Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 29-06-2010 17:09:03

DarkAngel
Membre
Distrib. : lenny
Noyau : 2.6.26-2-686
(G)UI : KDE
Inscription : 17-06-2010

Comparaison de firewall

bonjour à tous.
je voudrais savoir pour les plus expérimentés d entre nous, quels sonrt les firewalls approprié pour un serveur debian lenny et lequel particulièrement est le plus conseillé.
me concernant sur le sujet des firewall j ai pas un trè grand background j en connais juste quelques uns tels que:
netfilter, shorewall, fwbuilder, kmyfirewall, gufw, nufw, smothwall, ipcop,

si quelqu un a deja eu a faire une étude sur le sujet svp qu il partage
merci

Hors ligne

#2 29-06-2010 17:34:41

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : Comparaison de firewall

Un petit tour au wiki df une fois ?
http://debian-facile.org/atelier:chanti … rite-virus

Yep ! big_smile

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#3 29-06-2010 23:35:15

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : Comparaison de firewall

Bonjour,

La base de tout ce que tu cites, DarkAngel, c'est toujours le filtre de paquets de Gnu/Linux, à savoir Netfilter:
Ipcop est une distribution dédiée pour faire un parefeu basé sur netfilter, ainsi que smoothwall que je ne connaissais pas, nufw un complément de netfilter qui ajoute la gestion par utilisateur, et les autres des interfaces de configuration plus ou moins graphiques de netfilter destinés à permettre sa configuration sans avoir à mettre les mains dans le cambouis des règles iptables.

Donc le meilleur, à mon avis, c'est Netfilter. wink et nufw est sans doute un bon complément qu'il faudra que je finisse par tester.

Netfilter se configure au moyen de la commande iptables. L'écriture de règles iptables demande d'avoir assimilé le fonctionnement de netfilter pour obtenir un parefeu cohérent et conforme aux attentes. Les interfaces graphiques (shorewall, firestarter...) permettent de faciliter la configuration, et de s'affranchir de l'apprentissage du fonctionnement et de l 'écriture des règles.

@+

Dernière modification par tux12 (30-06-2010 00:37:58)

Hors ligne

#4 01-07-2010 00:17:45

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : Comparaison de firewall

Bonjour,

Suite à une discussion sur la liste debian-user-french aujourd'hui, je découvre le projet Xtables-addons qui propose des extensions pour netfilter, telles que la géolocalisation, et le projet l7-filter qui propose du filtrage applicatif basé sur Netilter.

Voilà, en complément d'info. smile

Hors ligne

#5 01-07-2010 17:04:19

unit
Adhérent(e)
Lieu : Marcq-en-baroeul
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : Xfce 4.10
Inscription : 11-03-2010

Re : Comparaison de firewall

Il y a un truc que je ne comprends pas très bien.
Je pensais qu'il n'étais pas nécessaire d'installer un pare-feu sur Linux puisqu'il y en a déjà un par défaut.
Auriez-vous une explication à me donner ?

Exige beaucoup de toi-même et attends peu des autres. Ainsi beaucoup d'ennuis te seront épargnés.
Confucius.

Hors ligne

#6 01-07-2010 18:44:51

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : Comparaison de firewall

Bonjour unit,

Oui, il y a bien un parefeu intégré au noyau linux, c'est Netfilter. Ceci étant, ça ne dispense pas de le configurer, vu que par défaut sur nos Debian il laisse passer tout le traffic local à la machine.

Les extensions quand à elles apportent des fonctionnalités supplémentaires, comme pour Firefox. smile Ça permet d'avoir d'autres critères de filtrage (par utilisateur, localisation géographique, par application....) qui ne sont pas intégrées à Netfilter.

C''est plus clair maintenant? smile

Hors ligne

#7 13-07-2010 00:50:48

mecanotox
Membre
Distrib. : Ubuntu 12.10 Quantal
Noyau : 3.5.0-21-generic
(G)UI : XFCE 4.10 + Thunar 1.6
Inscription : 04-06-2008

Re : Comparaison de firewall

Je trouve que shorewall permet d'apprendre justement les base de la configuration d'un pare-feu

(de l'interface lan vers l'interface net, je bloque, je rejete, j'accept, etc...)

