Journal Netfilter / iptables outils de gestion

Posté par  .
Étiquettes : aucune
0
11
août
2005
Mon cher journal ,
je suis activement a la recherche d une interface de gestion pour netfilter "iptables" .

J aimerais pouvoir gerer des configurations complexe avec DMZ et multiple vlan .

Le tout au GPL ,ca pollu moins il parrait . :p

Voila merci beaucoup :)
  • # Shorewall

    Posté par  . Évalué à 2.

    Je crois que Shorewall sait faire ce que tu demandes :
    http://www.shorewall.net/(...)

    ++
  • # Merci

    Posté par  . Évalué à 1.

    Merci de vos reponse .
  • # Powered by vim

    Posté par  . Évalué à 2.

    Vim c'est très bien aussi (avec la colorisation syntaxique)!

    Même pour des règles compliqués! Tu réalises plusieurs fichiers un pour chaque vlan et tu lances un script qui assemble le tout. C'est très propre et visuellement je trouve cela très lisible (tout autant qu'un fwbuilder).

    ET SURTOUT c'est plus propre, moins de chance de bugs et autre joyeusetés qu'apportent courament ces interfaces qui sont là pour faciliter la prise en main du néophite.
    • [^] # Re: Powered by vim

      Posté par  . Évalué à 1.

      moins de chances de bug, mais il faut se repalucher la syntaxe à chaque fois que tu veux rajouter une règle...
      • [^] # Re: Powered by vim

        Posté par  . Évalué à -3.

        C'est vrai que la syntaxe de vim est compliquée. Et se la repalucher a chaque fois que l'on veut rajouter une règle...
      • [^] # Re: Powered by vim

        Posté par  (site Web personnel) . Évalué à -2.

        Personnellement j'ai été surpris de la simplicité de l'outil fournit avec macosX, pour partager sa connexion, activer le firewall, etc. Et derrière ça te fait les règles ipfw comme il faut.

        Nikel.
        • [^] # Re: Powered by vim

          Posté par  . Évalué à 0.

          olala attention tu t egare ,je ne pense pas que l outil de macosx permettre de faire des vlans et une dmz .
      • [^] # Re: Powered by vim

        Posté par  . Évalué à 2.

        La syntaxe, tu la trouves dans les règles que tu as déjà pondues!
        La plupart du temps, une fois les scripts créés, la maintenance est simplement un ajout ou une suppression de ports.
  • # PF

    Posté par  (site Web personnel) . Évalué à 6.

    Au niveau syntaxe je trouve personnellement que rien sous linux ne vaut le pf de OpenBSD, c'est simple et clair, beaucoup mieux que n'importe quel GUI.
    Mais il est vrai aussi que lorsque l'on s'attaque à de grosse conf, j'entends par là VPN entre plusieurs site distant, plein de DMZ de partout, etc, une bonne interface à la checkpoint c'est agréable, pas indispensable, mais agréable.

    PS : j'avais entendu, il y a longtemps parlé d'un port de PF sous linux, quelqu'un sait où ça en est ???
    • [^] # Re: PF

      Posté par  (site Web personnel) . Évalué à 1.

      une GUI c'est avantageux aussi pour les non anglophones qui peuvent avoir une interface traduite et donc cliquer sur des boutons explicites.
      va donc te palucher la sytaxe de pf (même si elle est peut être moins complexe que netfilter/iptables) qui invoque des commandes cryptiques avec des mots anglais dedans du style :
      block in quick on fxp0 proto tcp from any to any port ssh
    • [^] # Re: PF

      Posté par  (site Web personnel) . Évalué à 2.

      PS : j'avais entendu, il y a longtemps parlé d'un port de PF sous linux, quelqu'un sait où ça en est ???

      IP-Filter, de NetBSD tourne sous Linux, et la syntaxe est proche de PF sous OpenBSD : http://www.obfuscation.org/ipf/(...)
  • # MErci merci

    Posté par  . Évalué à 2.

    En fait j ai pas tout dit :

    Ca n est pas vraiment pour moi ,c est pour migrer un cisco PIX --> en netfilter / iptables .

    Donc je cherchais quelque chose qui ressemble a l interface PIX .
    Et donc je souhaite eviter un traumatisme avec "vim en couleur" :)

    Il me semble que fwbuilder ferra tres bien l affaire .

    Je vais me palucher la doc :)
    • [^] # Re: MErci merci

      Posté par  . Évalué à 1.

      De toute façon tu trouveras difficilement pire que l'interface des PIX Cisco (PDM) que je trouve personellement imbitable (et lente), surtout quand il s'agit de gérer une grande quantité de règles.

      D'ailleurs en passant j'ai une petite question à te poser : est-ce que tu as réussi à lancer Cisco PDM sous Linux ? Moi à chaque fois le plugin Java me plante mon navigateur pendant le chargement de l'appli, et du coup je suis obligé de faire du rdesktop sur une bécane Windows pour administrer le firewall.

      Sinon j'ai essayé Shorewall + Webmin-shorewall qui semble bien mais la fonction qui lui manque cruellement selon moi est de ne pas pouvoir associer de commentaire à une règle.

      M'enfin plus j'y pense et plus je me dis qu'un bon script iptables divisé en plusieurs fichiers et clairement organisé/commenté serait bien plus facile à maintenir qu'avec n'importe quelle GUI au monde.
      • [^] # Re: MErci merci

        Posté par  . Évalué à 1.

        Personnelement je n ais pas essaye l interface sous linux .

        Mais le peu que j ai utilise de l interface java rame pas mal effectivement .(sous windows)

        La chose qui manque a fwbuilder est peu etre la gestion du vpn .

        Pour les logs il vaut mieux des outils consultable part le web facilement .
    • [^] # Re: MErci merci

      Posté par  . Évalué à 2.

      D'expérience, et pour avoir mis en place fwbuilder exactement dans les mêmes conditions (migration depuis des PIX), il fait complètement l'affaire.

      Les administrateurs trouvent même l'interface mieux faite que celle de Cisco tout en s'y retrouvant très vite.

      Seul défaut (mais lié à la plupart des interfaces citées au dessus) : il manque une interface de visualisation des logs. Ceci dit les outils existent.

      M
      • [^] # Re: MErci merci

        Posté par  . Évalué à 1.

        tu aurrais des conseil a me donner pour la migration ,as tu une solution pour recuperer les regles PIX de maniere Human readable ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.