Bien sûr, nous pouvons toujours nous en sortir avec Dia, Inkscape, Openoffice ou tout autre logiciel permettant le tracé de formes géométriques, mais le fait de de disposer de modèles de composants (widgets), à l’échelle, facilement positionables et alignables apportent un confort non négligeable.

Vous l’avez compris, Evolus Pencil Project rempli parfaitement ce rôle.

Pencil Project, à ne pas confondre avec l’outil de dessin et d’animation 2D du même nom (pencil), est une extension Firefox, développée sous licence GPL par la société Vietnamienne Evolus. Elle est tout de même disponible en version « standalone« , grâce à une exécution avec Xulrunner.

L’interface est sobre et la prise en main extrêmement rapide. L’application est fournie avec plusieurs styles de « widgets » qui s’intègrent dans votre maquette par un simple glissé / déposé. Des guides dynamiques aident au positionnement des composants. Les principales fonctions de dessin vectoriel sont disponibles (dessus, dessous, alignement, agrandissement, rotation, etc…) et permettent de fignoler la mise en page pour un résultat très propre.

Copie d’écran

L’enregistrement des fichier se fait sous l’extension « .ep », un format XML propre à Evolus Pencil. Pour la réutilisation d’un dessin dans un document ou tout simplement pour l’impression, il faut passer par un export au format PNG. Des exports vers d’autres formats (OpenOffice, Word, PDF, … ) sont prévus moyennant l’ajout de « templates ». A ce jour, je n’ai pas exploré cette piste, le format PNG me convenant parfaitement. Je regrette juste l’impossibilité d’imprimer directement depuis l’application.

Exemple de maquette  ( le message d’erreur a été vu sur : http://www.risacher.com/la-rache )

Lien :

]]> http://www.jopa.fr/index.php/2010/07/31/evolus-pencil-project-des-dessins-dihm-en-quelques-clics/feed/ 0 http://www.jopa.fr/index.php/2010/07/17/limiter-la-bande-passante-avec-trickle/ http://www.jopa.fr/index.php/2010/07/17/limiter-la-bande-passante-avec-trickle/#comments Sat, 17 Jul 2010 16:43:47 +0000 Jopa http://www.jopa.fr/?p=2171 Depuis mon précédent billet sur les services de stockage en ligne, j’ai eu l’occasion de mettre en  place plusieurs solutions de synchronisation basées sur Unison (du type de MyOne). Ce système me sert entre autre à sauvegarder et échanger des fichiers de façon transparente avec des machines distantes

Le problème principal de système, tel qu’il est décrit, est l’absence de maîtrise de la bande passante utilisée… Quand les « synchros » se mettent en route, la connexion Internet en prend un coup, souvent au dépend d’autres services. En bref, « ça rame dur ! ».

Une bonne solution pour ne pas pénaliser l’utilisation courante du réseau serait de gérer de la QoS (qualité de service), mais ça reste assez lourd à mettre en place… La gestion de la QoS au sein d’un réseau fera très probablement l’objet d’un prochain billet. En attendant, je vais aborder une solution très simple, qui permet de limiter la bande passante au niveau des clients.

« Trickle » est un gestionnaire de bande passante en espace utilisateur. Dans son utilisation la plus simple, il permet de lancer une commande en limitant sa bande passante montante (upload)  ou descendante (download), avec, respectivement, les options ‘-u‘ et ‘-d‘.

L’exemple suivant va lancer « wget » (pour télécharger les sources d’un noyau linux depuis kernel.org) en limitant l’utilisation de la bande passante à 20 Ko/s :

$ trickle -d 20 wget -c  http://www.kernel.org/pub/linux/kernel/v2.6/testing/linux-2.6.35-rc3.tar.bz2

Autre exemple : l’utilisation d’unison pour synchroniser un dossier via ssh en limitant le débit montant à 10 Ko/s et le débit descendant à 30 Ko/s.

$ trickle -u 10 -d 30 unison ~/JopaOne ssh://joel@monserveur.jopa.fr//home/joel/JopaOne

Trickle peut fonctionner en mode « collaboratif » grâce à un démon : trickled, qui peut, lui aussi, être lancé en espace utilisateur. Contrairement à l’utilisation précédente, la limitation n’est plus définie pour chaque commande mais  la bande passante maximale est passée en paramètres au démon et partagée par toutes les instances de trickle.

$ trickled -u 10 -d 30 

$ trickle unison /home/joel/JopaOne ssh://joel@monserveur.jopa.fr//home/joel/JopaOne -batch

$ trickle wget -c  http://www.kernel.org/pub/linux/kernel/v2.6/testing/linux-2.6.35-rc3.tar.bz2

Si besoin, il est également possible de prioriser certaines applications par rapport à d’autres pour ce partage de ressources. Je vous renvoie vers le man ou le site du projet pour la liste des options et paramètres disponibles.

