 prio 5 bounded isolated

Datagrame IPv4 et Type Of Service : TOS

Tableau des TOS possible dans un Datagram IPv4

Binaire	Décimal	Signification
1000	8	Minimise le Délai (Minimize delay) (md)
0100	4	Maximalise le Débit (Maximize throughput) (mt)
0010	2	Maximalise la Fiabilité (Maximize reliability) (mr)
0001	1	Minimalise le Coût Monétaire (Minimize monetary cost) (mmc)
0000	0	Service Normal

TOS	Binaire	Décimal	Signification	Priorité Linux	Bande
0×0	0000	0	Service Normal	0 Best Effort	1
0×2	0001	1	Minimise le Coût Monétaire (mmc)	1 Filler	2
0×4	0010	2	http://fr.wikipedia.org/wiki/Mod%C3%A8le_OSI	0 Best Effort	1
0×6	0011	3	mmc+mr	0 Best Effort	1
0×8	0100	4	Maximalise le Débit (mt)	2 Masse	2
0xa	0101	5	mmc+mt	2 Masse	2
0xc	0110	6	mr+mt	2 Masse	2
0xe	0111	7	mmc+mr+mt	2 Masse	2
0×10	1000	8	Minimise le Délai (md)	6 Interactive	0
0×12	1001	9	mmc+md	6 Interactive	0
0×14	1010	10	mr+md	6 Interactive	0
0×16	1011	11	mmc+mr+md	6 Interactive	0
0×18	1100	12	mt+md	4 Int. Masse	1
0x1a	1101	13	mmc+mt+md 4 Int. Masse 1	4 Int. Masse	1
0x1c	1110	14	mr+mt+md	4 Int. Masse	1
0x1e	1111	15	mmc+mr+mt+md	4 Int. Masse	1

Exemple de ce qu’on peut faire avec TOS

L’intérêt de la QoS sous Linux est très souvent associé à la priorisation de flux interactifs via iptables.
Par exemple, vous ne souhaitez pas que votre session ssh lag à cause d’un utilisateur qui est en train de monopoliser la bande passante de votre réseau en téléchargeant une bande annonce sur internet ?
Nous allons ici, à titre d’exemple, optimiser les trafics courants avec iptables, à savoir ssh :

# Priorisation des connexions ftp et ssh
iptables -A PREROUTING -t mangle -p tcp -sport ssh -j TOS -set-tos Minimize-Delay
# On donne un maximum de débit aux transferts scp
iptables -A PREROUTING -t mangle -p tcp -sport ssh -j TOS -set-tos Maximize-Throughput

Voici le script de QOS final basé sur CTB et PRIO (celui que j’utilise en production)

#!/bin/bash
### Script de reservation de bande passante par bragon

## On fixe quelques variables

EXTERNAL_DOWNLINK_KBPS="6400"
## je sais downloader à  ~800ko/s ma limite est donc a 6400 Kbps
EXTERNAL_DL_IPSEC_KBPS="1024"
EXTERNAL_DL_PPTP_KBPS=""
EXTERNAL_DL_ICA_KBPS=""
EXTERNAL_DL_TSE_KBPS="128"
EXTERNAL_DL_SMTP_KBPS="512"
EXTERNAL_DL_HTTP_KBPS="1024"
EXTERNAL_DL_OTHERTCP_KBPS="2048"
EXTERNAL_DL_OTHERTCP_PORT="2048"
## je sais uploader à environ 80Ko/s je fixe donc ma limite a 512 afin d'être sûr de ne pas engendrer de lag.
EXTERNAL_UPLINK_KBPS="512"
EXTERNAL_UL_IPSEC_KBPS=""
EXTERNAL_UL_IPSEC_SHARE=""
EXTERNAL_UL_PPTP_KBPS=""
EXTERNAL_UL_PPTP_SHARE=""
EXTERNAL_UL_ICA_KBPS=""
EXTERNAL_UL_ICA_SHARE=""
EXTERNAL_UL_TSE_KBPS="512"
EXTERNAL_UL_TSE_SHARE="512"
EXTERNAL_UL_SMTP_KBPS="256"
EXTERNAL_UL_SMTP_SHARE="256"
EXTERNAL_UL_HTTP_KBPS="32"
EXTERNAL_UL_HTTP_SHARE=""
EXTERNAL_UL_OTHERTCP_KBPS=""
EXTERNAL_UL_OTHERTCP_SHARE=""
EXTERNAL_UL_OTHERTCP_PORT=""
EXTERNAL_UL_VOIP_KBPS="256"
EXTERNAL_UL_VOIP_SHARE="isolated"
EXTERNAL_DEV_BANDWIDTH="" 

## CE script de QOS s'applique à toutes les interface dans MON cas cela convient.
## Je vous conseille de retirer votre interface LAN du match si vous avez plusieurs interfaces reseau.
## La commande va permettre de lister toutes les interfaces et d'appliquer les regles de QOS dessus.
## On match aussi les interfaces tap

if [ -n "$EXTERNAL_DOWNLINK_KBPS" ] && [ -n "$EXTERNAL_UPLINK_KBPS" ] && echo $INTERFACE | egrep -q "(eth[023]|ppp[0-9]|ippp0|tap[0-3])" ; then

#In kilobits
DOWNLINK=$EXTERNAL_DOWNLINK_KBPS
UPLINK=$EXTERNAL_UPLINK_KBPS
BNDWIDTH=$EXTERNAL_DEV_BANDWIDTH

if [ -z "$BNDWIDTH" ]; then
    BNDWIDTH="100mbit"
fi

## on clean deja les parametres en tout premier lieu
## On vide toutes les regles pouvant deja etre en place.
/sbin/tc qdisc del dev $EXTERNAL_IFACE root    2> /dev/null > /dev/null
/sbin/tc qdisc del dev $EXTERNAL_IFACE ingress 2> /dev/null > /dev/null

# install root CBQ # On met en place la policy root, les autres policies seront liées à celle-ci
## cbq avpkt : la taille moyenne des packets en bytes sont necessaire afin de calculer l'idle maximum
## bandwidth rate : pour determiner l'idle time cbq doit forcement connaitre la bande passante de l'interface physique.
/sbin/tc qdisc add dev $EXTERNAL_IFACE root handle 1: cbq avpkt 1000 bandwidth $BNDWIDTH

## allot bytes : utile pour calculer le temps de transmission des packets entre tables, valeur liée à avpkt
/sbin/tc class add dev $EXTERNAL_IFACE parent 1: classid 1:1 cbq rate ${UPLINK}kbit allot 1500 prio 5 bounded isolated

# voip (udp sip 5060 et asterisk 4569)
## Tout ce qui match cette règle possede une reservation CBQ de $EXTERNAL_UL_VOIP_KBPS | priorité numéro 1 !
if [ -n "$EXTERNAL_UL_VOIP_KBPS" ]; then
/sbin/tc class add dev $EXTERNAL_IFACE parent 1:1 classid 1:5 cbq rate ${EXTERNAL_UL_VOIP_KBPS}kbit allot 1600 prio 1 avpkt 1000 $EXTERNAL_UL_VOIP_SHARE

## pfifo : pure 'premier entré premier sortie' qdisc, évite la congestion de packet dans la classid 1:5
/sbin/tc qdisc add dev $EXTERNAL_IFACE parent 1:5 handle 5: pfifo limit 10

 # sip prioritaire 5 !
## filter: utile afin de savoir dans quel classfull qdisc, un packet va etre envoye.
## on peut filter les packets a partir de leur TOS : Type Of Service
/sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 5 u32 match ip sport 5060 0xffff match ip protocol 17 0xff flowid 1:5
/sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 5 u32 match ip dport 5060 0xffff match ip protocol 17 0xff flowid 1:5

# rtp (tos 0x10 et udp) (voir le tableau recap de TOS)
/sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 5 u32 match ip tos 0x10 0xff match ip protocol 17 0xff flowid 1:5

let UPLINK=UPLINK-EXTERNAL_UL_VOIP_KBPS
fi

# SMTP
if [ -n "$EXTERNAL_UL_SMTP_KBPS" ]; then
 /sbin/tc class add dev $EXTERNAL_IFACE parent 1:1 classid 1:44 \
 cbq rate ${EXTERNAL_UL_SMTP_KBPS}kbit allot 1600 prio 1 avpkt 1000 $EXTERNAL_UL_SMTP_SHARE
 /sbin/tc qdisc add dev $EXTERNAL_IFACE parent 1:44 handle 44: sfq perturb 10

 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 44 u32 \
 match ip dport 25 0xffff match ip protocol 6 0xFF match ip firstfrag flowid 1:44

 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 44 u32 \
 match ip dport 2525 0xffff match ip protocol 6 0xFF match ip firstfrag flowid 1:44

 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 44 u32 \
 match ip dport 587 0xffff match ip protocol 6 0xFF match ip firstfrag flowid 1:44

let UPLINK=UPLINK-EXTERNAL_UL_SMTP_KBPS
fi

# HTTP
if [ -n "$EXTERNAL_UL_HTTP_KBPS" ]; then
 /sbin/tc class add dev $EXTERNAL_IFACE parent 1:1 classid 1:46 \
 cbq rate ${EXTERNAL_UL_HTTP_KBPS}kbit allot 1600 prio 1 avpkt 1000 $EXTERNAL_UL_HTTP_SHARE
 /sbin/tc qdisc add dev $EXTERNAL_IFACE parent 1:46 handle 46: sfq perturb 10

 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 46 u32 \
 match ip dport 80 0xffff match ip protocol 6 0xFF match ip firstfrag flowid 1:46
 let UPLINK=UPLINK-EXTERNAL_UL_HTTP_KBPS
fi

# OTHERTCP
if [ -n "$EXTERNAL_UL_OTHERTCP_KBPS" ]; then
 /sbin/tc class add dev $EXTERNAL_IFACE parent 1:1 classid 1:48 \
 cbq rate ${EXTERNAL_UL_OTHERTCP_KBPS}kbit allot 1600 prio 1 avpkt 1000 $EXTERNAL_UL_OTHERTCP_SHARE
 /sbin/tc qdisc add dev $EXTERNAL_IFACE parent 1:48 handle 48: sfq perturb 10

