[Linux-bruxelles] Re: présentation + WallFire
Hervé Eychenne
rv at eychenne.org
Lun 3 Mai 11:39:06 CEST 2004
On Thu, Apr 22, 2004 at 05:21:47PM +0200, Didier MISSON wrote:
Bonjour,
> > En effet, peu avant mon départ d'Alcôve, j'avais démarré un projet
> > libre nommé Wallfire, qui a pour but de fournir un cadre cohérent pour
> > l'administration d'un firewall (voir http://www.wallfire.org, pour ceux
> > que ça intéresse), quelque soit la plateforme libre.
(chevrons rajoutés, pour plus de clareté)
> Didier> bienvenue à Bxl
Merci (à tous) !
> Wallfire semble intéressant ;-)
> Bonne continuation.
> Je n'ai essayé encore ni l'un ni l'autre... mais en quoi WallFire est-il
> différent de FWBuilder ?
> au tout premier abord, ça y ressemble...
Effectivement. C'est d'ailleurs une question assez fréquente...
peut-être vais-je la mettre dans la FAQ...
(pardon pour le retard dans la réponse, mais j'étais offline, puis
occupé avec la dernière release de WallFire)
Quand j'ai commencé à réfléchir à Wallfire, FwBuilder n'était pas
encore releasé.
Aujourd'hui, mes connaissances au sujet de FwBuilder ne sont pas
exhaustives, et datent même un peu. Si l'une des affirmations qui
suivent est erronée, merci de me corriger.
Les spécifications de FwBuilder ressemblent donc relativement à celles
de WallFire, à quelques "détails" près (qui me dérangent plus ou
moins fortement à titre personnel), que voici :
(je ne parlerai ici que des spécifications, car les implémentations
sont amenées à évoluer avec le temps dans l'un et l'autre projet)
- absolument tout dans FwBuilder (jusqu'aux structures de données
internes) est centré autour de XML. Je n'ai rien contre
XML, au contraire (WallFire permet d'exporter au format XML, et
bientôt d'importer), mais je ne pense pas que XML soit l'alpha et
l'omega de toute chose, surtout en matière de logiciels de
configuration. A ma connaissance, FwBuilder ne fournit donc pas
de langage intelligible (pour un être humain) permettant de
configurer simplement un firewall : on est quasi-obligé dans les
faits de passer par l'interface graphique, ce qui est pour moi
rédhibitoire dans un certain nombre de cas.
WallFire a une vision plus en couches : il possède son propre
langage de configuration (puissant, mais simple à comprendre, et
à modifier... voir par exemple
http://www.wallfire.org/wfconvert/example.wf)). Ainsi, l'interface
graphique (en gestation) ne sera pas "incontournable de fait".
- l'interface de FwBuilder ressemble un peu trop à celle de
Checkpoint FW-I pour être honnête. ;-) Il y a évidemment pas mal de
bonnes idées à reprendre de l'interface éprouvée de FW-I, mais elle
est parfois bien limitée, et j'ai d'autres idées en tête (et sur
disque ;-).
De plus (si je peux toutefois me permettre un commentaire personnel
sur l'implémentation actuelle), je trouve l'interface de fwbuilder
relativement inutilisable...
- corollaire des 2 précédents points : la façon dont FwBuilder permet de
gérer les règles (uniquement avec l'interface graphique) empêche la
production de règles autres qu'assez basiques. WallFire permet
par contre de générer un script netfilter (sous Linux) beaucoup plus
propre et riche. Et ce script est pleinement exploitable
à la main par la suite.
I.e., on peut parfaitement se servir de WallFire pour générer un
canevas exploitable et très complet, puis s'en affranchir
complètement par la suite, si on le souhaite. Bien sûr, ce n'est
pas forcément le but, mais c'est tout-à-fait faisable, ce qui est
à mon avis révélateur.
- FwBuilder est écrit en C++/Gtk--. Je connais bien Gtk+ (non-objet) et
je l'apprécie (pour les programmes en C), mais il en est tout autrement
de Gtk-- (bindings C++ pour Gtk+). L'API de Qt est bien mieux pensée,
et il me semblait quoiqu'il en soit difficile de travailler de
manière soutenue sur un projet en Gtk--.
Note : ce qui précède est évidemment subjectif.
Il n'en reste pas moins que FwBuilder est un projet très valable, et
qu'il a le mérite d'avoir une interface graphique à peu près
utilisable dès maintenant.
C'est en tout cas déjà bien mieux que la cohorte d'autres projets à courte
vue se contentant de fournir une simple interface graphique pour iptables,
au design complètement calqué sur les possibilités de ce dernier, ce
qui n'apporte que l'aspect cliquatoire, et aucune vision d'ensemble.
Mais je pense avoir cité là suffisamment de raisons valables (selon
moi, en tout cas) pour trouver un intérêt à la coexistence de deux
projets apparemment similaires au premier coup d'oeil (sur les
spécifications), et pour laisser le darwinisme informatique décider à
terme s'il y a lieu.
Hervé
--
_
(°= Hervé Eychenne
//) Homepage: http://www.eychenne.org/
v_/_ WallFire project: http://www.wallfire.org/
Plus d'informations sur la liste de diffusion Linux-bruxelles