Lien :

Trickle (http://monkey.org/~marius/pages/?page=trickle)

Tor (The Onion Router) est un réseau permettant la transmission anonyme de paquets TCP au travers d’internet…

…Au lieu d’emprunter un itinéraire direct entre la source et la destination, les paquets de données suivent une trajectoire aléatoire à travers plusieurs relais…

La suite de ce billet donne une brève introduction à Tor et à son principe de fonctionnement, pour finir par un exemple pratique d’installation et d’utilisation.

Comment ça marche ?

Après interrogation d’un serveur Tor, le client reçoit une liste de noeuds. Il construit alors un chemin aléatoire au travers, de telle sorte que chaque relais ne connaisse que l’adresse de son prédécesseur et de son successeur. Aucun noeud ne connait à lui seul le chemin complet.

Un nouveau chemin sera recalculé régulièrement.

Pour garantir sa confidentialité dès le départ, un paquet tcp est chiffré « en couches » successives avec la clef publique de chaque noeud, en commençant par le dernier…

Lorsque le paquet parcours son chemin, chaque couche de chiffrement sera enlevée par son noeud respectif, jusqu’au dernier, qui transmettra alors le paquet en clair au serveur destinataire. Je vous laisse faire l’analogie avec l’oignon… Même si mon schéma est un peu « carré ».

Il faut être conscient, cependant, que Tor a ses limites : Il gère seulement le transport des paquets TCP et n’assure pas de protection en UDP. Protocole utilisé entre autres pour les requêtes DNS. De plus, une page web peut récolter directement des informations privées (dont l’adresse IP), directement auprès du navigateur, par l’utilisation de Javascript ou la lecture de cookies.

Pour la navigation Web, on va généralement coupler Tor  à un serveur mandataire (proxy) tel que privoxy. Ce dernier va faire l’interface entre le navigateur et Tor, tout en fournissant un filtrage anonymisant supplémentaire (gestion des cookies, des accès, suppression des pubs, etc…).

En pratique

Tor est disponible sous licence BSD et facilement installable pour la majorité des distributions Linux et BSD. Il est également disponible pour de nombreuses plateformes telles que Windows, OSX ou Androïd… si si !).

Sous Ubuntu 10.4 :

 # echo "deb http://deb.torproject.org/torproject.org lucid main" >
         /etc/apt/sources.list.d/tor.list
 # gpg --keyserver keys.gnupg.net --recv 886DDD89
 # gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | apt-key add -
 # apt-get update
 # apt-get install tor privoxy
. 

Un (tout) petit peu de configuration…

/etc/privoxy/config/

...
#  Décommenter la ligne suivante pour connecter Privoxy à Tor
forward-socks5   /               127.0.0.1:9050 .
...
# Il peut être judicieux de commenter la ligne suivante pour
# que les logs ne soient pas écrits.
# logfile logfile
...

On redémarre tout ça :

 # /etc/init.d/tor restart
 # /etc/init.d/privoxy restart

Privoxy doit ensuite être déclaré comme proxy dans les préférences du navigateur ou directement dans les préférences réseaux de Gnome. Dans l’exemple, nous avons bien une installation locale (127.0.0.1) et le port laissé par défaut (8118).

Le premier indice permettant de conclure que la configuration est bonne est la lenteur de la navigation. Le passage au travers du réseau Tor ne se fait pas sans perte de performances…

Le second peut se trouver sur la page : http://www.monip.org, qui ne devrait plus retourner notre adresse IP publique, mais celle du dernier relai traversé.

Au delà de la navigation

Au delà de la navigation web et des services pris en charge par le proxy, TOR est capable de sécuriser les connexions d’autres services grâce à la commande « torify« . Par exemple, la commande suivante permet une connexion ssh à travers le réseau Tor.

$ torify ssh mon.serveur.public.et.fictif.com

Voilà pour un petit tour rapide au pays de Tor… Pour (beaucoup) plus d’informations, je vous conseille de visiter le site officiel du projet et sa page Wikipédia.

Liens :

• Tor Project,
• Wikipedia – Tor (Réseau),
• Privoxy.

Ces deux applications sont très similaires et proposent, entre autre, un espace de stockage en ligne de 2 Go, dans une version de base gratuite, ainsi que des options payantes permettant d’étendre la capacité à 50 Go ou plus. A ce jour, il faut compter un peu moins de 10 € par mois pour 50 Go. Dropbox propose un système de parrainage qui vous fera gagner 250 Mo supplémentaires chaque fois que vous parrainez une nouvel inscrit (dans la limite de 8Go).

Les fichiers sont accessibles depuis n’importe quel ordinateur connecté à Internet via une interface web. Ceci n’est pas pour déplaire à Mamie,  qui se voit rassurée de pouvoir sauvegarder ses précieuses recettes de cuisine à l’abri d’un incendie ou de je ne sais quelle autre catastrophe domestique.

L’installation d’un logiciel client sur un ou plusieurs postes va permettre de synchroniser un répertoire local avec l’espace de stockage en ligne. Ainsi, un fichier ajouté dans ce dossier sera automatiquement ajouté par synchronisation dans l’espace en ligne.  Ce dernier se synchronisera à son tour avec les autres machines sur lequel le client est installé. C’est très pratique pour Mamie, qui peut taper sa recette de cookies au chocolats sur l’ordinateur de son bureau et l’emporter à son club de cuisine sur son Ipad automatiquement synchronisé – Qu’elle frimeuse cette mamie –   Pour cela, je dois préciser qu’elle a une préférence pour DropBox, porté sur de nombreux systèmes, contrairement à Ubuntu One, qui reste encore limité à un environnement Ubuntu.

Image : Dropbox.com

Enfin, parmi les multiples utilisations possibles, nous trouvons bien entendu la possibilité de partager des fichiers ou des dossiers avec d’autres utilisateurs. Très pratique pour Mamie, qui peut diffuser, à toute la famille, les photos de ses pâtisseries qu’elle prend en 10 MégaPixel grâce à son réflex numérique.

Outre la capacité limitée dans les versions gratuites, le fait que les fichiers soient stockés en clair, on ne sais où, peut-être perturbant. Il est bien sûr possible de chiffrer les données avant leur stockage, mais il faut bien avouer que ce n’est pas très pratique.

Sachant que des outils libres, tels qu’ unison, on largement fait leurs preuves en matière de synchronisation, l’idée de construire ma propre architecture « JopaOne » m’a traversé l’esprit. C’est alors que je suis tombé sur le tuto de KIK-IT : UbuntuOne VS MyOne, décrivant exactement ce que je souhaitais faire : Un espace de stockage sur un de mes serveurs et des répertoires locaux sur mes différentes machines, le tout synchronisé grâce à unision,  de préférence à travers ssh…

Pour conclure et je pense que Mamie sera d’accord avec moi, ma préférence va vers DropBox pour le partage de fichiers non sensibles avec les amis. Ce dernier est plus abouti qu’Ubuntu One et bien plus rapide pour  les synchronisation. La disponibilité du client sous de multiples plateforme est un de ses atouts majeurs… Mamie nous fait remarquer que le client « Androïd » est très sympathique pour ajouter son Smartphone

Pour la synchronisation de documents entre mes machines, j’ai préféré une solution basée sur Unison et ssh… Il n’y a pas a dire, on est bien plus tranquille quand les fichiers sont sur un serveur bien à nous…

Liens :

• Ubuntu One
• DropBox
• MyOne (KIK-IT)

Ceux qui, comme moi, déploient ce genre de services dans leur entreprise et n’en peuvent plus de passer leur temps à démêler des utilisateurs adeptes du cliquage  intempestif, rêvent d’un navigateur sans barre d’adresse, sans menus et sans boutons de navigation. Vous en rêviez ? Mozilla l’a fait !

Mozilla Prism permet d’ouvrir  un site prédéfini dans une fenêtre dédiée et sans éléments superflus tels que la barre d’adresses, les menus ou les boutons de navigation. L’application étant démarrée depuis une raccourci créé sur le bureau (ou ailleurs). Prism utilise le même moteur que Firefox (Gecko), ce qui le rend compatible avec les extensions et plugins de ce dernier. Enfin,comme la majorité des produits Mozilla, Prism est disponible pour les principales plateformes systèmes : Windows, Mac OsX et bien sûr Linux.

Lors de son exécution,  une simple boîte de dialogue permet de configurer l’accès à la page web, quelques éléments de la fenêtre de navigation et la création d’un raccourci. Ce dernier, permettra ensuite d’accéder directement à l’application.

$ sudo apt-get install subversion pkg-config python perl g++ bison flex gperf libnss3-dev libgtk2.0-dev libnspr4-0d libnspr4-dev msttcorefonts libgconf2-dev libcairo2-dev libdbus-1-dev

Si comme moi, vous jouissez d’une distribution 64 bits :

$ sudo apt-get install gcc-multilib g++-multilib gobjc-multilib gobjc++-multilib

Et en option :

$ sudo apt-get install wdiff lighttpd php5-cgi sun-java6-fonts

Nous allons ensuite installer les utilitaires nécessaires pour l’accès au SVN google ( depot tools ) :

$ mkdir CHROME
$ cd CHROME
$ svn co http://src.chromium.org/svn/trunk/tools/depot_tools

Et récupérer les sources :

$ export LANG=C
$ depot_tools/gclient config http://src.chromium.org/svn/trunk/src http://chromium-status.appspot.com/lkgr
$ depot_tools/gclient sync

gclient va rapatrier un peu plus de 3 Go ( C’est que ce n’est pas du code de fillette tout ça ! ) …

Révision 43806 extraite.

________ running ‘/usr/bin/python src/tools/gyp/gyp_dogfood src/build/all.gyp’ in ‘/usr/local/src/CHROME
Updating projects from gyp files…

A ce stade, j’en suis à me demander comment, avec un code source de 3Go, je vais obtenir un navigateur réputé pour sa légèreté et sa rapidité d’exécution… Même si, par défaut, les sources incluent toutes les plateformes, les librairies utilisées et tout un tas de bazard…

Pour le savoir, le mieux est de lancer la compil :

$  cd src/build
$ ../../depot_tools/hammer

Par defaut, chromium est compilé en mode debug et c’est plutôt logique pour une version de developpement. Pour forcer le mode release :

$ ../../depot_tools/hammer –mode=Release

Les binaires sont placés dans le répertoire src/sconsbuild/debug ou srv/sconsbuild/release suivant le mode compilé.

$ CHROME/src/sconsbuild/release/chrome

Comme vous le verrez sur la page de démarrage, ornée d’un immanquable panneau stop rouge, le navigateur est en version pre-alpha… En bref, ne vous attendez pas à quelque chose de très stable…

Pour plus d’informations, vous pouvez consulter les instruction de compilation, sur le wiki officiel : http://code.google.com/p/chromium/wiki/LinuxBuildInstructions

Le modem fourni est une clé USB ICON 225, le vendeur m’a affirmé qu’elle fonctionnait parfaitement sur PC ou Mac… Mais…par « PC », tu veux dire Windows je suppose, Monsieur le vendeur ? Non ? Tu sais, on peut faire marcher un PC avec autre chose que Microsoft Windows… Si ! Si !!! Je t’assure ! D’ailleur, même un Mac peut tourner sous autre chose que… Bon laisse tomber, file moi ma clé, je vais me débrouiller… _

Après quelques recherches sur le net, me voilà rassuré : Il est à priori possible de faire tourner le bignou sous Linux et mon achat ne finira pas au fond d’un tiroir… Oui ! Je sais ! Normalement on se renseigne avant, mais il faut dire que le vendeur m’avait quand même bien énervé ! ; )

Le module utilisé s’appelle hso, il est présent dans les dernières versions des noyaux Ubuntu, mais ne semble pas fonctionnel, tout au moins avec ce matériel. Le mieux est donc de partir des sources.

hso-1.6

tar -xvzf hso-1.6.tar.gz
cd hso-1.6
make clean
make
sudo make install
.

Le module compilé et installé, la clé reste reconnue comme un périphérique de stockage. Pour corriger, il faut implémenter les règles udev qui vont bien… Pas de panique,  ce petit outil le fait pour nous :

hso-udev

mkdir hso-udev
cd hso-udev
tar -xvzf ../hso-dev.tar.gz
make clean
make
sudo make install
.

2 utilitaires permettent ensuite de gérer la connexion :

• HSOLink-1.0.46-1_i386.deb qui intègre les scripts de connexion,
• HSOConnect-py2.5-1.83_all.deb l’interface graphique permettant le paramétrage et la connexion/déconnexion.

dpkg -i hsolink_1.0.46-1_i386.deb
dpkg -i hsoconnect-py2.5-1.83_all.deb
.

Pour se connecter, il faut exécuter HSOConnect (soit par le menu gnome : Application -> Internet -> HSOConnect, soit à la main : python -m hsoc), et la première fois, éditer le profil de connexion  pour spécifier l’APN  : orange.ie pour les Pass Internet Everywhere.

Ensuite, un clic sur Connect et normalement, ça roule !

