L’auteur relate un problème rencontré dans son lab où le redémarrage de systemd-networkd provoquait la perte du lien entre Incus et une interface réseau, car l’index de cette dernière changeait. Une solution a été trouvée en utilisant l’option KeepMaster de systemd, qui maintient l’index de l’interface lors des rechargements ou redémarrages, évitant ainsi la rupture avec Incus.
Le billet mentionne également une commande alternative (ip link set vxlan5 parent br5) pour rattacher explicitement une interface à une parente, bien que cette méthode ne soit pas documentée de manière évidente dans les ressources systemd. L’auteur souligne l’efficacité de KeepMaster pour résoudre son problème récurrent, lié à la gestion des interfaces VXLAN dans son infrastructure.
Ce retour d’expérience s’inscrit dans une série de notes techniques autour de l’administration système et du DevOps, avec une approche pragmatique pour contourner des dysfonctionnements courants dans des environnements Linux modernes.
Cet article explique comment configurer un réseau interne pour des machines virtuelles (VM) sous Proxmox dans un homelab monoserveur. L'auteur détaille une solution adaptée aux petits budgets, sans équipement réseau intermédiaire comme des switchs gérant les VLAN. La configuration repose sur un routeur virtuel (conteneur LXC) et des VLAN dédiés directement gérés par Proxmox, simplifiant ainsi l'infrastructure.
La configuration réseau repose sur un schéma en étoile où le serveur Proxmox centralise les VLAN 121 (192.168.121.0/24) et 221 (192.168.221.0/24), connectés au LAN principal (192.168.21.0/24). Le routeur virtuel, intégré au serveur, gère les routes statiques pour permettre l'accès aux sous-réseaux depuis le réseau local ou externe via la box/FAI.
L'approche proposée est idéale pour un usage domestique et pédagogique, mais n'est pas conçue pour des environnements professionnels exigeants. L'auteur partage sa configuration complète, incluant les adresses IP et la topologie, pour faciliter la reproduction par d'autres utilisateurs.
Le billet retrace la découverte de LoRa et de l’écosystème mesh autour de Meshtastic, en expliquant comment cette technologie permet de créer des réseaux de communication autonomes, peu coûteux et résilients, capables de fonctionner sans Internet ni infrastructure opérateur. L’auteur revient sur l’évolution historique de LoRa, de l’IoT industriel jusqu’aux usages communautaires et survivalistes, notamment après les inondations au Texas en 2025 où des particuliers ont maintenu des communications malgré la pannespe des réseaux classiques. Il détaille ensuite la création de son propre node à base d’ESP32, installé dans un boîtier IP67 pour environ 45 €, avec configuration via Bluetooth et application mobile, puis partage ses premiers retours d’expérience : découverte d’un maillage local très actif avec des nodes détectés jusqu’à 30 km, importance du positionnement extérieur pour améliorer le signal, et possibilités d’extensions futures comme l’ajout de batteries, panneaux solaires ou l’intégration domotique via MQTT.
CrowdSec est un outil de défense réseau communautaire qui dépasse les limites de fail2ban en mutualisant les informations entre serveurs. Contrairement à fail2ban, isolé et réactif, CrowdSec permet à un serveur d’apprendre des attaques détectées ailleurs et d’appliquer des bannissements préventifs avant même qu’une IP malveillante n’atteigne son infrastructure. Le système repose sur trois composants : l’Agent, qui analyse les logs locaux et génère des décisions de blocage ; le Bouncer, qui applique ces décisions à différents niveaux (réseau, proxy ou application) ; et la CAPI, une API centrale qui agrège et redistribue les bannissements validés par consensus parmi la communauté.
Le modèle de CrowdSec répond à trois faiblesses majeures de fail2ban : l’isolement des serveurs, l’inefficacité face aux attaques distribuées (botnets utilisant des milliers d’IP) et le coût silencieux des attaques répétées sur les ressources. En partageant les signaux d’attaque et en appliquant des bannissements globaux, CrowdSec réduit la charge sur les infrastructures tout en améliorant la réactivité contre les menaces émergentes.
L’écosystème de CrowdSec permet une intégration flexible, avec des scénarios personnalisables et des mécanismes de consensus pour limiter les faux positifs. Prochainement, un billet détaillera son déploiement concret, illustrant comment cette approche communautaire transforme la sécurité des serveurs publics.
Le MTU (Maximum Transmission Unit) détermine la taille maximale des paquets réseau, généralement fixée à 1500 octets en Ethernet standard. Une mauvaise configuration peut fragmenter les données, ralentir les transferts et augmenter l'overhead. L'article explique son importance, son impact sur les performances et les cas où des Jumbo Frames (MTU jusqu'à 9000 octets) peuvent optimiser les transferts massifs, à condition que tous les équipements du réseau soient compatibles. La cohérence du MTU sur l'ensemble de la chaîne de communication est essentielle pour éviter les fragmentations coûteuses.
