Sous le coude pour examen ultérieur : un firewall pour Linux conçu pour donner sélectivement le droit aux applications d'aller sur internet (comme l'époque de ZoneAlarm sous Windows).
À utiliser si vous n'avez pas confiance dans les applications que vous avez installées (mais si elles sont installées et que vous n'avez pas confiance en elles, vous avez déjà un problème).

Sous Linux, j'utilise déjà Firejail pour empêcher les applications d'accéder au réseau ou non, ainsi que d'accéder à mon répertoire personnel ou non.
(Je m'en sers surtout pour que les jeux n'aillent pas mettre leurs fichiers de configuration et leur sauvegardes partout dans mon répertoire perso.)

Visiblement Anubis (voir https://sebsauvage.net/links/?ZFvxlg) peut également être utile dans une certaine mesure contre les attaques DDOS.

Un outils pour surveiller le traffic de son réseau local.

" Un nouvel en-tête HTTP (et un nouveau type de lien) fait son apparition avec ce RFC : Sunset: sert à indiquer la date où la ressource Web cessera probablement d'être servie. Le but est, lorsque le webmestre sait à l'avance qu'il retirera une ressource, de prévenir les utilisateurs. "

Sous le coude : Tout un tas de solutions de tunnelling réseau.

Petite documentation sur comment j'ai restreint l'accès à mon Raspberry aux IP "françaises" (Je suis généralement contre le géoblocage, mais pour sécuriser un petit serveur perso c'est utile).

Quand - une fois de plus - Microsoft ne veut pas faire comme tout le monde et essaie d'être plus "intelligent" concernant TCP - mais échoue.
Et que bien sûr ça cause des problèmes et des comportements différents sous Windows par rapport à *tous* les autres systèmes. 😒

(TL;DR technique : Quand Windows essaie de se connecter à un port TCP fermé, au lieu de renvoyer immédiatement RST à l'application ("c'est fermé"), il ré-essaie plusieurs fois des TCP SYN (tentative de connexion) (j'imagine "au cas où ça finirait par répondre"). Quand on fait du fallback automatique IPv6➡️IPv4 ça rallonge donc systématiquement les tentatives de connexion.)

J'utilise toujours ufw, mais firewalld pourrait être une alternative intéressante pour paramétrer le firewall/réseau de Linux de manière simple.

Sous le coude : Un tunnel TCP/UDP à travers HTTP(s).

C'est rigolo comme bricolage : une petite modif à faire côté client ssh et côté serveur Apache, et vous pouvez faire passer du ssh directement dans une connexion https. Pratique dans les endroits où ils ne laissent sortir que https.

Si vous vous demandiez l'écart qu'il y a entre wget et curl...

Finalement si vous voulez créer un serveur web TOR pour servir du contenu statique, c'est assez facile sous Linux avec OnionShare.
Pourquoi faire un serveur TOR ?  
- Pour publier du contenu non censurable (personne ne peut bloquer votre site web, ni par IP ni par nom de domaine).
- Pour protéger vos lecteurs (vous ne pouvez pas connaître l'adresse IP de ceux qui consultent votre site).
- Pratique pour faire un petit serveur ad-hoc (temporairement ou non) sans ouvrir de port dans votre firewall/routeur, sans donner son IP ni avoir un domaine à vous.

1️⃣ Installation du nécessaire:
sudo apt install tor
pip3 install --user onionshare-cli

2️⃣ Mettez vos fichiers dans ~/www (index.html n'est pas obligatoire : il présentera une liste des fichiers s'il n'y en a pas).

3️⃣ Pour démarrer votre serveur web:
onionshare-cli --public --persistent ~/tor-website.json  --website ~/www

L'adresse en .onion de votre serveur va s'afficher. Vous pouvez la partager.
Le serveur n'est pas super-véloce, mais c'est suffisant pour distribuer quelques fichiers.

Explication des options:
🔹--website : Demande à OnionShare de fonctionner comme un serveur web pour partager le répertoire que vous lui indiquez.
🔹--public pour autoriser une connexion sans clé (comme un simple serveur web).
🔹--persistent : Permet de spécifier un fichier de configuration de manière à ce que votre serveur ait toujours la même adresse (il va créer le fichier s'il n'existe pas).

Pour stocker les logs dans un fichier, ajoutez en fin de ligne : 2>&1 | tee access.log

Notez que si vous ajoutez/supprimez des fichiers dans ~/www, vous devrez arrêter et relancer le serveur (Un simple CTRL+C fera l'affaire).