En fait, il avait raison mon petit vendeur… Ca fonctionne parfaitement sur PC

Sources :

http://www.pharscape.org/

http://doc.ubuntu-fr.org/orange_3g

]]> http://www.jopa.fr/index.php/2008/11/18/cle-3g-icon-225-sur-pc-et-sans-windows/feed/ 5 http://www.jopa.fr/index.php/2008/10/03/ecrire-un-robot-web-lynx/ http://www.jopa.fr/index.php/2008/10/03/ecrire-un-robot-web-lynx/#comments Thu, 02 Oct 2008 22:02:07 +0000 Jopa http://www.jopa.fr/?p=241

Boursicoteur à mes heures perdues, je m’intéresse surtout aux méthodes d’analyse graphique et aux traitements statistiques. J’utilise pour cela une base de données que j’alimente régulièrement avec les dernières cotations boursières.

Le site ABCBourse fournit gratuitement ces valeurs sous forme d’un fichier csv, téléchargeable par l’intermédiaire d’un formulaire. Ce dernier permet de spécifier la période et les catégories de valeurs souhaitées : http://download.abcbourse.com/historiques.aspx?f=ex

Pour corser un peu l’énoncé, le site n’autorise pas le téléchargement de l’intégralité des valeurs en une seule fois, si la période dépasse la journée. L’objectif de cet article, vous l’aurez compris, est de montrer comment automatiser la récupération de ces valeurs au jour le jour, en vue de leur intégration dans une base mysql.

Lynx, le navigateur en mode texte bien connu de tout geek qui se respecte, dispose d’une option très intéressante : il permet l’enregistrement de toutes les touches pressées lors de la navigation. Le fichier ainsi obtenu pourra ensuite être rejoué, un peu comme une macro.

En remplaçant dans ce fichier les dates saisies pour le formulaire par les dates souhaitées, le tour est joué…

Allez… Zou !!!

Etape 1 : Ca tourne !

$ lynx  -accept_all_cookies -cmd_log=abc.log 

http://download.abcbourse.com/historiques.aspx?f=ex

Complétons le formulaire en prenant soin de bien saisir la date de début, la date de fin et de cocher les catégories de valeurs souhaitées. Un ou deux essais peuvent s’avérer nécessaires quand on n’est pas familiarisé avec ce type de navigateur…

Un « pseudo clic » sur le bouton « Submit » (marqué [Télécharger.gif]-Submit), la liste des actions et leurs cours apparaît.

La touche « p » permet d’accéder au menu d’impression. Ce menu permet également d’enregistrer la page dans un fichier. Le nom du fichier par défaut est de la forme Cotations[aaaammjj].txt; Très bien ça !

Nous pouvons quitter Lynx, c’est dans la boîte ! La séquence de touches est enregistrée dans le fichier abc.log .

Pour vérifier son enregistrement, nous pouvons directement rejouer la « scène » :

lynx  -accept_all_cookies -cmd_script=abc.log 

http://download.abcbourse.com/historiques.aspx?f=ex

Etape 2 : Le montage

Editons maintenant le fichier abc.log. L’exercice va consister à repérer les dates et à remplacer leurs chiffres par des balises qui seront exploitables par un script. Je choisis arbitrairement :

• XXJ1 XXJ2 pour les deux chiffres du jour
• XXM1 XXM2 pour les deux chiffres du mois
• XXA1 XXA2 XXA3 XXA4 pour les quatre chiffres de l’année

$ vi abc.log

# Command logfile created by Lynx 2.8.5rel.1 (04 Feb 2004)
# Arg0 = lynx
# Arg1 = -accept_all_cookies
# Arg2 = -cmd_log=abc.log
# Arg3 = http://download.abcbourse.com/historiques.aspx?f=ex
key <Down Arrow>
key <Down Arrow>
key <Down Arrow>
...
key <delete>
key <delete>
key <delete>
# Ici le jour de début
# key 2
# key 3
key XXJ1
key XXJ2
key /
# Ici le mois de début
# key 0
# key 9
key XXM1
key XXM2
key /
# Ici l'année de début
# key 2
# key 0
# key 0
# key 8
key XXA1
key XXA2
key XXA3
key XXA4
key <Right Arrow>
key <delete>
key <delete>
key <delete>
...
# Ici le jour de fin
# key 2
# key 3
key XXJ1
key XXJ2
key /
# Ici le mois de fin
# key 0
# key 9
key XXM1
key XXM2
key /
# Ici l'année de fin
# key 2
# key 0
# key 0
# key 8
key XXA1
key XXA2
key XXA3
key XXA4
key <Down Arrow>
key <Down Arrow>
...
key <Left Arrow>
key <Left Arrow>
key /
key t
key m
key p
key /
key ^J
key o
key q
key o

Etape 3 : Le script

Il ne reste plus qu’à réaliser un script bash qui remplacera les balises XXJ1 à XXA4 par les chiffres de la date du jour, exécutera lynx avec sa nouvelle séquence de commandes et finalement, déclenchera l’importation dans la base de données.

