Le Tue, Jul 20, 2010 at 12:14:25PM +0200, Vincent Carpentier [vincent.carpentier(a)cegedim.fr] a écrit:
> [...]
Dites, là, sur une liste neuve, ça serait bien de prendre directement de
bonnes habitudes, et d'éviter les dérives de sujet sans changer de fil, le
goret-quoting et le top-posting.
Merci.
--
Dominique Rousseau
Neuronnexion, Prestataire Internet & Intranet
50, rue Riolan 80000 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
Bonjour,
Simple question autour de la virtualisation avec KVM : comment
partagez vous les disques entre plusieurs systèmes hôte, afin de
pouvoir faire du live-migration ou du start on failure (équivalent
Vmware HA) ?
NFS ? DRBD ? ISCSI ? autre système de partage de fichier ?
Si vous disposez d'un SAN, prenez vous le pari d'open-iscsi, ou montez
vous un opensolaris à coté qui repartage après en NFS/whatever ? Je
pose cette question saugrenue car il me semble avoir entendu dire que
l'implémentation de iscsi sous solaris est plus stable (est ce vrai ?)
Par ailleurs, comment faites vous pour obtenir du thin provisionning ?
Utilisez vous cette astuce
:http://www.njcrawford.com/2010/01/21/growing-a-kvm-raw-hard-drive-image-file/
? J'ai rencontré des problèmes avec cette méthode en cas de
sauvegarde avec compression puisqu'au moment de la décompression la
copie prend la place prévue et non la place "thin provisionnée". Peut
etre il y a t il des options de compression que j'ai raté.
Le format qcow2 semble permettre ce genre de chose, mais est
visiblement, d'après la documentation de KVM incompatible avec virtio,
faisant perdre des performances.
Merci.
Florian MAURY
depuis quelques jours, un des domaines de mes clients ne recevai plus
les emails en provenance de hotmail
retour en erreur immediat dans hotmail :
This is an automatically generated Delivery Status Notification.
Delivery to the following recipients failed.
avec en piece jointe :
Reporting-MTA: dns;blu0-omc3-s12.blu0.hotmail.com
Received-From-MTA: dns;BLU139-W6
Arrival-Date: Mon, 19 Jul 2010 23:38:53 -0700
Final-Recipient: rfc822;admin(a)p*****rs.com
Action: failed
Status: 5.7.1
Diagnostic-Code: smtp;554 5.7.1 <admin(a)p*****rs.com>: Relay access denied
Final-Recipient: rfc822;info(a)p*****rs.com
Action: failed
Status: 5.7.1
Diagnostic-Code: smtp;554 5.7.1 <info(a)p*****rs.com>: Relay access denied
je sais que mes DNS et MX sont 100 % cleans ( zonecheck entre autres )
apres une longue enquete je finis enfin par trouver :
http://windowslivehelp.com/thread.aspx?threadid=b27e8335-2d5b-4d2b-8510-83e…
voir le commentaire de "I run servers that work" qui m a donne la
solution ainsi que le mien que j ai rajoute au thread
This is caused by microsoft's failure to follow mail standards.
The only fix (short of getting MS to do something) is to convince the
person who runs the domain you are trying to email to (hilariously)
block hotmail's IP's from sending mail to there web server.
I did this for my linux mail server with the following;
iptables -A INPUT -s 65.52.0.0/14 -p tcp -j REJECT --reject-with
icmp-port-unreachable
Note: you may have to add more IP's to this range, I am unsure if msn,
live, etc use other IP's
--Technical explanation--
First MS for some reason pull's your domain's A record and attempts to
deliver to it.
EG....
dig hotmail.com A +short
64.4.20.186
64.4.20.169
64.4.20.174
64.4.20.184
If those IP's do not host a mail server it will pull the MX record and
deliver mail appropriately.
dig hotmail.com MX +short
5 mx1.hotmail.com.
5 mx2.hotmail.com.
5 mx3.hotmail.com.
5 mx4.hotmail.com.
This will cause issues ANY time you have an email server on your web
server if it is not also your email server.
