Bonjour les gens et le journal,
Je suis en train de me laisser allé à la tentation, et considère sérieusement d'abandonner mon vieux modem 33.6 pour une connexion ADSL.
Maintenant, mon problème est de savoir comment protéger mes petites machines des méchants vilains d'internet. J'entend beaucoup parler de ces bloc tout en un qui font à la fois routeur, firewall et modem, et je me demandais quels étaient les avantages et les inconvénients par rapport à une machine doté d'une distribution linux axée spécifiquement sur la sécurité qui ferait exactement les mêmes choses.
J'ai le choix entre convertir ma machine actuelle (K6III-450) pour cet usage, ou de me procurer un de ces tout-en-un du style netgear. Mais j'aimerais connaître les + et les - de chacune de ces deux solutions, l'une comparée à l'autre.
Merci
PS: j'ai osé mettre ce journal en première page, me disant que d'autres se posaient peut être la même question
Journal Routeur/Firewall/Modem AdSL vs LinuxBox ?
9
mai
2004
# A toi de voir
Posté par farib . Évalué à 7.
Ca fonctionne out of the box, c'est petit, ça fait pas de bruit, ça boote en 15 secondes.
Désavantages : ça fait pas le reste. (mail, ftp, web, etc...)
[^] # Re: A toi de voir
Posté par Krunch (site web personnel) . Évalué à 3.
Ca peut faire "le reste" mais ça boot pas forcément en 15 secondes et ça marche pas "out-of-the-box". Pour le prix je pense que ça revient a peu près au même. Soekris fonctionne aussi avec Linux mais pour un firewall rien ne vaut PF.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: A toi de voir
Posté par Bruce Le Nain (site web personnel) . Évalué à 1.
[^] # Re: A toi de voir
Posté par Krunch (site web personnel) . Évalué à 4.
L'avantage de Soekris c'est que c'est fait exactement pour ça. Sinon tu peux installer Linux sur ta GameCube ou t'acheter un mini-ITX mais ça revient déjà plus cher (mais c'est plus polyvalent): http://mini-itx.com/(...)
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: A toi de voir
Posté par Bruce Le Nain (site web personnel) . Évalué à 1.
[^] # Re: A toi de voir
Posté par Bruce Le Nain (site web personnel) . Évalué à -1.
[^] # Re: A toi de voir
Posté par Ju. . Évalué à 3.
Les moins : pour netgear (j'ai un dg834g) passe sur
http://www.netgear-forum.com/(...)
c'est assez actif...
Le gros hic c'est la capacité de ces machines à gerer les deconnections/reconnections dues à FT et les programmes gourmands, si tu penses utiliser du p2p pour recuperer la prochaine mandrake, bah vaut mieux etre derrriere le routeur regulierement... afin de debrancher l'alim et rebrancher quand le routeur part en vrille :
http://www.jurun.org/cgi-bin/smokeping.cgi?target=Router(...) (les 'blancs' sont dus à cet effet)
Ceci dit ce modele en particulier gere l'envoir des journaux sur un syslog, le wifi sans probleme avec du WeP...
Tout n'est pas parfait mais ce n'est pas un mauvais produit, ca depend de l'usage que tu veux en faire...
[^] # Re: A toi de voir
Posté par Krunch (site web personnel) . Évalué à 1.
Vaut mieux utiliser IPSec et/ou le nouveau truc qui remplace le WEP dont je ne me rappelle pas le nom (WPA ?).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: A toi de voir
Posté par Ju. . Évalué à 1.
si tu t'attends à la visite d'un tank, ca ne sert à rien de mettre des barbelés autour de ton jardin, si tu crains des voleurs de pomme ca sert à rien de mettre des fortifications, une douve, des tourrelles, etc.
En l'occurence je n'ai pas grand chose à proteger chez moi...
Et par rapport au WEP proprement dit, c'est l'avantage d'une solutin linux box vs routeur tout en un, l'evolutivité...
(pour info le dg834g gére le WPA-PSK et WPA-802.1x, j'essaierais de le mettre en place ;-)
# IPcop ?
Posté par duf . Évalué à 2.
