Quel parefeu opensource utilisez-vous pour protéger le poulailler ?
 
après on fera un chti tour des hardware :
du nuc dual gigabit en passant pas le superbe pcengine AFU, lme critére 1 étant au mini du dual nic (gigabit)
 

• http://www.servethehome.com/Server [...] ton-c2550/  
• http://www.asus.com/Commercial_Ser [...] AIC25504L/ (mais où l'acheter ??? LDLC ... ?)
• http://pcengines.ch/apu1c4.htm + son boitier
• Shuttle DS61

 
 
Je peux aussi signaler un produit comme "firewall builder" pour monter from scratch !
 
un article sympa pour choisir : http://www.mondaiji.com/blog/other [...] all-distro

openoffice comme l'état ... là tu es sur à 100%  
 
on est vendredi jour du troll

t'es vache là ;-)

Mais, il existe.
Donc oui, le pare-feu d'OpenOffice est à intégrer dans la liste

Vote : pfsense. Pour être sérieux tout de même pour la question.

Franchement je pense que la plupart des solutions liste sont acceptables pour la maison / petite entreprise.
 
Tout dépend de ce que tu attend d'un Firewall, le terme n'est pas très précis...
Du routage simple, NAT et filtrage de packets (statefull), toutes les solution le fond.
 
Perso je trouve pfsense vraiment bien et avec la board APU de pcengine c'est juste parfait. (et pfsense sur un serveur plus pêchu quand nécessaire.)
 
A la fin tout dépend si on recherche une solution simple avec interface web. Configurer correctement n'importe quel linux ou BSD fonctionne aussi.

Un pentium II avec un mix de cartes 3COM et Realtek

non un linux (dsitrib) de base : n'est pas fait pour ... il faut faire du hardening dessus, voir recompiler des éléments pour avoir un truc acceptable.

Alors il faut savoir que le parefeu comme tu le conçois n’existe plus.
On parle d'UTM ...  
Et heureusement car on peut tout passer par un simple port http(s) ouvert : un pare-feu digne de ce nom (et ce n'est qu'une pièce du dispositif) fait du DPI à minima, dispose d'une base d'attaques à jour etc.

D'un côté c'est bien, d'un autre côté c'est moche... bye les tunnels SSH sur le port 80 pour mater du pr0n (ou tout autre utilisation) depuis son taf en se connectant sur son serveur perso  
 
Après une solution "faite maison" (enfin presque) à base de :
- règles iptables pour qui entre, qui sort
- un squid/squid-cache pour le cache web/http
- Snort/Argus/Bro (suivant la topologie du réseau) pour la surveillance
- Arpwatch (optionnel) avec un IPAM pour la gestion IP/MAC
- Nagios avec Weathermap ou du nProbe ou du SiLK pour le suivi du réseau
ça peut "quasiment" faire le taf demandé et même plus.

encore plus chiant : le firewall qui interdit la connexions SSL à ton serveur perso si ce dernier dispose d'un certificat auto-signé    
 
par contre certains sites pourris mais avec un certif "conforme" ne sont pas tous filtrés    

globalement je pense comme toi :! c'est moche ...
 
Mais bon il est loin le temps ou on montait une MNF (Mandrake Network Firewall) ou encore une mandrake 8/redhat 7.1 et on faisait son script iptables, bien loin.
Moi ce que je veux surtout avoir chez moi (au taf je ne suis plus impliqué on dira ;-) ) c'est avoir un monitoring ultra précis des flux, et puis quand on a été habitué à gérer des solution à plus de 5000 euros ... ipcop est juste (mais elle fait son taf à merveille)
 
Je me tate avec UTM 9.2 de sophos, Endian voir pfsense ... mais dans tout les cas je pense que le NSA free ... cela va être très dur !

Sinon est-ce que vous savez quel de ces pare-feu permet de voir le trafic d'un client, et le cas échéant bloquer son trafic en un clic ?

Sinon triste constat : TOUTES les distrib firewall (utm) sont maintenus , développées ou ont été racheté par des sociétés UK ou US !!!
 
ENORME.
 
A ce demander si il va falloir revenir à la bonne vieille technique :
 
Debian hardened + firewall builder !

Autre question que je me pose pourquoi pas mal de parefeu de cette liste sont avec des kernel 2.6 (voir2.4) et pas en 3.x ?

Ah ah et Debian c'est principalement maintenu par des développeurs... US  
A un certain moment il faudra lâcher ton idée du 100% "made in France" pour ton infra informatique, ce n'est pas faisable.
 
Autre exemple : tu es un utilisateur d'un NAS Synology, pas trop "made in France" et quand à remplacer du NAS Syno alors que dans pas mal de cas ils sont parfaitement dimensionnés et conçus pour, pour avoir un truc bricolé à la place, ce n'est pas le bon plan quand on est dans un milieu pro avec ses contraintes.

 
tu racontes un peu ce que tu veux sur Debian :
 
https://www.debian.org/devel/developers.loc
 
Et pour le made in france ?
Bien sure que cela a existé !(il y a pas bien longtemps)
Le problème est que les boites ont été racheté à coup de dollars, et dans la foulée les maisons mères ont changé les algo de cryptage/chiffrement maison(européen et français)
Bienvenu en Amérique camarade !
 
... écoutes Eric Filliol, c'est un sage: http://www.ledufakademy.fr/?p=116
 
Ensuite bien sure que du full linux cela peut tourner !
 