Such as;
An outgoing server (as mine was)
A filtering service
A shared host
An authentication required mail server
effectivement en regardant les logs du serveur concernen , qui nest
PAS un des MX de ce domaine , j ai effectivement vu que hotmail
essayai de se connecter a ce serveur , et evidemment le postfix du
serveur refusai les mails, vu qu il ne gere pas les mails de ce
domaine, et n est pas un MX de ce domaine
apres un drop de 65.52.0.0/16 65.55.0.0/16 sur le serveur en question
hop ca marche
hotmail n ayant pas trouve de port 25 sur le IN A de parcours.com est
finalement alle chercher le DNS et les IN MX du domaine , et envoie
dorenavant les emails aux vrais MX du domaine
voila, je tenais a partager ca :
1 pour que quand ca vous arrivera vous ayez la solution, j ai perdu
quelques heures a chercher
2 pourfoutre la honte a microsoft hotmail, hesitez pas a faire tourner
l info :
http://windowslivehelp.com/thread.aspx?threadid=b27e8335-2d5b-4d2b-8510-83e…
je suis pas le premier a qui ca arrive . . .
--
Cordialement
-----------------------------------
William Waisse
http://waisse.org | http://neoskills.comhttp://cahierspip.ww7.be | http://feeder.ww7.be
Computers are like air conditionners. They work better when you close windows.
Bonjour à tous.
J'ai un réseau interne d'une 12aine de machines de machines qui tourne sous
windows (xp, vista et seven), linux (ubuntu) et plusieurs mac avec des
version différentes selon leurs ages ...
Assez hétéroclite :)
Je voudrez mettre en place une sauvegarde journalière de l'ensemble des
machines, mais pas du disque entier, juste un répertoire par ordinateur.
Type de sauvegarde : incrémentale sur 1 mois.
J'ai un petit serveur de stockage (un NAS en faite) qui a largement de quoi
comme espace disque pour couvrir les besoins de sauvegarde.
Vu les différents système, je pensez partager un répertoire sur chaque
ordinateur et que la sauvegarde soit effectué par une petite tour sous
linux.
Comment faire ?
Je m'essaye à rsync, sans trop de succès jusqu'a présent.
Si vous avez une idée d'une autre organisation...
Merci d'avance pour votre temps et expertise.
Sky_G
Bonsoir,
Au bureau, pour protéger des sites publics de l'aspiration des données de
station par des applications codées parfois de façon assez étrange /
bourrine, notre RSSI avait codé un script bash qui tourne au niveau des
reverse proxys (sous Apache 2.2 + Mod_proxy). Si le client dépasse un
certain seuil de consultations pour une heure donné, il est blacklisté
jusqu'à ce que son traffic sur l'heure glissante redescende en dessous du
fameux seuil.
Comme nous allons prochainement utilisé les services d'un CDN, il nous faut
modifier ce script et personne n'a envie ni le temps de le mantenir. Je me
pose alors la question de repartir sur un module apache. Je me suis rappelé
de mod_evasive [1] mais il n'a plus l'air maintenu.
mod_security ne me semble pas adapté pour ce que je souhaite faire :
autoriser la consultation d'une url dans la limite d'un seuil donné.
Avez-vous des pistes à me conseiller ?
Merci,
Nicolas
--
Nicolas Steinmetz
http://www.steinmetz.fr - http://nicolas.steinmetz.fr/
Salut,
Je travaille actuellement à la conception d'une architecture en trois
tiers qui devra être scalable.
* Architecture logique simplifiée :
-----------
| Clients |
-----------
---------- |
| DNS RR | REST HTTP (GET, POST, XML dans le BODY)
---------- |
-------------------------
| Cluster des services |
-------------------------
| |
------------------ ---------------
| NoSQL cluster | | DFS cluster |
------------------ ---------------
|________________|
NoSQL peut être Cassandra ou Hbase ou éventuellement mongodb ou couchdb.
DFS (Distributed File System) comme PVFS2, XtreemFS, HDFS.
