alors c ici !!!
 
je viens de tester FwBuilder (je sais c pas nouveau) mais je vous confirme (pour ceux qui bossent sur des produits pro style watchguard - checkpoint F1 ...) que cet outil est bel est bien un des meilleurs GUI pour iptables et permet surtout de se concentrer sur l'essentiel : LA SECURITé !!!!! (ne pas perdre son temps (sur la syntaxe en autre !!)  a se demander COMMENt faire tel truc mais plutot ...le faire !!!)
 
Avec cet outil tout y passe !!!
 
en 30 mn j'ai pu mettre en place :
 
- le stateFul,
- l'anti spoofing,
- le rejet de paquet fragmentés ,
- le xmas tree (en clair paquet IP de longueur incorrect avec tous les flag a 1 -- syn, ack ...-- )
- le nat (bien sure),
- et une dmz ...
- et plein d'autres trucs bien utils !!!
 
en plus il genere un script iptables pret a consommer ..sans moderation , avec un chti sh script_fwbuilder et zou, puis une fois validé : services iptables saves
 
nb : il peut meme l'integrer lui meme a votre linux ... et marche en visuel : que demander de plus !!!
 
voila.

il existe en mode console ?

sinon y a le mode cerveau et main !
 
spo mal aussi !

alors, ceux qui les ont tous tester : lequel est le mieux ?

100 000 % d'accord avec toi
Suffit d'avoir un firewall ultra bourrin de base, fait a la main, et de la modif selon ce que l'on recherche (DMZ ou non, NAT ou non etc ...)

bah voui...pk utiliser des outils ki ont été fait pour faciliter la conf alors k on peut se prendre la tête avec des lignes barbares  
 
bande de barbus  

 
ah oui c vrai toi on a fourni que le cerveau  dico FR quand tu es née !
 
ils ont oublié le reste (logique, reflexion etc ..)
 
ca restreint t'est choix dans le monde du travail (secrétaire)

 
j'ai jamais utilisé ces outils  
mais s'ils sont bien fait je vois pas pourquoi ne pas les utiliser  
enfin moi pour ce que j'ai à gérer actuellement j'en ai pas besoin mais ça pourrait venir un jour...

parce que sinon strop facile et c'est mal !

fake

 
vla un barbu !

j'avoue que je kiff a mort developper avec anjuta
Que ca soit du bash, du php ou du C , je kiff trop ce programme

dejà vendredi ?

jusqu'à présent, tout les gui apportaient des limitations par rapport au produit
 
c'est pour ca que bcp de CISCO sont encore configuré à la main (et je peux dire que ce sont pas tous des barbus les gars qui configure des CISCO,  y en a meme en costard)
 
mais pourquoi ne pas essayer
 
sinon ca peut aussi revenir a deployer une usine à gaz pour un script de 10 lignes

 
il est super simple !!!
 
tu veux autoriser tel truc sur tel port ou le rediriger sur un host ou reseau particulier ...un simple glisser deposer et ta regle est coder !!! (tu veux quoi de plus simple et plus operationnel rapidement ? ..c le standard sur les "firewal hard" que sont watchguard et checkpoint en gui.)
 
evidement ce post s'adresse D'ABORD  aux admin. sécu qui doivent ETE PRODUCTIF et NON PAS CHERCHEUR OU BETA TESTEUR, ou debroussayard du dernier filtrage de paquet du kernel x.x (fwbuilder tourne sur ipf et ipt ... et ipf ca c tres bon niarf !!)
 
La prod. c un autre monde " ... que les jeunes de moins 25 ans ne peuvent pas connaitre euhhh ..la bohême euh ... !!! ....."
 
hi hi, allez Asphro ..au dodo , il est 22H20.
 
franchement Fwbuilder , se rapproche enormément des checkpoint et watchguard (les habitués sauront de quoi je parle !!!)
 
Pour info si vous voulez mon ip pour vous amusez ? ... la sécu je l'ai monté en 30 mn .... et dessous y'a une dmz , un lan  ... et bientot serveurs ftp , apache etc ...
 
