Session Start: Sun Nov 19 21:56:15 2006
Session Ident: #wireless-fr
* Logging #wireless-fr to 'logs\#wireless-fr.GeekNode.log'
<SyrusWifi> freechelmi on en était :
<freechelmi> salut donc ça donne quoi la réu , on a pas fait les CRs des anciennes mais on a les logs
<freechelmi> ports ouverts ? 
<freechelmi> j veux bien faire ports ouverts en 1/2 heure
<florida> go
<SyrusWifi> - P2P, Bande passante : quelle politique de restriction de ports par défaut sur nos hotspots ?
<freechelmi> bon , déjà j'ai vu qu'aujourd'hui 
<freechelmi> le wifidog.conf
<SyrusWifi> looker : http://dev.wireless-fr.org/trac.cgi/wiki/SampleWifidog.conf
* Joins: DbD- (dbd@geek-FACB08E4.d4.club-internet.fr)
<freechelmi> a quelques ports d'ouvert aux coups par coups 
<freechelmi> c quoi la config de wifidog par défaut ? 
<SyrusWifi> celle des qc
<SyrusWifi> full open
<SyrusWifi> des auth
<SyrusWifi> des que le user est auth
<freechelmi> tous les ports ouverts pour les users auth ? 
<freechelmi> bon on est ok que ceux qui sont pas encore validés
<freechelmi> doivent avoir que le net 
<freechelmi> comme ça on les force a utiliser leur webmail 
<freechelmi> pas de pop ou de smtp 
<freechelmi> comme ça ils download pas leur mail en pop pendant 20 min et se barre
<SyrusWifi> euh
<SyrusWifi> laissons le pop3 pour le validating
<SyrusWifi> tu lances ton client mail et recup ton mail en pop3
<freechelmi> ouais 
<freechelmi> ok pour le po3
<freechelmi> pop3
<SyrusWifi> le sample vous va ?
<freechelmi> je regarde
<SyrusWifi> de tt facon dans le dernier firmware on bloque le p2p
* Joins: Genesis_ (genesis@geek-31192C99.aimao.org)
<SyrusWifi> avec gateway
<freechelmi> http://dev.wireless-fr.org/trac.cgi/wiki/SampleWifidog.conf
<freechelmi> Salut genesis
<Genesis_> re 
<Genesis_> re WatchiX 
<freechelmi> ou est ce qu'on peut voir le defaut de wifidog ? sur leur trac ? 
* Joins: Ringo (Ringo@geek-3D0130D8.w86-214.abo.wanadoo.fr)
<SyrusWifi> oui sur les sources
<SyrusWifi> http://dev.wifidog.org/browser/trunk/wifidog/wifidog.conf
* Quits: Remaille (Remi@geek-A586B56A.cust.tele2.fr) (Quit: Remaille)
<Ringo> alors ca cause quoi sur cette reunion ? le president est il là ? 
<freechelmi> Ringo : le pres a pas l'air d'etre la 
<Ringo> en fait il est jmais là quoi ? 
<freechelmi> Ringo : des nouvelles de noky  ? et vous avez vu ce super pack skype ?
<freechelmi> skype-fon ? 
<Ringo> on l' a vu oui 
<freechelmi> Ringo : non marc fait jamais d'IRC
<Genesis_> skype & fon c'est pas libre
<freechelmi> surtout skype ... 
<Ringo> ah Marc ne fait pas d'IRC 
<Genesis_> fon c'est juste de la violation de GPL
<Ringo> bah alors si il aime pas ça ...
<freechelmi> bon 
<freechelmi> dans le conf de wifidog 
<freechelmi> ils avaient mis pour les validating 
<freechelmi> FirewallRule block tcp port 25
<freechelmi> et allow FirewallRule allow to 0.0.0.0/0
<Ringo> je precise simplement que sur la mailing Marc a proposer un texte d'intro , je me suis permsi d'en proposer un également , toute remarque constructive est la bienvenue
<freechelmi> Ringo : en effet , j'aime pas du tout son texte a marc trop de blabla 
<freechelmi> j'vais essayé d'en proposer un dans la semaine 
<florida> idem
* Quits: mq (marc@geek-E55FFB9F.fbx.proxad.net) (Connection reset by peer)
<freechelmi> le tiens est bien mais ne parle pas assez de réseaux citoyens non ? 