C'est très simple, ça fait tout, une fois configuré tu peux enlever carte vidéo, clavier, etc... de ta machine, tu y accèdes à distance, donc minimum de trucs qui fonctionnent, consommation minimum, c'est pas prise de tête, et je sais pas trop quoi dire d'autre :-)
Si ton K6III 450 est voué à prendre la poussière alors prends cette solution, ça t'économisera le prix d'un routeur et ainsi t'iras boire un coup à la santé du grand seigneur TUX :-p
[^] # Re: IPcop ?
Posté par Krunch (site web personnel) . Évalué à 1.
http://www.freesco.org/(...)
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# A vendre
Posté par cho7 . Évalué à -6.
En tout cas quelque soit le modele, ils sont dans l'ensemble tous très simple a configurer, une ptite interface web avec des croix a cocher, des adresses ip ou des identifiants adsl a saisir, rien de bien sorcier (je parle pour mon lanbooster et pour certain modeles netgear comme le fr114p mais qui lui parcontre ne fait pas modem, il fait parcontre serveur d'impression..)
donc les + : bah la simplicité, c'est tout con, ya k'a branché et cliké un peu partout.
les - : le prix de certains routeurs tout-en-un, la nécéssité de jouer avec les firmwares pour corriger les failles quands elles arrivent (j'ai jamais aimé bricoler les firmwares moi...)
Voilou !
ps : mon lanbooster je le vend pas parce k'il est nul, mais parce que si j'ai la freebox il ne marchera plus, car les routeurs-modems chient avec une freebox, enfin parait il..
# Passerelle/Boite toute faite.
Posté par Rafael (site web personnel) . Évalué à 4.
Quel est le temps que tu veux y consacrer ?
Si tu veux de la mise en place hyper rapide, un routeur genre
http://www.monsieurprix.com/listing/gen/J000022627.html(...)
Dlink 614+ + modem ADSL sur port ethernet (tel que les Sagem 908 livrés par free ces temps çi), ça fonctionne vite et bien. Tu branches, tu connectes ton navigateur dessus (en collant juste une demande d'attribution automatique d'adresse IP en DHCP), et hop ça fonctionne. Si il ya un parfois un DNS cache, il n'y a pas de proxy, et le FW est limité.
Cette solution est rapide. En prime avec un routeur de ce modèle là, tu as un switch 10/100 4 ports, et un point d'accès Wifi.
Ensuite, la deuxième solution, pas beaucoup plus difficile, c'est celle de la passerelle dédiée de type Unix. Et, entre nous, si tu viens traîner sur ce site, c'est qu'une idée te trotte derrière la tête. Aussi voici la marche à suivre.
On prendra une vieille machine de type PC, 486 mini, 16 ou même 32Mo pour faire bien. un petit disque de 120Mo est laaargement suffisant. Prévoir une interface ethernet en préférence à un port USB. On peut tout d'abord ne pas avoir de port USB sur les vieilles machines PC vraiment anciennes, et ensuite, tous les modems USB ne sont pas tous (bien) gérés. Enfin, dernière raison en faveur du choix de l'ethernet, c'est que ça fonctionne vraiment de façon fiable, et sans prise de tête. C'est pas pour le prix que coûte une veille carte ethernet de récuppération.
Quand je dis ça, j'avoue que c'est un plaidoyer de dino, mais tous mes potes qui ne m'ont pas écouté sont revenus de l'USB vers l'ethernet.
Enfin, on prend une distribution Unix like à installer via un CD. Les isos sont minuscules, ça se pompe chez un pote le temps de boire un verre ou un café.
On peut proposer la distribution ipcop, qui est un fork GPL de la distrib smoothwall (autant que jeme souvienne).
http://www.ipcop.org/cgi-bin/twiki/view/IPCop/WebHomefr(...)
Ca gère 2 modèles de modems USB, un ECI et la manta Alcatel. Tous les modems ethernet, paramétrés sur le couple VPI/VCI du fournisseur d'accès (8/35 pour le FT non dégroupé), et capables de faire du PPPoE font l'affaire.
Objectif:
La dernière solution consiste en un paramétrage aux oignons d'une machine Linux éventuellement utilisable comme station de travail, avec en plus le firewall pour partager la connection aux autres. C'est la solution que j'utilise depuis des années, avec iptables, que j'apprécie d'autant mieux que je n'ai jamais joué avec le PF déjà cité.