Bien sûr au lieu d'utiliser la ligne de commande vous pouvez aussi lancer le serveur web avec l'application graphique : https://onionshare.org/
Dans l'application graphique:
   1) Cliquez sur "Connect to TOR"
   2) Cliquez sur "Start hosting"
   3) Cliquez sur "Add folder" et indiquez le répertoire à partager.
   4) Pensez à bien cocher "This is a public OnionShare service"
   5) Cliquez sur "Start sharing"
   6) Partagez le lien généré.
(C'est finalement presque plus compliqué qu'en ligne de commande.)

EDIT: J'ai ajouté ces informations sur mon wiki : https://sebsauvage.net/wiki/doku.php?id=linux-vrac#serveur-tor

Il a l'air sympa cet analyseur de trafic réseau.
Sans doute pas super utile quand vous mélangez Ethernet et Wifi, mais sympa quand même.

haha je me garde ce genre de petit projet à la con sous le coude, ça me rappele l'époque où j'essayais de contourner les accès à internet avec proxy obligatoire.
Ce logiciel permet d'encapsuler IP dans HTTP, ce qui permet de passer par des accès internet HTTP-only (qui bloquent les autres protocoles).
https://www.chiark.greenend.org.uk/~ianmdlvl/hippotat/current/docs/README.html

Voir aussi : https://github.com/jpillora/chisel
ou le vieux GNU HTTP Tunnel : https://sebsauvage.net/punching/

Sous le coude: Une solution pour Linux pour avoir un fichiers hosts par utilisateur.

Quelques suggestions (pertinentes) pour améliorer la protection de la vie privée dans NetworkManager (le gestionnaire réseau utilisé par la majorité des distributions Linux).

Bon si vous utilisez un VPN Cisco (vpnc) avec NetworkManager, sachez que l'UI est buguée.
Symptôme: Vous entrez un mot de passe utilisateur, mais vous vous faites jeter par le VPN même quand le mot de passe est bon.

Solution:
1) Exporter votre connexion VPN depuis NetworkManager.
2) Modifier le fichier pcf pour corriger UserPassword (votre mot de passe) et GroupPwd (mot de passe groupe),
3) réimporter dans NetworkManager (Créer une nouvelle connexion VPN > Importer depuis un fichier...)

ZMap est un scanner de réseaux dans le genre de nmap, mais beaucoup plus rapide: Là où nmap prendrait des semaines pour scanner tout internet, ZMap peut scanner tout internet en 45 minutes (dixit l'article).
https://github.com/zmap/zmap
Il semble y avoir d'autres outils réseau intéressants sur le site officiel : https://zmap.io/

Certains routeurs (ici: des TP-Link) ont un réseau Wifi caché actif en permanence. Une très mauvaise idée du point de vue sécurité.

Comme accès de secours à sa machine perso, Zythom a mis en place une solution ingénieuse: Un service ssh sur TOR, ce qui lui permet d'y accéder sans ouvrir de port dans son firewall, et surtout sans que le service soit "découvrable" (on ne peut pas "énumérer" les adresses en .onion de TOR comme on pourrait faire un scan d'une plage d'IP).

J'avais jamais vraiment compris à quoi servait Xpra. Enfin une explication claire.

Le protocole DLNA permet d'annoncer sur le réseau local un “entrepot” de médias (films, musique, images) et de partager ces médias. Les appareils connectés modernes (TV connectées, MediaCenters…) sont capables d'afficher les serveurs DLNA et d'en lire le contenu. Cela permet par exemple de lire directement sur votre smartTV les contenus stockés sur votre Raspberry.

J'ai remis en route mon RaspberryPi 3B, et la distribution linux DietPi est un vrai plaisir à utiliser. J'ai dessus:
- client VPN (Wireguard)
- client torrent (qBitTorrent-nox, pour télécharger des films, etc.)
- serveur ssh
- serveur DLNA (minidlna)

Ça tourne comme une horloge.
Avec le serveur DLNA je peux donc, depuis ma télé, lire directement les films stockés sur le Raspberry. La quasi-totalité des smartTV supportent DLNA (mêmes si ce n'est pas indiqué dans les spécifications). Pour téléphones et tablettes, VLC sait aussi accéder aux serveurs DLNA.
Dans ma page sur DietPi, je donne quelques informations sur l'installation du serveur minidlna (c'est assez simple). Ce serveur est léger: Il ne consomme de 6 Mo de mémoire vive !

Sous le coude.

QUIC se place au même niveau que TCP.

Comment faire du Wireshark sur le système GSM. Woao.