<Ringo> je compte sur un lien hyper texte a la suite du type En savoir plus pour exposer nos intentions plus en avant 
<freechelmi> Exactement , vaut mieux 4 lignes en pages d'acceuil 
<freechelmi> avec un dessin et un lien en savoir plus 
<SyrusWifi> freechelmi il faut bloquer le 25 en global
* Quits: prospere (prospere@geek-8E10A567.fbx.proxad.net) (Quit: Quitte)
<freechelmi> Syrus : pas d'accord 
<freechelmi> mais c'est vrai que tant qu'on a pas d'auth non anonyme 
<freechelmi> c difficile de le laisser ouvert en effet 
<freechelmi> je pense quand meme qu'on devrait le laisser ouvert 
<freechelmi> de toutes façons beaucoup de gens utilisent le smtp de leur FAI 
<freechelmi> bon ensuite s'ils utilisent un SMTP ouvert , kler que ça peut craindre
<freechelmi> mais je pense que c'est un risque a prendre
* Quits: Ringo (Ringo@geek-3D0130D8.w86-214.abo.wanadoo.fr) (*.net *.split)
* Quits: WatchiX (WatchiX@geek-1BF30AA3.adsl.proxad.net) (*.net *.split)
* Quits: Genesis_ (genesis@geek-31192C99.aimao.org) (*.net *.split)
* Quits: arpalord (arpalord@geek-374F6915.fbx.proxad.net) (*.net *.split)
* Quits: Thus0 (Thus0@F3861931.10E9E012.D0079546.IP) (*.net *.split)
* Quits: GuiZmo34 (GuiZmo34@geek-B98523AB.nerim.intuxication.net) (*.net *.split)
* Quits: deados (david@deados.calvix.org) (*.net *.split)
* Joins: WatchiX (WatchiX@FBB9B6FC.CEE8F22C.31EC96DC.IP)
* Joins: deados (david@deados.calvix.org)
<SyrusWifi> freechelmi ca marchera pas
<SyrusWifi> les smtp de fai ne marchent que pour leur réseau
<freechelmi> meme free ?
* Joins: Genesis_ (genesis@geek-31192C99.aimao.org)
<SyrusWifi> si le spot est sur un autre fai, ton client ne pourra pas envoyer sur le smtp
<SyrusWifi> freechelmi: yep
<SyrusWifi> les smtp ne sont pas open pour éviter le relai
* Joins: GuiZmo34 (GuiZmo34@geek-B98523AB.nerim.intuxication.net)
<freechelmi> non pas open mais tu t'authentifie
<freechelmi> pour google par exemple 
* Joins: doc (cgiirc@E48B733B.AD6EBC84.4FFB24B2.IP)
<freechelmi> ça marce de partout 
<freechelmi> pourvu que tu sois auth via smtp
<richard> <freechelmi> meme free ? => yes de plus ac free bientot le smtp sauf pour celui de free sera bloqué par defaut
<SyrusWifi> richard le smtp des clients free sera bloqué
<richard> SyrusWifi, oui c'est ce que je disai
<richard> mais on pourra le débloqué pour sa connect depuis al consol dadmin
<SyrusWifi> freechelmi: ex: le spot sur 9t, le client chez free, son client mail doit avoir son smtp sur smpt.neuf.fr ;)
<richard> SyrusWifi, pkoi leneuf bloque ? 
<SyrusWifi> et bonjour le spam via le spot
<SyrusWifi> non, mais qd on se connecte sur un spot, qui te dit quel smtp serveur utiliser ?
* Joins: Maths (Maths@6833A85C.5E23C66A.B7FD3CFA.IP)
<freechelmi> oui bon 
<freechelmi> hormis les smtp de FAI 
<freechelmi> c'est utile quand meme , gmai , yahoo etc... entreprise 
<SyrusWifi> tu pourrais spammer depuis un client connecté
* Joins: alex9955 (cgiirc@E48B733B.AD6EBC84.4FFB24B2.IP)
* Quits: alex9955 (cgiirc@E48B733B.AD6EBC84.4FFB24B2.IP) (Quit: CGI:IRC (EOF))
<freechelmi> et alors ? 
<freechelmi> en effet 
<freechelmi> si tu utiises un openrelay 
<freechelmi> Bon passons et bloquons 
<freechelmi> le 25 pour l'instant 
<freechelmi> dans tous les cas
<freechelmi> Donc on rajoute 
* Joins: Ringo (Ringo@geek-3D0130D8.w86-214.abo.wanadoo.fr)
<freechelmi> le bloquage du 25 dans le global ? 
