[Linux-bruxelles] Re: présentation + WallFire
Didier MISSON
didier.misson at atofina.com
Mer 5 Mai 16:05:35 CEST 2004
On Thu, Apr 22, 2004 at 05:21:47PM +0200, Didier MISSON wrote:
Bonjour,
> > En effet, peu avant mon départ d'Alcôve, j'avais démarré un projet
> > libre nommé Wallfire, qui a pour but de fournir un cadre cohérent pour
> > l'administration d'un firewall (voir http://www.wallfire.org, pour ceux
> > que ça intéresse), quelque soit la plateforme libre.
(chevrons rajoutés, pour plus de clareté)
> Wallfire semble intéressant ;-)
> Bonne continuation.
> Je n'ai essayé encore ni l'un ni l'autre... mais en quoi WallFire est-il
> différent de FWBuilder ?
> au tout premier abord, ça y ressemble...
Effectivement. C'est d'ailleurs une question assez fréquente...
peut-être vais-je la mettre dans la FAQ...
(pardon pour le retard dans la réponse, mais j'étais offline, puis
occupé avec la dernière release de WallFire)
Quand j'ai commencé à réfléchir à Wallfire, FwBuilder n'était pas
encore releasé.
Aujourd'hui, mes connaissances au sujet de FwBuilder ne sont pas
exhaustives, et datent même un peu. Si l'une des affirmations qui
suivent est erronée, merci de me corriger.
Les spécifications de FwBuilder ressemblent donc relativement à celles
de WallFire, à quelques "détails" près (qui me dérangent plus ou
moins fortement à titre personnel), que voici :
(je ne parlerai ici que des spécifications, car les implémentations
sont amenées à évoluer avec le temps dans l'un et l'autre projet)
- absolument tout dans FwBuilder (jusqu'aux structures de données
internes) est centré autour de XML. Je n'ai rien contre
XML, au contraire (WallFire permet d'exporter au format XML, et
bientôt d'importer), mais je ne pense pas que XML soit l'alpha et
l'omega de toute chose, surtout en matière de logiciels de
configuration. A ma connaissance, FwBuilder ne fournit donc pas
de langage intelligible (pour un être humain) permettant de
configurer simplement un firewall : on est quasi-obligé dans les
faits de passer par l'interface graphique, ce qui est pour moi
rédhibitoire dans un certain nombre de cas.
Didier> hum... effectivement, mm si j'aime bien l'interface graphique, le
fait de pouvoir malgré tout passer simplement en édit dans un fichier...
très utile...
WallFire a une vision plus en couches : il possède son propre
langage de configuration (puissant, mais simple à comprendre, et
à modifier... voir par exemple
http://www.wallfire.org/wfconvert/example.wf)). Ainsi, l'interface
graphique (en gestation) ne sera pas "incontournable de fait".
Didier> ton exemple semble assez simple en effet...
- l'interface de FwBuilder ressemble un peu trop à celle de
Checkpoint FW-I pour être honnête. ;-)
Didier> oui...
mais dans mon cas, ce serait plutôt un avantage :o)
car, d'abord, je connais et j'utilise des CheckPoint FW-1 (sur du Sun,
puis maintenant des Nokia Box)... hyper cher tout ça !
Et surtout, si un jour j'espère, on arrivera à faire passer l'idée qu'un
FW sous Linux est possible, et aussi puissant et fiable que ces FW1...
faut convaincre... et le fait d'avoir une interface assez proche mettra
peut-être en confiance celui ou ceux qui accepteront d'essayer un produit
GPL...
Ben oui :-( Ils en sont tj à l'idée que, la sécurité, c'est normal que le
hardware soit proprio, et que le software coute la peau des fesses... et
normal que tout soit closed !
:-(
Il y a évidemment pas mal de
bonnes idées à reprendre de l'interface éprouvée de FW-I, mais elle
est parfois bien limitée, et j'ai d'autres idées en tête (et sur
disque ;-).
De plus (si je peux toutefois me permettre un commentaire personnel
sur l'implémentation actuelle), je trouve l'interface de fwbuilder
relativement inutilisable...
Didier> ah ?
Faut vraiment que j'essaye, et FWBuilder, et WallFire !
- corollaire des 2 précédents points : la façon dont FwBuilder permet de
gérer les règles (uniquement avec l'interface graphique) empêche la
production de règles autres qu'assez basiques. WallFire permet
par contre de générer un script netfilter (sous Linux) beaucoup plus
propre et riche. Et ce script est pleinement exploitable
à la main par la suite.
I.e., on peut parfaitement se servir de WallFire pour générer un
canevas exploitable et très complet, puis s'en affranchir
complètement par la suite, si on le souhaite. Bien sûr, ce n'est
pas forcément le but, mais c'est tout-à-fait faisable, ce qui est
à mon avis révélateur.
Didier> oui ok, très souple donc...
- FwBuilder est écrit en C++/Gtk--. Je connais bien Gtk+ (non-objet) et
je l'apprécie (pour les programmes en C), mais il en est tout autrement
de Gtk-- (bindings C++ pour Gtk+). L'API de Qt est bien mieux pensée,
et il me semblait quoiqu'il en soit difficile de travailler de
manière soutenue sur un projet en Gtk--.
Note : ce qui précède est évidemment subjectif.
Il n'en reste pas moins que FwBuilder est un projet très valable, et
qu'il a le mérite d'avoir une interface graphique à peu près
utilisable dès maintenant.
C'est en tout cas déjà bien mieux que la cohorte d'autres projets à courte
vue se contentant de fournir une simple interface graphique pour iptables,
au design complètement calqué sur les possibilités de ce dernier, ce
qui n'apporte que l'aspect cliquatoire, et aucune vision d'ensemble.
Mais je pense avoir cité là suffisamment de raisons valables (selon
moi, en tout cas) pour trouver un intérêt à la coexistence de deux
projets apparemment similaires au premier coup d'oeil (sur les
spécifications), et pour laisser le darwinisme informatique décider à
terme s'il y a lieu.
Hervé
_
(°= Hervé Eychenne
//) Homepage: http://www.eychenne.org/
v_/_ WallFire project: http://www.wallfire.org/
Didier> merci Hervé
Effectivement, il faut parfois dépasser les simples "screenshots" et voir
ce qu'il y a derrière ;-)
A bientôt probablement.
--
Didier
Plus d'informations sur la liste de diffusion Linux-bruxelles