NetWatch est un outil de diagnostic réseau en temps réel accessible directement depuis le terminal. Il permet d'obtenir une visibilité instantanée sur les interfaces, connexions et sondes de santé, sans configuration préalable ni paramètres complexes. Son mode "Flight Recorder" capture les incidents fugaces pour une analyse ultérieure via des exports détaillés.
L'outil se distingue par son approche unifiée, combinant des fonctionnalités habituellement séparées comme le suivi des interfaces (iftop, bandwhich) et l'analyse de paquets (Wireshark), le tout dans une interface terminal intuitive. Il propose également une carte de topologie réseau, des sondes de latence et un export PCAP pour une analyse approfondie.
Disponible via Homebrew, Cargo ou des binaires précompilés, NetWatch fonctionne sur Linux, macOS et Apple Silicon. Son utilisation se limite à une commande (netwatch ou sudo netwatch pour le mode complet), avec des raccourcis clavier pour activer l'enregistrement des incidents.
Cet article explique comment déployer un serveur NTP local via Docker (avec Chrony) pour synchroniser précisément vos équipements réseau, même sans accès Internet. Après la configuration du conteneur, l'auteur détaille les étapes pour synchroniser les clients (Windows, Linux, routeur UniFi, NAS Synology) et assure une redondance avec un second serveur. Une solution simple pour éviter les décalages horaires et optimiser la corrélation des logs. 🔧⏱️
Fault est un outil de chaos engineering conçu pour tester la résilience des microservices en injectant volontairement des perturbations (latence, erreurs, coupures) dans les communications HTTP afin d’observer leur comportement face aux défaillances et d’identifier leurs faiblesses. Il agit comme un proxy intermédiaire qui rend les échanges volontairement instables, permettant par exemple de reproduire des retards ou des pannes de dépendances et de détecter des problèmes concrets comme des fuites de ressources ou une mauvaise gestion des erreurs, dans l’objectif d’améliorer la tolérance aux pannes et la robustesse globale du système.
L'article explique comment obtenir un ASN (Autonomous System Number) personnel pour annoncer ses plages d'IP sur Internet via le protocole BGP (Border Gateway Protocol). Il commence par définir ce qu'est un ASN et son rôle dans la communication entre réseaux autonomes. L'auteur partage son expérience personnelle, détaillant les étapes pour obtenir un ASN sans se ruiner, comment annoncer ses routes, et comment configurer BGP dans un environnement Kubernetes avec MetalLB. L'article met en lumière l'importance des protocoles de routage dynamique comme BGP pour optimiser les chemins de réseau, surtout dans des infrastructures complexes.
L’article explique comment configurer le réseau sur un serveur Debian 13 de façon pratique en privilégiant l’édition manuelle des fichiers de configuration plutôt que des outils comme NetworkManager, en détaillant plusieurs cas d’usage (serveur LAN, serveur dédié, routeur) avec des exemples concrets dans /etc/network/interfaces ; dans la section “Configurer un bridge”, il montre comment installer les outils nécessaires et définir un bridge (br0) associé à une interface physique pour que des machines virtuelles partagent le même sous-réseau que l’hôte, en donnant les lignes de configuration à ajouter et les commandes à exécuter pour activer ce bridge.
Ce tutoriel du blog de Genma explique les nouvelles fonctionnalités apportées par la mise à jour du firmware des Freebox Server, notamment l'intégration d'un serveur TFTP et une configuration complète du DHCP. Le serveur TFTP permet de transférer des fichiers de configuration et des images de démarrage, utile pour des environnements comme un homelab. La configuration DHCP est désormais très granulaire, permettant de définir des options réseau, des services et des paramètres de routage spécifiques. La liste détaillée des options DHCP est classée par catégories, couvrant des aspects généraux, des services, la configuration hôte, et le routage IP.
Dans cet article, l'auteur explique comment isoler des réseaux dans le cadre de la création d'une infrastructure cloud-like. Il compare deux technologies : VLAN et VXLAN. Le VLAN, bien que simple, a des limites en termes de scalabilité et d'extension géographique. Le VXLAN, plus complexe mais plus performant, encapsule les paquets Ethernet dans des paquets UDP, permettant une meilleure scalabilité et extensibilité. L'auteur choisit le VXLAN pour son projet, détaillant son fonctionnement et les méthodes de communication entre les VTEP (Multicast et Unicast).
L'article de Guillaume REYNAUD explique en détail l'architecture et le déploiement du réseau FTTH (Fibre To The Home) en France. Il détaille les équipements clés comme l'OLT (Nœud de Raccordement Optique), le SRO (Sous-Répartiteur Optique) et le PCO (Point de Connexion Optique), ainsi que leurs rôles respectifs dans la transmission du signal optique. Le réseau FTTH utilise la technologie PON (Passive Optical Network), principalement GPON ou XGS-PON, et repose sur une architecture point-à-multipoint. L'article s'adresse aux professionnels des télécommunications mais aussi aux particuliers, offrant une vue d'ensemble complète du réseau FTTH, des équipements centraux jusqu'au domicile de l'abonné.
ndiff (Nmap) permet de comparer deux scans réseau au format XML pour détecter rapidement les changements (nouveaux hôtes, ports, services). Installation simple, utilisation en une commande (ndiff scan1.xml scan2.xml), sortie exploitable en texte ou XML pour automatisation. Idéal pour surveiller l’évolution d’un réseau et repérer les anomalies.
