Journal Firewall indépendant

Posté par  .
Étiquettes : aucune
0
2
mai
2005
<ma_vie>
Mon père veut prendre un abonnement ADSL chez Free (pas de troll sur le FAI, ce n'est pas le problème ici) et il voudrait que je lui trouve un firewall à brancher entre la Freebox et son PC sous Windows.
</ma_vie>

Quel appareil choisir, sachant qu'il devra contenir un switch (pour pouvoir y brancher plus d'1 machine), donc faire du NAT, et supporter H.323 (qui est une plaie à faire fonctionner derrière un firewall si celui-ci ne supporte pas le protocole). Le fait que le firewall soit sous Linux serait évidemment un plus. Et le support WLAN n'est pas nécessaire.

J'avais songé à construire une machine dédiée pour ça, genre Mini-ITX, mais les prix des firewall tout-intégrés sont bien inférieurs à ce qu'on peut faire à partir de Mini-ITX :(

Quelqu'un a des références ? de l'expérience avec des appareils de ce type ?

Et enfin, sachant que je n'habite pas en France je ne connais pas de magasin de VPC informatique qui soit dignes de confiance en France, donc si vous avez des URL, je suis preneur aussi.
  • # FreeBox ?

    Posté par  (site web personnel) . Évalué à 1.

    Bon ben pour info la freebox fait déjà du NAT, et donc basiquement constitue un premier firewall (très simple cependant).
    • [^] # Re: FreeBox ?

      Posté par  (site web personnel) . Évalué à 1.

      Pas sûr que la Freebox sache "discuter" nativement en H.323... Comme tu le dis, cela reste très basique.
      • [^] # Re: FreeBox ?

        Posté par  (site web personnel) . Évalué à 2.

        Tu peux forwarder des ports, donc, en forwardant ce qu'il faut pour H.323, ça devrait le faire.
        • [^] # Re: FreeBox ?

          Posté par  . Évalué à 2.

          Le problème, comme expliqué plus bas, c'est que H.323 utilise des ports dynamiques, donc à moins d'épier l'ouverture de session pour voir quels sont les ports audio/video choisis, c'est un peu dur (oui je sais, netstat -anp, mais pas sous Windows) et surtout, c'est pas automatique.
  • # Super petit truc

    Posté par  . Évalué à 1.

    Salut,
    J'ai cherché mais pas trouvé. J'étais tombé sur des super petits ordis, PC, certaines versions etaient meme sans disque dur mais avec un slot compact flash. J'avais vu ca sur un site .co.uk. quelqu'un voit de quoi je parle?
    C'est tout petit, vendu sans OS, la taille d'une moitié de clavier d'ordi de bureau. avec des version avec wifi, d'autres sans wifi, pas de ventilo, pas un pross super puissant, juste le truc parfait pour faire un petit parefeu.

    Si quelqu'un tombe dessus... je suis preneur.
  • # Trouvé deux références

    Posté par  . Évalué à 2.

    Netgear RP614, qui prétend supporter NetMeeting (donc H.323), pas cher chez LDLC (45 EUR). On peut leure faire confiance, à LDLC ? Y'a mieux et moins cher qu'eux ?

    A-Link Saferouter BR4, idem. A-Link est une boite finlandaise, j'ai un modem-routeur ADSL de chez eux qui fonctionne sous Linux, mais pas moyen de trouver un VPCiste en France qui vend du A-Link :( (45 EUR aussi sur le site de A-Link).

    Aucun des deux n'utilise linux comme OS, cependant :(
    • [^] # Re: Trouvé deux références

      Posté par  . Évalué à 2.

      On peut leure faire confiance, à LDLC ? Y'a mieux et moins cher qu'eux ?

      www.rue-montgallet.com ?
    • [^] # Re: Trouvé deux références

      Posté par  (site web personnel) . Évalué à 2.

      Perso j'ai fait 3 commandes chez LDLC après avoir les avoir choisi sur un comparateur de prix et je n'ai eu aucun problème.
      Après ce n'est que mon expérience et il ne faut pas généraliser.
      • [^] # Re: Trouvé deux références

        Posté par  . Évalué à 2.

        mon expérience = zéro problème avec LDLC.

        Je leur fais carrément confiance. Pourquoi ? car ils ont un service après-vente qui a l'air sérieux : pas de ligne téléphonique surtaxée.

        Service rapide.
        • [^] # Re: Trouvé deux références

          Posté par  (site web personnel) . Évalué à 1.

          Idem

          J'ai fais trois commandes chez eux (dont une assez volumineuse), et toujours un service rapide, agréable et simple. Des prix pas toujours les moins chers, mais ça fluctue comme dans toutes les VPC. Quand j'ai acheté ma bécane perso, j'ai fais un devis chez quatre d'entres eux. Sur la totalité de la commande (et pas les articles individuels), c'était LDLC les moins chers et les mieux fournis.
          En plus, la confirmation de l'identité de l'acheteur à la première commande est gage de sérieux.

          Vraiment bien.
  • # linksys

    Posté par  (site web personnel) . Évalué à 2.

    wrt54G linksys ?

