Reprise du message précédent :

 
-fwbuilder n est qu un gui !
-watchguard et checkpoint F1 sont des materiel professionel de filtrage ce qui n'est point comparable avec les outils gnu/linux koike, certain montre plus de faiblesse, le probleme dans les entreprise c'est la presentation ce materiel fait plus professionel, alors qu'il ne l ai pas forcemeent ...
-cependant pour faire marcher un firewall sous linux, il faut un pc qui dis pc dis bcp de materiel physique comme disque dure qui peuvent avoir des rater est dans ce cas le firewall plante, ce qui peut immobiliser le reseau de l'ent, donc il est evident que c'est firewall materiel sont plus sur coté materiel .
 
-Enfin tout ce calcul dans une entreprose, or on parle d un fwbuilder qui n'est qu'un gui, je suis plutot de l'avis de sr16 en effat c plus pratique et rapide a utilisé mais si on veut optimiser on le fait a la main, et quand on a pas le temps on fais ca .
personnellement je config tout à la main peut-être que j en viendrais au gui quand j aurais pu de temps mais la j'en ai et la main on comprend mieux les concept qu'en clickant sur yes or no ...
 
 
sur jamiroq tjrs un plaisir de troller avec toi !

 
C'est clair.  
 
Linux a de super potentialités et un vrai noyau réellement stable.(Je n'utiliserais pas Windaube a la place pour une passerelle, ça c'est certain).
 
Tout ça est gaché par une GUI de merde.  
 
C'est clair que c'est vraiment triste et moi aussi ça me révolte de voir Microsoft nous fourguer son truc immonde année après année et menacer nos libertés.
 
Je crois qu'il est important qu'une remise en question s'opère rapidement.
 
Certes, il ne s'agit pas de cracher sur Linux ni sur les efforts de milliers de gens.
 
Mais si on se garde de tout sens critique on risque de passer a côté de la réalité.
 
Linux ne s'impose pas, c'est clair. Et il y a une raison, c'est clair aussi.
 
Les raison:
 
-si cet OS convient parfaitement a des geeks, il est totalement inutilisable pour un non initié.
 
-La GUI est trop lourde. Or une architecture doit pouvoir convenir aux plateformes mobiles.
 
-La GUI repose sur de mauvaises bases question architecture : Les logiciels manquent de convivialité.
 

le nombre de couche OSI pas iso .
et y en a 7 de couche OSI

 
les materiels pro UTILISENT , IL UTILISENT  (lis les spec sur les site et tu verras merde!!) ipf, iptables voir ipchains !!!!
ils ne marchent qu'a ca !!!!
 
la difference ?
 
c les 100 tech de watchguard payés pour optimisés le noyau linux pour le faire tenir ds une flash rom de 128Mo avec ts les modules qui vont bien et des regles en betons armées + un gui repondant au besoin pointus de la securité en un mimnimum de temps : do you understand ?
 
mais bien sure que c hyper enrichissant de faire bcp de chose a la main !!! (en ce moment je fais le max de truc comme ca sur mon routeur/firewall  perso!!)
 
mais ds une boite : on a pas forcement le temps !!!

 
en anglais ou en français ?

 
Exact.
 
Et le firewall qui n'est pas crackable relève de l'utopie.
 
Et c'est surement pas en une matinée ni même une journée de lecture de "howto" qu'on peut arriver a pondre un Firewall ne fut ce que moyen.
 
Personellement, je ne me considère pas comme un spécialiste du réseau ni de la sécurité en réseau vu que c'est pas réellement mon métier même si je monte quand même pas mal de Firewalls au bout du compte.
 
Mais j'ai assez vu de choses hackées dans ma vie pour savoir que celui qui croit faire un truc imparable n'a pas été bien formé.
 

bien monsieur
 
iso in french et OSI en english !!
 
tiens pour que tu comprennes mes propos et ceux de sr65 :
 
http://www.zensecurity.co.uk/PDF/fb_techspec.pdf
 
tout est sur la page 3 (ce sont des truc qu idatent de 1 an et demi..on doit etre en bsd ou 2.4 maintenant  oki ?)

 
Attends, si on doit comparer qui est un gros con imbu, je crois que les mecs qui se branlent sur VI et consors c'est pas mal non plus, hein.
 
Je ne fais que poser des faits établis : Pour l'instant ce que les gens utilisent au quotidien en majorité n'a pas été fait sous VI.
 
Et jusqu'a preuve du contraire, c'est plus les programmeurs Linuxiens qui passent leur temps a se la pèter et a se branler que les autres...
 
Le coup du "moi j'programme sous VI" j'en ai ras le bol de l'entendre dans les conférences et les soirées de programmeurs.
 
Tout programmeur non mongollien sait parfaitement qu'a côté de visual Studio de $$$$Soft VI c'est la préhistoire.

, rien à rajouter.

 
on les traduits en anglais car ca fais
 
ISO(OIS in FR)a determiner le modele de refernce ISO (OSI)

les entreprises utilisent du cisco ....
Jamais vous verrez une grosse boite mettre du linux, *bsd ou autre pour la connection internet.
l'OS cisco est minimaliste donc niveau failles c'est minimaliste aussi.
Comme cite precedement au dessus aussi, pas de DD sur des routeurs hardware donc niveau tolerance de panne c'est plus cool.
Quand t'as pas le temps ok tu utilises un gui,c'est simple rapide, et ca pond du code "a peu pres" bon. Dire que c'est la solution miracle non je suis pas d'accord ....
Quasiment aucun de ces codes ne pensent a patch-o-matic ....
patch psd, patch iplimit, patch stealth de grsec, pour les plus courageux re-ecrire les regles de snort via le patch string ....
De toute facon tous les n00b ont qu'un mot a la bouche quand on leur parle de secu: le firewall !!
Pensez d'abord a chrooter tous vos services, a mettre grsec, tripwire et ensuite penchez vous sur le firewall.
Un firewall ca ne fait meme pas 10% de la secu d'un reseau, ca sert juste a bloquer les DoS, flood et limiter les scans de ports.
Mieux binder un service uniquement sur une adresse plutot que de le binder sur * et ensuite de rajouter un coup de DROP.
ET puis tres sincerement, la couche tcp/ip est nettement moins bugge sous *bsd que sous linux.

 
t'en a vu bcp programmé sur OSA toi ?
 
a la limite l'equipe l.e.i.r.n pour leur proj ..les autres ... where are they ????????????????????????

 

 
il est klr, j aimerais bien voir une entreprise se faire hacker avec un firewall de base bloquant tous les ports \o/
 
ensuite quand on parle de site web hacké, c'est que le port 80 est ouvert au moins non ...
 
et la c'est le server web qui est en cause est non, parce mon watchguard basé sur un linux en plus (salopiaux) a mal rempli sont boulot en oubliant de bloquer le port 46980 qui sert a rien .
 
apres quand on parle de stack ip  

 
C'est vrai tu as raison.
 
Cela dit certains ont les mêmes travers bien qu'ils ne soient pas programmeurs.

 
un firebox II ca n'as pas de DD mon cher !!!
vois par toi meme :
 
linux 2.0, (patché a mort bien sure..)
3 rj 45,
K6 III, 500 mhz,
8Mb flash  
256 MB SDR,
carte de cryptage,
 
c tout !!!
 
(c pas le pluspuissant mais c deja du serieux on dira !!.)
 
bsd a l'air beton , je vais surement la tenté un jour.
oui on sait tous qu'un firewall n'arretera jamais tout !!
 
Mais par exemple celui que j'avais programmé a mon ancien taf :
il etait impossible de ressortir ailleurs que par le firewall applicatif ;
 
en secu y'a une regle de base : CROISé imperaTIVEMENT les TECHNOS !!!
 
explication :
firewall watchguard puis redirection des ports sensibles (FTP, HTTP,s , SMTP POP) sur un firewall applicatifs ...c IMPARABLE !!  
(ou difficilement cassable !!!) de plus la dmz et la zone de decomtamination sont la pour casser toutes attaques !!!
 
Meme de l'interieur le trio firewall - proxy - fw applicatif ca arretes tout retour de paquet "puants"
 
 
 
jamais de hack en 2 ans et demi !!
 
edit : la discussion est hyper intressante ce soir!! si si.

 
Mouarf, le gros cliché pourrave (et absolument déconnecté de la vérité). Je vais l'afficher au bureau, ça va bien faire rire.

 
même pas chiche !

tu connais bcp d'entreprise qui investisse dans ce genre de matos plutot que dans cisco ?

 
A mon sens, il faudrait remetre tout a plat question couches réseau pour les simplifier.  
 
Ensuite, il faudrait que au niveau de l'OS tout soit convenablement blindé.  
 
Le fait qu'on puisse voir encore des buffer overflow sur un OS comme linux en dit malheureusement assez long sur le type de programmation employée.
 
Je pense qu'au niveau noyau, les MicroKernels apporteront des solutions plus interessantes parce que mieux sécurisées.  
Le problème de leurs mauvaises performances sont contrebalancées par leurs gros avantages. Et puis ils s'améliorent.
 
Personellement en ce moment, je commence a m'interesser a Hurd et surtout a L4 le futur remplaçant de Mach.
 
Linux est encore un truc monolithique. Il y a trop de choses dans le noyau, c'est pas un bon concept même si question perfs ça assure. Faut bien vous dire que au niveau sécurité plus un OS est simple et mieux c'est.

 
ah voila, tu viens de me rappeler pourquoi je n'avais aucune chance de retenir un tel bordel

 
et voila on reparle du Hurd, il est partout lui

bien sure !!!!!!!!!!!!!!!!!!!!!!
 
ca vaut 30 Kf et ...
ca protege de millions de francs (euro sic ..)!!!
 
evidement que ds des des boites de + de 1000 personnes il faut ce genre de matos !!! bien sure !
 
et encore je ne te parle meme pas de groupe style shell ou j'ai bossé : y'avait une salle ou l'acces euopéen au web etait filtré par 4 checkpoint !!! deux par accés 10 mbit (y'avait 2 accés) !!! (sur le web for sure !!)
 
pour ceux que ca interessent , il faut savoir  que le principe de la DMZ c bien ... la zone de decontamination en plus(evoqué ds les linuxMag dedié firewalling) c encore mieux !!!
 
au passage vous avez des url de sites qui peuvent tester la robustesse d'un parametrage de firewall ? (pas sygate ou

 
Donc a ton bureau c'est un tas de barbus.
 
Désolé de te contredire mon cher mais j'ai raison. Aucun soft utilisé massivement par le grand public n'a été fait sous VI.
 
Un programmeur qui utiliser encore VI est déconnecté de toute notion d'ergonomie. Tout logiciel qui n'est pas ergonomique ne sera utilisé que par des nerdz. Ca semble être d'ailleurs le gros problème de Nunux.
 
Enfin, vous pouvez toujours rigoler. L'OS et les produits dominants c'est toujours Crosoft qui les fait.
 
Et vous rigolerez plus quand les PC ne pouront plus faire tourner autre chose que Windows (Sisi, c'est prévu mon pauvre...)
 
Et moi ça me fais chier de voir que grace a ces cons on va tous se faire bouffer tout cru par PetitMou.
 
 
 

 
c'est comme les antivirus ... vaut mieux mettre à jour quand il y a une faille plutot que de mettre sa liste de virus à jour
 
pour moi le firewall sert uniquement qui a le droit de faire quoi : par exemple, (un exemple tout pourri de préférence, qu'aucun pro ne metterait en pratique ) : un serveur web sur une passerelle. le firewall peut servir à dire que uniquement le réseau local a le droit d'y accéder ... même si ça peut se faire via inetd
 
par contre quand tu parles de flood, y-a pas besoin de firewall pour bloquer ça, si ?  
 
 
enfin, pour bsd/linux, chaque fois que je crois rencontrer qq'un qui s'y connait, il me dit le contraire de la personne qui s'y connait que j'avais rencontré juste avant ... tu es sur que c'est si évident que ça ?

 
Barbu !!!!  

 
shell j irais pu la haut, avec leur gazoile tout pourri ma caisse tire pas deja mon diesel tire pas bcp mais avec shell c'est pire en plus je fais 100borne de moins avec leur gazoil !

On doit pas parler de la meme chose, je repondais a chaipluki qui parlait de firebox 2 sous linux 2.0
Je disais que peu de boites devaient utiliser ce produit comparativement a du cisco.
Rien a redire sur l'utilisation de systeme plus lourd comme tu decrits.

D'un autre côté c'est clair qu'on ne peut pas comparer une boite de 1000 gugus et une autre de 5 personnes.
 
Les solutions a appliquer sont clairement pas les mêmes.
 
Beaucoup de petites boites ont même pas de firewall sous Nunux mais se contentent d'un routeur-firewall-hub de base a 1500 balles quand c'est pas un Modem-Routeur-Firewall-Sèchecheveux.

ah oki , desolé.
 
edit ; vous connaissez des liens pour tester son fw ; j'ai deja ca mais y'a pasplus cosataud ?
 
https://grc.com/x/ne.dll?bh0bkyd2
http://www.securitymetrics.com
http://www.insecure.org
http://scan.sygate.com
 
pour ta reponse bsd / linux :
 
hier j'ai tester mon firewall 3 pattes (lan-ext-dmz , un p166 - 128 mo ram hd 9go) il est sur une mdk 9.0  et ...
 