Shorewall m'a permis de comprendre le fonctionnement essentiel d'un firewall. la représentation semi-graphique (a travers des fichiers de conf) permet de voir d'une manière plus précise les règles de ton pare-feu. Pour moi shorewall reste le meilleur outils de configuration d'un pare-feu, même si shorewall après transcrit tes fichiers conf en règles iptables.

Hors ligne

#8 13-07-2010 01:44:12

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : Comparaison de firewall

Bonjour mecanotox smile

Oui, les interfaces graphiques permettent sans doute de se familiariser avec les bases. Firewall Builder semble avoir une interface intuitive pour cela, pour le peu que j'en ai vu.
Mais shorewall est sans doute très bien aussi. wink

@+ big_smile

Hors ligne

#9 13-07-2010 19:20:56

unit
Adhérent(e)
Lieu : Marcq-en-baroeul
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : Xfce 4.10
Inscription : 11-03-2010

Re : Comparaison de firewall

Oui en effet c'est plus clair merci pour l'explication.

Exige beaucoup de toi-même et attends peu des autres. Ainsi beaucoup d'ennuis te seront épargnés.
Confucius.

Hors ligne

#10 13-07-2010 21:09:58

Pollux
Membre
Distrib. : Squeeze
Noyau : 2.6.32
(G)UI : aucune
Inscription : 19-11-2009

Re : Comparaison de firewall

attention tous de même tux 12, netfilter ne s'utilise pas seulement avec la commande iptables, il existe ebtables, contrack bon bref, voir l'article wikipédia qui a un zolie n'exemple des interfaces pour netfilter, qui lui est un outils noyaux. sinon nufw, +1 je vais vraiment m'y mettre à celui là.

Hors ligne

#11 14-07-2010 00:58:37

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : Comparaison de firewall

Bonjour Pollux,

Oui il existe une commande ebtables, que je n'utilise pas, et que j'ai oublié dans ma liste. Mais à ma connaissance il n'existe aucune commande conntrack, le CT s'utilisant au moyen des états "NEW, RELATED, ESTABLISHED".
Tu aurais un lien vers la page de Wikipedia dont tu parles?

@+

Hors ligne

#12 14-07-2010 10:49:42

Pollux
Membre
Distrib. : Squeeze
Noyau : 2.6.32
(G)UI : aucune
Inscription : 19-11-2009

Re : Comparaison de firewall

la commande contrack n'existe peux être pas, j'utilise comme toi les commandes d'iptables... ce que je voulais faire remarquer, c'est qu'iptables n'est qu'une interface parmis tant d'autre pour avoir accès à toute les fonctionnalité de netfilter

pour le schéma -->http://fr.wikipedia.org/wiki/Fichier:Netfilter-components.svg
depuis l'article de netfilter.

Hors ligne

#13 14-07-2010 13:58:42

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : Comparaison de firewall

Bonjour Pollux,

Du choc des idées jaillit la lumière. wink
En regardant le schéma (merci pour le lien), j'ai eu un doute, et...

host:/home/tux12# aptitude search conntrack
p   conntrack                                                   - Program to modify the conntrack tables
[....]
host:/home/tux12# aptitude show conntrack
Paquet : conntrack
[....]
Description : Program to modify the conntrack tables
conntrack is a userspace command line program targeted at system administrators. It enables them to view and manage the in-kernel connection tracking state table.
Site : http://people.netfilter.org/pablo/conntrack-tools/


Tu as raison, non seulement pour le conntrack, mais aussi plus globalement et au vu du schéma pour les commandes de gestion de Netfilter.

