jeudi 20 novembre
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

: Configurez votre pare-feu Netfilter avec Nuface 2.0

Posté par Victor STINNER (page perso, ). Modéré le 28 mars 2008.
0
Nuface est une interface web haut niveau de configuration de pare-feu Netfilter. Écrite en PHP5 et distribuée sous licence GPL v3, elle simplifie la gestion des règles en offrant une vue haut niveau du pare-feu et une aide contextuelle expliquant directement les options de filtrage. Travaillant de concert avec NuFW et Nulog2, Nuface permet également de gérer des règles d'accès par utilisateur, par application ou par système d'exploitation, et propose le filtrage par plage horaire. Il permet également de voir à partir des journaux affichés par Nulog quelle règle a permis la connexion.

Pour la version 2.0, un effort a été fait sur l'amélioration de l'ergonomie, notamment via des formulaires simplifiés, l'ajout d'une aide contextuelle, et la mise en place d'un historique de navigation. Les règles locales (INPUT et OUTPUT) ont maintenant un formulaire dédié. Pour chaque ACL, on peut décider de tracer (avec ulogd et NuFW) ou non les connexions avec un message de log personnalisé, exploitable notamment avec le logiciel Nulog ou n'importe quel analyseur de journaux. Enfin, la mise en place initiale a été revue et facilitée avec la création d'un outil d'auto-configuration réseau (interfaces, réseaux et routes).

N'hésitez pas à venir rencontrer les développeurs à l'install party le 2 avril prochain. L'ensemble des outils seront présentés (Nuface2, NuFW et Nulog2).

> Lire la suite (20 commentaires, moyenne: 2,8).   [dépêche : 627 caractères]

Vous avez demandé le commentaire #917404.

Interface web mais pas sur le web ?

Posté par Kerro () le 28/03/2008 à 14:03. (lien). Évalué à 2.

Si je comprends bien ça permet de générer ses règles iptables avec un navigateur web. Ensuite on peut faire copier-coller vers le fichier de configuration.
Si je comprends bien.

Mais alors pourquoi ne pas mettre ce logiciel en accès libre depuis un serveur web ? Le télécharger c'est bien, mais quelle utilité de télécharger puis installer puis configurer alors qu'il serait si simple de cliquer sur le bon lien et hop je configure ?

  • [^]Re: Interface web mais pas sur le web ?

    Posté par Eric Leblond (page perso, ) le 28/03/2008 à 14:23. (lien). Évalué à 2.

    > Si je comprends bien.

    Pas tout à fait, Nuface génère un jeu de règles et applique le jeu de règles sur le parefeu. C'est donc assez utile de l'avoir sur la machine.
    Cela dit, rien ne s'opposerait à faire cela sur une machine externe, puis à transférer le jeu de règles.

    L'idée d'un service hébergé n'est pas stupide mais par pure paranoia je ne donnerais jamais mes règles de pare-feu à générer à un tiers ;)

    [^]Re: Interface web mais pas sur le web ?

    Posté par Victor STINNER (page perso, ) le 28/03/2008 à 14:23. (lien). Évalué à 2.

    Hum, un pare-feu est quand même un service très sensible du point de vue sécurité. Il vaut mieux héberger ce genre de service chez soit pour éviter les fuites d'information.

    Nuface a besoin de connaître la configuration de ton pare-feu : interfaces, réseaux, routes ; informations qui ne peuvent lues que sur le pare-feu lui même (bien qu'il soit possible de lancer gendesc.xml sur le pare-feu et récupérer le fichier desc.xml sur une autre machine). L'autre contrainte est de lancer un script bash en tant que root (/etc/init.d/init-firewall lancé avec sudo) pour charger les règles iptables.

    D'une manière ou d'une autre, ça serait possible, mais ça rend l'infrastructure (inutilement ?) compliquée.

    • [^]Re: Interface web mais pas sur le web ?

      Posté par totof2000 () le 28/03/2008 à 21:16. (lien). Évalué à 2.

      un pare-feu est quand même un service très sensible du point de vue sécurité. Il vaut mieux héberger ce genre de service chez soit pour éviter les fuites d'information.

      Personnellement j'évite aussi tout ce qui est à base de serveur www, php, etc ...

      • [^]Re: Interface web mais pas sur le web ?

        Posté par Victor STINNER (page perso, ) le 28/03/2008 à 23:44. (lien). Évalué à 2.

        Nuface s'installe derrière un Apache qui s'occupe de la couche authentification. Alors après c'est une histoire de configuration, il n'y a pas de raison de laisser Nuface ouvert pour tous. Nuface vérifie les données à tous les étages, donc je pense qu'avec en plus l'authentification Apache, le risque est minime. Interface web ne veut pas forcément dire accessible pour tous sur Internet.

        • [^]Re: Interface web mais pas sur le web ?

          Posté par Kerro () le 28/03/2008 à 23:59. (lien). Évalué à 3.

          N'empêche que je me vois mal installer apache et tout le toutim sur nos dizaines de machines qui servent de support à des serveurs virtuels de production, à des machines qui servent d'agrégateurs de liens ADSL, etc.

          Apache n'a rien à faire sur des machines de production (sauf si c'est, justement, un serveur web).

          Dans mon cas, je continue à la mimine :-)
          Enfin copier/coller et un chti coup de sed.

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.072s (dont 0.0058 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !