[Linux-bruxelles] Re: Passerelle

Didier MISSON didier.misson at atofina.com
Jeu 7 Oct 11:09:09 CEST 2004


Le mercredi 6 Octobre 2004 19:36, Jérôme Warnier a écrit :
> Le mer 06/10/2004 à 15:00, Didier MISSON a écrit :
> > un peu de retard pour te répondre mais ici nous on utilise :
> >
> > - squid (proxy/cache)
> > - Firebuilder (firewall)
> >
> > Dans les ex cas ily a une interface graphique suid avec webmin et
> > firebuilder en a un à ui et la doc est bien complète sur leur site.
> >
> > faty
> >
> > On Sun, 2004-10-03 at 02:48, Didier Misson wrote:
> > > > - Ipcop
> > > >   http://www.ipcop.org/
> > > >
> > > > Ipcop me semble le mieux.
> > >
> > > quels avantages par rapport à une Debian de base avec FWbuilder (par
> > > ex)
> > >
> > > ou Shorewall, et éventuellement un proxy ?
> > > Ou une Debian sécurisée, ça existe, avec des patch dans le kernel.
> > > Zut je ne reviens plus sur le nom... ni si c'était une distri
> > > complète ou juste un kernel sécurisé...
> >
> > Didier> merci Faty
> > C'est vers cela que je m'oriente également: Debian + webmin +
> > éventuellement squid, + un FireWall
> > J'hésite encore entre Shorewall et FWbuilder.
> > Mais FWbuilder semble + élaboré, et + proche de ce que nous utilisons
> > au boulot (Checkpoint FW1) pour l'interface
>
> Personnellement, j'ai utilisé professionnellement les deux: FireBuilder
> et Shorewall.
>
> Mes remarques et commentaires:
>
> FireBuilder
> ===========
> FireBuilder a une interface qui ressemble très fort à celle de
> CheckPoint FireWall-One (FW1).
>
> On compose une config à partir d'objets comme des réseaux, des machines,
> des firewalls, ... et on sauve au format XML. On génère ensuite un
> script shell (pour iptables ou autres) à partir de ce fichier. On
> exécute ce script sur le firewall, et la config de firewall est
> appliquée. Il est donc possible de générer la config sur une machine
> différente du firewall.
>
> Notes personnelles: Assez bien foutu, mais les fichiers de configuration
> (XML) ne sont pas forcément lisibles entre des versions différentes.

je ne l'ai plus utilise depuis + 1 an mais l'interface etait bugée, et il 
n'etait pas tres intuitif..

>
> Shorewall
> =========
>
> Ensemble de scripts qui lisent des fichiers de configuration qui
> déterminent ce qu'il faut faire des paquets. Il existe un module webmin
> pour le contrôler.
>
> Notes personnelles: Trop limité, à part pour une utilisation vraiment
> basique. Et dès qu'on essaye de faire du sophistiqué, ça pète de
> partout. Très bien pour commencer.
>
>
> Je suis ouvert à tout commentaire.

je ne suis pas d'accord, j'utilise shorewall sur tout mes serveurs de 
production depuis la version 1.2 ;-) et franchement j'ai fait des 
configuration ardues avec un mélange VPN ipsec et serveur pptp sur le 
firewall même et rien ne le bat ;-)

par contre l'interface webmin est pourrie ;-) et n'est vraiment pas 
conseillée. 

<off topic>

d'ailleurs webmin est pourri et vraiment pas conseillé ;-)

</off topic>

j'aime aussi bien son mode de test de nouvelle config avec timeout qui 
permet de tester ses changement avant d'appliquer la nouvelle 
configuration.

de plus a partir de la version 2.0 il existe aussi un système de macro qui 

permettent de définir des jeux de protocoles afin de pouvoir le customiser 

comme on veut ...

le tout avec un traffic shaper et une bonne gestion de logs, je dirait 
imbattable ..

Mon préféré, je pourrait en faire un atelier ...

Sur ce bonne nuit ;-) 
 
Benoit Mortier
OpenSides sprl
Linux Engineer


Didier> j'hésite entre les 2, FirewallBuilder et Shorewall ...

car :

SHOREWALL semble simple, efficasse.
J'ai un peu jeté un oeil sur la doc on-line, c'est assez clair.
Et on peut le gérer via Webmin (quoi que ce ne soit pas une obligation 
pour moi... une config texte en VI, ça me va aussi)

FWBUILDER: il semble très proche, niveau interface, avec le Checkpoint FW1 
que je connais au boulot.
Et à une époque, je me disais... un jour peut-être qu'on pourrait mettre 
au boulot un FW libre à la place de ce Ckpt FW1 à 3 millions de dollard 
(euh, j'exagère, je ne connais pas le prix exact !!!) ...
Dans ce cas là, ils leur faudraient une interface click click la plus 
proche de celle du FW actuel Checkpoint
et la possibilité d'avoir cette interface sur un PC séparé du/des FW, + 
log etc, c'était un plus évident.

<cafard>
mais ça semblait un rêve :-(
car de + en +, tout ça échappe à notre controle, repris par le groupe à 
Paris... avec des solutions standard groupe, donc forcément proprio, 
chères, black box ... et souvent sous-traité...
et on nous dit que c'est pour des raisons de standardisation et donc 
d'économie !
:-( :-( :-(
</cafard>

Reste mon usage perso dans "ma salle TP à côté de ma chaudière dans ma 
cave" ... lol
;-)


A mon avis, les 2, FWBuilder ou Shorewall, peuvent me convenir, 
personnellement, no problem.

-- 
Didier






Plus d'informations sur la liste de diffusion Linux-bruxelles