[Linux-bruxelles] Re: Passerelle

Jérôme Warnier jwarnier at beeznest.net
Mer 6 Oct 19:36:48 CEST 2004 

Le mer 06/10/2004 à 15:00, Didier MISSON a écrit :
> un peu de retard pour te répondre mais ici nous on utilise :
> 
> - squid (proxy/cache)
> - Firebuilder (firewall)
> 
> Dans les ex cas ily a une interface graphique suid avec webmin et
> firebuilder en a un à ui et la doc est bien complète sur leur site.
> 
> faty
> 
> On Sun, 2004-10-03 at 02:48, Didier Misson wrote:
> 
> > > - Ipcop
> > >   http://www.ipcop.org/
> > >
> > > Ipcop me semble le mieux.
> 
> > quels avantages par rapport à une Debian de base avec FWbuilder (par ex) 
> 
> > ou Shorewall, et éventuellement un proxy ?
> > Ou une Debian sécurisée, ça existe, avec des patch dans le kernel.
> > Zut je ne reviens plus sur le nom... ni si c'était une distri complète 
> > ou juste un kernel sécurisé...
> 
> 
> Didier> merci Faty
> C'est vers cela que je m'oriente également: Debian + webmin + 
> éventuellement squid, + un FireWall
> J'hésite encore entre Shorewall et FWbuilder.
> Mais FWbuilder semble + élaboré, et + proche de ce que nous utilisons au 
> boulot (Checkpoint FW1) pour l'interface
Personnellement, j'ai utilisé professionnellement les deux: FireBuilder
et Shorewall.

Mes remarques et commentaires:

FireBuilder
===========
FireBuilder a une interface qui ressemble très fort à celle de
CheckPoint FireWall-One (FW1).

On compose une config à partir d'objets comme des réseaux, des machines,
des firewalls, ... et on sauve au format XML. On génère ensuite un
script shell (pour iptables ou autres) à partir de ce fichier. On
exécute ce script sur le firewall, et la config de firewall est
appliquée. Il est donc possible de générer la config sur une machine
différente du firewall.

Notes personnelles: Assez bien foutu, mais les fichiers de configuration
(XML) ne sont pas forcément lisibles entre des versions différentes.

Shorewall
=========

Ensemble de scripts qui lisent des fichiers de configuration qui
déterminent ce qu'il faut faire des paquets. Il existe un module webmin
pour le contrôler.

Notes personnelles: Trop limité, à part pour une utilisation vraiment
basique. Et dès qu'on essaye de faire du sophistiqué, ça pète de
partout. Très bien pour commencer.


Je suis ouvert à tout commentaire.

> -- 
> Didier
-- 
Jérôme Warnier
Consultant
BeezNest
http://beeznest.net

Plus d'informations sur la liste de diffusion Linux-bruxelles