<freechelmi> en plus des regles de VOIP ? 
<freechelmi> par contre c quoi ces ports pour les validating ? 
<freechelmi> # Used for new users validating their account
<freechelmi> FirewallRuleSet validating-users {
<freechelmi>     FirewallRule allow udp port 67
<freechelmi>     FirewallRule allow tcp port 67
<freechelmi>     FirewallRule allow udp port 53
<freechelmi>     FirewallRule allow tcp port 53
<freechelmi>     FirewallRule allow tcp port 80
<freechelmi>     FirewallRule allow tcp port 110
<freechelmi>     FirewallRule allow tcp port 995
<freechelmi>     FirewallRule allow tcp port 143
<freechelmi>     FirewallRule allow tcp port 993
<freechelmi>     FirewallRule allow tcp port 220
<freechelmi>     FirewallRule allow tcp port 443
<freechelmi>     FirewallRule block to 0.0.0.0/0
<freechelmi> }
<freechelmi> 53 dns ok
<freechelmi> 110 et 995 pop 
<freechelmi> 80 443 web
<SyrusWifi> dns 53 , web 80, pop3 110, 
<SyrusWifi> 995 pop3s
<freechelmi> ha oui imap pour 993 et 220
<SyrusWifi> 143 imap2
<SyrusWifi> 67 bootps
<freechelmi> c koi bootps?
<SyrusWifi> requete dhcp
<richard> ajouter jabber nan ?
<SyrusWifi> pas en validating
<SyrusWifi> cela émane de puteaux
<freechelmi> moi je serais dégager tout ce qui est imap 
<freechelmi> pop etc... 
<freechelmi> le mec il a 20 min pour verif le mail de valid 
<freechelmi> c tout , sinon en 20 min il a le temps de rapatrier tous  ces mails 
<freechelmi> puis il se barre ,, et du coup il valid pas son compte 
<SyrusWifi> que du 80 alors
<SyrusWifi> webmail 100%
<freechelmi> Donc je laisserait que bootps 80 443 67 
<richard> 20 minutes ???
* Joins: ladypaca (cgiirc@E48B733B.AD6EBC84.4FFB24B2.IP)
<freechelmi> oui et on ajoute un message pour dire que le mec doit utiliser son webmail 
<richard> c pas un peu long 20 minutes ?
<richard> fodrai aussi proposer un webmail si le gas en a pas
<richard> (ex le gas qui utilise son email professionnel sur le svr de sa boite)
<freechelmi> beh c'est les chefs de réseau 
<freechelmi> qui fixe le delai
<freechelmi> richard :tu as raison pour le mail pro 
<freechelmi> mais c'est rare de pouvoir faire du pops , et pas du webmail 
<freechelmi> c'est pus souvent VPN only d'ailleurs
<SyrusWifi> richard: email pro sur srv de la boite, de l'exterieur , ya soit le webmail, soit le tunnel
<freechelmi> pour l'instant pour les gens qui n'ont pas d'email 
<freechelmi> on peut leur donner un lien pour en créer un mais bon , encore+ anonyme ... 
<SyrusWifi> freechelmi eh eh compte générique retiré au comptoir du spot
<richard> et sms ou vocal (bye asterix) c pas possible ?
<freechelmi> si mais on s'égare.... 
<freechelmi> bon docn on est ok pour validating ? je fais la modif ? 
<SyrusWifi> freechelmi ok
<freechelmi> je ferais un CR et on verra si certain veulent ajouter des choses
<freechelmi> Les autres ? 
<freechelmi> bragon , alkahan , Ringo , Microbug , ksso0s florida doc  ?? 
<Ringo> moi j 'avais une question formaliste toute bete 
<freechelmi> voila 80 443 67 et 53
* Joins: Thus0 (Thus0@F3861931.10E9E012.D0079546.IP)
<freechelmi> bon ça empecheras pas les gens de faire du skype ou du tunnel malheuresement
<Ringo> est ce que le fait de laisser nos discussions irc en libre service a ete "voter" ou proposer bref c ne gene personne ? 
<Ringo> -r
<freechelmi> mais bon que pendant 10 min  ... 
<freechelmi> style , recup les mails hotmail via http et i se casse
<freechelmi> Ringo : on fait avec les gens présent , ce ne sont pas des decisions final je pense
<richard> freechelmi, et on peu pas bloquer skype et les tunnel tt de meme ?