Enfin Synology c'est Taiwan ... donc chine ... Et pour ton info la partie samba du syno présente des bug facheux ! (c'est pourtant du pro DSM 5.0 !!!)
C'est l’expérience qui parle et tien lis ce truc (http://www.ledufakademy.fr/?cat=12Téléchargement puis "Technologies" et enfin "Sécurité..." puis "Migration ..." ), comme quoi y'en a qui se retroussent les manches chez nous, si si des français veulent encore vraiment bosser !

Mouais, ben à l'occase passes voir les RMLL sur le stand Debian, et demandes-leur. La "direction" du développement est clairement faites par des dévs US, ou qui travaillent dans les boîtes US.
Je te parle Debian, pas d'autre chose.

Tu veux du Fr, en parefeu il y avait la suite Mandrake Security. "Avait".
Ben oui, du développement Fr c'est bien, mais quand ça ne choisit pas Mandriva comme base, mais plutôt du Debian et/ou de l'Ubuntu, y'a de quoi tousser.

J'ai indiqué le contraire ?
 
Je te dis juste qu'au bout d'un moment, il faut arrêter de chouiner et prendre ce qu'il y a.
Il ne faut pas oublier que pfsense propose des solutions de pare-feu pré-configurées, rackable en 19 pouces, (quasi) prêt à l'emploi. L'entreprise ou l'administration qui voit ça ne va pas s'enquiquiner à faire du "à la mano", elle n'a plus ni le temps, ni les moyens de se payer quelqu'un pour le maintenir. Idem pour le choix d'un Sophos ou d'un Endian.
C'est aussi à mettre dans la balance du choix d'un pare-feu pour une entreprise.
 
Quand au choix à la mano, il y a des personnes qui le font, mais qui ont les compétences pour. Va expliquer maintenant aux patrons de la STSI² (en exemple de grosse administration engagée dans le libre) qu'ils devront faire du pare-feu "à la mano", les ingés que t'aura en face ils te rireront au nez.

ce que tu dis est défendable.
 
"les ingés que t'aura en face ils te rireront au nez." ?
Écoutes les experts sécurité ? moi ils me font marrer, très forts.
 
On pourrait se tel pour en causer ! (j'ai des anecdotes au km) car avec un clavier pouarfff.
 
A+ bardiel

Bon je viens de choisir :
 
Sophos UTM 9.2 (home edition), cela se rapproche des parefeu matériel pro.
Pour moi la gestion par objet est essentiel.
Endian Firewall 3.0 se défends bien mais devoir se coltiner ip par ip les régles non merci. Il est impossible de faire des groupements. Dommage car son système de log en temps réel est un peu plus aboutit que sophos (astaro). Et surtout le fait d'avoir intégré NTOPng est vraiment génial.
 
Mais la gestion du parefeu est lourde, à la maison cela peut encore passer, en milieu pro : ca coince : on sent bien que c'est une ipcop dessous (green, red, blue orange ... ;-).
 
Sinon devant le hardware : il me fallait du pas cher ... un vieux athlon B2 x2 2.4 ghe (dual core) + 2 go de ddr3 ont eu raison des autres petit bête vraiment sympas.

En tant que décideur, si tu me mets comme proposition la récupération d'un Athlon B2 avec les éventuels problèmes qui iront avec (garantie absente, support zéro), ça sera un niet pur et simple.
 
Sophos je n'ai pas testé, je ne dirais rien dessus.
Tu n'as pas indiqué aussi dans ce topic la nécessité de NTOPng. Après quand je lis la description au niveau ressource CPU :

Si le matos du pare-feu est utilisé pour ça... est-ce que cela aura donc sa place dessus, au lieu de traiter les paquets ?
De la même manière pour une utilisation home ou small business/PME, savoir que tel quantité de traffic est utilisé pour telle application, c'est passionnant  
 
Il ne faut donc pas voir "trop large", et faire un résumé de ce que tu as réellement besoin. Tu parles par exemple "devoir se coltiner ip par ip les régles non merci", plus loin tu indiques vouloir du logs poussés, tu mets NTOPng encore plus loin.
C'est voir trop large, et tu n'avais pas indiqué avant !

tu crois qu'un parefeu materiel c'est quoi dedans ?
un athlon dual core ?
ben c'est plutôt, et souvent, un atom de daube !!!!(pour du xeon on passe sur des appliance à plus de 5000 euros ...)
 
Alors ok en milieu pro je fait acheter un rack entrée de gamme avec du xeon ou core i5 mini mais sinon pour une tpe ou pme cela suffirait LARGEMENT !
 
Ntopng c'est juste du monitoring temps réel et surtout de l'analyse fine de bande passante : rien de plus.
Tous les UTM dignes de ce nom proposent ce genre de caractéristique de nos jours !
 
De plus sur Endian il est débrayable, donc pas de conso, ntopng crée ses propres hook sur la stack ip (driver temps réel) donc idem pas d'interférences : http://www.ntop.org/products/pf_ring/.
J'ai fait des tests de saturation de bande passante ntopng ne flingue pas cette dernière. (54 Mo/s du lan vers ma dmz , avec sophos c'est autre choses ....)
 
ce que je mentionne, n'est pas prévoir "trop large" : c'est aujourd'hui le minimum que propose un UTM.
 
Après bien sure on peut faire avec iptables ... mais la protection est ridicule et surtout inapproprié en 2014 (il suffit de voir les bases d'attaques de snort pour voir que iptables tout seul ... lol quoi !!!).