 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 48 u32 \
 match ip dport $EXTERNAL_UL_OTHERTCP_PORT 0xffff match ip protocol 6 0xFF match ip firstfrag \
 flowid 1:48
 let UPLINK=UPLINK-EXTERNAL_UL_OTHERTCP_KBPS
fi

if [ $UPLINK -gt 0 ]; then

# classe interactive
/sbin/tc class add dev $EXTERNAL_IFACE parent 1:1 classid 1:10 cbq rate ${UPLINK}kbit allot 1600 prio 2 avpkt 1000
/sbin/tc qdisc add dev $EXTERNAL_IFACE parent 1:10 handle 10: sfq perturb 10

 # TOS Minimum Delay (ssh, NOT scp) in 1:10: donc on lui donne un priorité de 1000
 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 1000 u32 match ip tos 0x10 0xff  flowid 1:10

 # ICMP (ip protocol 1) dans la classe interactive 1:10 donc on lui donne un priorité de 1001
 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1:0 protocol ip prio 1001 u32 match ip protocol 1 0xff flowid 1:10

 # Pour accélérer le downaload lorsqu'un upload est en court il faut bien faire les ACK dans la classe interactive.

 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1: protocol ip prio 1002 u32 match ip protocol 6 0xff match u8 0x05 0x0f at 0 match u16 0x0000 0xffc0 at 2 match u8 0x10 0xff at 33 flowid 1:10

# classe bulk

 /sbin/tc class add dev $EXTERNAL_IFACE parent 1:1 classid 1:20 cbq rate $[9*$UPLINK/10]kbit \
   allot 1600 prio 3 avpkt 1000
 /sbin/tc qdisc add dev $EXTERNAL_IFACE parent 1:20 handle 20: sfq perturb 10

 /sbin/tc filter add dev $EXTERNAL_IFACE parent 1: protocol ip prio 1003 u32 \
   match ip dst 0.0.0.0/0 flowid 1:20

else
 echo "Error: no bandwidth left for uplink on $EXTERNAL_IFACE: $UPLINK" 1>&2
 /sbin/tc qdisc del dev $EXTERNAL_IFACE root    2> /dev/null > /dev/null
fi

#
# Il faut ralentir les download afin d'éviter que l'ISP mette en queue ce qui engendre le lag
# Les ISP ont tendance à avoir des queues énormes afin d'être sûrs que les downloads seront rapides.
#
# police ingress:

/sbin/tc qdisc add dev $EXTERNAL_IFACE handle ffff: ingress

# voip
# tout ce qui est voip ne doit pas être limité, donc on fait un match simple
# iax2

/sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 5 u32 \
  match ip sport 4569 0xffff match ip protocol 17 0xff flowid :1
 /sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 5 u32 \
  match ip dport 4569 0xffff match ip protocol 17 0xff flowid :1

# sip # priorite 5 !
/sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 5 u32 \
  match ip sport 5060 0xffff match ip protocol 17 0xff flowid :1
/sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 5 u32 \
  match ip dport 5060 0xffff match ip protocol 17 0xff flowid :1

/sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 5 u32 \
match ip sport 5061 0xffff match ip protocol 17 0xff flowid :1

# rtp (tos 0x10 et udp) # priorte 5 !
/sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 5 u32 \
  match ip tos 0x10 0xff match ip protocol 17 0xff flowid :1

# SMTP
if [ -n "$EXTERNAL_DL_SMTP_KBPS" ]; then
 /sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 44 u32 \
 match ip sport 25 0xffff match ip protocol 6 0xFF match ip firstfrag \
 police rate ${EXTERNAL_DL_SMTP_KBPS}kbit burst 10k drop flowid :1
 let DOWNLINK=DOWNLINK-EXTERNAL_DL_SMTP_KBPS
fi

# HTTP
if [ -n "$EXTERNAL_DL_HTTP_KBPS" ]; then
 /sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 46 u32 \
 match ip sport 80 0xffff match ip protocol 6 0xFF match ip firstfrag \
 police rate ${EXTERNAL_DL_HTTP_KBPS}kbit burst 10k drop flowid :1
 let DOWNLINK=DOWNLINK-EXTERNAL_DL_HTTP_KBPS
fi

# OTHERTCP qui ne matchent pas les règles précédentes
if [ -n "$EXTERNAL_DL_OTHERTCP_KBPS" ]; then
 /sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 48 u32 \
 match ip sport $EXTERNAL_DL_OTHERTCP_PORT 0xffff match ip protocol 6 0xFF match ip firstfrag \
 police rate ${EXTERNAL_DL_OTHERTCP_KBPS}kbit burst 10k drop flowid :1
 let DOWNLINK=DOWNLINK-EXTERNAL_DL_OTHERTCP_KBPS
fi

##règles de burst
if [ $DOWNLINK -gt 0 ]; then
 /sbin/tc filter add dev $EXTERNAL_IFACE parent ffff: protocol ip prio 1000 u32 \
 match ip src 0.0.0.0/0 police rate ${DOWNLINK}kbit burst 10k drop flowid :1
else
 echo "Error: no bandwidth left for downlink on $EXTERNAL_IFACE: $DOWNLINK" 1>&2
 /sbin/tc qdisc del dev $EXTERNAL_IFACE ingress 2> /dev/null > /dev/null
fi

# initial if (are the 2 required variables defined?)
fi

N’hésitez pas à le tester, il déboite

Si vous avez aimé ce post...

1. EeeGW : Créer soi-même une passerelle réseau
2. EeeGW – ZE retour du détour ! – Proxycache.
3. Allocation d’adresses IPv4 publiques over VPN

]]> http://geekfault.org/2010/05/24/eeegw-part-iii-quality-of-service-aka-qos/feed/ 1 http://geekfault.org/2010/05/20/bash-and-shell-tips-and-tricks/ http://geekfault.org/2010/05/20/bash-and-shell-tips-and-tricks/#comments Thu, 20 May 2010 10:44:57 +0000 bragon http://geekfault.org/?p=4416 Si vous avez aimé ce post...

1. Linux – Laptop – Ultimate Powersaving !
2. maintenir son DNS menteur avec Adblock
3. La nouvelle mode Geek : avoir son domaine .42

]]> Le but de cet l’article est de partager avec vous des petits “trucs”, que nous rédacteur geekfault utilisons dans nos consoles préférées tous les jours, et souhaitons échanger avec vous petits scarabées.

En faite mon idée est partie de ce petit délire que m’a sorti khemael :


tr -c "[:digit:]" " " < /dev/urandom | dd cbs=$COLUMNS conv=unblock | GREP_COLOR="1;32" grep --color "[^ ]"


Les astuces sont livrées de façon brute de fonderie.
Noob s'abstenir.

Nota Noob : Ne tappe pas une commande sur ton shell que tu ne comprends pas.

Some of madx's tricks

Redirections


commande 1> fichier : Redirige stdout dans fichier
commande 2> fichier : Redirige stderr dans fichier
commande 2>&1 : Redirige stderr vers stdout
commande &> fichier : Redirige stdout et stderr dans fichier


Fork bomb ! Warning, ne pas utiliser ça sur un serveur non protégé


f(){ f|f&};f


Bash and perl regexp


for i in * ; do mv "$i" "`echo $i | perl -pe 's/foo_regex/bar/' `"; done
for i in *.gif ; do convert "$i" "`echo $i | perl -pe 's/gif$/png/' `"; done


scp resume


rsync --partial --progress -e ssh file user@host:/dir


Remote backup


tar -cv / | ssh user@host -T -e none "cat > backup.tar"
ssh root@host "tar -c /" | cat > backup.tar


burning


mkisofs -v -R -r -V "dvd title" -o dvd.iso file1 file2 ...
cdrecord -v -dao -fs=500m -dev=/dev/sg1 -data dvd.iso
cdrecord -dev=/dev/sg1 blank=fast


perl regex sur un fichier


perl -pi -e 's/^(#)?TIMEZONE=.*$/TIMEZONE="Europe\/Paris"/' /etc/conf.d/clock


encode to theora/ogg


ffmpeg -i whatever.avi -f ogg -vcodec libtheora -vb 2000k -acodec libvorbis -ab 128k -y whatever.ogg


Some of bragon's tricks

Perfect rsync + remote


#!/bin/sh
time /usr/bin/rsync \
--rsh="ssh -2 -l root" \
--verbose \
--archive \
--hard-links \
--numeric-ids \
--progress \
--stats \
--delete \
--exclude "/proc/*" \
--exclude "/sys/*" \
--exclude "/vservers/*/proc/*" \
--exclude "/vservers/*/dev/*" \
--exclude "/vservers/*/sys/*" \
--exclude "/data/*" \
/vservers/sam/ gerontius:/vservers/sam/


config backup


cp /etc/httpd/conf/httpd.conf{,.bak}


for file in * ; do cp $file $file.bak; done


Afficher un calendrier rapidement


cal -3


La date d'aujourd'hui


date +%d-%b-%Y
16-May-2010

today=$(date +%d-%b-%Y)

echo $today
16-May-2010


repeting an argument


mkdir /path/to/exampledir
cd !$


Majuscule are useless


bragon@shaytan ~ $ shopt -s cdspell
bragon@shaytan ~ $ cd Downloads/
bragon@shaytan ~/Downloads $ cd
bragon@shaytan ~ $ cd downloads
Downloads
bragon@shaytan ~/Downloads $


Socket information sur ta workstation


ss -ari
ss -arn


Change user shell


chsh -s /bin/bash utilisateur # lui definir bash en tant que shell
chsh -s /bin/false utilisateur # pas de shell
chsh -s /bin/zsh utilisateur # zsh


iptables line del


iptables -L -n --line-numbers
iptables -D INPUT 34 # vires la ligne 34


history clean / dmesg clean


history -c
dmesg -c


petit script de screenshot


#!/bin/bash
export DISPLAY=":1"
/usr/bin/firefox --display :1 "$1" > /dev/null 2> /dev/null &
/bin/sleep 10
/usr/bin/import -window root -display :1 "$2"
killall firefox-bin


Se déconnecter d'un ssh quand on a timeout pour récupérer sa console


~.


Some of khemael's tricks

Relancer la commande en root


su -c !!


nice output of mount


mount | column -t


Query wikipedia à travers le DNS


dig +short txt .wp.dg.cx


afficher les 10 processus les plus gourmant en RAM


ps aux | sort -nk +4 | tail


"BEEP" when the IP comes online


ping -a IP_address


Extract a tarball without local saving.


wget -qO - "http://www.tarball.com/tarball.gz" | tar zxvf -


My cool terminal clock


watch -t -n1 "date +%T|figlet"


Binary clock


watch -n 1 'echo "obase=2;`date +%s`" | bc'


Quick share of a file through a port


nc -w 5 -v -l -p 80 < file.ext


Stream youtube url directly to mplayer (no cclive needed)


mplayer -fs $(echo "http://youtube.com/get_video.php?$(curl -s $youtube_url | sed -n "/watch_fullscreen/s;.*\(video_id.\+\)&title.*;\1;p")")


Si vous avez aimé ce post...

1. Linux – Laptop – Ultimate Powersaving !
2. maintenir son DNS menteur avec Adblock
3. La nouvelle mode Geek : avoir son domaine .42

]]> http://geekfault.org/2010/05/20/bash-and-shell-tips-and-tricks/feed/ 6 http://geekfault.org/2010/05/13/linux-laptop-ultimate-powersaving/ http://geekfault.org/2010/05/13/linux-laptop-ultimate-powersaving/#comments Thu, 13 May 2010 12:52:48 +0000 bragon http://geekfault.org/?p=4331 Si vous avez aimé ce post...

1. Partager la connexion de son laptop
2. Faille critique dans tous les noyaux Linux
3. Chromium, le Google Chrome sous Linux sans émulation

]]>

Le but de cet article est de faire économiser de la batterie à votre laptop sous Linux.

Avec quelques tips, c’est possible très facilement.
On peut gagner 1h de batterie avec quelques méthodes simples.

Follow the white rabbit

Outils indispensable

Déjà il va vous falloir vous munir d’un outils indispensable développé par intel nommé : powertop
Le gars qui cherche à économiser de la batterie et qui n’a pas installé powertop c’est vraiment un gros naz


emerge -av powertop



apt-get install powertop


Lancez powertop en root, et suivez le guide, tout est expliqué directement dans l’interface ncurses.

Désactive le superflu dans l’bios petite loutre

Il convient d’aller désactiver les choses dont vous ne vous servez jamais dans le bios.
Exemple :

Etc … etc …

ça permet d’économiser déjà pas mal de batterie.

Modifies ton sysctl.conf petit castor

Quelques réglages à avoir dans le sysctl.conf

modifier : /etc/sysctl.conf

vm.laptop_mode = 5 # Activating laptop mode, power friendly I/Os
vm.dirty_writeback_centisecs = 2000
kernel.nmi_watchdog = 0
vm.swappiness = 5


Le writeback du cache du système de fichiers sur le disque dur se fait assez fréquemment. Pour réduire la consommation, il suffit de le faire moins fréquemment.
Par defaut le writeback est à 500

fout ça dans ton /sys petit scarabée


echo 10 > /sys/module/snd_hda_intel/parameters/power_save
echo min_power > /sys/class/scsi_host/host0/link_power_management_policy
echo min_power > /sys/class/scsi_host/host1/link_power_management_policy


Actives le power management dans ta carte wifi Intel petite fourmis des bois


iwconfig wlan0 power on


Mon petit script à la con, lis ça petit phasmid

Le paramètre sched_smt_power_savings sous /sys/devices/system/cpu/ contrôle le multithreading. Par défaut, il vaut 0 pour des performances optimales
Mettez le à 1 pour avoir plus de batterie, ainsi vous ne vous servirez du second cœur de votre cpu qu’en cas de besoin ! :


echo 1 > /sys/devices/system/cpu/sched_smt_power_savings


Conclusion

Cet article n’est pas complet car j’ai également des optimisations dans mon kernel, mais ça peut déjà vous donner une bonne base de travail.
N’hésitez pas à faire des bench avec powertop à CHAQUE modification pour voir ce que ça change sur votre consommation en Watts.

Si vous avez aimé ce post...

1. Partager la connexion de son laptop
2. Faille critique dans tous les noyaux Linux
3. Chromium, le Google Chrome sous Linux sans émulation

Les mails sans rangement c’est immangeable, ceci est une petite recette d’assaisonnement

Centraliser mes mails m’apporte plusieurs choses :

- Faciliter le filtrage.
- Faciliter le rangement dans différents dossiers.
- Effectuer un backup de tous mes comptes IMAP/POP.
- Faire apprendre à mon antispam mes différents réglages.

Cette recette ne couvre pas l’installation de Apache + php + MySQL
Nous supposons ici que vous savez faire ce type d’installation.

Cette recette ne couvre pas non plus l’utilisation de mutt (je mettrai tout de même en ligne ma configuration).
En effet, l’utilisation de mutt mérite un article à lui seul !

Postulat1 : Les mails seront stockés dans cette recette ici : /home/utilisateur/.maildir
Postulat2 : Nous supposons que vous avez plusieurs comptes email à rapatrier.
Postulat3 : Nous supposons que vous disposez d’une machine GNU/Linux sous Gentoo et/ou Debian pour effectuer ce howto.
Postulat4 : Nous supposons que vous stockez vos mails dans le format Maildir ! (se reporter au Howto Sur la conversion mbox => maildir en cas de soucis) Allez lire : http://geekfault.org/2010/04/09/maildir-mbox-la-migration/

Résultat une fois que la recette est en place

Logiciels nécessaires pour “MailFiltrés”

Remplir la casserole

Pour trier le manger dans la casserole nous devons tout d’abord la remplir !

Pour effectuer ce howto il nous faut tout d’abord des emails.
Il va donc nous falloir configurer fetchmail.
Attention ne pas lancer fetchmail de suite ! Sinon vous risquez de rapatrier les emails sans même les faire passer dans la moulinette avant de les déposer dans les bons compartiments de la casserole !

Récupérer les ingrédients et les mettre dans la casserole

* Gentoo

USE="ssl" emerge -av net-mail/fetchmail


* Debian

apt-get install fetchmail


* .fetchmailrc


## les mails mondomaine.info
poll pop.geekmx.org
protocol pop3
username bragon@mondomaine.info
password ""
#mda '/usr/bin/procmail -d %T' ### petit commentaire pour vous faire voir comment faire pour faire passer vos mails dans la moulinette procmail avant de les donner à manger à dovecot !!
mda "/usr/libexec/dovecot/deliver"
is 'bragon' here ### Nom de l'utilisateur local pour déposer les mails.
keep ### Laisses mes mails sur l'imap distant ! Mechant !

Filtrer / Découper les ingrédients Juste avant la casserole


emerge -av =net-mail/dovecot-1.2.6

ou

apt-get install dovecot # Je crois que de base dans Debian dovecot est compilé avec sieve.


* Flag de compilation nécéssaire pour dovecot : “berkdb bzip2 ipv6 maildir managesieve mysql pam sieve ssl zlib -caps -cydir -dbox -doc -kerberos -ldap -mbox -postgres -sqlite -suid -vpopmail”

Via ces directives de compilation dovecot supporte maintenant les fichiers de filtrage “.sieve”
Il vous suffit de déposer n’importe quel fichier sieve dans /home/utilisateur/sieve pour que dovecot utilise vos filtres.

Voici un exemple de syntaxe : tamereenshortsurunCISCO7603.sieve


# rule:[cron]
elsif anyof (header :contains "Subject" "root@gn",
header :contains "From" "root@astaroth",
header :contains "From" "bragon@tobold",
header :contains "From" "root@aec-ri.com",
header :contains "From" "root@mail.geekmx.org",
header :contains "From" "root@bender")
{
fileinto "cron";
}


Second exemple de syntaxe : tonpapaesttellementvieuxque….sieve


# rule:[SYSADMIN ML]
elsif anyof (header :contains "From" "sysadmin@domaine.net",
header :contains "Subject" "Liste Franophone Administrateur systeme")
{
fileinto "boulot.sysadmin";
redirect "smartphone[at]bragon[point]info"; ## Mettre ici une adresse mail valide
}
# rule:[Debian Security Advertise]
elsif anyof (header :contains "Subject" "[SECURITY][DSA")
{
fileinto "boulot.dsa";
}


Virer les ingrédients moisis en les mettant dans un compartiment de la casserole


emerge -av =mail-filter/spamassassin-3.2.5-r2


* Flag de compilation nécessaire pour spamassassin : "berkdb ipv6 mysql ssl -doc -ldap -postgres -qmail -sqlite -tools"

* Voir les configurations de spamd ci-après.

Renvoyer certains ingrédients au cuisinier


emerge -av =mail-mta/postfix-2.6.5


* Flag de compilation nécessaire pour postfix : "dovecot-sasl ipv6 mysql pam ssl -cdb -hardened -ldap -mbox -nis -postgres -sasl (-selinux) -vda"

* Voir le fichier de configuration main.cf ci-après.

Le postfix me sert uniquement pour transférer certaines régles sieve vers une autre adresse mail.
Cette adresse mail est popé via mon smartphone.
Ainsi je reçois N'importe ou Certains mails qui "matchent" une régle de filtrage spécifique !

Le postfix peut me servir également à faire réply dans l'interface roundcube ou mutt . (mais je l'utilise rarement car ce postfix n'a ni domainkeys ni spf pour mes domaines pro / geeknode / gmail) Et le mail bien que délivré arrivera dans la boite à spam du correspondant fréquemment.

