Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2356 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Quel firewall (parefeu) pour un usage pro (et home) : libre !

 



Quel parefeu opensource utilisez-vous pour protéger le poulailler ?


 
50.0 %
 5 votes
1.  pfsense 2.x
 
 
10.0 %
 1 vote
2.  ipcop 2.15
 
 
0.0 %
        0 vote
3.  ipfire 2.15
 
 
0.0 %
        0 vote
4.  smoothwall 3.x rcx
 
 
0.0 %
        0 vote
5.  untangle 11
 
 
0.0 %
        0 vote
6.  endian firewall 3.x
 
 
0.0 %
        0 vote
7.  sophos utm 9.2
 
 
0.0 %
        0 vote
8.  zeroshell
 
 
0.0 %
        0 vote
9.  m0n0wall
 
 
40.0 %
 4 votes
10.  A la mano, un iptable sinon rien ! (ou alors un pf, ipf ?)
 

Total : 20 votes (10 votes blancs)
Ce sondage est clos, vous ne pouvez plus voter
 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Quel firewall (parefeu) pour un usage pro (et home) : libre !

n°1366502
ledufakade​my
Esprit libre
Posté le 17-10-2014 à 20:48:46  profilanswer
 

Quel parefeu opensource utilisez-vous pour protéger le poulailler ?
 
après on fera un chti tour des hardware :
du nuc dual gigabit en passant pas le superbe pcengine AFU, lme critére 1 étant au mini du dual nic (gigabit)
 


 
 
Je peux aussi signaler un produit comme "firewall builder" pour monter from scratch !
 
un article sympa pour choisir : http://www.mondaiji.com/blog/other [...] all-distro


Message édité par ledufakademy le 18-10-2014 à 21:06:19
mood
Publicité
Posté le 17-10-2014 à 20:48:46  profilanswer
 

n°1366507
goblin_rie​ur
ingé systemes unix
Posté le 17-10-2014 à 21:08:29  profilanswer
 

openoffice comme l'état ... là tu es sur à 100% :hello:  
 
on est vendredi jour du troll :D


---------------
Collectionner les vieux serveurs c'est chouette mais c'est lourd et ça prend de la place ;)
n°1366508
ledufakade​my
Esprit libre
Posté le 17-10-2014 à 21:14:43  profilanswer
 

goblin_rieur a écrit :

openoffice comme l'état ... là tu es sur à 100% :hello:  
 
on est vendredi jour du troll :D


t'es vache là ;-)


Message édité par ledufakademy le 17-10-2014 à 21:14:57
n°1366520
bardiel
Debian powa !
Posté le 18-10-2014 à 02:38:06  profilanswer
 

goblin_rieur a écrit :

openoffice comme l'état ... là tu es sur à 100% :hello:


Mais, il existe.
Donc oui, le pare-feu d'OpenOffice est à intégrer dans la liste :D

 

Vote : pfsense. Pour être sérieux tout de même pour la question.


Message édité par bardiel le 18-10-2014 à 02:39:06

---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°1366533
the marsha​ll
Posté le 18-10-2014 à 15:26:58  profilanswer
 

Franchement je pense que la plupart des solutions liste sont acceptables pour la maison / petite entreprise.
 
Tout dépend de ce que tu attend d'un Firewall, le terme n'est pas très précis...
Du routage simple, NAT et filtrage de packets (statefull), toutes les solution le fond.
 
Perso je trouve pfsense vraiment bien et avec la board APU de pcengine c'est juste parfait. (et pfsense sur un serveur plus pêchu quand nécessaire.)
 
A la fin tout dépend si on recherche une solution simple avec interface web. Configurer correctement n'importe quel linux ou BSD fonctionne aussi.

n°1366550
blazkowicz
Posté le 18-10-2014 à 18:42:32  profilanswer
 

Un pentium II avec un mix de cartes 3COM et Realtek :o

n°1366555
ledufakade​my
Esprit libre
Posté le 18-10-2014 à 21:09:16  profilanswer
 

the marshall a écrit :

Franchement je pense que la plupart des solutions liste sont acceptables pour la maison / petite entreprise.
 