* Architecture physique simplifiée :
Ça n'aura échapper à personne c'est une architecture SOA distribuée
comme on en trouve chez Google, Facebook, Amazon et compagnie :)
1) Routage des requêtes HTTP clients :
Elle est effectuée par les serveurs DNS sur des critères comment la
géolocalisation, la disponibilité, la charge des serveurs de
services.
Je suis preneur d'information et de retour d'expérience sur
toute implémentation de ce type de serveur DNS (REST étant
stateless, autant en profiter pour éviter de mettre en place du load
balancing sur la couche de transport, c'est tellement mieux et plus
simple sans :))
2) Cluster de services :
Leur boulot est de satisfaire les requêtes des clients via du REST
HTTP, de les filtrer un peu également si besoin (authentification et
ACL par HMAC-SHA1, HMAC-MD5, etc.), de faire du push en XML si
besoin. C'est pas du distribué au sens strict du terme (mais c'est pas
loin, disons que les données nécessaires à la reprise d'une session ne
sont pas réparties intelligemment entre les nœuds mais juste copiées sur
chaque nœuds et les calculs sont locaux à un nœud), leur localisation
sera différente pour éviter les SPoF. Le framework JBoss est pré-senti.
Cette brique fonctionnelle représente la brique
métier et implémente la couche d'abstraction nécessaire à la
manipulation des données pour les clients (lecture, écriture,
modification, le tout en fonction des types de données). Elle implémente
de fait le worflow.
Le type des échanges avec le dernier tiers seront dépendants du choix
des logiciels qui vont le composer (MapReduce ou pas ?) ...
Il sera composé de serveur relativement costaud (~20000 MIPS) et du
périphérique blocs rapides et redondés. 2 Ethernet 1000BaseT.
3) Cluster de données/stockage :
Pourquoi donc est ce que il y a du DFS et du NoSQL ?
J'en suis pas bien sur moi même mais il y a des chances que des
limitation de taille dans la partie NoSQL ne permette pas s'insérer
directement une vidéo HD de 15 Go. Et suivant le choix du logiciel
qui fait du NoSQL, il lui faudra un accès à un FS.
Le type de cluster ici est composé de machines d'entrée de gamme
avec un unique périphérique de type bloc le plus rapide possible
(SSD), de trois cartes réseaux 1000BaseT si possible multiqueue
(communication entre nœuds par trunking éventuel, communication avec
le tiers supérieur). Les réseaux des communications internes aux
cluster par type de nœuds seront dans un VLAN différent si sur même
site physique.
Le paradigme de fonctionnement des DFS est sensiblement le
même : des nœuds pour maintenir les métadonnées et la distribution des
calculs nécessaires pour la phase "gather" vers les nœuds qui hébergent
les blocs qui composent un fichier pour le "servir", idem (ou presque)
pour les écritures. Vu du tiers supérieur, c'est un FS, vu des nœuds
NoSQL aussi.
Pour les NoSQL distribués, je suis preneur de retour
d'expérience et de conseils, j'ai zéro expérience avec
contrairement à certains DFS (Column Families, Key Value / Tuple Store,
Document Store, etc.) ...
Cette partie fait du vrai distribué au sens strict (tout est
repartie entre les nœuds, calcul aussi sur un DFS ou un NoSQL
distribué digne de ce nom), scalable à souhait. rockscluster
est pré-senti pour son administration et sa mise en place
(réalisation de rool spécifique nécessaire).
Le cœur de réseau sera de l'Ethernet 1000BaseT, j'ai pas encore creusé
la question en détail ...
* Les principes architecturaux :
Règles d'or pour la HA :
-> Répartition sur au moins deux sites des nœuds par type, le
NoSQL et le DFS devra être capable de le gérer.
-> Redondance des DNS internes et externes sur plusieurs AS pour les
externes, primaires et secondaires.
-> Cœur de réseau Ethernet redondée pour les communications locales et
inter-tiers sur même site physique.
Règle d'or pour la scalabilité des tiers 2 et 3 :
-> Totalement distribué : calcul, stockage, etc.