#!/bin/bash
 
# Récupération de la date du jour
JOUR=`date "+%d/%m/%Y"`
 
# "Explode" de la date en chiffres
J1=${JOUR:0:1}
J2=${JOUR:1:1}
 
M1=${JOUR:3:1}
M2=${JOUR:4:1}
 
A1=${JOUR:6:1}
A2=${JOUR:7:1}
A3=${JOUR:8:1}
A4=${JOUR:9:1}
 
# Construction du nouveau fichier de commande
# La variable PART sert à construire le nom de la Balise (XX$PART)
# Et de "pointeur" vers les variables $J1, $J2, etc... ($$PART)
 
CMD="cat abc.log"
for PART in J1 J2 M1 M2 A1 A2 A3 A4; do
    eval CHIFFRE=$$PART
    CMD="$CMD|sed 's/XX$PART/$CHIFFRE/g'"
done
CMD="$CMD > /tmp/abc.cmd"
eval $CMD
 
# Exécution de Lynx
 
lynx  -accept_all_cookies -cmd_script=/tmp/abc.cmd http://download.abcbourse.com/historiques.aspx?f=ex 2>> /var/log/cotationabc.log
 
# Appel du script d'import dans la base
FICHIER="Cotations$A1$A2$A3$A4$M1$M2$J1$J2.txt"
if [ -e /tmp/$FICHIER ]; then
    php import_batch.php /tmp/$FICHIER >> /var/log/cotationabc.log
    tail -n 1 /var/log/cotationabc.log
    mv /tmp/$FICHIER /var/cotations
else
    echo "!!! Erreur de traitement du fichier $FICHIER !!!"
fi

Le lancement du script sera planifié dans un crontab afin de parfaire l’automatisation.

A titre d’exemple, voici le script import_batch.php qui se charge d’importer les valeurs dans la base de données. Il est très réduit car il utilise une classe fcours « maison » possédant les attributs nécessaires à l’enregistrement de cotations boursières et une méthode d’import à partir d’un fichier. L’intérêt de l’article ne résident pas dans cette partie, je ne vais pas la détailler.

#!/usr/bin/php -q
<?php
include_once "include/class_file_cours_inc.php";
   if ($argc != 2 || in_array($argv[1], array('--help', '-help', '-h', '-?'))) {
?>
Script d'import de données dans la base bourse...
 
  Usage:
    <?php echo $argv[0]; ?> <nomdefichier>
 
     <nomdefichier>  Nom du fichier CSV issu d'ABCBourse au format Excel / ISIN
 
<?php
          } else {
   echo "Traitement du fichier $argv[1]n";
   $import = new amdr_fcours($argv[1],0);
   $import->import();
}
?>

Nous allons créer un script contenant les règles à mettre en place. Ce script sera lancé au démarrage du serveur.

Initialisation

La toute première étape va consister à vider les tables :

# RAZ DES TABLES
iptables -t filter -F
iptables -t filter -X
 .

Les connexions existantes ne doivent pas être cassées… C’est utile sur un serveur dédié, pour ne pas perdre la main.

# Ne pas casser les connexions établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 .

Comme toujours quand on parle de sécurité, nous allons commencer par tout interdire. Aucun paquet, qu’il soit entrant, sortant ou routé par le serveur ne doit passer.

# Interdire tous les paquets...tous...
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
 .

A nous maintenant d’autoriser le trafic nécessaire… Et seulement le trafic nécessaire. Nous allons, dans l’ordre, étudier les connexions entrante, sortantes et éventuellement celles susceptibles d’ être routées par la machine; C’est relativement rare pour un serveur dédié, mais possible, dans le cas de VPN par exemple.

Règles pour les paquets entrants

Quels services sont fournis par le serveur ?

• Un serveur WEB,

# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
.

• Un serveur VPN (OpenVPN) pour un client dont l’adresse IP est XXX.XXX.XXX.XXX,

# OpenVPN
iptables -t filter -A INPUT -p udp --dport 1194 -s XXX.XXX.XXX.XXX -j ACCEPT
.

• Un serveur de mails,

# SMTP
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
.

• Les boites mails sont accessibles en POP et IMAP, mais depuis le VPN uniquement,

# POP3
iptables -t filter -A INPUT  -i tun+ -p tcp --dport 110 -j ACCEPT
# IMAP
iptables -t filter -A INPUT -i tun+ -p tcp --dport 143 -j ACCEPT
.

• De même, un serveur DNS est disponible pour les machines du vpn,

# DNS en Entrée
iptables -t filter -A INPUT -i tun+ -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -i tun+ -p udp --dport 53 -j ACCEPT
.

