[Linux-bruxelles] Re: présentation + WallFire

Hervé Eychenne rv at eychenne.org
Lun 3 Mai 11:39:06 CEST 2004


On Thu, Apr 22, 2004 at 05:21:47PM +0200, Didier MISSON wrote:

 Bonjour,

> > En effet, peu avant mon départ d'Alcôve, j'avais démarré un projet
> > libre nommé Wallfire, qui a pour but de fournir un cadre cohérent pour
> > l'administration d'un firewall (voir http://www.wallfire.org, pour ceux
> > que ça intéresse), quelque soit la plateforme libre.

(chevrons rajoutés, pour plus de clareté)

> Didier> bienvenue à Bxl

Merci (à tous) !

> Wallfire semble intéressant ;-)
> Bonne continuation.

> Je n'ai essayé encore ni l'un ni l'autre... mais en quoi WallFire est-il 
> différent de FWBuilder ?
> au tout premier abord, ça y ressemble...

Effectivement. C'est d'ailleurs une question assez fréquente...
peut-être vais-je la mettre dans la FAQ...

(pardon pour le retard dans la réponse, mais j'étais offline, puis
occupé avec la dernière release de WallFire)

Quand j'ai commencé à réfléchir à Wallfire, FwBuilder n'était pas
encore releasé.
Aujourd'hui, mes connaissances au sujet de FwBuilder ne sont pas
exhaustives, et datent même un peu. Si l'une des affirmations qui
suivent est erronée, merci de me corriger.

Les spécifications de FwBuilder ressemblent donc relativement à celles
de WallFire, à quelques "détails" près (qui me dérangent plus ou
moins fortement à titre personnel), que voici :
(je ne parlerai ici que des spécifications, car les implémentations
sont amenées à évoluer avec le temps dans l'un et l'autre projet)

- absolument tout dans FwBuilder (jusqu'aux structures de données
  internes) est centré autour de XML. Je n'ai rien contre
  XML, au contraire (WallFire permet d'exporter au format XML, et
  bientôt d'importer), mais je ne pense pas que XML soit l'alpha et
  l'omega de toute chose, surtout en matière de logiciels de
  configuration. A ma connaissance, FwBuilder ne fournit donc pas
  de langage intelligible (pour un être humain) permettant de
  configurer simplement un firewall : on est quasi-obligé dans les
  faits de passer par l'interface graphique, ce qui est pour moi
  rédhibitoire dans un certain nombre de cas.
  WallFire a une vision plus en couches : il possède son propre
  langage de configuration (puissant, mais simple à comprendre, et
  à modifier... voir par exemple
  http://www.wallfire.org/wfconvert/example.wf)). Ainsi, l'interface
  graphique (en gestation) ne sera pas "incontournable de fait".
- l'interface de FwBuilder ressemble un peu trop à celle de
  Checkpoint FW-I pour être honnête. ;-) Il y a évidemment pas mal de
  bonnes idées à reprendre de l'interface éprouvée de FW-I, mais elle
  est parfois bien limitée, et j'ai d'autres idées en tête (et sur
  disque ;-).
  De plus (si je peux toutefois me permettre un commentaire personnel
  sur l'implémentation actuelle), je trouve l'interface de fwbuilder
  relativement inutilisable...
- corollaire des 2 précédents points : la façon dont FwBuilder permet de
  gérer les règles (uniquement avec l'interface graphique) empêche la
  production de règles autres qu'assez basiques. WallFire permet
  par contre de générer un script netfilter (sous Linux) beaucoup plus
  propre et riche. Et ce script est pleinement exploitable
  à la main par la suite.
  I.e., on peut parfaitement se servir de WallFire pour générer un
  canevas exploitable et très complet, puis s'en affranchir
  complètement par la suite, si on le souhaite. Bien sûr, ce n'est
  pas forcément le but, mais c'est tout-à-fait faisable, ce qui est
  à mon avis révélateur.
- FwBuilder est écrit en C++/Gtk--. Je connais bien Gtk+ (non-objet) et
  je l'apprécie (pour les programmes en C), mais il en est tout autrement
  de Gtk-- (bindings C++ pour Gtk+). L'API de Qt est bien mieux pensée,
  et il me semblait quoiqu'il en soit difficile de travailler de
  manière soutenue sur un projet en Gtk--.

Note : ce qui précède est évidemment subjectif.
Il n'en reste pas moins que FwBuilder est un projet très valable, et
qu'il a le mérite d'avoir une interface graphique à peu près
utilisable dès maintenant.
C'est en tout cas déjà bien mieux que la cohorte d'autres projets à courte
vue se contentant de fournir une simple interface graphique pour iptables,
au design complètement calqué sur les possibilités de ce dernier, ce
qui n'apporte que l'aspect cliquatoire, et aucune vision d'ensemble.

Mais je pense avoir cité là suffisamment de raisons valables (selon
moi, en tout cas) pour trouver un intérêt à la coexistence de deux
projets apparemment similaires au premier coup d'oeil (sur les
spécifications), et pour laisser le darwinisme informatique décider à
terme s'il y a lieu.

 Hervé

-- 
 _
(°=  Hervé Eychenne
//)  Homepage:          http://www.eychenne.org/
v_/_ WallFire project:  http://www.wallfire.org/




Plus d'informations sur la liste de diffusion Linux-bruxelles