Tout dépend de ce que tu attend d'un Firewall, le terme n'est pas très précis...
Du routage simple, NAT et filtrage de packets (statefull), toutes les solution le fond.
 
Perso je trouve pfsense vraiment bien et avec la board APU de pcengine c'est juste parfait. (et pfsense sur un serveur plus pêchu quand nécessaire.)
 
A la fin tout dépend si on recherche une solution simple avec interface web. Configurer correctement n'importe quel linux ou BSD fonctionne aussi.


non un linux (dsitrib) de base : n'est pas fait pour ... il faut faire du hardening dessus, voir recompiler des éléments pour avoir un truc acceptable. :non:

n°1366556
ledufakade​my
Esprit libre
Posté le 18-10-2014 à 21:12:06  profilanswer
 

blazkowicz a écrit :

Un pentium II avec un mix de cartes 3COM et Realtek :o


Alors il faut savoir que le parefeu comme tu le conçois n’existe plus.
On parle d'UTM ...  
Et heureusement car on peut tout passer par un simple port http(s) ouvert : un pare-feu digne de ce nom (et ce n'est qu'une pièce du dispositif) fait du DPI à minima, dispose d'une base d'attaques à jour etc.

n°1366561
bardiel
Debian powa !
Posté le 19-10-2014 à 09:20:16  profilanswer
 

ledufakademy a écrit :

Et heureusement car on peut tout passer par un simple port http(s) ouvert : un pare-feu digne de ce nom (et ce n'est qu'une pièce du dispositif) fait du DPI à minima, dispose d'une base d'attaques à jour etc.


D'un côté c'est bien, d'un autre côté c'est moche... bye les tunnels SSH sur le port 80 pour mater du pr0n (ou tout autre utilisation) depuis son taf en se connectant sur son serveur perso :lol:  
 
Après une solution "faite maison" (enfin presque) à base de :
- règles iptables pour qui entre, qui sort
- un squid/squid-cache pour le cache web/http
- Snort/Argus/Bro (suivant la topologie du réseau) pour la surveillance
- Arpwatch (optionnel) avec un IPAM pour la gestion IP/MAC
- Nagios avec Weathermap ou du nProbe ou du SiLK pour le suivi du réseau
ça peut "quasiment" faire le taf demandé et même plus.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°1366563
agentsteel
Posté le 19-10-2014 à 11:16:31  profilanswer
 

bardiel a écrit :


D'un côté c'est bien, d'un autre côté c'est moche... bye les tunnels SSH sur le port 80 pour mater du pr0n (ou tout autre utilisation) depuis son taf en se connectant sur son serveur perso :lol:  

encore plus chiant : le firewall qui interdit la connexions SSL à ton serveur perso si ce dernier dispose d'un certificat auto-signé  :sweat:  
 
par contre certains sites pourris mais avec un certif "conforme" ne sont pas tous filtrés  :ange:  


---------------
http://agentoss.wordpress.com/
mood
Publicité
Posté le 19-10-2014 à 11:16:31  profilanswer
 

n°1366568
ledufakade​my
Esprit libre
Posté le 19-10-2014 à 12:57:08  profilanswer
 

bardiel a écrit :


D'un côté c'est bien, d'un autre côté c'est moche... bye les tunnels SSH sur le port 80 pour mater du pr0n (ou tout autre utilisation) depuis son taf en se connectant sur son serveur perso :lol:  
 
Après une solution "faite maison" (enfin presque) à base de :
- règles iptables pour qui entre, qui sort
- un squid/squid-cache pour le cache web/http
- Snort/Argus/Bro (suivant la topologie du réseau) pour la surveillance
- Arpwatch (optionnel) avec un IPAM pour la gestion IP/MAC
- Nagios avec Weathermap ou du nProbe ou du SiLK pour le suivi du réseau
ça peut "quasiment" faire le taf demandé et même plus.


globalement je pense comme toi :! c'est moche ...
 