• Pour être conforme au RFC, le serveur répond aux requêtes ICMP (ping),

# ICMP
iptables -t filter -A INPUT -p icmp -j ACCEPT
.

• N’oublions pas SSH… Ca peut toujours servir,

# SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
.

• Enfin, aucune restriction n’est appliquée pour l’interface Loopback (Localhost)

# LOOPBACK
iptables -t filter -A INPUT -i lo -j ACCEPT
.

Règles pour les paquets sortants

Quels services sont nécessaires au serveur ?

• Le serveur doit pouvoir envoyer des requêtes DNS,

# DNS
iptables -t filter -A OUTPUT  -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT  -p udp --dport 53 -j ACCEPT
.

• Disposer d’un accès HTTP ( utile pour les mises à jour ),

# HTTP
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
.

• Ssh est autorisé en sortie,

# SSH
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
.

• Envoyer des mails,

# SMTP
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
.

• Récupérer des mails sur un compte POP3 par l’intermédiaire de fetchmail,

# POP3
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
.

• Pinguer (ben tiens !),

# ICMP
iptables -t filter -A OUTPUT -t icmp -j ACCEPT
.

• Etablir une connexion OpenVPN vers un autre serveur dont l’adresse IP est YYY.YYY.YYY.YYY : Ce serveur interconnecte un VPN dont il est le serveur avec un VPN dont il est client,

# VPN
iptables -t filter -A OUTPUT -p udp --dport 1194 -d YYY.YYY.YYY.YYY -j ACCEPT
.

• Enfin, aucune restriction sur l’interface loopback,

# LOOPBACK
iptables -t filter -A OUTPUT -o lo -j ACCEPT
.

Règle pour les paquets traversants (routés)

• Ce serveur interconnecte deux VPN, on ne souhaite pas filter le trafic d’un VPN vers l’autre,

# VPN2VPN
iptables -t filter -A FORWARD -i tun+ -o tun+ -j ACCEPT

.

Syn flood, spoofing et compagnie…

Pour finir, ajoutons quelques règles pour limiter tout ça, quelques traces dans les logs et le tour sera joué…

• Limitation du syn flood

# Syn Flood
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp  -m limit --limit 1/second -j ACCEPT
.

• « Anti-spoofing »

# Spoofing
iptables -N SPOOFED
iptables -A SPOOFED -s 127.0.0.0/8 -j DROP
iptables -A SPOOFED -s 169.254.0.0/12 -j DROP
iptables -A SPOOFED -s 172.16.0.0/12 -j DROP
iptables -A SPOOFED -s 192.168.0.0/16 -j DROP
iptables -A SPOOFED -s 10.0.0.0/8 -j DROP
.

• Log des paquets rejetés dans syslog

# LOG des paquets rejetés
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP]:'
iptables -A LOG_DROP -j DROP
iptables -t filter -A INPUT -j LOG_DROP
iptables -t filter -A OUTPUT -j LOG_DROP
iptables -t filter -A FORWARD -j LOG_DROP
.

Voilà, ce n’est pas trop mal pour un début ; ) Ci-dessous, le script « recollé » :

##########
## INIT ##
##########
 
# RAZ DES TABLES
iptables -t filter -F
iptables -t filter -X
 
# Ne pas casser les connexions établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# Interdire tous les paquets...tous...
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
 
###########
## INPUT ##
###########
# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
# OpenVPN
iptables -t filter -A INPUT -p udp --dport 1194 -s XXX.XXX.XXX.XXX -j ACCEPT
# SMTP
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
# POP3
iptables -t filter -A INPUT  -i tun+ -p tcp --dport 110 -j ACCEPT
# IMAP
iptables -t filter -A INPUT -i tun+ -p tcp --dport 143 -j ACCEPT
# DNS en Entrée
iptables -t filter -A INPUT -i tun+ -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -i tun+ -p udp --dport 53 -j ACCEPT
# ICMP
iptables -t filter -A INPUT -p icmp -j ACCEPT
# SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
# LOOPBACK
iptables -t filter -A INPUT -i lo -j ACCEPT
 
############
## OUTPUT ##
############
# DNS
iptables -t filter -A OUTPUT  -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT  -p udp --dport 53 -j ACCEPT
# HTTP
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
# SSH
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
# SMTP
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
# POP3
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
# ICMP
iptables -t filter -A OUTPUT -t icmp -j ACCEPT
# VPN
iptables -t filter -A OUTPUT -p udp --dport 1194 -d YYY.YYY.YYY.YYY -j ACCEPT
# LOOPBACK
iptables -t filter -A OUTPUT -o lo -j ACCEPT
 
