lundi 06 octobre

Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Articles précédents : Logiciel

[62] Inkscape 0.46 est disponible
[24] freedom 2.10 : conversion de fichiers
[54] Nouvelle version de Bazaar, le DVCS de Canonical
[7] Correction grammaticale dans OpenOffice.org
[30] CDs de jeux libres LanPower
[18] X-Moto 0.4.2 est sorti
[40] Nagios 3.0
[4] OW2 EasyBeans 1.0 RC 3
[36] Mythtv 0.21
[66] GNOME Scan 0.6 : vulgariser la numérisation

Liens connexes

Présentation détaillée de Nuface 2.0 (2462 hits)
Page du projet Nuface2 (1052 hits)
Install party NuFW le 2 avril 2008 (369 hits)

Dépêche modérée par

Ragnagna

Dépêche éditée par

Floxy
Nyco

Logiciel : Configurez votre pare-feu Netfilter avec Nuface 2.0

Posté par Victor STINNER (page perso, ). Modéré le 28 mars 2008.

Nuface est une interface web haut niveau de configuration de pare-feu Netfilter. Écrite en PHP5 et distribuée sous licence GPL v3, elle simplifie la gestion des règles en offrant une vue haut niveau du pare-feu et une aide contextuelle expliquant directement les options de filtrage. Travaillant de concert avec NuFW et Nulog2, Nuface permet également de gérer des règles d'accès par utilisateur, par application ou par système d'exploitation, et propose le filtrage par plage horaire. Il permet également de voir à partir des journaux affichés par Nulog quelle règle a permis la connexion.

Pour la version 2.0, un effort a été fait sur l'amélioration de l'ergonomie, notamment via des formulaires simplifiés, l'ajout d'une aide contextuelle, et la mise en place d'un historique de navigation. Les règles locales (INPUT et OUTPUT) ont maintenant un formulaire dédié. Pour chaque ACL, on peut décider de tracer (avec ulogd et NuFW) ou non les connexions avec un message de log personnalisé, exploitable notamment avec le logiciel Nulog ou n'importe quel analyseur de journaux. Enfin, la mise en place initiale a été revue et facilitée avec la création d'un outil d'auto-configuration réseau (interfaces, réseaux et routes).

N'hésitez pas à venir rencontrer les développeurs à l'install party le 2 avril prochain. L'ensemble des outils seront présentés (Nuface2, NuFW et Nulog2).

Présentation détaillée de Nuface 2.0 (2462 hits)
Page du projet Nuface2 (1052 hits)
Install party NuFW le 2 avril 2008 (369 hits)

> Lire la suite (20 commentaires, moyenne: 2,8). [dépêche : 627 caractères]

Par rapport à l'écriture directe d'un script utilisant iptables, l'utilisation d'une interface web permet de réduire les erreurs de manipulation et d'assurer la cohérence des objets. Entièrement traduite en français, l'interface de Nuface se présente sous la forme de listes agrémentées d'icônes et de couleurs offrant une vue synthétique du jeu de règles. Chaque objet Nuface pouvant être un ensemble d'objets, l'écriture de règles concernant plusieurs réseaux et plusieurs protocoles est triviale, et la modification d'un objet entraîne la mise à jour des règles qui en dépendent de manière transparente.

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Nuface 2.0.1 dispo

Posté par Victor STINNER (page perso, ) le 28/03/2008 à 09:33. (lien). Évalué à 8.

Le temps que la dépêche soit rédigée, publiée, tout ça, on a eu le temps de sortir une version 2.0.1. Des paquets Debian devraient être disponible la semaine prochaine. Pour les autres distributions, toute contribution est la bienvenue :-)

nuface seul

Posté par kaouete (page perso, ) le 28/03/2008 à 09:37. (lien). Évalué à 6.

En lisant cet article, je comprend qu'on peut utiliser nuface seul pour gérer son parfeu, un peu comme avec shorewall ou autre parfeu tout intégré.