L'article introduit la commande Linux tc (traffic control), utilisée pour simuler et contrôler le trafic réseau. L’article montre comment ajouter un délai de 500 ms aux paquets avec tc qdisc add dev wlp3s0 root netem delay 500ms, puis supprimer cette règle avec tc qdisc del. L’outil netem permet aussi de perdre, dupliquer ou corrompre des paquets, idéal pour tester des conditions réseau difficiles. L’autrice mentionne qu’avec un routeur Linux, on peut même ralentir le trafic d’autres utilisateurs (comme celui d’un frère), et invite à explorer tc qdisc show pour voir les règles actuelles. Le zine complet et d’autres comics sont disponibles via abonnement ou sur le site.
L'article explique comment utiliser la commande ss (socket statistics) sous Linux pour identifier et gérer les processus utilisant un port réseau. L’article montre comment ss -tunapl permet de lister les serveurs en cours d’exécution et d’afficher les PID des processus, utile pour libérer un port occupé (comme le 8080). Les options comme -n (affichage des ports en numérique), -p (affichage des PID), et d’autres (-l, -t, -u) sont détaillées pour filtrer les sockets TCP, UDP ou Unix. L’autrice recommande ss plutôt que netstat, plus ancien et complexe, pour une utilisation plus simple et efficace. Le zine complet et d’autres ressources sont disponibles via abonnement ou sur le site.
Pour intercepter le trafic réseau d’une application Android, deux approches principales existent : l’inspection via Android Studio (réservée aux apps en développement) et l’utilisation d’un proxy HTTPS (comme Proxyman) pour les apps tierces. En développement, Android Studio exploite le flag android:debuggable="true" et le protocole JDWP pour rediriger les flux réseau via ADB, permettant d’analyser les requêtes HTTP(S) sans déchiffrement direct, mais en interceptant les objets mémoire des bibliothèques comme OkHttp. Pour les apps en production, non debuggables, la solution passe par un proxy HTTPS (ex : Proxyman) : il faut rediriger le trafic de l’émulateur/device vers le proxy, installer son certificat root dans le magasin système (nécessitant souvent un accès root ou un émulateur non-production), puis activer le déchiffrement HTTPS pour les domaines cibles. Cette méthode contourne les restrictions d’Android 7+ sur les certificats utilisateur, mais exige des manipulations avancées (injection de certificats via adb, configuration de SELinux, etc.). L’article détaille aussi le rôle clé de Zygote dans l’initialisation des apps et propose des scripts pour automatiser l’installation des certificats. Une alternative comme Frida est évoquée pour des cas plus complexes.
Sebsauvage donne plusieurs pistes pour réduire le trafic réseau sous Linux, utile par exemple si la connexion est limitée (thetering)
L’auteur raconte sa migration de services auto-hébergés depuis un VPS vers un mini-PC à domicile (un Minisforum UM880 Plus), en profitant de l’occasion pour mettre en place une infrastructure plus flexible et robuste avec Proxmox VE. L’objectif est de pouvoir expérimenter (notamment avec Kubernetes) sans risquer de casser sa production, tout en sécurisant ses données via le chiffrement disque et des sauvegardes solides. Après avoir installé Debian avec chiffrement LUKS, il automatise la configuration de Proxmox et du réseau (pont bridge) via Ansible, afin de pouvoir recréer rapidement son infrastructure en cas de vol ou de panne matérielle. Il prévoit d’utiliser OpenTofu et cloud-init pour déployer et configurer des machines virtuelles de manière reproductible, et Ansible pour gérer la configuration des services. Le billet détaille aussi les écueils rencontrés (comme le blocage au démarrage après l’installation de Proxmox, résolu en configurant une IP statique) et explique comment son playbook Ansible permet de tout réinstaller automatiquement. Une suite est annoncée pour aborder le déploiement de VM et la gestion des services avec Kubernetes.
Complément et suite de https://blog.victor-hery.com/2024/02/ssh-openssl-haproxy.html , l'article explore des améliorations de configuration pour HAProxy, en se concentrant sur l'intégration de SSH via HTTPS et l'optimisation de HTTP/2. L'auteur explique comment utiliser les abstract namespaces pour améliorer les performances et simplifier la configuration, tout en détaillant l'importance de l'extension TLS ALPN pour la négociation du protocole HTTP/2. L'article aborde également les avantages des abstract namespaces par rapport aux sockets Unix traditionnels, en termes de rapidité et d'efficacité. Enfin, il propose une configuration finale optimisée pour HAProxy, permettant une gestion plus discrète et performante des connexions SSH et HTTP/2.