Alors que j'ai vu des mecs s'eclater la tete pendant des heures sur des scripts iptables ou il n'y meme pas les bases au niveau firewalling (stateful , spoofing etc autres basique du hack ...)
 
les scripts monmotha et autres arno ... ben si à chaud, sur un firewall qui donne un accés a 2000 personnes sur le web vous avez les couilles pour tester une regles ..libre a vous !!!
 
je laisses au compilo iptables de faire sson boulot sur les regles que je demande et UNIQUEMENT elles !!

aucun soucis :
 
#!/bin/sh
#
#  Ceci est un fichier généré automatiquement, NE PAS MODIFIER !
#
#  Firewall Builder  fwb_ipt v1.0.5
#
#  Généré Mon Mar 10 16:51:14 2003 CET par stephane
#
 
check() {
  if test ! -x "$1"; then
    echo "$1 non trouvé ou non executable"
    exit 1
  fi
}
 
log() {
  if test -x "$LOGGER"; then
    logger -p info "$1"
  fi
}
 
IPTABLES="/sbin/iptables"
IP="/sbin/ip"
LOGGER="/usr/bin/logger"
 
check $IPTABLES
check $IP
 
cd /etc || exit 1
 
log "Activation du script de firewall généré Mon Mar 10 16:51:14 2003 CET par stephane"
 
 
MODULE_DIR="/lib/modules/`uname -r`/kernel/net/ipv4/netfilter/"
MODULES="ipt_conntrack ipt_conntrack_ftp ipt_nat_ftp ipt_conntrack_irc ipt_nat_irc"
for module in $(echo $MODULES); do
  if [ -e "${MODULE_DIR}/${module}.o" -o -e "${MODULE_DIR}/${module}.o.gz" ]; then
    modprobe -k ${module} ||  exit 1
  fi
done
 
 
FWD=`cat /proc/sys/net/ipv4/ip_forward`
echo "0" > /proc/sys/net/ipv4/ip_forward
 
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
 
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_intvl
 
$IP -4 neigh flush dev eth0
$IP -4 addr flush dev eth0 label "eth0:FWB*"
$IP -4 neigh flush dev eth1
$IP -4 addr flush dev eth1 label "eth1:FWB*"
 
$IPTABLES -P OUTPUT  DROP
$IPTABLES -P INPUT   DROP
$IPTABLES -P FORWARD DROP
 
cat /proc/net/ip_tables_names | while read table; do
  $IPTABLES -t $table -L -n | while read c chain rest; do
      if test "X$c" = "XChain" ; then
        $IPTABLES -t $table -F $chain
      fi
  done
  $IPTABLES -t $table -X
done
 
#
#  Rule 0(NAT)
#
#
$IPTABLES -t nat -A POSTROUTING -o ppp0  -s 192.168.0.0/24 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o ppp0  -s 192.168.1.0/24 -j MASQUERADE
#
#
 
$IPTABLES -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
#
# Rule 0(ppp0)
#
# 'anti spoof'
#
$IPTABLES -N ppp0_In_RULE_0
$IPTABLES -A INPUT -i ppp0  -s 192.168.1.253 -j ppp0_In_RULE_0
$IPTABLES -A INPUT -i ppp0  -s 192.168.0.253 -j ppp0_In_RULE_0
$IPTABLES -A INPUT -i ppp0  -s 192.168.0.0/24 -j ppp0_In_RULE_0
$IPTABLES -A INPUT -i ppp0  -s 192.168.1.0/24 -j ppp0_In_RULE_0
$IPTABLES -A FORWARD -i ppp0  -s 192.168.1.253 -j ppp0_In_RULE_0
$IPTABLES -A FORWARD -i ppp0  -s 192.168.0.253 -j ppp0_In_RULE_0
$IPTABLES -A FORWARD -i ppp0  -s 192.168.0.0/24 -j ppp0_In_RULE_0
$IPTABLES -A FORWARD -i ppp0  -s 192.168.1.0/24 -j ppp0_In_RULE_0
$IPTABLES -A ppp0_In_RULE_0  -j LOG  --log-level info --log-prefix "RULE 0 -- DROP "
$IPTABLES -A ppp0_In_RULE_0 -j DROP
#
# Rule 0(lo)
#
# tout autoriser sur loopback
#
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A FORWARD -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A FORWARD -o lo -j ACCEPT
#
# Rule 0(global)
#
# Le LAN et la DMZ peuvent sortir
# via  'masquerading'
#
$IPTABLES -A INPUT  -s 192.168.0.0/24 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT  -s 192.168.1.0/24 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD  -s 192.168.0.0/24 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD  -s 192.168.1.0/24 -m state --state NEW -j ACCEPT
#
# Rule 1(global)
#
# Verrouillage du Firewall 'catch all'
#
$IPTABLES -N RULE_1
$IPTABLES -A OUTPUT -j RULE_1
$IPTABLES -A INPUT -j RULE_1
$IPTABLES -A FORWARD -j RULE_1
$IPTABLES -A RULE_1 -j LOG  --log-level info --log-prefix "RULE 1 -- DROP "
$IPTABLES -A RULE_1 -j DROP
#
# Rule 2(global)
#
# IP fragments 'shorts' and ' long'
# 'Christmas Tree' Protection
#
$IPTABLES -A OUTPUT -p ip -f  -j DROP
$IPTABLES -A OUTPUT -p tcp --tcp-flags ALL URG,ACK,PSH,RST,SYN,FIN -j DROP
$IPTABLES -A INPUT -p ip -f  -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags ALL URG,ACK,PSH,RST,SYN,FIN -j DROP
$IPTABLES -A FORWARD -p ip -f  -j DROP
$IPTABLES -A FORWARD -p tcp --tcp-flags ALL URG,ACK,PSH,RST,SYN,FIN -j DROP
 