Est-ce bien le cas où a-t-on besoin d'utiliser les autres briques ? Permet-il autant de choses que shorewall par exemple ? (je n'ai pas d'idées particulières en tête)

[^]Re: nuface seul

Posté par Victor STINNER (page perso, ) le 28/03/2008 à 10:02. (lien). Évalué à 3.
Je ne connais pas Shorewall. Je l'ai installé vite fait, et c'est un truc en ligne de commande qui ne semble pas trop intuitif. Je dirai qu'ils ont la même finalité (générer un jeu de règles iptables), mais pas la même approche / interface. Nuface permet, je pense, de configurer un pare-feu à la souris sans avoir une bonne connaissance d'un pare-feu (Netfilter). Pour les ou autre parfeu tout intégré, je ne sais pas car je sais pas à quoi tu penses :-)

Au sujet de l'utilisation de Nuface sans NuFW : oui, c'est possible. Disons que Nuface et Nulog sont deux briques logicielles qui peuvent être utilisées indépendamment : on peut utiliser Nuface tout seul et Nulog tout seul.

Par contre, le trio Nuface2-Nulog2-NuFW2 est fait pour être cohérent. L'ajout de NuFW permet un filtrage beaucoup plus fin : on ne filtre plus sur l'IP mais sur l'utilisateur (la personne physique) qui est derrière la machine. NuFW permet aussi un filtrage par tranche horaire (période ou durée), par application et par systèmes d'exploitation.
- [^]Re: nuface seul
  
  Posté par kaouete (page perso, ) le 28/03/2008 à 10:10. (lien). Évalué à 5.
  Pour shorewall : en fait c'est plutôt un ensemble de fichier de conf qui décrivent le réseau et les règles, donc on est pas si loin de nuface, sauf que c'est pas une interface web + souris, mais des fichiers textes (donc plus cryptique) et le clavier.
  
  En fait au lieu de me poser ces questions, je ferais mieux de tester tout ça :)
  
  Pour les 3 briques je comprend mieux maintenant :) C'est intéressant, mais surtout pour une entreprise, une université, une résidence ou je ne sais quoi, mon utilisation sera pour la maison, donc nuface qui peut marcher seul m'intéresse beaucoup :)
  - [^]Re: nuface seul
    
    Posté par ptifeth (page perso, ) le 28/03/2008 à 11:51. (lien). Évalué à 2.
    En clicodrôme j'avais testé avec pas mal de plaisir fwbuilder, gestionnaire de firewall orienté objet générant des règles pour tout type de machine (du cisco au linux).
    
    J'ai bien sûr hâte de refondre mes règles avec nuface maintenant !
    - [^]Re: nuface seul
      
      Posté par Stéphane Thomas (page perso, ) le 29/03/2008 à 17:33. (lien). Évalué à 1.
      J'utilisais firestarter depuis un moment, mais il n'est plus maintenu on dirait. J'ai découvert fwbuider grace à cette discussion, il est vraiment pas mal.
      
      Par contre si comme moi vous n'arrivez pas à "installer" depuis le programme, "compiler" simplement le script puis copier le dans /etc/init.d et faite le lien qui va bien dans /etc/rc2.d
- [+] [^]Re: nuface seul
  
  Posté par totof2000 () le 28/03/2008 à 14:10. (lien). Évalué à -3.
  Nuface permet, je pense, de configurer un pare-feu à la souris sans avoir une bonne connaissance d'un pare-feu (Netfilter).
  
  Ca me fait bien rire .....

IPV6

Posté par kaouete (page perso, ) le 28/03/2008 à 09:46. (lien). Évalué à 5.

Une autre question intéressante : quel est le support de nuface pour ipv6 ?

Notons que je n'en ai rien vu dans le pdf de présentation, mais peut-être est-ce une feature en cours de dev ?