-> L'ajout de nœuds étend la capacité de calcul, de stockage, etc
(pour le tiers 2, je la viole légèrement).
-> Cœur de réseau Ethernet qui garantie du PPS (je dois encore calculer
combien)
Les attentes en temps de réponse sont très bas pour des tests
unitaires fait en local, de l'ordre d'une seconde pour une écriture de
2Mo, et moins en lecture.
Merci d'avance pour vos réponses.
a +.
--
Jérôme Benoit aka fraggle
La Météo du Net - http://grenouille.com
OpenPGP Key ID : 9FE9161D
Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D
Bonjour,
Ici, existe il des gens qui utilisent mod_security ?
Dans quel cas de figure, et pour filtrer quoi ?
Avez vous des ressources "sympa" qu'on ne trouve pas par google ?
J'aimerai trouver des informations utiles pour améliorer la sécurité
face à un script php "mal codé", qui permettrai des injections sql ou
des failles XSS, sans passer 3h à le configurer. Une proposition ?
Merci d'avance,
Bonjour,
Je profite de mon premier message pour me présenter à la liste.
Alexandre, 24 ans, assistant responsable informatique.
J'aurais besoins de conseil vis à vis d'un antivirus multi-sites.
La structure actuel, 60 utilisateurs sous WinXP.
5 sites dont :
- 25 à Paris
- 25 à Soissons
- 5 à Pierrelattes
- 5 à St Astier
Tout est relié via une connexion VPN Orange, en 2Mb/s
Nos serveurs sont dans un local à Soissons.
L'antivirus que nous utilisons est G-DATA. Mais depuis quelques temps,
il nous plombe le réseau quotidiennement en effectuant les màj des
postes client. On a alors décidé de mettre un poste qui répercutera les
màj sur chaque site. Mais rien n'y fait. Les màj continue à faire
planter le réseau.
Quelqu'un à déjà eu ce genre de soucis ?
Un conseil pour un autre antivirus ?
Merci
--
Tr4sK.
Bonjour,
j'ai la problématique suivante: plus de 10000 zones ayant toute la même
config (A, MX, CNAMES...). Jusqu'à présent il n'y avait qu'une seule
entrée A. Mais je commence à mettre en place de la répartition DNS RR
multi-sites, donc 3 entrées A pour @ et www.
Mon soucis sera le jour ou je voudrais changer la répartition, il faudra
que je mette à jour toutes ces zones. Je pourrais faire un script
générant les zones, ou utiliser des $INCLUDE, mais je cherchais une
méthode plus propre/élégante :
@ IN CNAME vip.domaine.fr.
mais ce n'est pas RFC compliant pour moultes raisons. Je suis donc
tomber sur le type d'enregistrement DNAME qui pourrait répondre à mon
problème :
1 domaine "référent" avec la config des CNAMES et des multiples A
les autres domaines n'ont qu'un enregistrement NS et un DNAME sur ce
domaine référent :
@ IN DNAME domaine.fr.
J'ai fais quelques tests: ça fonctionne. Mais comme je ne connais pas ce
type de record (et wikipedia FR non plus) j'aimerais avoir votre avis:
est-ce que ça se fait pour ce type d'utilisation ? L'avez vous pratiqué
? Est-ce qu'un IE5 sous Windows 98 sera capable de résoudre ce type
d'enregistrement ?
Pour info ça donne ça avec dig :
; <<>> DiG 9.4.2-P2.1 <<>> toto.mon_domaine.ch
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39365
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 2, ADDITIONAL: 0
;; QUESTION SECTION:
;toto.mon_domaine.ch. IN A
;; ANSWER SECTION:
mon_domaine.ch. 600 IN DNAME mon_domaine.fr.
toto.mon_domaine.ch. 600 IN CNAME toto.mon_domaine.fr.
toto.mon_domaine.fr. 600 IN CNAME www.mon_domaine.fr.
www.mon_domaine.fr. 600 IN CNAME vip.mon_domaine.com.
vip.mon_domaine.com. 590 IN A 1.1.1.1
(j'ai pas encore configuré avec les deux enregistrements A)
--
Greg
