Journal firewall

Posté par  (site web personnel) .
Étiquettes : aucune
0
4
mai
2004
Sous windows, j'utilise (les rares fois où je ronge cet OS) ZoneAlarme comme firewall. C'est très pratique et surtout auto-configurable : tout est fermé et il ouvre les ports au fur et àmesure que les logiciels le demandent, après accord de l'intéressé.

Un firewall "à la Zonalarme", c'est à dire un firewall pour utilisateur qui n'y comprend rien, ça existe en free sous linux ?

Sous mandrake, le firewall par défaut n'a rien d'interactif.

Peut-être aussi que je n'ai rien compris au bon usage d'un firewall ?

  • # Inutile

    Posté par  (site web personnel) . Évalué à -1.

    Ce type de logiciel ne sert à rien sur un Desktop sous GNU/Linux.

    C'est plus un produit marketing, qui donne une impression de sécurité. Mais c'est très peu, voir totalement inutile. Enfin, je ne suis pas expert du système MS Windows.

    • [^] # Re: Inutile

      Posté par  . Évalué à 7.

      Sur un système MS Windows ce type de soft n'a rien d'inutile (cf les attaques virales de ce week-end qui peuvent être évitées avec un ZoneAlarm bien configuré), mais il faut savoir un minimum ce que l'on fait (sinon effectivement, si on clique sur "oui" a chaque fois que le système demande si on autorise une connection, ca ne sert a rien).

      • [^] # Re: Inutile ??

        Posté par  (site web personnel) . Évalué à 5.

        Ca permet de savoir quel logiciel local tente de se connecter à l'extérieur.
        Un pro qui connait le code de tout ce qu'il installe peut le dire, mais le néophyte ?

        Ca permet aussi au passage de n'autoriser que certaines personnes à se connecter
        chez soi sur un serveur donné.

    • [^] # Re: Inutile

      Posté par  . Évalué à 7.

      Ha bon ? je ne suis pas vraiment d'accord, que son efficacité soit relative sous windows ok, mais un desktop GNU/Linux peut aussi être relié à internet et avoir un firewall intuitif !!

      Afin de configurer simplement un firewall, on peut utiliser des front end a iptables, cependant ils ne sont pas interactifs et encore moins abordables pour l'utilisateur lambda. C'est peut être le problème : la sécurité est un métier.

      Donc il pourrait être intéressant de vulgariser une approche sécuritaire par défaut sans trop contraindre les utilisateurs, ce qu'arrive à faire zonelarm.

      il faudrait alors pouvoir interagir avec l'utilisteur en live comme le fait zonealarm ou autre firewall.

      • [^] # Re: Inutile

        Posté par  (site web personnel) . Évalué à -2.

        Windows est le seul os qui a besoin de déterminer quelle application à le droit de sortir ou pas.

        Un firewall sous windows empèche de sortir, sous linux, cela empèche d'entrer...

        C'est évidement pour se protéger des spywares et des programmes que tu ne maitrises pas sous win au contraire de Linux.

        De plus, que répond un newbe quand tartenpion.dll veut accéder au net ? oui/ non ? Selon quel critère ?

        Le secure par default sous linux, cela serait tout couper par default, sauf le p2p classique en entrée et tout autoriser en sortie ?

        "La première sécurité est la liberté"

        • [^] # Re: Inutile

          Posté par  (site web personnel) . Évalué à 5.

          Un firewall sous windows empèche de sortir, sous linux, cela empèche d'entrer...

          Mes firewalls sous Linux filtrent aussi la sortie. ça permet d'être sûr que seul le DNS fait des requêtes DNS, seul le serveur SMTP envoie des mails, ..., ... et ça me permet de pouvoir laisser des amis brancher leur portable sous Windows à mon LAN sans flipper de ce que leur machine peut bien faire à notre insu (et de ne pas me retrouver dans une blacklist, par exemple).

          De manière générale, filtrer en sortie permet de limiter les dégâts en cas d'intrusion (sauf le cas où l'hôte piraté est celui qui fait tourner le firewall et que l'intrusion est un exploit r00t).

  • # pfouuuu c chiant cette case

    Posté par  . Évalué à 9.

    Il y a firestarter (sur sourceforge) qui fonctionne comme ca. Vraiment bien fait, ce petit truc.

    Key Features:

    * Easy to use wizard customizes firewall to your needs.
    * Real-time firewall hit monitor shows intrusion attempts.
    * Open and close ports, shaping your firewalling with a few mouse clicks.
    * Set up NAT or port forwarding for your home or company LAN.
    * User friendly graphical interface for GNOME 2. Works in KDE too.
    * Translated into over 35 languages.
    * Advanced kernel tuning features.
    * Supports Linux kernel versions 2.6 and 2.4.


    Mais avant de poster un journal pour demander des trucs vous pouriez vous casser un peu le (_._) et chercher, c'est vrai, quoi.

    • [^] # Re: pfouuuu c chiant cette case

      Posté par  . Évalué à 7.

      >Mais avant de poster un journal pour demander des trucs vous pouriez vous casser un peu le (_._) et chercher, c'est vrai, quoi.

      Bof, moi ca m'a donné envie de tester ce genre de logiciel. je ne m'étaits jamais interrésé à la question.

      Alors vive les journaux RTFM, ca permet de voir les problèmes rencontrés et ainsi devancer le problème.

      • [^] # Re: pfouuuu c chiant cette case

        Posté par  . Évalué à -1.

        Ok si le type demande je voudrais faire ca, j'ai trouve machin 0.42f, vous en pensez quoi ?, mais quand on y va a coup de je veux faire ca et ca, y faut quoi quelqu'un peut venir chez moi me le faire pacque j'ai pas que ca a foutre c'est nettement moins bien, coté initiatives.

    • [^] # Re: pfouuuu c chiant cette case

      Posté par  . Évalué à 1.

      En fait j'ai dit une connerie (une de plus).
      firestarter ne fonctionne pas comme ca. Il te permet de configurer le firewall, le NAT et tout.
      Son point un peu commun avec zonealarm est qu'il affiche dynamiquement les tentatives d'acces, mais il ne se base pas sur les applications.
      Comme zonealarm, tu peux autoriser à la volée une connexion depuis un hote donné ou n'importe lequel vers un port donné. Lis la doc, et regarde si c'est le genre de truc que tu cherche.

      Cela dit, pour windows, zonealarm est quand meme une grosse bouse.

      • [^] # Re: pfouuuu c chiant cette case

        Posté par  (site web personnel) . Évalué à 3.

        Si j'en juge par la qualité des réponses ci-dessous, je ne suis pas sur que ce journal soit vraiment inutile.

        J'ai cherché un outil, je ne l'ai pas trouvé. Pourquoi ? Ai-je mal cherché ? S'agit il d'un manque dans la logithèque linux ? S'agit-il d'un objet inutile ? Finalement, je crois comprendre que l'absence de ce type d'outil est lié à la structure même de linux.

        Firestarter A quand même l'air pas mal, je vais tester.

        PS. Pourquoi Zonealarme est-il une bouse ? Ce ne serait pas une bouse de troll ?

        • [^] # Re: pfouuuu c chiant cette case

          Posté par  . Évalué à 1.

          Je ne pense pas que ce journal soit inutile, simplement j'ai trouvé 3 ou 4 logiciels en 10 minutes, en farfouillant sur google & en feuilletant des howto. Tu as peut être mal cherché, la n'est pas la question. Et si nous avons pu te donner des informations pertinentes, tant mieux.
          De plus, ces outils foisonnent pour linux !
          Ce sont en fait des front-end pour iptables, donc c'est lui le firewall. Ces outils permettent la mise en place simple et rapide des règles de filtrage d'iptable, et certains - dont firestarter - permettent de définir des règles "à la volée", d'ou l'analogie avec ZoneAlarm.

          Pour zonealarm, disons qu'il était bien poilu...

  • # guarddog ?

    Posté par  (site web personnel) . Évalué à 2.