###############
## FORWARD ##
###############
# VPN2VPN
iptables -t filter -A FORWARD -i tun+ -o tun+ -j ACCEPT
 
###############
## FINITIONS ##
###############
# Syn Flood
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp  -m limit --limit 1/second -j ACCEPT
 
# Spoofing
iptables -N SPOOFED
iptables -A SPOOFED -s 127.0.0.0/8 -j DROP
iptables -A SPOOFED -s 169.254.0.0/12 -j DROP
iptables -A SPOOFED -s 172.16.0.0/12 -j DROP
iptables -A SPOOFED -s 192.168.0.0/16 -j DROP
iptables -A SPOOFED -s 10.0.0.0/8 -j DROP
 
# LOG des paquets rejetés
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP]:'
iptables -A LOG_DROP -j DROP
iptables -t filter -A INPUT -j LOG_DROP
iptables -t filter -A OUTPUT -j LOG_DROP
iptables -t filter -A FORWARD -j LOG_DROP

Pour ceux qui ne la connaîtraient pas encore, « la Fonera » est, en quelques mots, un petit routeur communautaire permettant de partager une connexion internet en wifi. Le principe est simple : on commence par s’inscrire sur le site de Fon (http://www.fon.com) pour devenir un « foneros » et commander sa Fonera (10€98 avec un parrainage).

A réception de la petite boîte, il faut la connecter derrière sa « box Internet » et après un minimum de configuration, on obtient un superbe hotspot wifi permettant à d’éventuels « foneros », qui passeraient par là, de se connecter à Internet en empruntant un bout de notre bande passante.
En contre partie, nous pourrons accéder à Internet partout dans le monde, dès lors que nous serons à portée wifi d’une Fonera.

En dehors de ce principe, déjà très séduisant, La fonera présente l’intérêt d’être une petite machine toute mimie (pas plus grosse qu’un paquet de cigarettes), basée sur une architecture mips et disposant d’un port Ethenet à 100Mb/s, d’une interface wifi 802.11g pilotée par une puce Atheros, 6 Mo de sdram et 8 Mo de mémoire Flash. Le tout tournant sous un Firmware « Fon » basé sur OpenWrt (qui n’est rien d’autre qu’un Linux embarqué). Tout ceci devrait nous permettre de faire mumuse pendant quelques heures.

D’un point de vue plus fonctionnel, la petite boîte en service gère pas moins de 3 réseaux, ceci pour pouvoir assurer un minimum de sécurité :

• Un premier réseau wifi, public, dont le ESSID par défaut est « FON_AP« . Ce nom pourra être changé mais restera obligatoirement préfixé par « FON_« , signe de reconnaissance des points d’accès de la communauté. C’est par le biais de ce réseau qu’un « foneros » lambda pourra se connecter et accéder à Internet.

• Un deuxième réseau wifi, privé cette fois, dont le ESSID par défaut est « MyPlace » est protégé par une clef WPA initialisée avec le numéro de série de la bête. Nous pourrons bien entendu le modifier par la suite. Ce réseau va permettre un accès wifi sécurisée et l’accès à l’interface de paramétrage de la Fonéra.

• La troisième patte, dénommé wan, est une interface filaire qui permet à la fonera de communiquer avec notre passerelle Internet (la box de notre provider préféré dans la majorité des cas) pour fournir l’accès à Internet.

La gestion de ces trois réseaux a l’air plutôt bien pensée; En configuration d’origine, une machine connectée à l’interface wifi publique n’accédera pas aux 2 autres réseaux. Par contre, via l’interface wifi privée, on atteint sans problème notre lan. Ceci positionne la Fonera en sérieux postulant pour un éventuel remplacement de notre point d’accès existant; pour peut-êtr devenir le distributeur agrée de wifi dans la maison.

Malgré toute cette stratégie, aussi bien imaginée soit-elle, je ne peux m’empêcher de me poser des questions sur les risques encourus par le partage d’une connexion Internet – Ah ! Paranoïa, quand tu nous tiens ! – Je me demande en particulier ce qu’on risque réellement, si un « Foneros » mal intentionné utilise la connexion que nous lui mettons à disposition pour faire de grosses bêtises sur Internet ? N’oublions pas que de l’extérieur, c’est notre adresse IP qui est visible et donc notre responsabilité qui est engagée.

Mais nous sommes là pour jouer, non ? Dans un prochain billet, nous essayerons de prendre la main sur la bête, histoire de voir ce qu’il est possible d’en tirer.

 2ème partie : Hacker la Fonera