Salut à tous.
 
Dans le cadre d'une utilisation professionnelle; je me suis mis à la recherche d'une distrib firewall. mais le choix me semble plutôt vaste et je ne sais pas trop vers quoi me tourner (Mandrake MNF, IPCop , E-Smith SME Server etc...)
 
Typiquement l'architecture dans laquelle je voudrais l'intégrer avec les contraintes :
 
La distrib se trouvera sur une machine possédant 3 cartes réseaux (inside; outside; DMZ). le firewall doit gérer les trunks 802.1q sur la patte inside et doit gérer le routage inter vlan; une mise en place d'acess list sur le dit routage inter vlan; d'access list vers les flux entrants et sortants par numéros de ports/protocoles transport/@ IP.
 
il faudrait également la possibilité de gérer le VPN IPsec inter sites et utilisateurs nomades. Un IDS intégré, une possibilité de renvoi de logs sur un serveur syslog et une administration SNMP seraient les bienvenues. S'il est possible d'avoir une inspection L7 des protocoles; et une interface graphique d'administration ce serait vraiment super
 
ma question est : existe-t-il une distrib spécialisée qui soit capable de faire tout ça ? Sinon ma société s'orientra sur des solutions très onéreuses; type Cisco PIX/Checkpoint ou Routeur 3600 avec IOS firewall.
 
Il faut une robustesse certaine car elle s'intégrerait en environnement de production.

n'importe quelle distrib linux fera l'affaire ... a toit de choisir celle que tu veux.
Pour l'interface graphique, je crois que tu vas pouvoir te brosser, mais vu que tu es fan de cisco, la ligne de commande te feras pas peur.
Le concept d'acl n'existe pas, en tout cas dans le sens cisco du terme.
Il va te falloir définir les règles de filtrage à la main avec iptables.
Pour ce qui est de l'inspection niveau 7, ca le fait sans probleme, mais il faudra trouver les bonnes options, et bien savoir ce que tu veux inspecter.
Pour l'IDS, tu peux installer snort dessus, ca devrait faire l'affaire.
Pour ladministration en snmp, j'ai des doutes, mais tu pourras récupérer des infos pour faire du monitoring.
Pour le vlan, bien entendu, c'est géré (dot1q)
Sinon, tu peux aussi regarder du coté de OpenBSD, dont la syntaxe en matiere de filtrage applicatif est bien plus human-readable ...
Mais bon, dans tous les cas, il va falloir t'investir un minimum .. sinon, prend un PIX (ou 3600, mais CBAC ca fait quand meme tres "bricolage", disons des ACL évoluées ... ), ca sera peute tre plus simple pour toi.

merde bon ben je vais m'en passer. la ligne de commande j'en ai plein le cul; entre les IOS de switchs, routeurs et PIX; en plus les ios PIX 7 et 12.4(4)T qui débarquent ça me gonfle...
 
Vive les interfaces graphiques

le PIX 7 se rapproche énormément de l'IOS, rassure toi
et pour les interfaces graphiques, si tu fais confiance aux PDM ADSM et je ne sais trop quelles interfaces grafique de cisco, t'es courageux ...