    Essaie guarddog http://www.simonzone.com/software/guarddog/#download(...)
    donne des nouvelles ;-)

    • [^] # Re: guarddog ?

      Posté par  (site web personnel) . Évalué à 1.

      Guarddog est comme firestarter, il permet de donner facilement des règles statiques. Mais pour ce qui est d'un changement dynamique ...
      Me trompe-je ?

      • [^] # Re: guarddog ?

        Posté par  . Évalué à 1.

        tu te trompes, au moins pour firestarter, qui permet justement de faire des changements dynamiques.

        • [^] # Re: guarddog ?

          Posté par  (site web personnel) . Évalué à 3.

          Mais il ne permet pas de réagir à un paquet qui vient de passer. Problème, une fois que le paquet syn est perdu, c'est foutu pour la connexion.

  • # Firewalls personnels

    Posté par  (site web personnel) . Évalué à 10.

    Les firewalls à la zonealarm sont des firewalls personnels, par opposition aux firewalls dédiés comme ipchains, iptables, ...
    Ils fonctionnent en interceptant les appels systèmes (syscalls) liés au réseau, et existent sous Windows car la forte intégration noyau/interface graphique le permet.

    A ma connaissance ça n'existe pas sous Linux. Un patch kernel pourrait apporter ce genre de fonctionnalités, mais de manière plus compliquée étant donnée la multiplicité d'interfaces et le fait que le noyau n'en connaisse rien. Il faudrait
    a) modifier iptables pour que, lorsqu'il rencontre un paquet sans règle de gestion, un appel à un helper en userland (à la /sbin/hotplug) soit fait.
    b) que ce helper pose la question à l'utilisateur (détecter si un serveur X est lancé, lequel est actif, y afficher une fenêtre en utilisant la variable DISPLAY, etc - la partie la moins facile à mon avis, et la plus "bidouille affreuse")
    c) que ce helper mette à jour les règles iptables
    d) qu'il rende la main au noyau pour laisser passer, ou non, le paquet.

    Avec la difficulté supplémentaire de "suspendre" le paquet sans le rejeter, ni le dropper, en attendant la réponse.

    Bref, pas évident, à mon avis.

    Sinon tu peux regarder du côté de solutions comme Firewall Builder (http://www.fwbuilder.org/(...)), qui permet de créer facilement un jeu de règles - mais n'est pas interactif dans le sens où tu l'entends.

    • [^] # Re: Firewalls personnels

      Posté par  . Évalué à -4.

      ben ca existe, et y'en a une chiée.

      ouh je parle vulgaire, moi, ca doit etre le thread sur le nouveau systeme de vote qui m'a enervé.

    • [^] # Re: Firewalls personnels

      Posté par  (site web personnel) . Évalué à 5.

      ... Et il y aurait peut-être une autre solution, peut-être plus simple à mettre en oeuvre, qui utiliserait une libraire préchargée via LD_PRELOAD pour intercepter les appels connect() et compagnie; un peu comme la libtrash (http://m-arriaga.net/software/libtrash/(...)) intercepte unlink().

      • [^] # Re: Firewalls personnels

        Posté par  . Évalué à 3.

        il me semble qu'il y avait quelque chose du style user match pour iptables, qui permettait d'avoir des infos sur le pid/uid/gid du processus qui tentait d'envoyer le paquet. Couplé à la cible QUEUE pour récuperer le tout dans l'espace utilisateur, ca fait un zonealarm.

    • [^] # Re: Firewalls personnels

      Posté par  (Mastodon) . Évalué à 4.

      D'après cette doc (http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-11.htm(...) ), on peut faire un firewall applicatif sous linux. FireFlier serait apparemment ce que tu cherches (http://fireflier.sourceforge.net/(...) ).

      • [^] # Re: Firewalls personnels

        Posté par  (site web personnel) . Évalué à 2.

        Je suis allé voir, ça a l'air très bien foutu comme truc... Le fait que ce soit client/serveur résoud de manière assez classe la problème posé par la non-intégration noyau/GUI.

        Merci pour ce lien, j'essaierai dès que possible!

      • [^] # Re: Firewalls personnels

        Posté par  (site web personnel) . Évalué à 3.

        La doc en question est très claire. Je comprend mieux :
        1/ comment ça marche
        2/ quel est mon besoin (un firewall applicatif)
        3/ la raison de mon besoin : je viens de windows, je ne fais pas absolument confiance à ce qu'il y a sur mon pc -> finalement, sous linux, je n'ai peux être pas ce besoin.

    • [^] # Re: Firewalls personnels

      Posté par  (site web personnel) . Évalué à 2.

      > A ma connaissance ça n'existe pas sous Linux. Un patch kernel pourrait apporter ce genre de fonctionnalités, mais de manière plus compliquée étant donnée la multiplicité d'interfaces et le fait que le noyau n'en connaisse rien. Il faudrait
      > a) modifier iptables pour que, lorsqu'il rencontre un paquet sans règle de gestion, un appel à un helper en userland (à la /sbin/hotplug) soit fait.
      > b) que ce helper pose la question à l'utilisateur (détecter si un serveur X est lancé, lequel est actif, y afficher une fenêtre en utilisant la variable DISPLAY, etc - la partie la moins facile à mon avis, et la plus "bidouille affreuse")
      > c) que ce helper mette à jour les règles iptables
      > d) qu'il rende la main au noyau pour laisser passer, ou non, le paquet.

      > Avec la difficulté supplémentaire de "suspendre" le paquet sans le rejeter, ni le dropper, en attendant la réponse.

      Il existe un module iptables qui fait presque tout ça.
      Quand une règle lui spécifie un paquet il le passe en userland et attend qu'un processus prenne la décision.

      Il suffit alors de faire une interface graphique qui met en dur les règles de bases et passe le reste à ce module. Ensuite elle fait ce qu'elle veut des paquets restant (nouvelles règles, gestions évoluée de règles, filtre bayésien ...).
      Tout est possible au seul inconvénient que ce module n'inclue pas la possibilité de connaitre (et donc de filtrer) le processus qui a envoyé le paquet.

    • [^] # Re: Firewalls personnels

      Posté par  (site web personnel) . Évalué à 1.

      Oui, enfin, tu peux surtout avoir un démon en userland, genre lancé par ta session Gnome/Kde, qui se suspends en attente d'un nouveau paquet. (Il faut un module dans le kernel pour déclarer le sémaphore et se brancher sur les bons hooks dans la pile TCP/IP quand même, bien sur).

      Quand tu recoit un paquet, le seul truc à faire est de réveiller le processus en attente, qui fait tout le traitement.

    • [^] # Re: Firewalls personnels

      Posté par  . Évalué à 1.

      Interressant, je suis bien d'accord, ce n'est pas facile,
      mais finalement faisable, aux moins autant faisable que d'essayer de decoder un fichier bureautique non documenté.

      En tout cas tu en donne le synopsis, c'est un debut.
      C'est pour certains un peu l'espris unix qui s'en irai, mais ca permet une adoption en souplesse par certain, car il ne faut pas se leurer, ceux qui ne retrouveron pas leur zonealarm ne vont pas s'amuser a jouer avec iptable... et seront sans protection....

    • [^] # Re: Firewalls personnels

      Posté par  . Évalué à 1.

      Je pense plutôt que sous windows, il n'y a qu'un seul véritable utilisateur (je parle de personne physique) sur le poste. De ce fait, il est assez facile de créer une application permettant la configuration aux p'tits oignons du firewall pour les besoins de cet utilisateur et d'avoir une autre configuration pour l'utilisateur suivant.

      Sous *nix, c'est très différents car il peut y avoir plusieurs utilisateurs (personnes physique) sur le même poste. Avec iptables, si l'un des utilisateurs bloque le port YY, celui ci est bloqué sur tout le système et donc pour tous les utilisateurs.

      Je ne sais pas si il y a module dans iptable qui permet de spécifier l'utilisateur (ou le propriétaire de l'application) qui génére le traffic réseau. Le module en question ressemblerait plus à un système d'autorisation.

  • # Un peu de joli pour ipTables

    Posté par  (site web personnel) . Évalué à 0.

    Si tu veux faire un pare-feu sous Linux graphiquement
    mais continuer d'utiliser la puissance simple de son noyau :
    KMyFireWall (traduction en français en cours) !

    • [^] # Re: Un peu de joli pour ipTables

      Posté par  (site web personnel) . Évalué à 2.

      a mon avis, c'est pas du tout ca qu'il cherche : ca suppose de comprendre plein de termes techniques, ce que l'utilsateur moyen ne pourra faire.

      Je trouve personnellement, que shorewall (fourni avec mandrake) est très pratique de ce point de vue : on définit les zones (internet, firewall, réseau local), la politique par défaut (internet => firewall : interdit), et les exceptions (internet => firewall pour le SSH : autorisé)

      Un minimum d'explications permet à un néophyte de s'y retrouver. Manque que l'interface graphique ala MNF.

  • # Un bon firewall simple

    Posté par  (site web personnel) . Évalué à 1.

    Si tu n'as pas de serveur sur ta machine, le plus simple, c'est de jetter tout ce qui vient de l'extérieur, et d'autoriser tout ce qui sort.

    Si tu es prêt à tapper 10 lignes de commandes, il y a un exemple qui fait ça dans la doc de iptables.

    Ca parait compliqué à mettre en oeuvre, mais on le fait une fois au début, et on est protégé ad vitam eternam.

    • [^] # Re: Un bon firewall simple

      Posté par  (Mastodon) . Évalué à 0.

      Le jour où il y aura des spywares sous linux?

      Genre une connerie qui s'installe dans ~/bin...

      • [^] # Re: Un bon firewall simple

        Posté par  . Évalué à 1.

        Ahahahah, elle est bonne ta blague... ;)
        Ce qui est triste c'est qu'avec tous ces putains de soft et drivers proprios qui debarque bien opportunement a mon gout, ce qui tourne sur nos machines est malheureusement de moins en moins sur, donc finalement, ton idée est loin d'être idiote. Mais j'ai peut être la solution : le jour ou ya un spyware sous nux, je passes sous un BSD, na !

        • [^] # Re: Un bon firewall simple

          Posté par  (Mastodon) . Évalué à 1.

          Pourquoi ce serait une blague?
          Qu'on soit sûr que nos clients mails ne vont pas éxécuter arbitrairement du code, par exemple, je ne dis pas. Mais tu ne peux pas me dire que linux va empêcher un utilisateur d'installer n'importe quoi. Il aura toujours les droits d'écriture dans son rép personnel.
          Après les mecs qui développent ces merdes peuvent très bien faire en sorte que leurs logiciels s'installent où ils peuvent et soit exécutables. Rien n'empêche de le penser?

          Par exemple, dernièrement un site proposait d'installer une de ces merdes via l'installateur de Mozilla. Si un utilisateur un peu neuneu surfe sur un site qui lui dit d'installer leur truc super top il se retrouvera avec un spyware.

          Je ne dis pas que les conséquences seront aussi graves que sous windows, je dis juste que tout laisser sortir et ne rien laisser rentrer ce n'est pas une bonne politique de sécurité.

          • [^] # Re: Un bon firewall simple

            Posté par  (site web personnel) . Évalué à 1.

            Pourquoi ce serait une blague?

            Je crois que c'est une blague parce que bin = corbeille
            d'ou ~/bin = on se mets les exécutables à la poubelle de $HOME.

            M'enfin c'est comme ça que je l'ai compris, et ça m'a fait marrer aussi.

            • [^] # Re: Un bon firewall simple

              Posté par  (site web personnel) . Évalué à 1.

              ~/bin = corbeille de l'utilisateur

              Donc,

              /bin = corbeille du système de base
              /usr/bin = corbeille du système global
              /usr/local/bin = Poubelle non gérée par le gestionnaire de paquets

              Tu crois pas qu'il faudrait revoir ta copie, là ?

    • [^] # Re: Un bon firewall simple

      Posté par  . Évalué à 2.

