Quentin Demoulière

Mon blog personnel

Archives 2013

Installation d'un boitier Soekris net4501 avec OpenBSD 5.4

Rédigé par Quentin Demouliere - - Aucun commentaire

Je me suis lancé dans l'implémentation d'IPv6 sur mon réseau personnel puisque mon FAI me le permet. Mais une fois cette technologie déployée, aucun système de filtrage n'existe. Ainsi, tous les équipements de mon réseau disposent d'une adresse globale IPv6 et sont donc potentiellement accessibles depuis Internet.

J'ai donc décidé d'investir dans un boitier Soekris net4501 avec un système OpenBSD ayant pour fonction firewall et service VPN. Ce matériel dispose de 3 cartes Ethernet, d'un port Série pour l'accès console ainsi que d'une carte Flash de 4 Go (non-fournie par défaut). Pour installer le système d'exploitation, j'ai choisi de passer par une installation PXE.

Lire la suite de Installation d'un boitier Soekris net4501 avec OpenBSD 5.4

Vers une utilisation généralisée des resolvers DNS personnels ?

Rédigé par Quentin Demouliere - - Aucun commentaire

Suite à la décision prise par la justice française de bloquer l'accès à certains sites de streaming comme AlloStreaming ou DPStreaming, la plupart des FAI français ont accentué la capacité de leur resolver DNS à mentir à leurs clients. Ainsi lorsque vous demandez au resolver DNS de Free l'adresse IP correspondant à allostreaming.com, voici ce qu'il vous répond :

 Free resolver menteur

Lire la suite de Vers une utilisation généralisée des resolvers DNS personnels ?

Pensez à mettre à jour votre Grub lorsque vous réalisez des modifications sur vos LV avec LVM

Rédigé par Quentin Demouliere - - Aucun commentaire

J'écris ce petit article car il m'est arrivé une mauvaise surprise lorsque j'ai voulu agrandir un Logical Volume avec LVM sous Debian 7. En effet, il ne me restait que 10% d'espace libre. Pour ne pas être pris de court, j'ai décidé d'affecter de l'espace libre au LV à chaud (oui je sais, il vaut mieux le démonter...) :

root@debian# lvextend -L+20G /dev/vgperso/lvsrv

root@debian# resize2fs /dev/vgperso/lvsrv

Lire la suite de Pensez à mettre à jour votre Grub lorsque vous réalisez des modifications sur vos LV avec LVM

Déporter les logs du proxy Squid sur PFSense vers un serveur syslog centralisé

Rédigé par Quentin Demouliere - - 3 commentaires

Dans un cadre professionnel, il peut s'avérer utile de centraliser ses logs sur un serveur dédié. Cela permet d'avoir une copie de ceux-ci mais cela permet sourtout de pouvoir les exploiter plus facilement. Dans le cas présent, nous souhaitions déporter les logs de notre firewall PFSense vers un serveur syslog sous Debian GNU/Linux avec Syslog-NG.

Lire la suite de Déporter les logs du proxy Squid sur PFSense vers un serveur syslog centralisé

Netfilter, IPv6 et les Neighbor Solicitations

Rédigé par Quentin Demouliere - - Aucun commentaire

J'ai décidé lors de la migration de mon serveur dédié, d'activer IPv6 pour les différents services hébergés dessus. J'ai, par la même occasion, configuré mon pare-feu Netfilter dans la même logique que pour le trafic IPv4 (même si les risques de sécurité IPv6 semblent pour l'instant moindres puisque peu de monde fonctionne avec).

Hors après une configuration standard de mon firewall avec ip6tables, l'ensemble de mes flux IPv6 en Entrée et en Sortie étaient bloqués. Après quelques recherches, je me suis rendu compte qu'il est obligatoire d'autoriser les Neighbor Solicitations (successeur d'ARP avec IPv6). Ainsi, il faut vraiment porter une attention particulière sur le protocole ICMPv6 et ses différents types (NS, RA, Echo...). La mise en place d'un limit's rate ou d'un hop limit peut s'avérer intéressant en complément.

Lire la suite de Netfilter, IPv6 et les Neighbor Solicitations