Aug 29
Voici de quoi vous entretenir pendant mes vacances :
Comme promis, vous y trouverez page 44 le descriptif complet de l’architecture de mon réseau Wifi Public.
Aug 21
Bon j’avoue, j’ai pas mal comaté sur des trucs pas franchment techniques ces derniers temps. En plus c’est la faute à hr. Et puis, hé, il faut bien que je me prépare pour TFU.
À part ça, quelques stats de mon fameux Empire-Network. Depuis que mon réseau wireless est ouvert :
. j’ai accueilli 141 invités
. qui ont visité 2290 URLs uniques
. parmis lesquelles on retrouve dans le top 5, dans l’ordre :
- le pathetique facebook
- yahoo mail / search / meteo
- qui devance étrangement google
- les meetic’like de tous les pays
- l’indispensablement inutile myspace
. dans le top 3 des visiteurs :
- de très loin, des Russes
- pas mal d’Italiens
- pratiquement ex-aequo Anglais et Allemands
Ce qui est assez rassurant, c’est qu’il y a finalement peu de tentatives de visites de sites pornos ou equivalent, par contre, beaucoup, beaucoup, beaucoup de tentative d’utilisation du P2P (qui est filtré / bloqué).
Pour finir, je constate que la grande majorité des gens qui prennent la peine de lire les conditions d’utilisation qui finissent par un lien “j’accepte / I agree” sont des utilisateurs de Mac, les windowsiens, eux, ne semblent simplement pas comprendre pourquoi ils tombent toujours sur le même portail quelle que soit l’URL qu’ils tapent. Le nombre de machines GNU/Linux est de 1%…
Jul 14
Cette fois, c’est la bonne
On cale bien la LS2 dans sa maison
Et on s’assure d’arroser bien comme il faut
lààà.
Jun 14
hin hin hin
Ce matin j’ai reçu ça :
Mais siii, regarde au dos :
Ça y est ? tu la reconnais ?
Avec ça, j’devrais pouvoir fournir 1Mbps au Cameroun.
Merci Guigui2 :)
May 09
Un des trucs, sinon LE truc que je crevais d’envie de faire dans mon nouvel appart, c’était de monter un vrai hotspot, comme je l’expliquait deux news plus bas. Eh bah ça y est, c’est up. Je sais pas encore bien si j’en ferai un article ou si je donnerai des astuces au coup par coup, mais en attendant, voici à quoi ça ressemble.
Deux OpenWRT configurés en simples bridges permettent aux invités de se raccorder au VLAN dédié au wireless public :
/etc/config/wireless
config wifi-device wifi0
option type atheros
option disabled 0
option mode 11b
option distance 10000
option diversity 0
option txantenna 1
option rxantenna 1
option channel 6
config wifi-iface
option device wifi0
option ifname ath0
option network lan
option mode ap
option ssid Empire-Network
option encryption none
option txpower 18
/etc/config/network
config interface loopback
option ifname lo
option proto static
option ipaddr 127.0.0.1
option netmask 255.0.0.0
config interface lan
option ifname eth0 ath0
option type bridge
option proto static
option ipaddr 192.168.200.253
option netmask 255.255.255.0
Où un serveur dhcp leur fournira une IP dans le subnet adéquat. Un simple règle pf redirigera alors toute requète http vers un portail captif qui expliquera à l’invité quelles informations entrer dans son browser afin de pouvoir utiliser HTTP, HTTPS et FTP (notez que pour le moment un seul sur une bonne 30aine a reussi à effectuer cette opération heutement technique…). Quelques règles de QoS m’assurent que l’invité ne crame pas toute ma bande passante :
/etc/pf.conf
int="fxp0"
table <empire_guests> { 192.168.200.0/24, ! 192.168.200.254, ! 192.168.200.253, ! 192.168.200.252 }
altq on $int cbq bandwidth 28Mb queue { empirenet_in, empirenet_out }
queue empirenet_in bandwidth 2Mb priority 1 cbq(default)
queue empirenet_out bandwidth 128Kb priority 7
rdr on $int inet proto tcp from any to <empire_guests> port www -> 127.0.0.1 port 80
pass in on $int from any to <empire_guests> queue empirenet_in
pass out on $int from <empire_guests> to any queue empirenet_out
L’utilisateur passe alors via Squid et son activité est soumise au filtrage de squidGuard dans lequel j’ai interdit les catégories !aggressive !violence !hacking !ads !porn !warez !suspect.
J’applique sur le switch des access-list par port qui n’autorisent que les protocoles HTTP, SSH et DHCP.
[...] ip access-list extended wifiout permit ip any host 192.168.200.254 permit tcp any any eq http permit udp any any eq bootps permit tcp any any eq ssh [...] interface e 18 ip access-group wifiout in [...]
Le tout est graphé par Cacti, notemment grace à l’extension dhcpd-snmp de Net-SNMP et au template cacti associé.
Si vous passez dans le 17eme, cherchez le ssid “Empire-Network” :)
update
Bon bah en fait si, y’aura un article :)
Dec 08
Ça fait un petit moment que je lorgne ce que fait cette boite. D’abord, j’ai cru à un simple plagiat du modèle de wifi “communautaire” de FON. Encore une ennième boite qui compte faire son beurre sur le dos de la Communauté et consciencieusement fermer son firmware grace aux retours des divers hackers qui auront décelé pour eux les failles potentielles.
Et puis je scrute un peu ce qui se fait chez Meraki, et je lis dans quelques blogs que leur routeur semble être ouvert (comprendre, “en ssh”) par defaut… et que c’est totalement volontaire ! Voici le motd que je copy/paste depuis ce site :
BusyBox v1.1.0 (2006.09.29-21:24+0000) Built-in shell (ash) Enter ‘help’ for a list of built-in commands. http://meraki.net Welcome to your meraki mini. Please look for developer information at http://meraki.net. We would like to encourage you to play with this platform and add your own features to it. However, our lawyers require us to tell you that much of the software on this device is protected by copyrights, and may not be redistributed or sold. Happy Hacking! root@meraki-node:~#
Excusez du peu, mais on est loin de la paranoïa de la firme espagnole (et dieu sait que ça m’attriste d’ecrire cela) qui a été jusqu’à désactiver le shell sur la console serie dans sa “fonera+”…
Comme le dit très bien l’ami touff, c’est la Communauté qui tranchera.
Recent Comments