... en ayant laissé toutes mes regles à accept sur le filter + activation du masquerade j'ai juste le port 22 et 111 d'ouvert !!! (je me servais de ssh en interne (coté lan) au moment du test ...)
 
pas mal nunux (en clair il me marque mes ports comme closed, je fais pas encore de drop)donc  de base il n'est pas trop demontable ce MDK 9.0 !!!

autres avantage d'un firewall dedié : on peut le mettre a jour par flashage instantanémént par la consle d'admin (n'importe quel os !!)
... les trous sont tres vites refermé ..qd ils existent !!!
 
Mais bon, contre un sql injection ... ds un formulaire: ben le firewall hard  ne peut pas faire grd chose !!! d'ou l'interet du fw applicatif perso j'utilisé celui de trend micro il ne faisait que du ftp, smtp et http ... et quest ce qu'il en bouffait du virus et code java pourri ds le flux htttp !!!

de la meme maniere que (je vais un peu deriver), On trouve enormement de generateur de firewall: Kmyfirewall, fwbuilder etc etc, mais G encore jamais vu de generateur de script QoS.
Je dirai meme que le QoS est ultra mal documente, on trouve des script tout fait pour des gens sous netissimo 1 ou 2 mais aucun generateur qui permet de specifier tel limite sur tel port, tel prio pour tel traffic etc ....
Si vous etes developpeurs et que vous manquez d'idee, faites donc un generateur pour le QoS

 
si tu avait , avant ton serveur http, un firewall applicatif ..tes regles tu n'aurait pas a les coder !!!
 
le fw applicatif effectue un filtrage de tous vers ou code malicieu connus arrivant de ton firewall (hard) vers ton serveur http !!! (de plus il suffit de chopper la maj quotitienne ..pour dormir tranquille )
 
a ce propos ..en sortie de ton f irewall tu rediriges ton flux http (80) vers ton firewall applicatif qui ecoutes sur le port 8080 et tu rebalances ca en 80 vers ton serveur web !!!!  
et la je peux t'assurer que faut y'aller pour tout peter !!

QoS , pas pratiqué ce truc ????
 
c pas du filtrage de paquet qu'on vois sur les win2K ?

Il y a quoi de bien sous Linux ? et sous *BSD ? (FreeBsd pour etre precis).
Ca m'interesse d'etudier ca de plus pres.

D'habitude tes packets de ta connection passe par une queue d'attende de type FIFO (First In First Out)
le QoS permet de gerer differentes queues avec de la prioritee (prioritee au flux interactive par rapport au masse d/l)
Ex prio: irc, ssh, ping, http, stream audio
pas prio: ftp etc ...

tu me prends de cours!!!
 
je connais la reponse pour du windows ..
 
trend micro edite ce produit : virus firewall. est til aussi dispo ss nux et bsd ..  

 
ah okayyyyyyyyyyyyy !!!!
 
priosiation de flux, en fait !
je dis okayyyyy car j'avais demandé à FTelecom de me prioriser des flux sur ports specifiques (session as 400 pour etre plus precis) sur des routeurs cisco que je ne gerai pas en mode write !!!
 
ils devaient donc travailler en Qos c coquins !! , non ?

j'ai ton produit :
 
ici :
 
http://fr.trendmicro-europe.com/en [...] ghtnav=0,0
 
plus propre : http://fr.trendmicro-europe.com/gl [...] _Virus.pdf
 
Mais y'a surement d'autre fw applicatif aussi bien !!!

Travail chez FT, shell et le tralla et il connait pas QOS (quality of service) alors que je suis sure que toutes ces entreprise s'en servent à tous les niveaux, FT j en suis sure et certain afin d ameliorer les perfs reseau !!
 
pfffffff

 
ben oui mon  ptio, je fais pas parti des info ,en herbe, qui ne connaissent que le vocabualaire pompeux : je sais comment ca marche et comment faire marcher .. desolé !!!
 
le stateful ..ca faisait depuis 2 ans que j'en faisait , ben y'a un gros con en entretient d'embauche qui m'a sortie ce terme et je ne savais pas ce qu il voulait dire ... seulement ca faisait 2 ans que je faisait du --stat --RELATED,ESTABLISHED ss iptables ... sur ma gateway linux rh 7.0 ...
 
alors QoS ca va pas m'empecher de dormi vu que je ne m'en sert pas tous les jours !!!