[^]Re: IPV6

Posté par Victor STINNER (page perso, ) le 28/03/2008 à 10:07. (lien). Évalué à 4.
Réponse courte : non, Nuface2 ne supporte pas IPv6. Par contre, Nulog2 est un des premiers (le premier ?) analyseur de logs réseaux compatible IPv6. NuFW supporte IPv6 depuis sa version 2.2.

Effectivement, IPv6 est dans la roadmap de Nuface pour avoir un ensemble d'outils totalement compatible IPv4 et IPv6.

Bien sûr, comme Nuface, Nulog et NuFW sont sous licence GPL, nous acceptons toute contribution :-) D'ailleurs, Nuface utilisant maintenant gettext, il est trivial de le localiser dans votre langue et/ou patois :-) (non je ne traduirais pas en alsacien, je ne parle pas l'alsacien, désolé)
- [^]Re: IPV6
  
  Posté par kaouete (page perso, ) le 28/03/2008 à 10:12. (lien). Évalué à 3.
  Ok :)
  
  Avec l'arrivée de l'ipv6 chez les FAI grands publiques, ça commence à être intéressant d'avoir un support pour :)
  
  Merci pour toutes ces réponses.
  - [^]Re: IPV6
    
    Posté par alexissoft (Jabber id, page perso, ) le 28/03/2008 à 16:56. (lien). Évalué à 2.
    Bah en fait ... que Free.

Interface web mais pas sur le web ?

Posté par Kerro () le 28/03/2008 à 14:03. (lien). Évalué à 2.

Si je comprends bien ça permet de générer ses règles iptables avec un navigateur web. Ensuite on peut faire copier-coller vers le fichier de configuration.
Si je comprends bien.

Mais alors pourquoi ne pas mettre ce logiciel en accès libre depuis un serveur web ? Le télécharger c'est bien, mais quelle utilité de télécharger puis installer puis configurer alors qu'il serait si simple de cliquer sur le bon lien et hop je configure ?

[^]Re: Interface web mais pas sur le web ?

Posté par Eric Leblond (page perso, ) le 28/03/2008 à 14:23. (lien). Évalué à 2.
> Si je comprends bien.

Pas tout à fait, Nuface génère un jeu de règles et applique le jeu de règles sur le parefeu. C'est donc assez utile de l'avoir sur la machine.
Cela dit, rien ne s'opposerait à faire cela sur une machine externe, puis à transférer le jeu de règles.

L'idée d'un service hébergé n'est pas stupide mais par pure paranoia je ne donnerais jamais mes règles de pare-feu à générer à un tiers ;)

[^]Re: Interface web mais pas sur le web ?

Posté par Victor STINNER (page perso, ) le 28/03/2008 à 14:23. (lien). Évalué à 2.
Hum, un pare-feu est quand même un service très sensible du point de vue sécurité. Il vaut mieux héberger ce genre de service chez soit pour éviter les fuites d'information.

Nuface a besoin de connaître la configuration de ton pare-feu : interfaces, réseaux, routes ; informations qui ne peuvent lues que sur le pare-feu lui même (bien qu'il soit possible de lancer gendesc.xml sur le pare-feu et récupérer le fichier desc.xml sur une autre machine). L'autre contrainte est de lancer un script bash en tant que root (/etc/init.d/init-firewall lancé avec sudo) pour charger les règles iptables.

D'une manière ou d'une autre, ça serait possible, mais ça rend l'infrastructure (inutilement ?) compliquée.
- [^]Re: Interface web mais pas sur le web ?
  
  Posté par totof2000 () le 28/03/2008 à 21:16. (lien). Évalué à 2.
  un pare-feu est quand même un service très sensible du point de vue sécurité. Il vaut mieux héberger ce genre de service chez soit pour éviter les fuites d'information.
  
  Personnellement j'évite aussi tout ce qui est à base de serveur www, php, etc ...
  - [^]Re: Interface web mais pas sur le web ?
    