Un lien pour apprendre des trucs et avoir des exemples pour jouer avec:
http://www.linuxguruz.com/iptables/(...)
Je préfère de loin conseiller la soluce machine dédiée. C'est tellement facile en fait.
[^] # Re: Passerelle/Boite toute faite.
Posté par Rafael (site web personnel) . Évalué à 1.
Avec la soluce du firewall iptables (tel que dans ipcop), ta passerelle peut gérer des millers de connexions TCP concurrentes, de façon fiable.
[^] # Re: Passerelle/Boite toute faite.
Posté par Anonyme . Évalué à 1.
en effet j'avais un penchant pour la solution en kit, pour les raisons que tu cites.
Mais vu le nombre de personne qui semblent opter pour les "Boites toute faite" je voulais m'assurrer que je ne passais pas à coté de quelquechose.
# Un PC !!!
Posté par SubBass . Évalué à 4.
- la mémoire flash est souvent insuffisante et du coup la table NAT et ARP arrivent à la saturer rapidement si il y a un grand nombre de connexions/s -> débrancher électriquement et attendre un peu pour que les condos se vident, rebrancher
- tu es prisonnier des fonctionnalités offertes par les firmwares (sauf pour le wrt54g, dont le firmware est gpl;), voire de la politique du constructeur (downgrade impossible, etc) ; tu es prisonnier aussi du hardware : lorsque j'ai voulu proposer le net dans la rue via mon wrt54g, j'ai été bien content de pouvoir rajouter une carte eth à mon serveur et de rajouter des règles iptables/squid adaptées.
- il est possible de faire un PC silencieux à peu de frais : la dépense la plus conséquente est à mon avis une bonne alim (qui en plus délivrera du courant très stable pour ton PC 24/24h -> fiabilité), mais les prix chutent et tu peux à la limite t'en passer en passant le ventilo de ton alim à 5v, et en rajoutant un deuxième pour une meilleure circulation de l'air. Pour les disques durs, soit tu bidouilles avec hdparm pour ralentir l'existant (jamais fait) soit tu choisis des disques seagate barracuda4 (mécanique ultra silencieuse, montée sur bains d'huile, fiabilité). quant à ton proce tu peux très bien le faire tourner sans chauffer avec un bon refroidissement passif (juste un gros rad cuivre de récup chez moi et mon duron 800). Au pire, tu peux même l'underclocker si tu n'as pas besoin de toute sa puissance, il devrait qinsi tenir avec le rad d'origine)
en revanche le hard a pour lui d'être économique depuis peu et pratique pour qui ne veut pas y passer un peu de temps.
[^] # Re: Un PC !!!
Posté par Anonyme . Évalué à 2.
merci à tous de vos conseils
# compatibilité modem
Posté par jeff110 . Évalué à 1.
Pour ce qui est du bruit d'un pc, tu peu essayer de metre une alim thermo regulé et un gros ventilo pour le proc, le tout en thermo-regulé.
Comme ton pc ne chauffe pas beaucoup, ça devrait pas faire beaucoup de bruit.
Autre solution: tu met la tour dans un placard.
Si tu decide d'utiliser une boite tout integré tel netgear, cela signifit aussi que tu devra l'acheter, et ne pas utiliser celui de ton FAI.
Selon ton FAI, ça peu revenir plus cher qu'un pc, sauf si tu as une reduction en ne prenant pas leur modem.
# Moin choix
Posté par Marcopolo (site web personnel) . Évalué à 1.
Le problème est que j'avais la facheuse tendance à bidouiller sur mon serevur et tout casser, pas très pratique à la longue.
J'ai donc fini par prendre un petit modem/routeur tout en un de netgear et franchement je suis très content de mon choix. Je suis connecté 24/24 depuis 6 mois (mon serevur est accessible depuis l'extérieur) et je n'ai eu qu'un plantage du routeur. Les fonctionnalités sont limités par raport à une machine dédié à cette usage, en particulier pour ceux qui font beaucoup de p2p, mais moi je n'ai jamais eu de problème de ce côté (utilidsation accasionel) en particulier pour les images iso en bittorent. Ce qui me séduit est la simplicité et la fiabilité de ces petites boites très discrètes, et le prix modéré. Maintenant tout dépend de l'utilisation qu'on en fait.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.