echo 1 > /proc/sys/net/ipv4/ip_forward

 
arretes toi !!!    
 
configurer un cisco et configurer un firewall c franchement pas la meme problématique petit pére !!!!
 
...faut pas confondre un routeur ... et un firewall, c clair que pour activer le dhcp relay ou parametrer l'ospf sur mes cisco je vais pas prendre Fwbuilder (bien qu'il les gerent !!), idem pour les tables de routages ...
 
ecrirent des regles un minimum pro . sur iptables c une autre paire de manche !!!
 
un firewall ca se limite pas a bloquer des ports sur la zone EXT !!!
 
Merde.

Je suis d'accord aussi.
 
Ce que certains n'ont pas l'air de comprendre, c'est que se faire chier a coder des scripts a la main, c'est très interessant pour apprendre ou quand on veut maitriser 100% des choses.
 
Mais le jour ou tu fais ça pour des clients qui te payent 3 francs 6 sous tu n'a qu'une seule solution pour survivre : Faire les choses rapidement.
 
C'est la ou malheureusement Nunux pèche par rapport a Windows. Vous prenez chrono en main le meilleur des geek pour configurer une bécanne avec tout ce qu'il faut comme périphériques et la on va rigoler.
 
Dommage que les barbus ne sortent pas plus souvent. Dommage qu'a cause de ça tout le monde soit condamné a se taper Microsoft encore longtemps.
Dommage que grace a eux Microsoft a pu contester son monopole en se cachant derrière Linux. Une concurence qui n'en est pas une.
 
Car quoi qu'on en dise l'interface graphique de Linux et sa facilité d'utilisation sont a des années lumières de Windows : Les programmeurs Linux ne sont même pas capable d'éviter les "flickers" pendant l'affichage. On se croirait revenu au temps des Apple II. Sans compter la lourdeur. Et les bugs.... quoi qu'on en dise. Autant le noyau est très très stable. Autant la gui est buguée.
 
Dommage aussi que bientôt, faute de vraie concurence a son OS, Microsoft nous imposera Palladium/TCPA et toutes les réstrictions de liberté qui iront avec.
 
On ne poura même plus programmer le moindre soft. Et ça c'est la réalité : La première machine a disposer de ce système est déja sortie.  
Si Linux était utilisé par le plus grand nombre de gens, on en serait pas la.  
 
Si les "barbus" n'avaient pas programmé un OS qui ne convient qu'a eux on en serait pas la.
 
Un vrai programmeur de nos jours programme avec Visual studio (ou avec la copie très minable qui en tient lieu sur Linux) et pas avec VI. Ou alors c'est qu'il ne fait pas grand chose en fait.
 
Dommage aussi que le brevet logiciel sera la pour interdire a tout OS libre de progresser.  
 
Bref, si les "barbus" n'étaient pas aussi a côté de leurs pompes, on serait pas autant dans la merde.
 
Les "barbus" se croient des bons. En réalité c'est en majorité des gros nazes...
 
Et c'est un programmeur avec plus de 20 ans de métier qui vous parle.
 
Pour être bon, il ne suffit pas de passer ses nuits sur un clavier et a lire des piles de "HowTo". Il faut surtout comprendre et s'adapter aux besoins des autres : Les "non barbus". C'est même la définition de tout analyste programmeur.
 
Définition que beaucoup semblent avoir oublié...

