[Linux-bruxelles] Re: Passerelle

[Benoit Mortier]

Le mercredi 6 Octobre 2004 19:36, Jérôme Warnier a écrit :
> Le mer 06/10/2004 à 15:00, Didier MISSON a écrit :
> > un peu de retard pour te répondre mais ici nous on utilise :
> >
> > - squid (proxy/cache)
> > - Firebuilder (firewall)
> >
> > Dans les ex cas ily a une interface graphique suid avec webmin et
> > firebuilder en a un à ui et la doc est bien complète sur leur site.
> >
> > faty
> >
> > On Sun, 2004-10-03 at 02:48, Didier Misson wrote:
> > > > - Ipcop
> > > >   http://www.ipcop.org/
> > > >
> > > > Ipcop me semble le mieux.
> > >
> > > quels avantages par rapport à une Debian de base avec FWbuilder (par
> > > ex)
> > >
> > > ou Shorewall, et éventuellement un proxy ?
> > > Ou une Debian sécurisée, ça existe, avec des patch dans le kernel.
> > > Zut je ne reviens plus sur le nom... ni si c'était une distri
> > > complète ou juste un kernel sécurisé...
> >
> > Didier> merci Faty
> > C'est vers cela que je m'oriente également: Debian + webmin +
> > éventuellement squid, + un FireWall
> > J'hésite encore entre Shorewall et FWbuilder.
> > Mais FWbuilder semble + élaboré, et + proche de ce que nous utilisons
> > au boulot (Checkpoint FW1) pour l'interface
>
> Personnellement, j'ai utilisé professionnellement les deux: FireBuilder
> et Shorewall.
>
> Mes remarques et commentaires:
>
> FireBuilder
> ===========
> FireBuilder a une interface qui ressemble très fort à celle de
> CheckPoint FireWall-One (FW1).
>
> On compose une config à partir d'objets comme des réseaux, des machines,
> des firewalls, ... et on sauve au format XML. On génère ensuite un
> script shell (pour iptables ou autres) à partir de ce fichier. On
> exécute ce script sur le firewall, et la config de firewall est
> appliquée. Il est donc possible de générer la config sur une machine
> différente du firewall.
>
> Notes personnelles: Assez bien foutu, mais les fichiers de configuration
> (XML) ne sont pas forcément lisibles entre des versions différentes.

je ne l'ai plus utilise depuis + 1 an mais l'interface etait bugée, et il 
n'etait pas tres intuitif..

>
> Shorewall
> =========
>
> Ensemble de scripts qui lisent des fichiers de configuration qui
> déterminent ce qu'il faut faire des paquets. Il existe un module webmin
> pour le contrôler.
>
> Notes personnelles: Trop limité, à part pour une utilisation vraiment
> basique. Et dès qu'on essaye de faire du sophistiqué, ça pète de
> partout. Très bien pour commencer.
>
>
> Je suis ouvert à tout commentaire.

je ne suis pas d'accord, j'utilise shorewall sur tout mes serveurs de 
production depuis la version 1.2 ;-) et franchement j'ai fait des 
configuration ardues avec un mélange VPN ipsec et serveur pptp sur le 
firewall même et rien ne le bat ;-)

par contre l'interface webmin est pourrie ;-) et n'est vraiment pas 
conseillée. 

<off topic>

d'ailleurs webmin est pourri et vraiment pas conseillé ;-)

</off topic>

j'aime aussi bien son mode de test de nouvelle config avec timeout qui 
permet de tester ses changement avant d'appliquer la nouvelle 
configuration.

de plus a partir de la version 2.0 il existe aussi un système de macro qui 
permettent de définir des jeux de protocoles afin de pouvoir le customiser 
comme on veut ...

le tout avec un traffic shaper et une bonne gestion de logs, je dirait 
imbattable ..

Mon préféré, je pourrait en faire un atelier ...

Sur ce bonne nuit ;-)  
-- 
Benoit Mortier
OpenSides sprl
Linux Engineer