      Ce n'est pas toujours aussi simple. Il existe des applications qui sont à la fois client et serveur ( logiciel de peer to peer, de messagerie instantanée/visioconférence) Sans compter certains logiciels propriétaires en qui on ne peut avoir confiance, et qui peuvent être tres bavard (realplay,...).

      Les règles «en dur» de netfilter, correspondent a une certaine utilisation de GNU/Linux. Maintenant, que, comme on dit, «GNU/Linux est pret pour le Desktop», il lui faut un front end pret pour le Desktop.
      C'est en partie le cas, grace aux logiciels comme firestarter.

      • [^] # Re: Un bon firewall simple

        Posté par  (site web personnel) . Évalué à 1.

        Bonsoir,

        j'ai developpé un script Iptables qui utilise la technique du "j'interdis tout ce qui rentre sans être solicité, et j'autorise tout en sortie" : http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/(...) .

        Par défaut ce script se lance de la manière la plus simple :
        /usr/local/sbin/netfilter_cfg

        Avec cela, ta machine est vu comme étant un "trou noir" depuis Internet : Elle ne repondra à aucun paquet qu'elle n'a pas elle-même envoyé. Sasser et ses copains ne pourront donc rien faire.

        Par contre, si tu veux utiliser un logiciel P2P comme Xmule ou autre, tu le lances avec :

        /usr/local/sbin/netfilter_cfg --wan-xmule on

        Très facile, non ? :)

        • [^] # Re: Un bon firewall simple

          Posté par  . Évalué à 2.

          Oui mais ça ne répond pas à tous les problèmes:

          - J'utilise un logiciel de peer to peer non-référencé dans ton script
          - J'ai un serveur ftp qui tourne sur le port 2121
          - j'utilise acroread, et je ne veux pas qu'il se connecte sur internet, quelque soit le port,l'adresse distante/local et le sens de la connexion (entrée/sortie)
          - etc...

          ( je dit «je», et je parle d'acroread, mais ce ne sont que des exemples ! )

          Avec le succès grandissant de GNU/Linux, on risque d'avoir de plus en plus de logiciel proprio qui «sortent» en toute discrétion. On va sûrement avoir de plus en plus de logiciel hybride client/serveur. Plutôt que de faire des règles « en dur » dans un script, il serait mieux à mon avis d'avoir un logiciel plus souple, pouvant «apprendre». (apparement, ça existe: firestarter, fireflier).

          P.S.
          Je ne parle bien sur pas du geek, qui redirige les logs sur une console, traque les PID des applis douteuses à l'aide de lsof ou fuser et forge des paquets RESET à la main. ;-)

  • # Zonealarm

    Posté par  (site web personnel) . Évalué à 4.

    Marrant, toutes les réponses que je vois sont des "interfaces" à iptables (sauf une).
    A croire que personne n'a utilisé zonealarm

    • [^] # Re: Zonealarm

      Posté par  (Mastodon) . Évalué à 1.

      Non jamais ;-).

      J'avais Tiny Personnal Firewall.

    • [^] # Re: Zonealarm

      Posté par  (site web personnel) . Évalué à 3.

      En même temps, même si ZoneAlarm est plutôt convivial une petite recherche dans les archives de bugtraq montrent que c'est pas la panacée.
      De plus le gros problème c'est qu'il tourne avec l'uin de l'utilisateur de base : en gros n'importe quel virus troyen sans les droits "admin" peut le désactiver.

      • [^] # Re: Zonealarm

        Posté par  (site web personnel) . Évalué à 3.

        Pour ma part, je l'utilise sou win 98 alors les droits admins, je pouffe !

        • [^] # Re: Zonealarm

          Posté par  (Mastodon) . Évalué à 1.

          Pas la peine de pouffer, la majorité des utilisateurs de xin XP tourne avec les droits admins (c'est mon cas au boulot: un des admins estime qu'en tant qu'informaticien c'est normal d'avoir tous les droits sur sa machine....!)

          • [^] # Re: Zonealarm

            Posté par  . Évalué à 1.