 
 
ben si tu connais bien ton produit ca va aussi vite qu un gui a le faire a la main !
 
personnellement j ai pondu avec pf, des regles en 1H30 alors que ct mon premier firewall !
 
c klr si tu fais marcher t meninges comme ta reflexion ca doit pas voler haut ta productivité ...

 
copaing jamiroq \o/

ah oui au fait depuis le temps tu te decide a prendre une interface qui genere un code iptables genre 2semaines now !
 
tu crois pas c'est la perte de productivité tu aurais lu un howto pdt 2h et ensuite 1h a ecrire le script en une matinée tu avais ton firewall !

 
tu sais que c hyper triste ce que tu racontes la ?
 
Mais bon dieu qu'est ce que tu as raison sur bcp de points !!!
 
Moi linux j'y crois encore trés fort !!
... et j'espere que c foutu barbu (qui sont tres bon , aucun doute la dessus , le kernel linux est une bombe ... ce qu'aurait du etre celui d'un windaube !!) comprendrons l'interet VITALE DU GUI !!!!!!!!!!!!!!!!!!!!!!
 
le gui c vitale pour amené linux A SA VRAIE PLACE !!!
 
les serveurs ont le sait tous : linux est aussi bon que nt ou win2k ...il n'a pas grand chose a prouvé  (mais ne relachons pas l'effort)!!!
 
un routage / securité ...la je fais meme pas de dessin linux a deja 5 ans d'avance ... (essayez de transformer un Win2k Ad en routeur 3 pattes ... et on reparlera !!)
 
pour ce qui des workstation et grd public ... ben va falloir bossé l'ergonomie et le gui !!! dommage c pourtant le plus important au yeux du buiness ....

un vrai elevage de kadreg !

 
Attends, même si tu as tout en tête, et même si tu tapes vite, tu ira moins vite a taper ça sous vi que de cocher quelques cases sur une gui.
 
Certes, je sais fort bien en tant que programmeur que quand on veut un truc qui est optimisé a 100% il faut 99% du temps le coder a la main.
Mais il faut aussi prendre conscience que tout le monde ne fait pas la même activité. Tout le monde ne peut pas passer toujours son temps a optimiser tout a 100% pour des raisons economiques compréhensibles.
 
Autre problème qui rejoint ce que je disait plus haut : C'est sans doute ton métier de faire des config réseau. Mais tous les informaticiens ne peuvent pas être aussi spécialisé. Un informaticien dans une PME doit tout faire et il ne peut pas être aussi spécialisé qu'un administrateur réseau qui ne fait que ça.
Dans ce cas, il peut être bien plus interessant qu'il utilise un logiciel d'autant plus que ses besoins sont le plus souvent très classiques : Nat & Firewall la pluapart du temps ça suffit.
Il vaut mieux qu'il utilise un soft qui est écrit par des mecs qui connaissent et qui gère correctement 95% des problèmes potentiels que d'écrire lui même un script hasardeux (par manque de temps) qui se révèlera très dangereux, lui.
 
Tout ça pour dire qu'un barbu réfléchit souvent qu'en fonction de sa spécialité et en ne voyant qu'elle.

tu connais des VRAI produit pro de firewalling toi ?
 
tu me parle de pf , moi je te parle de produits qui equipent FT, SHELL, RENAULT !!!!!  
 
et pour te remttre a ton niveau bonhomme :
 
watchguard utilise ipchains !!! ... donc oui en dure ds le firewall pro il y'a du pf de l'iptable du ipchains , mais que non , et heuresment pour la securité , les specialistes HAUT NIVEAU  en securité sont passé avant nous pour nous donner le fonctionnel et pas les couches basses du Fw a coder et implementer !!!
 
des attaques possibles sur le stack ip d'une Bsd, linux 2.2 et 2.4 et conssort sortent tous les jours , et vu leur complexité c pas toi ...ni moi qui allons codé a la mimine ds iptables la parade : SOIT pour une fois realiste !!!

 
mais c'est geniale on passe d'un gui pour iptable a watchguard !
 
le rapport ?

 
je t'arretes deja sur ces 2 premieres phrases :
 
"tout en tête" deja en terme de sécu ... si y'a des sites qui se font hacké ..c que PERSONNE n'a tout en tete !!
 
alors moi ou asphro ...(encore plus asphro apparement qui croit qu'avec ses 5 six regles connues il prg bien son fw ...)  

on ne demande pas à un adolescent prépubère d'être réaliste    

 
\o/

ben toi tu le vois pas !!!!
 