<freechelmi> tout le monde peut réagir , de toutes façons chacun peut changer son spot a sa guise
<freechelmi> ha pour skype : on a une régle iptables
<Ringo> je parle du fait qu on puisse consulter tout ce qui se dit dans nos "reunions" sur le wiki ne vous pose aucun probleme ? 
<Genesis_> le tunneling ca doit qd meme etre une pratique minoritaire
<freechelmi> pour les tunnel c plus difficile 
<SyrusWifi> c'est sur si le proprio met full open, c'est son choix
<freechelmi> Ringo : beh non c normal , je vois ps ou est le pb 
<SyrusWifi> Ringo: l'irc est public
<freechelmi> que tous les dev potentiel voient ce qu'on fait 
* Quits: ladypaca (cgiirc@E48B733B.AD6EBC84.4FFB24B2.IP) (Quit: CGI:IRC (EOF))
<SyrusWifi> tt le monde présent lit nos lignes là
<freechelmi> ha oui et donc j'ajoute aux regles globale le blocage du port 25 ? 
<freechelmi> j me dit que les serveurs de spams de toutes façons doivent tiliser d'autres ports  .... 
<freechelmi> par contre pour le blocage de skype je l'ai pas sous la main ....
<freechelmi> ya plein de soft de toutes façon qui tunnel 80 ou 443 
<freechelmi> style msn et aim 
<freechelmi> bon n peut pas tout bloquer de toutes façons 
<florida> perdons pas de l'esprit que les utilisateur seront connu
<florida> dc si fraude ou non respect "d'une charte" sanction
<SyrusWifi> de tt facon la regle tcp port vers * est tendancieuse, tu peux faire n'importe quoi avec
<freechelmi> oui , mais je pense que le wifidog.conf evolura quand y auras plus d'anonymat 
<SyrusWifi> kk soit le port
<freechelmi> Bon passons au validated 
<SyrusWifi> regardez le sample
<florida> FirewallRuleSet known-users {
<florida>     FirewallRule allow udp port 67
<florida>     FirewallRule allow tcp port 67
<florida>     FirewallRule allow udp port 53
<florida>     FirewallRule allow tcp port 53
<florida>     FirewallRule allow tcp port 80
<florida>     FirewallRule allow tcp port 110
<florida>     FirewallRule allow tcp port 995
<florida>     FirewallRule allow tcp port 143
<florida>     FirewallRule allow tcp port 993
<florida>     FirewallRule allow tcp port 220
<florida>     FirewallRule allow tcp port 443
<florida>     # IRC
<florida>     FirewallRule allow tcp port 6667
<florida>     # Skype
<florida>     FirewallRule allow tcp port 1468
<florida>     # SSH
<florida>     FirewallRule allow tcp port 22
<florida>     #
<florida>     FirewallRule allow tcp port 5222
<florida>     FirewallRule allow tcp port 5223
<florida>     # MSN
<florida>     FirewallRule allow tcp port 1863
<florida>     FirewallRule allow udp port 1863
<florida>     # Jabber
<florida>     FirewallRule allow udp port 4000
<florida>     FirewallRule allow tcp port 4000
<florida>     FirewallRule allow tcp port 7000
<florida>     FirewallRule block to 0.0.0.0/0
<SyrusWifi> 5222 c'est koi ?
<SyrusWifi> xmpp client
<SyrusWifi> ok
<SyrusWifi> FTP ?
<SyrusWifi> 21 20 ?
<Genesis_> et irc ?
<Genesis_> 6667-6669
<florida> 5222 c pas aussi pour jabber
<Genesis_> pas tjs 6667 il me semble
<freechelmi> xmpp = jabber
<freechelmi> OK donc 
<florida> Genesis: tu a raison mais la plupart du tps c ca
<freechelmi> une fois que le user est validated 
<freechelmi> pourquoi on lui bloquerais certains port et pas d'autres ? 
<freechelmi> puisque on sait tous qu'on arrivera jamais a lister tous le sports utiles 
<freechelmi> Donc , comme je l'ai deja dit je pense qu'il fau tout ouvrir si le user est validated
<florida> la liste s'affinera a l'usage
* Quits: doc (cgiirc@E48B733B.AD6EBC84.4FFB24B2.IP) (Quit: CGI:IRC (EOF))
<florida> tu auras forcement des retour si les gens veule utiliser des port supplementaire
<freechelmi> florida : sauf qu'a l'usage y a plein de pors auquel on ne pense pas 
<SyrusWifi> freechelmi et le p2p ? on le bloque via gateway alors
<freechelmi> pour le P2P : la gateway gère le débit , c ce qu'on veut 
<freechelmi> et de toutes façon sans redirections de port , le p2p c'est un peu minable 
<freechelmi> sauf peut etre le sclient qui gère STU Net autres 
<SyrusWifi> freechelmi ya meme le blocage p2P via gateway
<freechelmi> mais pourquoi bloquer le p2p ? 
