Journal Netfilter / iptables outils de gestion

Posté par taiwan le 11 août 2005 à 18:35.

Étiquettes : aucune

août

2005

Mon cher journal ,
je suis activement a la recherche d une interface de gestion pour netfilter "iptables" .

J aimerais pouvoir gerer des configurations complexe avec DMZ et multiple vlan .

Le tout au GPL ,ca pollu moins il parrait . :p

Voila merci beaucoup :)

# Shorewall

Posté par luma le 11 août 2005 à 18:45. Évalué à 2.

Je crois que Shorewall sait faire ce que tu demandes :
http://www.shorewall.net/(...)

++
- [^] # Fwbuilder
  
  Posté par luma le 11 août 2005 à 18:47. Évalué à 2.
  
  Je complète...
  Pour une vrai interface graphique :
  http://www.fwbuilder.org/(...)
  - [^] # Re: Fwbuilder
    
    Posté par med le 11 août 2005 à 18:50. Évalué à 2.
    
    Il existe aussi KMyFirewall qui semble pas mal du tout : http://kmyfirewall.sourceforge.net/(...)
  - [^] # Re: Fwbuilder
    
    Posté par Libre (site web personnel, Mastodon) le 11 août 2005 à 20:41. Évalué à 2.
    
    Firestarter :
    http://www.fs-security.com/(...)
    Avec intrusion en direct
    Gestion des ports (ouverture, fermeture)
    etc.
    
    Y.
- [^] # Re: Shorewall
  
  Posté par Olivier Tétard (site web personnel) le 11 août 2005 à 21:18. Évalué à 3.
  
  Il existe aussi FireHOL :
  http://firehol.sourceforge.net/(...)
  
  ++
  OlivieR.
# Merci

Posté par taiwan le 11 août 2005 à 19:35. Évalué à 1.

Merci de vos reponse .
# Powered by vim

Posté par Jean-Luc Henry le 11 août 2005 à 20:17. Évalué à 2.

Vim c'est très bien aussi (avec la colorisation syntaxique)!

Même pour des règles compliqués! Tu réalises plusieurs fichiers un pour chaque vlan et tu lances un script qui assemble le tout. C'est très propre et visuellement je trouve cela très lisible (tout autant qu'un fwbuilder).

ET SURTOUT c'est plus propre, moins de chance de bugs et autre joyeusetés qu'apportent courament ces interfaces qui sont là pour faciliter la prise en main du néophite.
- [^] # Re: Powered by vim
  
  Posté par Nap le 11 août 2005 à 20:59. Évalué à 1.
  
  moins de chances de bug, mais il faut se repalucher la syntaxe à chaque fois que tu veux rajouter une règle...
  - [^] # Re: Powered by vim
    
    Posté par Toto le 11 août 2005 à 21:22. Évalué à -3.
    
    C'est vrai que la syntaxe de vim est compliquée. Et se la repalucher a chaque fois que l'on veut rajouter une règle...
  - [^] # Re: Powered by vim
    
    Posté par Fabien Penso (site web personnel, Mastodon) le 11 août 2005 à 21:37. Évalué à -2.
    
    Personnellement j'ai été surpris de la simplicité de l'outil fournit avec macosX, pour partager sa connexion, activer le firewall, etc. Et derrière ça te fait les règles ipfw comme il faut.
    
    Nikel.
    - [^] # Re: Powered by vim
      
      Posté par taiwan le 14 août 2005 à 02:07. Évalué à 0.
      
      olala attention tu t egare ,je ne pense pas que l outil de macosx permettre de faire des vlans et une dmz .
  - [^] # Re: Powered by vim
    
    Posté par Jean-Luc Henry le 12 août 2005 à 13:23. Évalué à 2.
    
    La syntaxe, tu la trouves dans les règles que tu as déjà pondues!
    La plupart du temps, une fois les scripts créés, la maintenance est simplement un ajout ou une suppression de ports.
# PF

Posté par Bapt (site web personnel) le 11 août 2005 à 22:09. Évalué à 6.

Au niveau syntaxe je trouve personnellement que rien sous linux ne vaut le pf de OpenBSD, c'est simple et clair, beaucoup mieux que n'importe quel GUI.
Mais il est vrai aussi que lorsque l'on s'attaque à de grosse conf, j'entends par là VPN entre plusieurs site distant, plein de DMZ de partout, etc, une bonne interface à la checkpoint c'est agréable, pas indispensable, mais agréable.

PS : j'avais entendu, il y a longtemps parlé d'un port de PF sous linux, quelqu'un sait où ça en est ???
- [^] # Re: PF
  
  Posté par patrick_g (site web personnel) le 12 août 2005 à 11:13. Évalué à 1.
  
  une GUI c'est avantageux aussi pour les non anglophones qui peuvent avoir une interface traduite et donc cliquer sur des boutons explicites.
  va donc te palucher la sytaxe de pf (même si elle est peut être moins complexe que netfilter/iptables) qui invoque des commandes cryptiques avec des mots anglais dedans du style :
  block in quick on fxp0 proto tcp from any to any port ssh
- [^] # Re: PF
  
  Posté par Sylvain Briole (site web personnel) le 12 août 2005 à 11:25. Évalué à 2.
  
  PS : j'avais entendu, il y a longtemps parlé d'un port de PF sous linux, quelqu'un sait où ça en est ???
  
  IP-Filter, de NetBSD tourne sous Linux, et la syntaxe est proche de PF sous OpenBSD : http://www.obfuscation.org/ipf/(...)
# MErci merci

Posté par taiwan le 12 août 2005 à 17:44. Évalué à 2.

En fait j ai pas tout dit :

Ca n est pas vraiment pour moi ,c est pour migrer un cisco PIX --> en netfilter / iptables .

Donc je cherchais quelque chose qui ressemble a l interface PIX .
Et donc je souhaite eviter un traumatisme avec "vim en couleur" :)

Il me semble que fwbuilder ferra tres bien l affaire .

Je vais me palucher la doc :)
- [^] # Re: MErci merci
  
  Posté par N-Mi le 12 août 2005 à 19:44. Évalué à 1.
  
  De toute façon tu trouveras difficilement pire que l'interface des PIX Cisco (PDM) que je trouve personellement imbitable (et lente), surtout quand il s'agit de gérer une grande quantité de règles.
  
  D'ailleurs en passant j'ai une petite question à te poser : est-ce que tu as réussi à lancer Cisco PDM sous Linux ? Moi à chaque fois le plugin Java me plante mon navigateur pendant le chargement de l'appli, et du coup je suis obligé de faire du rdesktop sur une bécane Windows pour administrer le firewall.
  
  Sinon j'ai essayé Shorewall + Webmin-shorewall qui semble bien mais la fonction qui lui manque cruellement selon moi est de ne pas pouvoir associer de commentaire à une règle.
  
  M'enfin plus j'y pense et plus je me dis qu'un bon script iptables divisé en plusieurs fichiers et clairement organisé/commenté serait bien plus facile à maintenir qu'avec n'importe quelle GUI au monde.
  - [^] # Re: MErci merci
    
    Posté par taiwan le 14 août 2005 à 02:02. Évalué à 1.
    
    Personnelement je n ais pas essaye l interface sous linux .
    
    Mais le peu que j ai utilise de l interface java rame pas mal effectivement .(sous windows)
    
    La chose qui manque a fwbuilder est peu etre la gestion du vpn .
    
    Pour les logs il vaut mieux des outils consultable part le web facilement .
- [^] # Re: MErci merci
  
  Posté par Maillequeule le 13 août 2005 à 00:22. Évalué à 2.
  
  D'expérience, et pour avoir mis en place fwbuilder exactement dans les mêmes conditions (migration depuis des PIX), il fait complètement l'affaire.
  
  Les administrateurs trouvent même l'interface mieux faite que celle de Cisco tout en s'y retrouvant très vite.
  
  Seul défaut (mais lié à la plupart des interfaces citées au dessus) : il manque une interface de visualisation des logs. Ceci dit les outils existent.
  
  M
  - [^] # Re: MErci merci
    
    Posté par taiwan le 14 août 2005 à 02:04. Évalué à 1.
    
    tu aurrais des conseil a me donner pour la migration ,as tu une solution pour recuperer les regles PIX de maniere Human readable ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.