Ce postfix n'est là que pour dépanner, et pour transférer mes mails super important via mon smartphone.

Faire mijoter à feu doux !

Placer ce crontab pour l'utilisateur qui va devoir récupérer les mails.


crontab -e
*/10 * * * * /usr/bin/fetchmail > /dev/null 2>&1


Les mails vont donc être récupérés toutes les dix minutes, et directement déposés dans le MDA ( Mail Délivery Agent).
Le MDA de ma configuration fetchmail étant dovecot, et dovecot lisant tous mes filtres, cela devrait bien se passer

Présentation sur un joli plat du résultat.

La configuration de dovecot aka "Le déversoir"


base_dir = /var/run/dovecot/
protocols = imap managesieve ## Je suppose que vous n'avez pas besoin de pop pour votre interface centralisé.
shutdown_clients = yes
disable_plaintext_auth = no
ssl = no ## ce howto ne couvre pas la sécurité de l'imap

Configuration de .muttrc aka le rouleau à patisserie

Placer ce fichier .muttrc à la racine du répertoire utilisateur :

Configuration de postfix aka "Le renvoyeur"


queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = //usr/lib/postfix
data_directory = /var/lib/postfix
mail_owner = postfix
myhostname = tobold.mondomaine.info
mydomain = tobold.mondomaine.info
myorigin = $myhostname

Configuration SpamAssassin/MySQL

* Afin de générer un bon local.cf utilisez : http://www.yrex.com/spam/spamconfig.php

* Insérer dans une base MySQL

CREATE TABLE userpref (
username varchar(100) NOT NULL default '',
preference varchar(50) NOT NULL default '',
value varchar(100) NOT NULL default '',
prefid int(11) NOT NULL auto_increment,
PRIMARY KEY (prefid),
KEY username (username)
);
CREATE TABLE bayes_expire (
id int(11) NOT NULL default '0',
runtime int(11) NOT NULL default '0',
KEY bayes_expire_idx1 (id)
) TYPE=MyISAM;

* secret.cf

* local.cf


# SpamAssassin config file for version 3.x
# NOTE: NOT COMPATIBLE WITH VERSIONS 2.5 or 2.6
# See http://www.yrex.com/spam/spamconfig25.php for earlier versions
# Generated by http://www.yrex.com/spam/spamconfig.php (version 1.50)

# Mail using locales used in these country codes will not be marked
# as being possibly spam in a foreign language.
#ok_locales en fr


Ajouter les clous de girofles dans RoundCube

http://www.tehinterweb.co.uk/roundcube/#pisieverules

Il vous faut installer les plugins ManageSieve et ReportasJunk
Suivez la documentation officielle, elle s'en sortira mieux que moi afin de vous expliquer tout cela.

• http://www.tehinterweb.co.uk/roundcube/plugins/sieverules.README.txt
• http://www.tehinterweb.co.uk/roundcube/plugins/sauserprefs.README.txt
• http://www.tehinterweb.co.uk/roundcube/plugins/markasjunk2.README.txt

Laissez refroidir

Voilà c'est prêt !

Awesome non ?

Si vous avez aimé ce post...

1. Maildir mbox – La migration
2. EeeGW : Créer soi-même une passerelle réseau
3. Mise en place d’un système de backup avec Rsnapshot

Vous vous souvenez dans l’article : http://geekfault.org/2009/12/31/construire-sa-gateway-from-scratch/ Je vous ai parlé de plein de petits ajouts afin de rendre votre eeegw MUST.

Je vous avais parlé de :

Pouvoir mettre en place un proxy transparent pour votre connexion pour mettre en cache les pages les plus souvent demandées et ainsi économiser de la bande passante.

Finalement j’ai trouvé le soft parfait pour faire ça : http://www.pps.jussieu.fr/~jch/software/polipo/

Choix du soft de proxy cache

Pourquoi ne pas avoir choisi squid ?

- Parce qu’il est trop gourmand en ressource pour la eeegw.
- Parce que sa conf est imbittable pour un non initié.

Pourquoi avoir choisi Polipo ?

- Parce qu’il consomme que dalle en ressource et en espace disque.
- Parce que sa configuration est assez implicite.
- Polipo à toutes les fonctions d’un bon web proxy.
- Polipo est parfaitement adapté aux petits reseaux, mais pourrait parfaitement fonctionner sur un gros réseau bien qu’il n’ai pas spécialement été design dans ce but.
- Polipo sait filtrer, ainsi si on souhaite totalement interdire facebook.com ou msn.con/live.com sur son reseau On peut très facilement.
- Polipo sait causer ipv4 et ipv6, Ainsi polipo peut être utilisé en tant que bridge pour permettre aux clients ipv6 d’accéder à l’internet v4 et vis et versa.
- Polipo sait parler SOCKS, ainsi il peut très facilement se coupler (ou s’accoupler au choix :p) avec tor afin de surfer de façon anonyme.

Installation et configuration de Polipo

Sur eeegw rien de plus simple :


apt-get install polipo


Allé on va le configurer : /etc/polipo/config

/etc/polipo/forbidden


microsoft.com
live.com
msn.com
hotmail.fr
hotmail.com
facebook.fr
facebook.com


Laissez le fichier option de base.

On peut faire feu


/etc/init.d/polipo start


http://ip.eeegw:8118/polipo/

Vous pourrez ainsi voir la configuration ainsi que pas mal de chose étant mis en cache.

http://ip.eeegw:8118/polipo/index?

Le choix s’offre à vous

Deux solutions :
- Soit vous dites à vos clients d’utiliser dans leur firefox/chromium comme proxy : ip.polipo:8118
- Soit via une règle iptables vous dites simplement à votre eeegw que tout traffic sortant via le port 80 doit d’abord passer par polipo.

Croyez moi vous allez économiser de la bande passante

Si vous avez aimé ce post...

1. EeeGW : Créer soi-même une passerelle réseau
2. Eeegw – part III – Quality Of Service aka QOS
3. Allocation d’IPv6 over OpenVPN

Je vais ici vous parler de Munin.
C’est un outils de génération de graphs basé sur rrdtool.
Il permet de grapher toute sorte de chose vachement bien, et comme j’en suis pleinement convaincu, je vais vous le présenter ici.
L’intégration de plugins supplémentaire afin de grapher des choses non prévu à la base est enfantine.
Il existe pas mal de munin publique qui peuvent vous permettre de vous rendre compte de la puissance de l’outils.
Allez par exemple visualiser : https://supervision.globenet.org/munin/

Geeknode génére sa page statistique grace à des plugins Munin homemade également :
Allez visualiser : http://www.geeknode.org/statistiques.html

J’espère ainsi vous avoir donné l’envie d’aller voir plus loin avec ce soft très bien fait.

Munin se décompose en 2 parties :

Le grapheur munin sur une machine qui va se charger de la surveillance, c’est la machine qui va s’occuper d’interroger tous les nodes, et de générer les graphiques à partir des fichiers rrd collectés.

Le démon munin-node sur chaque machine qui va fournir son état au grapheur.

Evidement, si vous n’avez qu’un seul serveur vous aurez a exécuter munin-graph et munin-node sur la même machine.

munin-node.conf doit binder sur 127.0.0.1 (host) et n’a pas besoin d’accepter autre chose que 127.0.0.1 (allow) dans le cas d’une machine simple.

Si vous avez plusieurs machines à grapher vous devez bien sur écouter sur une ipv4 publique afin que le grapher puisse récupérer vos données.

Pour firewaller munin-node :


INPUT TCP IP.SRC.MUNIN.GRAPH/32 4949 sur les munin-node
OUTPUT TCP 4949 sur le munin-graph


On install munin-node sur les machines à surveiller

MUNIN-NODE est à installer sur toutes les machines que l’on veut grapher.

Installation du daemon munin-node sous Gentoo :

echo 'net-analyzer/munin minimal -ssl -mysql' >> /etc/portage/package.use
emerge -av net-analyzer/munin


Installation du daemon munin-node sous Debian

apt-get install munin-node


Configuration du daemon munin-node

On importe les plugins sous gentoo :
On ajoute les plugins de base
Sous debian les plugins de base en fonction des services tournant sur la machine sont par defaut activés.


cd /etc/munin/plugins
ln -s /usr/libexec/munin/plugins/swap
ln -s /usr/libexec/munin/plugins/memory
ln -s /usr/libexec/munin/plugins/processes
ln -s /usr/libexec/munin/plugins/if_ /etc/munin/plugins/if_eth0
ln -s /usr/libexec/munin/plugins/if_ /etc/munin/plugins/if_eth1
ln -s /usr/libexec/munin/plugins/uptime
ln -s /usr/libexec/munin/plugins/cpu
ln -s /usr/libexec/munin/plugins/load
ln -s /usr/libexec/munin/plugins/df
ln -s /usr/libexec/munin/plugins/interrupts
ln -s /usr/libexec/munin/plugins/iostat
ln -s /usr/libexec/munin/plugins/netstat
ln -s /usr/libexec/munin/plugins/users


On ajoute les plugins apache


ln -s /usr/libexec/munin/plugins/apache_accesses
ln -s /usr/libexec/munin/plugins/apache_processes
ln -s /usr/libexec/munin/plugins/apache_volume


On autorise le serveur à grapher à accéder au munin-node

* /etc/munin/munin-node.conf
allow ^IP\.PRIVE\.DU-SERVEUR-QUI-GRAPH\.ETH1$

* au passage on bind le munin-node sur eth1 aussi, ça évite d’écouter inutilement sur toutes les autres interfaces
host IP.PRIVE.DE.CETTE.MACHINE

Exemple de fichier munin-node.conf


log_level 4
log_file /var/log/munin/munin-node.log
port 4949
pid_file /var/run/munin/munin-node.pid
background 1
setseid 1

allow ^10\.0\.69\.250$


Installation du grapheur

Sous Gentoo :

echo 'net-analyzer/munin -minimal -mysql' > /etc/portage/package.use
emerge -av munin


Sous Debian :

apt-get install munin


Exemple de fichier munin.conf

crontab

Une crontab doit logiquement s’etre ajouté lors de l’installation sur le grapher pour l’utilisateur munin :

crontab -u munin -l
# m h dom mon dow command
*/5 * * * * [ -x /usr/bin/munin-cron ] && /usr/bin/munin-cron


Si la crontab ne s’est pas mise en place rajoutez la.


crontab -u munin -e


Exemples de graphs

Et enjoy les supra bien graph )

Si vous avez aimé ce post...

1. nginx et python – le perfect setup
2. EeeGW : Créer soi-même une passerelle réseau
3. Filtrer ses mails ! Un cauchemard !

Si vous vous sentez l’âme d’un geek.
Si vous avez des projets open source qui vous tiennent à cœur à présenter.
Si vous avez l’âme d’un rédacteur d’article.
Si vous vous sentez seul et souhaitez partager vos découvertes glanées sur la toile.
Si vous pensez qu’il est plus important de partager la connaissance que d’en avoir réellement

Dans ce cas, vous êtes fait pour être rédacteur Geekfault.

Proposez nous des articles en commentaire avec un email valide, et nous vous contacterons si vos idées nous plaisent.

Si vous avez aimé ce post...

1. Nouveautés sur Geekfault
2. Migration de Geekfault
3. Reprise d’activité de Geekfault

Je vous présente via cet article ma transformation d’un EeePC, qui ne me servait à rien, en routeur-passerelle réseau. Je vous présente mon travail, mais il est très facile d’adapter ce travail à votre utilisation et à votre propre machine afin de la transformer en un super routeur Linux qui tue tout

Article illustré par l’exemple

Cette documentation est adapté à mon LAN qui est paramétré sur le subnet 10.0.69.0/24. Le eeegw, comme je l’appelle, prend donc l’adresse 10.0.69.250/24 est sera la gateway de mon réseau afin que mes autres machines puissent accéder à l’internet.

À quoi ça sert de monter sa propre Gateway ?

• Ne pas avoir à redémarrer sa connexion internet chaque fois qu’on a envie de toucher aux règles de firewalling. En effet les box des FAI nécessitent de redémarrer pour prendre en compte de nouveaux paramètres
• Ne pas avoir une boite noire à la place de routeur : on peut surveiller son réseau et savoir quels sont les packets qui y passent
• Pouvoir loguer via iptables et ulogd par exemple (futur article)
• Pouvoir grapher via rrdtool / Mrtg la bande passante qui passe par vos liens
• Pouvoir héberger un petit blog (par exemple) directement sur votre passerelle
• Pouvoir mettre en place un proxy transparent pour votre connexion pour mettre en cache les pages les plus souvent demandées et ainsi économiser de la bande passante (futur article)
• Savoir exactement ce qui se passe avec votre connexion internet
• Mettre en place des outils de détection d’attaques sur votre réseau via SNORT (futur article)

Choisir le bon matériel

N’importe quel ordinateur avec un tant soit peu de puissance est suffisant pour faire un bon gateway, il suffit que cette machine soit munie de plusieurs interfaces réseau.

Durant des années j’ai eu en tant que passerelle un PII 266Mhz muni de 128MB de ram et d’un disque dur de 2Go. Pour cette nouvelle gateway j’ai choisi le EeePC 7″ que j’ai baptisé eeegw

Pourquoi ce choix? Parce que le EeePC dispose de beaucoup d’avantages à être transformé en Gateway :

• Il est muni d’une batterie donc non affecté par une coupure de courant éventuelle
• Il dispose d’une interface réseau ethernet et d’une interface wifi
• La carte wifi intégrée est une Atheros et supporte donc (via le pilote madwifi) les multi wireless WAN
• Sa puissance est honorable (512 de RAM / 900Mhz / 4Go de SSD)
• On peut très facilement installer une distribution GNU/Linux dessus
• On peut installer un serveur web dessus en toute tranquillité
• Son matériel est pleinement supporté par le noyau Linux
• Sa consommation est très faible, permettant donc d’être allumé 24/24 sans détruire son budget EDF

Installer la bonne distribution

Si comme moi vous souhaitez transformer un EeePC, je vous conseille Debian. Personnelement j’aurais bien choisi Gentoo, mais le EeePC prendrait trop de temps à compiler, et ne refroidit pas spécialement bien.

Installer la distribution Debian sur un EeePC est très bien documenté, il vous suffit de créer une clée usb bootable. Je vous renvoie à la documentation de Debian : EeeDebian.

Glossaire des packets Debian nécessaires pour ce howto

• iproute
• iptables
• apache2
• munin munin-node
• wireless-tools

Se connecter aux FAI sur les interfaces concernées

Je dispose pour ma part d’une connexion au web fournie via le fournisseur d’accès Nerim (j’établis donc la connexion en PPPoE comme avec la plupart des fournisseurs ADSL). Je dispose d’une seconde connexion via du WiFi fourni par un de mes voisins (qui accepte que je me serve de sa connexion).

Ne vous inquiétez pas si vous n’avez qu’une seule connexion, ou si vous avez Free+Numericable ou n’importe quelle autre combinaison, cet article est facilement adaptable à votre configuration.

Connexion PPP

Configurez la connexion PPPoE:
/etc/ppp/peers/dsl-provider
# Minimalistic default options file for DSL/PPPoE connections
noipdefault
defaultroute
replacedefaultroute
hide-password
#lcp-echo-interval 30
#lcp-echo-failure 4
noauth
persist
#mtu 1492
#persist
#maxfail 0
#holdoff 20
plugin rp-pppoe.so eth0
user "plopplop@adslc.fai.fai"
usepeerdns

Et enregistrez vos identifiants:
/etc/ppp/chap-secret
# Secrets for authentication using CHAP
# client server secret IP addresses
"plopplop@adslc.fai.fai" * "mdpdelamortquituedevotreFAI"

Et créez le script qui initiera cette connexion:
/etc/eeegw/fai.sh
#!/bin/bash
/usr/sbin/pppd call dsl-provider

Placez ensuite ce script fai.sh dans les régles de pre-up du fichier Debian /etc/network/interfaces. Votre connexion ppp sera ainsi demarré au boot de la eeegw. Voir, pour exemple, le mien en fin d’article.

Finalement, un script pour s’assurer que votre connexion PPP est bien up avec votre fournisseur d’accès ADSL. Il est lancé via un cron toutes les 5 minutes ainsi, si la connexion tombe, ce script lui permettra de se relancer automatiquement.
/etc/eeegw/nerim.sh
#!/bin/bash

rm -f /var/run/checkadsl

Connexion wifi

Voici une simple configuration de l’interface WiFi. Je vous renvoie à la documentation adaptée pour plus de détails.

Placez la clé wep dans /etc/eeegw/fb.key puis créez le script
/etc/eeegw/wifi.sh
#!/bin/bash
wlanconfig ath0 destroy
wlanconfig ath0 create wlandev wifi0 wlanmode sta
sleep 5
ifconfig ath0 up
iwconfig ath0 essid freebox key `cat /etc/eeegw/fb.key`
dhclient ath0

Ajoutez /etc/eeegw/wifi.sh à vos régles pre-up du fichier /etc/network/interfaces

Autre type de connexion

Si par exemple vous êtes chez Free, je vous conseille de monter votre Freebox en mode bridge. Ainsi votre eeegw n’aura plus qu’à effectuer un bound dhcp sur eth0 afin d’obtenir l’IP publique Free et tous les packets arriveront donc directement sur votre eeegw.

Pour redispatcher la connexion, vous pouvez soit le faire via une seconde carte réseau sur votre eeegw (ou votre pc équivalent), soit transformer votre eeegw en point d’accès WiFi! Transformer un eeepc en eeeap est expliqué ici : eeeAP

Faire fonctionner les deux connexions ensemble

Plusieurs choix s’offrent à vous:

• Vous n’avez qu’un seul lien vers une seule connexion internet. Passez directement à l’étape suivante.
• Vous avez deux connexions web qui ont le même débit et vous souhaitez partager symétriquement le débit
• Vous avez deux connexions web qui n’ont pas le même débit et vous souhaitez partager asymétriquement le débit
• Vous avez deux connexions web qui ont ou pas le même débit : une en tant que connexion principale et l’autre en secours ou pour certaines routes en particulier

Personnellement j’utilise cette dernière solution, mais je vais aussi vous expliquer les deux autres possibilités de répartiton.

Activer IP Forwarding

Quel que soit les choix que vous ferrez par la suite vous avez besoin d’activer ip_forward dans votre noyau.

Indispensable pour que votre routeur fonctionne!
/etc/sysctl.conf
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1

Et rechargez la configuration:
# sysctl -p

Distribuer sur deux connexions ayant le même poids

Imaginons que nous ayons FAI-1 derrière eth1 et FAI-2 derrière eth2. Ce deux connexions sont relativement identiques et nous souhaitons donc simplement distribuer équitablement le traffic et ainsi profiter du débit des deux connexions.

eth1: net=192.168.1.0/24, IP=192.168.1.130, Gateway=192.168.1.1
eth2: net=192.168.2.0/24, IP=192.168.2.131, Gateway=192.168.2.1

ip route add 192.168.1.0 dev eth1 src 192.168.1.130 table fai1
ip route add default via 192.168.1.1 table fai1

ip route add 192.168.2.0 dev eth2 src 192.168.2.131 table fai2
ip route add default via 192.168.2.1 table fai2

ip route add 192.168.1.0 dev eth1 src 192.168.1.130 ip route add 192.168.2.0 dev eth2 src 192.168.2.131

ip rule add from 192.168.1.130 table fai1
ip rule add from 192.168.2.131 table fai2

ip route add default scope global nexthop via 192.168.1.1 dev eth1 weight 1 nexthop via 192.168.2.1 dev eth2 weight 1

Distribuer sur deux réseaux de poids différents

Petit schéma explicatif de ce qu’on peut espérer faire avec une passerelle comme eeegw

(schéma a compléter)

Un script pour loadbalancer les connexions sur deux wan ayant différents poids : Notre eeegw devient multi lien ou dualwan

#!/bin/bash

##ip rule flush

## recupere l'ip du peer
peer=$(/sbin/ifconfig ppp0 | /bin/grep "P-t-P" | /usr/bin/cut -d":" -f3 | /usr/bin/cut -d" " -f1)

ip route add ${peer} dev ppp0 table uplink1
#ip route add default via 213.41.185.56 table uplink1

ip route add 192.168.0.0/24 dev ath0 src 192.168.0.12 table uplink2
#ip route add default via 192.168.1.1 table uplink2

ip rule add from 192.168.0.12 table uplink2
ip rule add from 213.41.185.56 table uplink1

ip route add default scope global nexthop via 192.168.0.254 dev ath0 weight 1 nexthop via ${peer} weight 3

Le but du script share_wan.sh est d’enlever les deux routes par defaut engendré par le faite de se connecter en ppp et avec dhcp sur le wifi.
Ensuite il faut mettre en route par defaut soit le lien ppp soit le lien wifi.
La dernière ligne sert a donner un poids de 3 à la connexion Nerim et un poid de 1 à la connexion wifi.