... car tant connait encore 3 fois moins que moi en terme de firewalling  !!!!
 
autour de toi cause a des gars comme moi , qui ont deja monté , parametrer et exploite des firewall hard PRO et tu verras que ton script iptables ou pf ... ben tu repasseras !!!
 
( attention asphro : je ne denigre pas , je mets en garde ; les scripts generer par les gars de osa : j'en suis !!, sont passoiré à 30 % )
 
et 30 % en entreprise c INTOLERABLE !!!
 
et si je fais le parrallele entre watchguard Et checkpoint F1 c que je l'ai pratiqué etc ..et que le visuel que tu as sur ces produits se retrouvent en bcp de point ds fwbuilder (il date d'au - 1999 fwbuilder , au debut il plantait tt le temps ce produit ...mais maintenant il deviens ... tres tres interessant !!)

 
je le concois

 
Ben faut bien un jour qu'on se décide a vous balancer la vérité en face.
 
Faudra un jour qu'un programmeur se décide a dire que tous ces mecs qui se donnent un air de pro en parlant de VI ne sont pas autre chose que des vantards et souvent des brèles sur le plan programmation.
Pour preuve, il n'y en a a ma connaissance aucun qui est l'auteur d'un soft a succès parmi les gens normaux (C'est a dire les non geeks.) preuve qu'ils sont de très mauvais analystes programmeurs.
 
Parce que moi aussi j'ai utilisé VI et EMACS pour programmer(Et je continue de les utiliser quand c'est nécéssaire sous Nunux).
Mais question editeurs, ça fait longtemps qu'on a fait mieux et plus ergonomique.

serieux la secu c hyper complexe !!!
 
vu le nombre de couche iso d'une pile reseau ben c chaud de tout prevoir !!!
 
rien que sur la couche ip et ndis ...y' pas mal de hack a faire !!
 
l'important pour bosser ds la sécu c bien s'equipé et choisir de vrai expert pour construire son firewall , des gars qu ituyautent toutes la journée : en clair c aussi sipmle que ca !!!
 
chez watchguard il tuyautent pas mal.
chez checkpoint aussi ...
j'ai testé un peu ISA de MS .... ben on le dira allez les gars encore qq annes pour arriver auniveau des kernel linux/unix (qui sont inclus la plupart des VRAI fw !!)
 
d'ailleurs chti qts betes :
 
d'apres vous y'a quoi comme os (à 90%) ds un routeur , ds un switch , ds un firewall ?
 
allez un chti effort !!

 
Que tu es un gros con imbu de toi même qui adore se masturber en prenant tout le monde de haut prétextant que tu connais la vraie vie ?

entre nous les bons , ils sont pas tjs la a discuter : ils font avancés les porjet du libre !!!
 
(perso : je fais juste du syst. reseau et un peu de secu ... alors je me tais)
 
edit : si tu as l'occaze un jour asphro , parles avec un mec qui a 20 ans d'exp. sur tcp/ip (en clair un bon vieux puristes unixiens) et sur les reseaux ..tu vas voire ca calme net les jeunes cons comme toi et un peu moins moi .

le sujet du topic = les firewall , fwbuilder et au + la securité !!
 
alors merci kadreg.

 
-fwbuilder n est qu un gui !
-watchguard et checkpoint F1 sont des materiel professionel de filtrage ce qui n'est point comparable avec les outils gnu/linux koike, certain montre plus de faiblesse, le probleme dans les entreprise c'est la presentation ce materiel fait plus professionel, alors qu'il ne l ai pas forcemeent ...
-cependant pour faire marcher un firewall sous linux, il faut un pc qui dis pc dis bcp de materiel physique comme disque dure qui peuvent avoir des rater est dans ce cas le firewall plante, ce qui peut immobiliser le reseau de l'ent, donc il est evident que c'est firewall materiel sont plus sur coté materiel .
 
-Enfin tout ce calcul dans une entreprose, or on parle d un fwbuilder qui n'est qu'un gui, je suis plutot de l'avis de sr16 en effat c plus pratique et rapide a utilisé mais si on veut optimiser on le fait a la main, et quand on a pas le temps on fais ca .
personnellement je config tout à la main peut-être que j en viendrais au gui quand j aurais pu de temps mais la j'en ai et la main on comprend mieux les concept qu'en clickant sur yes or no ...
 
 
sur jamiroq tjrs un plaisir de troller avec toi !