Mais bon il est loin le temps ou on montait une MNF (Mandrake Network Firewall) ou encore une mandrake 8/redhat 7.1 et on faisait son script iptables, bien loin.
Moi ce que je veux surtout avoir chez moi (au taf je ne suis plus impliqué on dira ;-) ) c'est avoir un monitoring ultra précis des flux, et puis quand on a été habitué à gérer des solution à plus de 5000 euros ... ipcop est juste (mais elle fait son taf à merveille)
 
Je me tate avec UTM 9.2 de sophos, Endian voir pfsense ... mais dans tout les cas je pense que le NSA free ... cela va être très dur !

n°1366654
ledufakade​my
Esprit libre
Posté le 20-10-2014 à 22:23:21  profilanswer
 

Sinon est-ce que vous savez quel de ces pare-feu permet de voir le trafic d'un client, et le cas échéant bloquer son trafic en un clic ?

n°1366913
ledufakade​my
Esprit libre
Posté le 26-10-2014 à 10:22:01  profilanswer
 

Sinon triste constat : TOUTES les distrib firewall (utm) sont maintenus , développées ou ont été racheté par des sociétés UK ou US !!!
 
ENORME.
 
A ce demander si il va falloir revenir à la bonne vieille technique :
 
Debian hardened + firewall builder !

Message cité 1 fois
Message édité par ledufakademy le 26-10-2014 à 11:05:34
n°1366932
ledufakade​my
Esprit libre
Posté le 26-10-2014 à 21:58:14  profilanswer
 

Autre question que je me pose pourquoi pas mal de parefeu de cette liste sont avec des kernel 2.6 (voir2.4) et pas en 3.x ? :heink:

n°1366943
bardiel
Debian powa !
Posté le 27-10-2014 à 07:29:12  profilanswer
 

ledufakademy a écrit :

Sinon triste constat : TOUTES les distrib firewall (utm) sont maintenus , développées ou ont été racheté par des sociétés UK ou US !!!
 
ENORME.
 
A ce demander si il va falloir revenir à la bonne vieille technique :
 
Debian hardened + firewall builder !


Ah ah et Debian c'est principalement maintenu par des développeurs... US [:s@ms:2]  
A un certain moment il faudra lâcher ton idée du 100% "made in France" pour ton infra informatique, ce n'est pas faisable.
 
Autre exemple : tu es un utilisateur d'un NAS Synology, pas trop "made in France" [:the geddons] et quand à remplacer du NAS Syno alors que dans pas mal de cas ils sont parfaitement dimensionnés et conçus pour, pour avoir un truc bricolé à la place, ce n'est pas le bon plan quand on est dans un milieu pro avec ses contraintes.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°1366951
ledufakade​my
Esprit libre
Posté le 27-10-2014 à 09:56:20  profilanswer
 

bardiel a écrit :


Ah ah et Debian c'est principalement maintenu par des développeurs... US [:s@ms:2]  
A un certain moment il faudra lâcher ton idée du 100% "made in France" pour ton infra informatique, ce n'est pas faisable.
 
Autre exemple : tu es un utilisateur d'un NAS Synology, pas trop "made in France" [:the geddons] et quand à remplacer du NAS Syno alors que dans pas mal de cas ils sont parfaitement dimensionnés et conçus pour, pour avoir un truc bricolé à la place, ce n'est pas le bon plan quand on est dans un milieu pro avec ses contraintes.


 
tu racontes un peu ce que tu veux sur Debian :
 
https://www.debian.org/devel/developers.loc
 
Et pour le made in france ?
Bien sure que cela a existé !(il y a pas bien longtemps)
Le problème est que les boites ont été racheté à coup de dollars, et dans la foulée les maisons mères ont changé les algo de cryptage/chiffrement maison(européen et français)
Bienvenu en Amérique camarade !
 
... écoutes Eric Filliol, c'est un sage: http://www.ledufakademy.fr/?p=116
 
Ensuite bien sure que du full linux cela peut tourner !
 