    Posté par Victor STINNER (page perso, ) le 28/03/2008 à 23:44. (lien). Évalué à 2.
    Nuface s'installe derrière un Apache qui s'occupe de la couche authentification. Alors après c'est une histoire de configuration, il n'y a pas de raison de laisser Nuface ouvert pour tous. Nuface vérifie les données à tous les étages, donc je pense qu'avec en plus l'authentification Apache, le risque est minime. Interface web ne veut pas forcément dire accessible pour tous sur Internet.
    - [^]Re: Interface web mais pas sur le web ?
      
      Posté par Kerro () le 28/03/2008 à 23:59. (lien). Évalué à 3.
      N'empêche que je me vois mal installer apache et tout le toutim sur nos dizaines de machines qui servent de support à des serveurs virtuels de production, à des machines qui servent d'agrégateurs de liens ADSL, etc.
      
      Apache n'a rien à faire sur des machines de production (sauf si c'est, justement, un serveur web).
      
      Dans mon cas, je continue à la mimine :-)
      Enfin copier/coller et un chti coup de sed.

simple à quel point ?

Posté par arno () le 29/03/2008 à 01:43. (lien). Évalué à 1.

Bonjour, j'ai actuellement un viel ordi qui fait tourner une IPCop pour gérer ma connection mais je pense à changer depuis un moment pour qu'il puisse faire un peu plus (serveur IMAP, ...).

Ce qui m'a retenu jusqu'à maintenant c'est la facilité des opérations de base pour configurer le pare-feu, comme rediriger les ports pour héberger temporairement un serveur Neverwinter ou autre. Facilité que je ne veus pas perdre en passant sur une distribution plus générale. Si je dois me taper des règles iptables à la main c'est clair que je vais finir par faire un truc bancal ou laisser des ports ouverts alors qu'ils ne servent que tous les 3 mois. ^^

Est-ce que Nuface peut correspondre à ce que je recherche ?

Tester Nuface 2 avec un LiveCD

Posté par naotemp () le 30/03/2008 à 10:40. (lien). Évalué à 4.

Un moyen très simple de tester Nuface 2 (entre autres outils de pare-feu) est tout simplement le LiveCD http://live.nufw.org. Je crois qu'il manque juste dans cette version du Live la possibilité de choisir son marqueur de log dans Nuface et de le voir affiché dans Nulog (analyse de log pare-feu), et de voir dans Nulog qu'elle règle Nuface a été appliquée pour chaque paquet.

Mais l'essentiel est là pour se faire une idée, le plus long étant le téléchargement de l'ISO !

[^]Re: Tester Nuface 2 avec un LiveCD

Posté par Eric Leblond (page perso, ) le 04/04/2008 à 09:49. (lien). Évalué à 1.
Une nouvelle version du LiveCD, NuFW.Live v 1.1, contenant la dernière version de nuface a été publiée et est disponible sur le site http://live.nufw.org.

Voici les liens directs pour le téléchargement :
- http://live.nufw.org/dl/nufwlive-fr-v1.1.iso.torrent
- http://live.nufw.org/dl/nufwlive-fr-v1.1.iso

Revenir en haut de page

Articles précédents : Logiciel

Liens connexes

Dépêche modérée par

Dépêche éditée par

Logiciel : Configurez votre pare-feu Netfilter avec Nuface 2.0

Nuface 2.0.1 dispo

nuface seul

[^]Re: nuface seul

[^]Re: nuface seul

[^]Re: nuface seul

[^]Re: nuface seul

[+] [^]Re: nuface seul

IPV6

[^]Re: IPV6

[^]Re: IPV6

[^]Re: IPV6

Interface web mais pas sur le web ?

[^]Re: Interface web mais pas sur le web ?

[^]Re: Interface web mais pas sur le web ?

[^]Re: Interface web mais pas sur le web ?

[^]Re: Interface web mais pas sur le web ?

[^]Re: Interface web mais pas sur le web ?

simple à quel point ?

Tester Nuface 2 avec un LiveCD

[^]Re: Tester Nuface 2 avec un LiveCD