    - switch 4 ports 100Mbps côté LAN
    - un port wlan 54g
    - un port ethernet pour y brancher la freeboite
    - os linux intégré, patchable pour y mettre divers firmware community-based : openwrt par exemple

    à partir du moment où tu auras mis un linux dessus, pour le H323, ca devrait le faire hein ...
    • [^] # Re: linksys

      Posté par  . Évalué à 2.

      C'est une idée qu'elle est bonne, mais je n'ai pas le courage d'aller faire du développement pour un système embarqué quand je suis en vacances chez mes parents loin de mes outils habituels :( Cela dit, je me la garde sous le coude.
      • [^] # Re: linksys

        Posté par  . Évalué à 1.

        Quel développement ? Le WRT54G est déjà un linux dans sa version de base (avec aucun accès au système).
        Donc soit tu as peu de temps à tuer et tu mets à jour le firmware avec un firmware HyperWRT, qui te gardera les fonctionnalités originelles du WRT54G ainsi que des fonctionnalités en plus ET un shell sur la machine (si tu veux rajouter des règles iptables a la mimine).
        Soit tu as bcp de temps à tuer et tu installes OpenWRT qui te donnera un linux minimaliste sur lequel tu pourras rajouter les fonctionnalités que tu veux.

        En ce qui concerne H323, il y a (avait ?) un conntrack spécifique dans netfilter. Sinon, tu as Upnp (qui est en l'occurence utilisé par Linksys pour faire ca sur le WRT).

        Franchement, pour le prix d'un joujou comme ca (dans les 70¤), ca serait dommage de se priver :)
        • [^] # Re: linksys

          Posté par  . Évalué à 3.

          Si j'ai bien compris le concept de OpenWRT, c'est un système Linux minimaliste qui est installé sur le WRT54G. Le conntrack H.323 n'est pas intégré au noyau pour autant que je sache, donc il faudrait probablement patcher le noyau, recompiler, recréer une image de firmware, installer le firmware, planter le zinzin, reconfigurer, réinstaller, planter, etc. jusqu'à ce que ça marche (j'exagère un peu, OK). Voila ce que je voulais dire, et j'ai pas le temps de faire tout ça.

          HyperWRT (que je ne connaissais pas) semble plus facile, mais quid du support H.323?

          Enfin pour ce qui est de uPNP (dur de trouver de la doc concise à ce sujet), est-ce que ça marche avec n'importe quelle application ? Je n'ai pas l'intention d'utiliser NetMeeting pour la video conf, or il semble que l'application doit être << uPNP-aware >> pour que ça fonctionne.

          Enfin pour le prix, les deux routeurs que j'ai trouvés (NetGear et A-Link) coûtent 40-45 EUR, et mon père n'a pas besoin de WLAN...
  • # smc barricade

    Posté par  (site web personnel) . Évalué à 2.

    j'ai une freebox
    Entre mes PC et elle j'ai un SMC7004VBR barricade
    ça fait du NAT, et ça ressemble à un firewall. c'est pas cher et ça fonctionne bien.
    • [^] # Re: smc barricade

      Posté par  . Évalué à 2.

      ... et d'après les specs, ça ne gère pas H.323 (protocole de video conférence, qui utilise des ports UDP et TCP dynamiques qui doivent donc être ouverts dans le firewall en fonction de ce qui a été négocié au moment de l'ouverture de la session). Par contre, si je me trompe, que tu as déjà essayé et que ça marche, alors je suis preneur !
      • [^] # Re: smc barricade

        Posté par  (site web personnel) . Évalué à 2.

        je n'ai effectivement jamais fait de vidéo conférence.
        Mais dis moi quels tests je dois faire, et je m'y met.
        puis je te tiens au courant
        • [^] # Re: smc barricade

          Posté par  . Évalué à 2.

          si tu as GnomeMeeting ou ohphone, tu peux essayer de te connecter à une autre machine équipée du même logiciel (GnomeMeeting et ohphone sont d'ailleurs compatibles entre eux, et devraient être compatibles avec NetMeeting (Windows) aussi). Un test avec de la transmission audio est suffisant, pas besoin de video (la video utilise le même principe que l'audio, donc si l'un fonctionne, l'autre fonctionnera aussi).
  • # Vieux PC?

    Posté par  (site web personnel) . Évalué à 1.

    Et pourquoi pas un vieux pc, style pentium2 ou pentium3?
    Avec un peu de RAM, un petit disque dur, ca marche tres bien, et tu peux le configurer comme tu veux. Ca te prends quelques heures a installer, mais une fois que c'est fait, t'es tranquille pour un moment.
    • [^] # Re: Vieux PC?

      Posté par  . Évalué à 2.

      C'est gros, bruyant et ça consomme dix fois plus qu'un firewall dédié à base d'ARM. J'y ai déjà pensé, mais en plus c'est pas si facile à trouver (on trouve des P3 et des choses de ce genre, mais plus vieux, c'est pas évident). Et il reste le problème de la durée de vie, un Pentium 2 qui a déjà 7-8 ans, il vivra encore combien de temps ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.