Ainsi on enverra 3 fois plus de packets à Nerim qu’au WiFi.

/etc/eeegw/share_wan.sh

#!/bin/bash
ip route del default dev ppp0 scope link
ip route del default via 192.168.0.254 dev ath0
ip route add default scope global nexthop via 192.168.0.254 dev ath0 weight 1 nexthop via ${peer} weight 3


Routes par defaut / routes statiques

J’utilise ce système de route static via mon script route_static.sh pour définir via quel FAI je préfère me rendre pour tel ou tel service. C’est très pratique. (Je rappelle que j’utilise le cas numero 4, c’est à dire que ma connexion ppp est ma connexion principale, mais la connexion wifi ne me sert que ne backup au cas ou, et pour des routes particulières).

/etc/eeegw/route_static.sh
#!/bin/bash

## recupere l'ip du peer PPP
peer=$(/sbin/ifconfig ppp0 | /bin/grep "P-t-P" | /usr/bin/cut -d":" -f3 | /usr/bin/cut -d" " -f1)

# telephone passe par la connexion ppp
ip route add 81.93.243.132 via ${peer}

# vpn perso passe par la connexion wifi
ip route add 81.93.247.160 via ${peer}
ip route add 193.47.184.2 via ${peer}
ip route add 94.23.219.37 via 192.168.0.254

Serveur DHCP

L’eeegw doit donner des IPs via DHCP aux différentes machines du réseau.
# apt-get install dhcpd

/etc/dhcp3/dhcpd.conf
# option definitions common to all supported networks...
option domain-name "lucifer.bragon.info";
option domain-name-servers 8.8.8.8;

ddns-update-style none;

authoritative;

default-lease-time 86400;
max-lease-time 86400;

subnet 10.0.69.0 netmask 255.255.255.0 {
range 10.0.69.10 10.0.69.199;
option routers 10.0.69.250;
}

# Réservations
host satanas {
hardware ethernet 00:02:b3:21:40:c0;
fixed-address 10.0.69.18;
option routers 10.0.69.250;
option broadcast-address 10.0.69.255;
}

Rajouter des VPN

Vous pouvez bien sûr rajouter des connexions VPN sur votre eeegw.
En effet cela vous permettra de directement propager la connectivité au VPN à toutes les machines de votre lan.
Pour se faire je vous renvoi vers les articles de target0 et moi même concernant les VPN.

http://geekfault.org/2009/10/04/allocation-dipv6-over-openvpn/
http://geekfault.org/2009/09/24/allocation-dadresses-ipv4-publiques-over-vpn/

Quality Of Service / tc qdisc

La qualité de service sur le reseau est très importante si vous ne voulez pas que vos utilisateurs se plaignent de lags.

Par exemple lorsqu’un appel en VoIP est émit, il est très désagréable de se mettre à laguer tout d’un coup car un de vos collaborateurs envoie un e-mail avec une pièce jointe énorme. Pour éviter d’avoir ce genre de désagrements, il faut mettre des priorités sur le traffic entrant et sortant.

J’ai décidé de faire un article prochainement afin de vous expliquer comment je gère la QOS de ma eeegw.

Firewalling

/etc/eeegw/firewall.sh
#!/bin/bash
# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F

# DEBUT des "politiques par défaut"
# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP

# Je veux que les connexions destinées à être forwardées soient acceptées par défaut
iptables -P FORWARD ACCEPT

# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT

# FIN des "politiques par défaut"
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT

#on ne filtre pas les vpn
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A INPUT -i tap1 -j ACCEPT
iptables -A INPUT -i ethylix0 -j ACCEPT

# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT

# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT

# J'accepte les packets entrants relatifs ? des connexions d?j? ?tablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 2605 -j ACCEPT

#apache
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#tftp
iptables -A INPUT -p udp --dport 69 -j ACCEPT

#mon smtp
iptables -A INPUT -p tcp --dport 25 -j ACCEPT

#vpn
iptables -A INPUT -p tcp --dport 7777 -j ACCEPT

# voip
#iptables -A INPUT -p tcp --dport 5060 -j ACCEPT
#iptables -A INPUT -p tcp --dport 5061 -j ACCEPT

# supervision zabbix

iptables -A INPUT -p tcp --dport 10050 -j ACCEPT
iptables -A INPUT -p tcp --dport 10051 -j ACCEPT

#Munin
iptables -A INPUT -p tcp --dport 4949 -j ACCEPT

# La règle par défaut pour la chaine INPUT devient "REJECT" (il n'est pas possible de mettre REJECT comme politique par défaut)
#iptables -A INPUT -j REJECT

#forward de la connection
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ath0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tap0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tap1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ethylix0 -j MASQUERADE

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o ppp0 --clamp-mss-to-pmtu

Le but du script de firewall est d’être lancé une première fois, puis d’être sauvegardé comme la Debian-Way le suggère. Pocédons donc comme suit :
# sh /etc/eeegw/firewall.sh
# iptables-save > /etc/network/firewall
Ainsi au boot des interfaces la machine lancera les règles iptables sauvegardées.

Firewall en sortie

NB : Dans cette exemple le firewall n’agit qu’en entrée, c’est à dire que par defaut nous laissons tout sortir sur le réseau. Vous pourriez sans aucun soucis filtrer en sortie.

Exemple de regles de filtrage en sortie :
# A mettre en début de script pour n'accepter explicitement QUE ce qui est autorisé.
iptables -P OUTPUT DROP

# Règles output fonctionnement de base
iptables -A OUTPUT -p tcp -o eth0 --dport domain -j ACCEPT
iptables -A OUTPUT -p udp -o eth0 --dport domain -j ACCEPT
iptables -A OUTPUT -p tcp -o eth0 --dport ntp -j ACCEPT
iptables -A OUTPUT -p udp -o eth0 --dport ntp -j ACCEPT
iptables -A OUTPUT -p tcp -o eth0 --dport rsync -j ACCEPT
iptables -A OUTPUT -p udp -o eth0 --dport rsync -j ACCEPT
iptables -A OUTPUT -p tcp -o eth0 --dport http -j ACCEPT
iptables -A OUTPUT -p tcp -o eth0 --dport smtp -j ACCEPT
iptables -A OUTPUT -p tcp -o eth0 --dport ssh -j ACCEPT
iptables -A OUTPUT -p tcp -o eth0 --dport ftp -j ACCEPT

Explication fonctionnement du NAT

Imaginons que vous ayez un serveur FTP sur la machine A.
Imaginons que vous ayez un serveur Web sur la machine B.
Afin qu’un client puisse s’y connecter en venant de l’internet vous ne pouvez pas lui donner comme adresse afin de s’y connecter une des ip de votre LAN, mais l’ip que vous a attribué le FAI lors de votre connexion à celui-ci.
Le NAT est le fait que la eeegw sache vers quelle machine transmettre le traffic de tel ou tel service.
Ainsi le client établi une connexion FTP vers votre IP publique, la connexion FTP arrive sur votre eeegw qui va savoir qu’il faut qu’elle transmette ce traffic vers la machine A.

Pour plus d’explication sur comment faire ça, allez voir la partie firewall de la documentation.
Pour plus d’explication n’hésitez pas à aller lire la documentation Wikipédia sur le sujet.

Régles de NAT

Vous avez besoin d’ouvrir un port sur votre eeegw qui redirige sur une des machines de votre lan ?
Rien de plus simple. Procédez comme suit si vous avez par exemple un serveur web derrière 10.0.69.1 :

# iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 10.0.69.1:80

Ensuite on save la nouvelle régle dans les régles devant se lancer au boot :
# iptables-save > /etc/network/firewall

Votre nouvelle règle de NAT/Firewall est donc automatiquement activée sans avoir à faire quoi que ce soit de plus sur votre eeegw.

Automatiser le lancement des scripts eeegw_script au boot

/etc/network/interfaces
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 10.0.69.250
netmask 255.255.255.0
network 10.0.69.0
broadcast 10.0.69.255
pre-up iptables-restore -c /etc/network/firewall

auto ath0
iface ath0 inet dhcp
wireless_mode Managed

pre-up /etc/eeegw/wifi.sh
pre-up /etc/eeegw/nerim.sh
pre-up /etc/eeegw/route_static.sh
pre-up /etc/eeegw/ethylix.sh
pre-up /etc/eeegw/QOS/qos.sh

Et si on monitorait /graphait tout ça ?

Exemple de graph que l’on va pouvoir obtenir grace à ce super howto (vu mensuel de ma connexion internet) :


Second Exemple: vue journalière de l’utilisation d’une connexion par un vpn.