Bien le merci, j'ai appris quelque chose aujourd'hui. big_smile

@+

Dernière modification par tux12 (14-07-2010 14:11:27)

Hors ligne

#14 24-10-2010 08:31:10

seb95deMLO
Invité

Re : Comparaison de firewall

sous testing donc dans la prochaine stable(d'ici l'année prochaine) il y aura encore plus simple et fiable que firestarter dont j'avais entendu a l'epoque parler de son incapacité a vivre avec network manager...(est ce toujours le cas?). Le plus fiable que j'ai trouvé vient pour une fois de ubuntu avec son ufw(tres simple en ligne de commande) ou avec son interface en gtk gufw.
Sous debian malheureusement on n'a pas la derniere version qui permet de géré aussi les sorties... 
ufw
gufw

#15 03-06-2011 19:20:16

jc1
Membre
Inscription : 03-06-2011

Re : Comparaison de firewall

Bonjour,

Il y a un problème (bug ?) avec gufw.
Si l'on essai de le lancer, il y a un message indiquant (de mémoire) des problèmes de droits root, même si l'on tape bien le bon mot de passe.

La solution que j'ai trouvé est de changer la ligne de commande lancement, celui ne pose plus de problème : su-to-root -X -c /usr/share/gufw/gufw.py

Pour filtrer les entrées/sortie, on peut utiliser la version 10.04.

Vous êtes sur que shorewall est un interface graphique ?
je n'ai rien trouvé, à part webmin + shorewall.

Dernière modification par jc1 (03-06-2011 19:23:13)

Hors ligne

#16 03-06-2011 19:48:19

zoroastre74
Membre
Distrib. : Debian Wheezy
Noyau : Linux 3.2
(G)UI : Awesome wm v3.4.13 (Octopus)
Inscription : 28-08-2010

Re : Comparaison de firewall

Yep!

Shorewall n'a pas d'interface graphique contrairement à ce qui fût annoncé plus haut. Il s'agit d'un daemon qui se paramètre via un jeu de fichiers. Il est plus aisé à appréhender que netfilter naturellement et possède déjà une longue histoire.

J'ai choisi shorewall aussi bien dans une configuration user que serveur.

@+

Zoroastre.

Hors ligne

#17 03-06-2011 21:58:19

Invité-5
Banni(e)

Re : Comparaison de firewall

Salut,

jc1 Tu ne serais pas ce spécialiste d'ubuntu par hasard ?

jc1 a écrit :

Pour filtrer les entrées/sortie, on peut utiliser la version 10.04.


Évidemment, nous avons cette version sous Debian => ufw (0.30.1-1.1) Désole pour la version graphique gufw (je n'utilise jamais rien en graphique)

zoroastre74 a écrit :

J'ai choisi shorewall


+1. Je suis d'accord, excepté le fait que il est préférable d'être plutôt un connaisseur d'iptables comme toi.

#18 02-07-2011 18:50:52

jc1
Membre
Inscription : 03-06-2011

Re : Comparaison de firewall

Bonjour,

J'ai une machine de production "Desktop" (si l'on peut dire cela), donc de préférence en mode graphique.
Et si tu veux convaincre certaines personnes de migrer de sad à big_smile, la ligne de commande rebute, donc il faut écouter les futurs "clients" et leurs montrer ce que cela peut donner.

Un bon firewall, c'est déjà, ... un bon firewall wink

Hors ligne

#19 03-07-2011 09:22:37

Invité-5
Banni(e)

Re : Comparaison de firewall

jc1 a écrit :

la ligne de commande rebute


Je suis d'accord. Bienvenue chez nous smile

#20 03-07-2011 23:50:58

philo
Membre
Distrib. : wheezy
Noyau : Linux 3.2.0-4-486
(G)UI : openbox seul
Inscription : 22-01-2011

Re : Comparaison de firewall

la ligne de commande rebute?!

Hum... de façon éphémère; en effet, dès que l'on comprend son intérêt et que l'on essai...ça devient  même  drôle! C'est cela qu'il faut retenir: c'est drôle!!

Hors ligne

Pied de page des forums