[Linux-bruxelles] Re: Passerelle

Jérôme Warnier jwarnier at beeznest.net
Jeu 7 Oct 12:40:28 CEST 2004 

Le mer 06/10/2004 à 19:48, ash a écrit :
> > Mes remarques et commentaires:
> > 
> > FireBuilder
> > ===========
> > FireBuilder a une interface qui ressemble très fort à celle de
> > CheckPoint FireWall-One (FW1).
> > 
> > On compose une config à partir d'objets comme des réseaux, des machines,
> > des firewalls, ... et on sauve au format XML. On génère ensuite un
> > script shell (pour iptables ou autres) à partir de ce fichier. On
> > exécute ce script sur le firewall, et la config de firewall est
> > appliquée. Il est donc possible de générer la config sur une machine
> > différente du firewall.
> > 
> > Notes personnelles: Assez bien foutu, mais les fichiers de configuration
> > (XML) ne sont pas forcément lisibles entre des versions différentes.
> 
> ? pour l'instant on n'a pas eux ce problème ...
> 
> Un plus, il me semble, la norme en sécurité réseau est de ne pas avoir
> d'interface graphique sur un serveur.
> 
> Tu peux installer FWbuilder sur une machine distante avec interface
> graphique (gnome par exemple) qui exporte le fichier et génére un script
> les règles Ipchain, etc ...le tout en ssh.
Il me semble que c'est exactement ce que je dis ci-dessus: "Il est donc
possible de générer la config sur une machine différente du firewall."
Et c'est aussi pour cela que je dis que c'est c... que les différentes
versions n'arrivent pas à lire et écrire les mêmes formats de fichiers,
alors qu'en plus c'est du XML.

> Ce qui a pour avantage que tu peux étudier comment il écrit les règles
> en standart et tu peux la reprendre en manuel si tu le souhaite.
Oui, un script, quoi. C'est aussi quelque chose que je laissais
sous-entendre. :-)

> Tu à juste besoin de sauver le fichier standart en cas de "panne" du
> serveur ou si tu fait des 'backuo' réculier pas besoin de l'ensemble et
> si tu veux plustard ne plus utiliser FWbuilder et utiliser "la bonne
> vieille méthode manuel" c'est sans problème. :)
Voilà.

> Voilà
-- 
Jérôme Warnier
Consultant
BeezNest
http://beeznest.net

Plus d'informations sur la liste de diffusion Linux-bruxelles