            J'ai tous les droits sur ma machine, c'est pas pour autant que je vais me logguer en root à chaque fois.

            Je suis peut être informaticien, j'en reste pas moins humain. Une erreur est si vite arrivée qu'il vaut mieux éviter de prendre des risques inutiles.

            • [^] # Re: Zonealarm

              Posté par  (Mastodon) . Évalué à 1.

              Je suis complètement d'accord avec toi.
              Sauf que je n'ai pas le choix. Mon compte utilisateur à tous les droits. Je ne peux pas faire de su pour installer un soft, et si je choppe un virus suite à un outlook mal patché, je vais pouvoir pourrir tout le système.

          • [^] # Re: Zonealarm

            Posté par  (site web personnel) . Évalué à 1.

            > un des admins estime qu'en tant qu'informaticien c'est normal d'avoir tous les droits sur sa machine....!

            Et il est informaticien, lui ???

        • [^] # Re: Zonealarm

          Posté par  . Évalué à 0.

          tu ne devrais pas pouffer, sous win98 c'est comme si tu avais les droits d'admin tous le temps et tu n'as pas le choix.

          nous t'expliquons que zone alarm c'est pas bien, tu comprend? la securité ce n'est ni facile ni trivial, surtout si tu utilise un logiciel qui te permet de croire a une securité.

          • [^] # Re: Zonealarm

            Posté par  (site web personnel) . Évalué à 3.


            > tu ne devrais pas pouffer, sous win98 c'est comme si tu avais les droits d'admin tous le temps et tu n'as pas le choix

            C'est bien pour ça que je pouffe. Que puis-je y faire ? rien.


            la securité ce n'est ni facile ni trivial, surtout si tu utilise un logiciel qui te permet de croire a une securité.

            Bien sur. mais : Il ne s'agit pas de sécuriser un serveur ou un réseau d'entreprise. Il s'agit de sécuriser mon PC, sur lequel il n'y à rien d'important qui ne soit sauvegardé. Un seul objectif : limiter le risque de choper un virus ou d'être la victime d'un petit con qui s'amuse. Dans ce cadre, ZoneAlarme n'est certainement pas parfait mais il présent certains avantages : simple, gratuit, convivial.

            Voili voilà.

    • [^] # Re: Zonealarm

      Posté par  . Évalué à 1.

      Marrant, toutes les réponses que je vois sont des "interfaces" à iptables (sauf une).
      Laquelle ?

      pour être plus exact, se sont des interfaces à netfilter, le firewall du noyau (iptables est l'outil permettant de le manipuler, mais bon, par abus de language, voila). Et pour configurer netfilter, ils font effectivement tous appel à iptables.
      Pour filtrer des paquets, quels qu'ils soient, tu es bien obligé de récupérer ce paquet dans la pile. Netfilter a des hooks a certains endroits stratégiques (qui correspondent à POSTROUTING, OUTPUT, ...) et choppe les paquets quand ils y passent.
      Alors je vois mal l'interet d'écrire un logiciel qui réinvente tout ca, puisque c'est déja dans le noyau.

      • [^] # Re: Zonealarm

        Posté par  (site web personnel) . Évalué à 3.

        > Laquelle ?

        Fireflier

        > Alors je vois mal l'interet d'écrire un logiciel qui réinvente tout ca, puisque c'est déja dans le noyau.

        Parce que certains outils de filtrages ne sont pas dans le noyau, par ex: je veux laisser passer un paquet seulement pendant la pleine lune.

        Ce que voulais dire par interface, c'est qu'on reste dans la philosophie du firewall d'iptables et de tant d'autres, c'est-à-dire un ensemble de règles prédéfinies qu'on change une fois de temps en temps et qu'on adapte au besoin. Zonealarm change ca et rend le firewall dynamique au point de pouvoir changer les règles après la réception du paquet à traiter. C'est un changement possible grâce à ip_queue mais qui n'est pas proposé par les interfaces courantes.

  • # c'est pas ça que tu cherches ?

    Posté par  . Évalué à 1.

    http://freshmeat.net/projects/fieryfilter/(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.