Enfin Synology c'est Taiwan ... donc chine ... Et pour ton info la partie samba du syno présente des bug facheux ! (c'est pourtant du pro DSM 5.0 !!!)
C'est l’expérience qui parle et tien lis ce truc (http://www.ledufakademy.fr/?cat=12Téléchargement puis "Technologies" et enfin "Sécurité..." puis "Migration ..." ), comme quoi y'en a qui se retroussent les manches chez nous, si si des français veulent encore vraiment bosser !

Message cité 1 fois
Message édité par ledufakademy le 27-10-2014 à 10:34:24
n°1367006
bardiel
Debian powa !
Posté le 27-10-2014 à 18:16:34  profilanswer
 

ledufakademy a écrit :

tu racontes un peu ce que tu veux sur Debian
(...)
Le problème est que les boites ont été racheté à coup de dollars, et dans la foulée les maisons mères ont changé les algo de cryptage/chiffrement maison(européen et français)
Bienvenu en Amérique camarade !


Mouais, ben à l'occase passes voir les RMLL sur le stand Debian, et demandes-leur. La "direction" du développement est clairement faites par des dévs US, ou qui travaillent dans les boîtes US.
Je te parle Debian, pas d'autre chose.

ledufakademy a écrit :

Et pour le made in france ?
Bien sure que cela a existé !(il y a pas bien longtemps)


Tu veux du Fr, en parefeu il y avait la suite Mandrake Security. "Avait".
Ben oui, du développement Fr c'est bien, mais quand ça ne choisit pas Mandriva comme base, mais plutôt du Debian et/ou de l'Ubuntu, y'a de quoi tousser.

ledufakademy a écrit :

Ensuite bien sure que du full linux cela peut tourner !


J'ai indiqué le contraire ?
 
Je te dis juste qu'au bout d'un moment, il faut arrêter de chouiner et prendre ce qu'il y a.
Il ne faut pas oublier que pfsense propose des solutions de pare-feu pré-configurées, rackable en 19 pouces, (quasi) prêt à l'emploi. L'entreprise ou l'administration qui voit ça ne va pas s'enquiquiner à faire du "à la mano", elle n'a plus ni le temps, ni les moyens de se payer quelqu'un pour le maintenir. Idem pour le choix d'un Sophos ou d'un Endian.
C'est aussi à mettre dans la balance du choix d'un pare-feu pour une entreprise.
 
Quand au choix à la mano, il y a des personnes qui le font, mais qui ont les compétences pour. Va expliquer maintenant aux patrons de la STSI² (en exemple de grosse administration engagée dans le libre) qu'ils devront faire du pare-feu "à la mano", les ingés que t'aura en face ils te rireront au nez.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°1367008
ledufakade​my
Esprit libre
Posté le 27-10-2014 à 18:52:10  profilanswer
 

ce que tu dis est défendable.
 
"les ingés que t'aura en face ils te rireront au nez." ?
Écoutes les experts sécurité ? moi ils me font marrer, très forts.
 
On pourrait se tel pour en causer ! (j'ai des anecdotes au km) car avec un clavier pouarfff.
 
A+ bardiel

n°1367102
ledufakade​my
Esprit libre
Posté le 28-10-2014 à 18:36:05  profilanswer
 

Bon je viens de choisir :
 
Sophos UTM 9.2 (home edition), cela se rapproche des parefeu matériel pro.
Pour moi la gestion par objet est essentiel.
Endian Firewall 3.0 se défends bien mais devoir se coltiner ip par ip les régles non merci. Il est impossible de faire des groupements. Dommage car son système de log en temps réel est un peu plus aboutit que sophos (astaro). Et surtout le fait d'avoir intégré NTOPng est vraiment génial.
 
Mais la gestion du parefeu est lourde, à la maison cela peut encore passer, en milieu pro : ca coince : on sent bien que c'est une ipcop dessous (green, red, blue orange ... ;-).
 