<freechelmi> je diffuse des vidéos libre  via bittorrent 
<freechelmi> pourquoi les bloquer ? tant que la bande passante est régulé par la Qos ? 
<SyrusWifi> freechelmi je suis ok c'est pas le p2p qui est genant c'est le contenu, meme via le mail tu peux joindre des fichiers illégaux, donc fini l'email
<freechelmi> bon j dois allée me coucher , j'ai changé le sample mais reste ces restrictions pour les validated
<freechelmi> Syrus : beh oui donc autant rien bloquer puisqu'on analyse pas le contenu 
<SyrusWifi> freechelmi on a un pb si c'est un mineur
<florida> c pas faux
<SyrusWifi> on ouvre tt et gateway joue son role
<SyrusWifi> le proprio fournit un moyen au mineur pour aller sur des sites adultes, et ca, pas bon nivo loi
<Genesis_> mouai drole de debat
<SyrusWifi> le net uniquement pour les +18 ?
<freechelmi> Syrus : out les mineurs , ils ont déjà bien assez de truc a voir quand ils sont au collége ou chez eux 
<Genesis_> c'est au parent de surveilleur leur mome, pas aux wifistes 
<SyrusWifi> j'ai eu une demande d'une maison pour tous, où ils ont des mineurs et veulent restreindre
<florida> faut creer un autre user
<freechelmi> SyrusWifi , beh le tiny peut gèrer une blacklist ? 
<Genesis_> flippant ce coté a vouloir tout controler
<freechelmi> ha de toute sfaçons le sblacklist c u npeu bidon 
<SyrusWifi> tiny est trop lite
<florida> know_mineur :)
<SyrusWifi> ya dansguardian qui est bien
<SyrusWifi> mais trop lourd sur wrt
<freechelmi> le net c tout ou rien ... :-) , bon j vous laisse j lirais le reste demain matin 
<freechelmi> Bonne nuit a tous 
<SyrusWifi> ok freechelmi
<SyrusWifi> bn
<florida> bonne nuit
* Quits: freechelmi (freechelmi@geek-F59737BC.fbx.proxad.net) (Client exited)
<SyrusWifi> on tunnelise les nodes vers un point central et on proxy/filtre
<richard> heu ... tu as les tuyaux pour le point central ?
* Quits: Ringo (Ringo@geek-3D0130D8.w86-214.abo.wanadoo.fr) (Quit: Partir un jour....)
<SyrusWifi> route par defaut dans ce tunnel
<richard> et le point central tombe .....
* Quits: Genesis_ (genesis@geek-31192C99.aimao.org) (No route to host)
<SyrusWifi> ben plus de net, mais chez un fournisseur d'acces/herbergeur
* Joins: Genesis (genesis@geek-31192C99.aimao.org)
<richard> deplus, le point central, nivo ping ....
<richard> tu vas réinventer Aol
<Syrus_> meme rapidité que auth.wireless-fr.org
<richard> certe mais auth. ne sert que pour l'auth nan ?
<SyrusWifi> sisi
<SyrusWifi> mais c'était une comparaison
<richard> et puis le svr ou est auth, ces probs sont réglé ? (dsl jai pas eu trop locaz de suivre votre actualité)
<SyrusWifi> richard on a basculé de serveurs
<SyrusWifi> ca roule super bien et d'endroit
<richard> ok
<SyrusWifi> auth est dédié pour ça
<richard> ok
* Quits: DbD- (dbd@geek-FACB08E4.d4.club-internet.fr) (Client exited)
<richard> bon dodo, bonne nuit
* Quits: Geek257571 (cgiirc@E48B733B.AD6EBC84.4FFB24B2.IP) (Quit: CGI:IRC (EOF))
<SyrusWifi> bn
* Quits: richard (richard@geek-8161CB46.net) (Quit: Quitte)
<florida> bn
<florida> on stop ala reunion?
<SyrusWifi> yep ca dort
<florida> ta fé une copie
<SyrusWifi> oui
Session Close: Sun Nov 19 23:47:30 2006