Installation

# apt-get install munin apache2 munin-node
# cd /usr/share/munin/plugins/
# ls

Repérez ici les choses qu’il serait intéressant de grapher sur votre munin puis :
# cd /etc/munin/plugins
# ln -s /usr/share/munin/plugins/acpi
# ln -s /usr/share/munin/plugins/apache_processes
# ln -s /usr/share/munin/plugins/cpu
# ln -s /usr/share/munin/plugins/df
# ln -s /usr/share/munin/plugins/swap
[....]

/etc/munin/munin.conf
[localhost.localdomain]
address 127.0.0.1
use_node_name yes

Relancez munin-node
# /etc/init.d/munin-node restart

Ça devrait grapher tout simplement comme ça sous debian (l’installation sous gentoo demande un peu plus de délicatesses). Pour plus de détails : http://eeegw-ip-adresse/munin.

Sortie de ifconfig

ath0 Link encap:Ethernet HWaddr 06:15:af:8d:37:37
inet adr:192.168.0.12 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::415:afff:fe8d:3737/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:13848732 errors:0 dropped:0 overruns:0 frame:0
TX packets:4385032 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:1482140328 (1.3 GiB) TX bytes:307281227 (293.0 MiB)

eth0 Link encap:Ethernet HWaddr 00:1f:c6:28:71:9e
inet adr:10.0.69.250 Bcast:10.0.69.255 Masque:255.255.255.0
adr inet6: fe80::21f:c6ff:fe28:719e/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:256988818 errors:0 dropped:0 overruns:0 frame:4160
TX packets:258912344 errors:0 dropped:0 overruns:0 carrier:6
collisions:0 lg file transmission:1000
RX bytes:3516383801 (3.2 GiB) TX bytes:0 (0.0 B)
Mémoire:fbfc0000-fc000000

ethylix0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet adr:194.110.69.23 P-t-P:194.110.69.17 Masque:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:4099 errors:0 dropped:0 overruns:0 frame:0
TX packets:3932 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:500
RX bytes:286787 (280.0 KiB) TX bytes:399957 (390.5 KiB)

lo Link encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:4493171 errors:0 dropped:0 overruns:0 frame:0
TX packets:4493171 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:532519851 (507.8 MiB) TX bytes:532519851 (507.8 MiB)

ppp0 Link encap:Protocole Point-à-Point
inet adr:213.41.185.56 P-t-P:62.4.16.251 Masque:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:6108340 errors:0 dropped:0 overruns:0 frame:0
TX packets:4219070 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:3
RX bytes:2251583910 (2.0 GiB) TX bytes:836111670 (797.3 MiB)

tap0 Link encap:Ethernet HWaddr 00:ff:b7:de:c8:b4
inet adr:10.0.1.2 Bcast:10.0.1.255 Masque:255.255.255.0
adr inet6: 2001:758:f00:8:2ff:b7ff:fede:c8b4/64 Scope:Global
adr inet6: fe80::2ff:b7ff:fede:c8b4/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4716451 errors:0 dropped:0 overruns:0 frame:0
TX packets:2796718 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:100
RX bytes:4275489693 (3.9 GiB) TX bytes:358571500 (341.9 MiB)

tap1 Link encap:Ethernet HWaddr 00:ff:63:b8:57:ea
inet adr:81.93.X.X Bcast:81.93.X.X Masque:255.255.255.128
adr inet6: 2001:758:f00:cafe:2ff:63ff:feb8:57ea/64 Scope:Global
adr inet6: fe80::2ff:63ff:feb8:57ea/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:43229918 errors:0 dropped:0 overruns:0 frame:0
TX packets:26631144 errors:0 dropped:1826 overruns:0 carrier:0
collisions:0 lg file transmission:100
RX bytes:3891532561 (3.6 GiB) TX bytes:4009241435 (3.7 GiB)

wifi0 Link encap:UNSPEC HWaddr 00-15-AF-8D-37-37-65-74-00-00-00-00-00-00-00-00
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:226972539 errors:0 dropped:0 overruns:0 frame:6623910
TX packets:5796868 errors:44600 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:280
RX bytes:2128136633 (1.9 GiB) TX bytes:515534254 (491.6 MiB)
Interruption:18

Sortie de iproute

194.110.69.17 dev ethylix0 proto kernel scope link src 194.110.69.23
216.165.129.135 via 192.168.0.254 dev ath0
140.211.166.134 via 192.168.0.254 dev ath0
213.186.33.19 via 192.168.0.254 dev ath0
149.20.20.135 via 192.168.0.254 dev ath0
130.239.17.6 via 192.168.0.254 dev ath0
94.23.219.37 via 192.168.0.254 dev ath0
217.23.9.148 via 192.168.0.254 dev ath0
204.152.191.39 via 192.168.0.254 dev ath0
78.41.233.57 via 192.168.0.254 dev ath0
213.251.172.23 via 192.168.0.254 dev ath0
156.56.247.195 via 192.168.0.254 dev ath0
62.4.16.251 dev ppp0 proto kernel scope link src 213.41.185.56
81.93.247.0/25 dev tap1 proto kernel scope link src 81.93.247.10
193.200.171.0/24 via 81.93.247.1 dev tap1
10.0.69.0/24 dev eth0 proto kernel scope link src 10.0.69.250
91.199.232.0/24 via 81.93.247.1 dev tap1
10.0.1.0/24 dev tap0 proto kernel scope link src 10.0.1.2
195.190.3.0/24 via 81.93.247.1 dev tap1
192.168.0.0/24 dev ath0 proto kernel scope link src 192.168.0.12
193.200.226.0/24 via 81.93.247.1 dev tap1
91.198.105.0/24 via 81.93.247.1 dev tap1
91.209.245.0/24 via 81.93.247.1 dev tap1
193.200.181.0/24 via 81.93.247.1 dev tap1
78.41.232.0/21 via 81.93.247.1 dev tap1
91.191.144.0/20 via 81.93.247.1 dev tap1
81.93.240.0/20 via 81.93.247.1 dev tap1
169.254.0.0/16 dev eth0 scope link metric 1000
10.0.0.0/8 via 10.0.1.1 dev tap0
default dev ppp0 scope link

Ma eeegw en production



Les liens interessants

http://upload.wikimedia.org/wikipedia/fr/3/3e/Netfilter_schema.png
http://wiki.gcu.info/doku.php?id=linux:openvpn_multi-listeners_debian
Dual wan Cisco
http://www.dslreports.com/forum/remark,16388383?hilite=ip+sla
Antenne wifi externe sur sa eeegw
http://chris.olstrom.com/blog/howto/setup-dual-wan/
http://tldp.org/HOWTO/Traffic-Control-HOWTO/
http://markmail.org/message/aronyjanpuxenvug
http://lartc.org/howto/lartc.rpdb.multiple-links.html

Si vous avez aimé ce post...

1. EeeGW – ZE retour du détour ! – Proxycache.
2. Eeegw – part III – Quality Of Service aka QOS
3. Firmware modifié pour Linksys WAG200G
]]> http://geekfault.org/2009/12/31/construire-sa-gateway-from-scratch/feed/ 6 http://geekfault.org/2009/10/04/allocation-dipv6-over-openvpn/ http://geekfault.org/2009/10/04/allocation-dipv6-over-openvpn/#comments Sun, 04 Oct 2009 18:01:01 +0000 bragon http://geekfault.org/?p=1493 Si vous avez aimé ce post...
1. Allocation d’adresses IPv4 publiques over VPN
2. Geekfault disponible en IPv6
3. EeeGW : Créer soi-même une passerelle réseau
]]> Nous avons vu comment allouer des IPv4 over VPN. Nous pouvons aller plus loin et allouer des IPv6 via le VPN, plus particulièrement OpenVPN. Cette méthode pourrait même être une bonne solution pour offrir une connectivité IPv6 à vos machines alors que votre FAI s’embourbe encore en IPv4.

Dans cet article, tap0 est l’interface du serveur VPN. C’est via cette interface qu’on réalise le lien. La première étape est donc d’attribuer une IPv6 à votre interface tap0.

tap0 représentant le mode “bridge” d’OpenVPN ,

# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.


Nous somme donc sur le même segment Ethernet que le client du VPN. Ainsi, nous pouvons envoyer des trames d’autoconfiguration IPv6 aux clients de notre VPN !

Avertissement : Cet article a pour but de partager des connaissances avec un public avisé.

Configuration exemple d’un serveur OpenVPN TCP/TAP

port 1194
proto tcp-server
dev tap
dev-type tap
# Clefs:
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
server 10.0.98.0 255.255.255.0
# On push la route pour que les autres VPN soient visibles
# push "route 10.75.1.0 255.255.255.0"
# push "dhcp-option DNS 10.75.1.1"
ifconfig-pool-persist ipp.txt
float
# permet le trafic entre les clients du VPN
client-to-client
keepalive 10 120
tls-auth keys/ta.key 0 # This file is secret
cipher AES-256-CBC
max-clients 200
user vpn
group vpn
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
status-version 2
log-append /var/log/openvpn/openvpn.log
verb 4
mute 20

Configuration exemple d’un client OpenVPN TCP/TAP

client
dev tap1
proto tcp-client
remote xx.xx.xx.xx 1194
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun
tls-client
ca ipv6/ca.crt
cert ipv6/ipv6.crt
key ipv6/ipv6.key
ns-cert-type server
tls-auth ipv6/ta.key 1
cipher AES-256-CBC
verb 3

Vif du sujet

10.0.98.1 (concentrateur VPN) et 10.0.98.4 (client VPN) se pinguent en IPv4 sur le segment ethernet du VPN.
Nous pouvons désormais avancer

• Activons l’IPv6 forwarding sur notre concentrateur VPN # echo "net.ipv6.conf.all.forwarding = 1" >> /etc/sysctl.conf
# sysctl -p
• Activons le proxy NDP (qui va nous servir a relayer les packets IPv6 entre eth0 et tap0) # echo "net.ipv6.conf.all.proxy_ndp = 1" >> /etc/sysctl.conf
# sysctl -p
  Notre Concentrateur VPN est quasiment prêt à forwarder des trames IPv6.
• Installons radvd et configurons-le (/etc/radvd.conf) :
  interface tap0
  {
  AdvSendAdvert on;
  MinRtrAdvInterval 3;
  MaxRtrAdvInterval 10;

  prefix 2001:758:f00:x::/64
{
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
};

• Attribuons une adresse IPv6 a notre interface tap0: # ip -6 a add 2001:758:f00:x:x::1/64 dev tap0
• Nous pouvons lancer radvd # /etc/init.d/radvd start
• Vérifions sur le client que nous avons bien des trames IPv6 qui arrivent (si tap1 est l’interface VPN du côté client) # tcpdump -t -n -i tap1 -s 512 -vv ip6 or proto ipv6 devrait donner des trames ainsi : IP6 (hlim 255, next-header ICMPv6 (58) payload length: 56) fe80::94c7:eaff:fe5e:ea46 > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 56
hop limit 64, Flags [none], pref medium, router lifetime 30s, reachable time 0s, retrans time 0s
prefix info option (3), length 32 (4): 2001:758:f00:8::/64, Flags [onlink, auto, router], valid time 2592000s, pref. time 604800s
0x0000: 40e0 0027 8d00 0009 3a80 0000 0000 2001
0x0010: 0758 0f00 0008 0000 0000 0000 0000
source link-address option (1), length 8 (1): 96:c7:ea:5e:ea:46
0x0000: 96c7 ea5e ea46
• Notre client VPN obtient une IPv6 grâce au radvd de notre concentrateur VPN (par exemple 2001:758:f00:x:ffff:ffff:ffff:ffff/64)
• Configuration ndp proxy du concentrateur # ip -6 neigh add proxy 2001:758:f00:x:x::1 dev tap0
# ip -6 neigh add proxy 2001:758:f00:x:ffff:ffff:ffff:ffff dev eth0 Ainsi les packets a destination de 2001:758:f00:x:ffff:ffff:ffff:ffff arrivant sur eth0 seront automatiquement traite par 2001:758:f00:x:x::1 se trouvant sur le meme segment ethernet que 2001:758:f00:x:ffff:ffff:ffff:ffff
• Test de la configuration :
  • Sur le client OpenVPN # ping6 2001:758:f00:x:x::1
  • Sur le concentrateur OpenVPN # ping6 2001:758:f00:x:ffff:ffff:ffff:ffff

  Si les deux ping6 passent vous pouvez continuer, sinon vous avez un soucis lors d’une des etapes précédentes.

Tests de pings

On peut essayer de pinger Google depuis le client # ping6 ipv6.google.com

Et pinger le client depuis une machine hors du VPN # ping6 2001:758:f00:x:ffff:ffff:ffff:ffff

Si tout passe c’est gagné, vous avez donné une connectivité IPv6 à une machine over VPN!

ERRATA

Attention openvpn à chaque connexion attribura dynamiquement et aléatoirement une adresse mac à l’interface tap1 du client du vpn.
Ainsi radvd se basant sur l’adresse mac de l’interface reseau afin d’attribuer une ipv6 pourra poser des problèmes du coté du concentrateur.
En effet il faut lancer la commande permettant au concentrateur via le proxy ndp de forwarder les trames.
C’est donc ultra pas pratique.
Plusieurs solutions s’offrent à vous en outre.
1) attribuer un nouveau subnet ipv6 (autre que celui attribué à eth0) sur votre tap0 du concentrateur vpn, ainsi vous vous évitez toute la partie concernant le proxy ndp.
2) Attribuer des ips fixes aux clients qui devront les donner manulement de leur coté à leur interface.
3) scripter via les scripts up.sh et down.sh fourni avec openvpn en natif.

Annexes

Côté serveur
2: eth0: mtu 1500 qdisc pfifo_fast qlen 100
link/ether 00:30:48:82:ec:0e brd ff:ff:ff:ff:ff:ff
inet 81.93.xx.xx/24 brd 81.93.xx.xx scope global eth0
inet6 2001:758:f00:330:xx:xx:xx:xx/64 scope global
valid_lft forever preferred_lft forever
inet6 2001:758:f00:x::1/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::230:48ff:fe82:ec0e/64 scope link
valid_lft forever preferred_lft forever

7: tap0: mtu 1500 qdisc pfifo_fast qlen 100
link/ether 96:c7:ea:5e:ea:46 brd ff:ff:ff:ff:ff:ff
inet 10.0.98.1/24 brd 10.0.98.255 scope global tap0
inet6 2001:758:f00:x:x::1/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::94c7:eaff:fe5e:ea46/64 scope link
valid_lft forever preferred_lft forever

Côté client
2: eth0: mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:1c:c0:a7:b9:1f brd ff:ff:ff:ff:ff:ff
inet 95.xx.xx.xx/24 brd 95.xx.xx.255 scope global eth0
inet6 fe80::xx:xx:xx:xx/64 scope link
valid_lft forever preferred_lft forever
9: tap1: mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
link/ether 00:ff:51:47:f0:57 brd ff:ff:ff:ff:ff:ff
inet 10.0.98.4/24 brd 10.0.98.255 scope global tap1
inet6 2001:758:f00:x:ffff:ffff:ffff:ffff/64 scope global dynamic
valid_lft 2591993sec preferred_lft 604793sec
inet6 fe80::2ff:51ff:fe47:f057/64 scope link
valid_lft forever preferred_lft forever

Si vous avez aimé ce post...

1. Allocation d’adresses IPv4 publiques over VPN
2. Geekfault disponible en IPv6
3. EeeGW : Créer soi-même une passerelle réseau
]]> http://geekfault.org/2009/10/04/allocation-dipv6-over-openvpn/feed/ 0 http://geekfault.org/2009/08/28/geekfault-disponible-en-ipv6/ http://geekfault.org/2009/08/28/geekfault-disponible-en-ipv6/#comments Fri, 28 Aug 2009 16:04:03 +0000 bragon http://geekfault.org/?p=1454 Si vous avez aimé ce post...
1. Geekfault recherche des partenaires
2. Difficultés techniques de Geekfault
3. IPv6 pour les nuls^Wgeeks
]]> Bonjour.

Peut être l’avez vous remarqué ? Geekfault est désormais accessible totalement en IPv6 ! Sa superbe IPv6 2001:758:1664::42 en fait frémir plus d’un

Nous prévoyons d’ailleurs, avec LeCoyote (nouveau contributeur Geekfault), de vous parler en long et en large de ce protocole qu’internet sera bien obligé d’adopter d’ici quelques années.

ENJOY !

Si vous avez aimé ce post...

1. Geekfault recherche des partenaires
2. Difficultés techniques de Geekfault
3. IPv6 pour les nuls^Wgeeks
]]> http://geekfault.org/2009/08/28/geekfault-disponible-en-ipv6/feed/ 0 http://geekfault.org/2009/05/16/rsnapshot/ http://geekfault.org/2009/05/16/rsnapshot/#comments Sat, 16 May 2009 14:15:28 +0000 bragon http://geekfault.org/?p=511 Si vous avez aimé ce post...
1. Backup d’un compte Gmail
2. S’authentifier avec une clé USB
3. SSH sans mot de passe
]]>


Schéma de la solution à déployer

Qui ne s’est jamais retrouvé dans la merde après ne pas avoir sauvegardé ses données? Je vous propose aujourd’hui un petit tutoriel qui va vous permettre d’effectuer des backups réguliers sous GNU/Linux.

Avec rsnapshot il est possible de faire des backups locaux (une copie régulière d’un disque sur un autre) ou des backups distants (via une connexion SSH), soit les deux en même temps !


Principe de Rsnapshot

Basé sur SSH et rsync, rsnapshot est en fait une boite à outil. Pour ceux qui ne connaissent pas rsync, c’est un outil de synchronisation de fichiers libre et puissant qui ne copie que les différences entre deux backups, et non l’entièreté du système, pour économiser de la bande passante.

Rsnapshot est un logiciel qui tourne sur le serveur de backup. La machine qui se voit ainsi sauvegardée est totalement passive, il faut juste qu’elle ait un serveur SSH activé.

Quelques scripts rsync/ssh pourraient évidemment faire la même chose que rsnapshot, mais rsnapshot est fiable et sa configuration triviale, alors pourquoi s’en passer?

Installation

Première étape : Installez rsnapshot sur le serveur où seront stockés les backups. Je ne décris pas cette installation qui est triviale et propre à chaque distribution.

Deuxième étape : Permettez à ce serveur de se connecter automatiquement en SSH sur la machine à sauvegarder. Je vous renvoie vers l’article SSH sans mot de passe qui explique comment générer une paire de clés publique/privée afin de chiffrer la connexion SSH avec le protocole RSA.

Troisième étape (facultative) : Modifiez votre fichier /etc/hosts, qui permet d’utiliser des short-names dans la configuration de rsnapshot (c’est plus propre et plus joli).

Quatrième étape : Configurez rsnapshot dans /etc/rsnapshot.conf. Vous pouvez vous inspirer de cet exemple.

Lancer le backup

Vous êtes maintenant prêt pour votre premier backup! Lancez la commande suivante:
/usr/bin/rsnapshot -cv /etc/rsnapshot.conf daily

Si tout se passe bien, vous n’avez plus qu’à ajouter cette commande à votre crontab afin d’automatiser la procédure.

Problèmes connus

• La toute première connection ssh du serveur de backup vers la machine à backuper doit être établi manuellement.
• Le fichier rsnapshot.conf doit être réécrit en séparant les valeurs avec des tabulations. Si vous ne remplacez pas les espaces par des tabulations, rsnapshot ne fonctionnera pas.

Liens de référence

• Site du projet
• Exemple de configuration

Si vous avez aimé ce post...

1. Backup d’un compte Gmail
2. S’authentifier avec une clé USB
3. SSH sans mot de passe
]]> http://geekfault.org/2009/05/16/rsnapshot/feed/ 1