Sinon devant le hardware : il me fallait du pas cher ... un vieux athlon B2 x2 2.4 ghe (dual core) + 2 go de ddr3 ont eu raison des autres petit bête vraiment sympas.

Message cité 1 fois
Message édité par ledufakademy le 28-10-2014 à 18:39:25
n°1367104
bardiel
Debian powa !
Posté le 28-10-2014 à 19:01:30  profilanswer
 

ledufakademy a écrit :

Sinon devant le hardware : il me fallait du pas cher ... un vieux athlon B2 x2 2.4 ghe (dual core) + 2 go de ddr3 ont eu raison des autres petit bête vraiment sympas.


En tant que décideur, si tu me mets comme proposition la récupération d'un Athlon B2 avec les éventuels problèmes qui iront avec (garantie absente, support zéro), ça sera un niet pur et simple.
 
Sophos je n'ai pas testé, je ne dirais rien dessus.
Tu n'as pas indiqué aussi dans ce topic la nécessité de NTOPng. Après quand je lis la description au niveau ressource CPU :

Citation :

On a modern PC and large LAN, it is less than 10% of overall CPU load.


Si le matos du pare-feu est utilisé pour ça... est-ce que cela aura donc sa place dessus, au lieu de traiter les paquets ?
De la même manière pour une utilisation home ou small business/PME, savoir que tel quantité de traffic est utilisé pour telle application, c'est passionnant [:transparency]  
 
Il ne faut donc pas voir "trop large", et faire un résumé de ce que tu as réellement besoin. Tu parles par exemple "devoir se coltiner ip par ip les régles non merci", plus loin tu indiques vouloir du logs poussés, tu mets NTOPng encore plus loin.
C'est voir trop large, et tu n'avais pas indiqué avant !


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°1367144
ledufakade​my
Esprit libre
Posté le 29-10-2014 à 09:49:47  profilanswer
 

tu crois qu'un parefeu materiel c'est quoi dedans ?
un athlon dual core ?
ben c'est plutôt, et souvent, un atom de daube !!!!(pour du xeon on passe sur des appliance à plus de 5000 euros ...)
 
Alors ok en milieu pro je fait acheter un rack entrée de gamme avec du xeon ou core i5 mini mais sinon pour une tpe ou pme cela suffirait LARGEMENT !
 
Ntopng c'est juste du monitoring temps réel et surtout de l'analyse fine de bande passante : rien de plus.
Tous les UTM dignes de ce nom proposent ce genre de caractéristique de nos jours !
 
De plus sur Endian il est débrayable, donc pas de conso, ntopng crée ses propres hook sur la stack ip (driver temps réel) donc idem pas d'interférences : http://www.ntop.org/products/pf_ring/.
J'ai fait des tests de saturation de bande passante ntopng ne flingue pas cette dernière. (54 Mo/s du lan vers ma dmz , avec sophos c'est autre choses ....)
 
ce que je mentionne, n'est pas prévoir "trop large" : c'est aujourd'hui le minimum que propose un UTM.
 
Après bien sure on peut faire avec iptables ... mais la protection est ridicule et surtout inapproprié en 2014 (il suffit de voir les bases d'attaques de snort pour voir que iptables tout seul ... lol quoi !!!).


Message édité par ledufakademy le 29-10-2014 à 13:43:56
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Quel firewall (parefeu) pour un usage pro (et home) : libre !

 

Sujets relatifs
Serveur streaming multimédia@home[RESOLU] Impossible de démarrer windows depuis l'install de Ubuntu :(
dansguardian privoxy firewallFTP derrière firewall + reverse proxy
Cherche log de sauvegarde de /home selon mes préférences.Radeon r7 240, pilote libre ou proprio ?
trisquel - distribution avec noyau 100% librequelle distrib pour firewall et vpn en entreprise ?
[Topic Unique] Syncany (DropBox like, libre)Conseil distro pour home server
Plus de sujets relatifs à : Quel firewall (parefeu) pour un usage pro (et home) : libre !


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR