Personnellement je n'utilise pas trop iptables justement à cause de ce problème de clarté de syntaxe, J'utilise plutot ipf sur etbsd (et je pense passer à PF bientot, quand j'aurai un moment pour reprendre mes règles et reconstruire mon firewall). La syntaxe est braucoup plus claire. Ca donne par exemple :
# ssh autorise sur interface externe
pass in quick log on proto TCP from any to any port=22
À priori les concepts des paquets: version - dépendances à d'autres paquets sont identiques, mais les données, à savoir les paquets, sont différents suivant les distributions, c'est ça qui coinçait ?
C'est la même chose pour la mise en place de règles de firewall ....Les concepts sont les mêmes quel que soit le firewall, cependant construire un outil qui est capable de tous les géerer est assez compliqué. Aujourd'hui, on arrive à faire des choses qui "commmencent" à être intéressante. Cela dit ces outils montrent vite leurs limtes. Un exemple :
No. RPM is good at managing the core software of a distro. It's fast, well understood and supports features like prepatching of sources. What RPM is not good at is non-core packages, ie programs available from the net, from commercial vendors, magazine coverdisks and so on. This is the area that autopackage tackles. Although in theory it'd be possible to build a distro based around it, in reality such a solution would be very suboptimal as we sacrifice speed for flexibility and distro neutrality. For instance, it can take several seconds to verify the presence of all required dependencies, something that RPM can do far quicker.
La question que je me pose sur ce genre d'outil c'est que se pass-t-il si un prérequis système n'est pas installé ou n'a pas la bonne versoin ? Voila une limite". Et tot ou tard avec ce genre d'outil on se trouve confronté à ce genre de limite. La seconde : "it can take several seconds to verify the presence of all required dependencies, something that RPM can do far quicker.".
Cet outil serait certainement plus intéressant si les distributions Linux ne liaient pas autant le "core OS" et les packages applicatifs .... Ceci permettrait de faire sauter un premier verroou.
Bref la génération automatique c'est pas forcément le mal absolu
Je n'ai jamais dit ça, je dis simplement que la génération automatique montre souvent vite ses limites, et entre les prétendues possibilité d'un outil de génération automatique et ce qu'il fait réellement il y a souvent un gouffre, surtout lorsque ledit outil veut gérer un tas de trucs qui se ressemblent de loin mais qui de près ont t quand même pas mal de différeces, surtout quand on y ajoute une couche graphique ....
Cela dit, le jour ou un tel outil sortira, je serai le premier à m'en réjouir, mais aujourd'hui je n'y crois pas (ou plus ...).
Ben aujourd'hui on est loin d'un truc qui marche vraiment ... Et surtout, on est loin du moment ou on pourra installer un deb oyu un rpm quelconque sur n'importe quelle distribution ....
Dans ce cas effectivement, il vaut mieux te concentrer sur un outil (comme tu le disais plus hauut, ne s'occuper que de linux ou BSD). J'irais même plus loin, ne pas se contenter d'un générateur de règles de firewall en mode texte mais carrément un outil qui effectuerait diirectement les modifs (via l'API du firewall par exemple - je ne sais pas si je suis clair). Dans ce cas je pense qu'il y a des choses à faire ....
Je pense que ce que génère l'interface et l'interface sont deux choses distinctes et indépendantes
Pas tant que ça en fait ... Ca dépend dans quel sens on le prend ...
De plus, je pense que si on commence à utiliser ce genre d'outil de haut niveau, le but c'est de ne plus aller voir ce qui se passe en bas niveau. Alors on peut avoir un plat de nouille bien optimisé mais difficilement compréhensible si on regarde sous le capot.
Je ne parle pas seulement de lisibilité mais d'efficacité. et la on peut prendre l'exemple du Perl ou C, pour ces langages un code efficace n'est pas forcément un code lisible ...
D'une manière générale ce n'est pas tant l'approche "interface graphique" qui me gène mais l'approche "interface graphique universelle".
La personne qui fait du traitement de texte n'a pas besoin de savoir comment fonctionne la génération d'odf, ...
Peut être, si elle utilise OpenOffice, ou toute autre suite bureautique concue autour de l'ODF, par exemple, elle pourra certainement esperer obtenir un meilleur code généré que si elle utilise un MS Word qui a été à l'origine concu pour un autre format, et le rendu ne sera pas forcément le même.
... comment fonctionne un système de fichier ...
Pour moi c'est un autre problème .... C'est le problème du développeur ça ... Si on veut prendre l'analogie des FS, il faudrait s'intéresser à la façon dont on définit les droits d'accès aux fichiers sur les serveurs Windows et Unix. Et les outils qui cherchent à uniformiser ce genre de trucs en généal réimplémentent un bout de code dans le noyau pour se superposer aux droits du système ...
Pour les deux autres exemples je n'ai pas d'arguments .... mais ça viendra certainement plus tard.
Enfin bref, tout ça pour dire que je trouve tes arguments un peu faiblards, même si je pense pas forcément que l'interface décrite dans ce journal soit une bonne manière d'aborder le problème (et n'étant pas admin système, je ne saurais trop me prononcer pour être tout à fait honnête).
Je pense que c'est surtout ma façon de m'exprimer qui est faiblarde. En fait je ne fais qu'exprimer un ressenti ... Je ne suis pas contre l'approche "interface graphique" mais plutot sceptique à l'interface graphique capable de gérer tous les firewalls existant. Et la c'est surtout un retour d'expérience par rapport aux tentatives que j'ai vues de faire la même chose dans d'autres domaines .....
Pour le plat de nouilles, c'est indéniable, mais je ne sais pas si on pourrait y couper. Peut-être qu'une comparaison pertinente est que les règles de firewall générées sont aux volontés de l'utilisateur ce qu'une pile exécutable (en assembleur donc) est à un code Python... et qu'il faut l'accepter.
Il y aura toujours des cas ou on ne pourra pas l'accepter, un peu comme dans le cas de certains traitements que tu ne peux pas traiter en Python car trop lent (par exemple une animation complexe en 3D). C'est pour ça que le cas 1 me parait plus réalisable, ou alors il faut se cantonner aux 'cas simples et génériques' (un peu comme le font certaines interfaces de configuration aujourd'hui) parce que, à un moment tu devras descendre assez bas dans les spécificités du firewall et seul quelqu'un qui connait ledit firewall pourra comprendre ce qu'il fait.
De temps en temps nous avons besoin de toucher à cette salade de nouilles que constitue une liste de règles iptables (par exemple).
Un ensemble de règles bien écrites et bien commentées ne constitue pas une salade de nouilles ...
Sinon pour en revenir à ton idée, je la trouve plutot bonne, cependant vouloir faire un outil capable de s'interfacer avec tous les firewalls (j'exagère un peu avec "tous" mais l'idée est là) relève comme tu le souligne dans ton titre, du fantasme. Tiens un autre exemple qui me vient à l'idée : les tentatives de créer un outil capable de gérer les divers types de paquets des diverses distributions ....
J'ai vu dans d'autres domaines ce que peut donner ce genre d'outil qui est censé faciliter la vie de l'utilisateur.
Ce genre d'outil en général marche bien pour des choses simples, mais n'est pas capable de traiter correctement les cas complexes. Au final on se retrouve avec un truc qui parait beau et clair mais quand on regarde au dela des apparences dans les couches inférieures on se rend compte que ce qui est généré en dessous est crade, mal optimisé, et souvent très complexe et peu factorisé.
Prenons un exemple tout bête : la génération de pages HTML par des outils style Frontpage/Dreamweaver. Je connais également quelqu'un qui a tenté de générer des règles pour son firewall à l'aide d'un outil "magique" capable de s'interfacer avec plusieurs firewalls ... Je vous racconte pas le plat de nouilles généré .... Plus récemment j'ai vu ce que peuvent donner des outils de génération de scripts. Pas génial ...
tout ceci pour dire que pour bien utiliser un outil il faut le connaitre, et ce dans n'importe quel domaine. Ca signifie connaitre les possibilités de chaque outil, ce qu'il peut faire, ou non, comment réaliser telle ou telle action de la meilleure facon. Faire abstraction de tout cela, c'est se concentrer sur le tronc commun des outils de même type (là on parle de firewall), et se priver des fonctionnalités qui ne sont pas communes. C'est aussi parfois vouloir faire les choses avec l'outil A de la même facon qu'avec l'outil B, alors qu'en s'y prenant autrement avec l'outil B, on obtient un meilleur résultat ...
On pourrait comparer ça à des clés (clé 6 pans, clé allen, etc ...) ou a des tournevis. Il existe des tournevis cruciformes, à tête plate. Il existe des petits, grands tournevis. Bien que parfois il soit possible d'utiliser un tournevis plat pour enlever une vis cruciforme, en général ça ne se passe pas sans dommage pour la vis, et ça ne marche pas tout le temps. Et au final il n'existe pas de tournevis universel capable de visser/dévisser toutes les vis ...
Ah oui mais c'est Beretta_Vexee ... :) On lui pardonne ses fautes d'écriture/orthographe/etc car ses commentaires sont toujours pertinents et bien argumentés. C'est à ça qu'on le reconnait. Linuxfr sans Beretta_Vexee ne serait plus linuxfr ...
Je trouve le portable dispensable et pourtant je suis marié et j'ai une fille.
Problème de transport : il reste des cabines telephoniques dans les stations et avec une carte bleue tu peux appeler ... Il y a d'autres méthodes fiables.
Perdre une personne ne leur fait rien ... Cependant s'il commence à y avoir du monde .....
Pour les MVNO, il s'agit d'une belle arnaque mise en place pour pouvoir dire aux autorités de régulation des telecoms "Mais si il y a de la concurence, regardez !!!". Si ca ne prend pas c'est parce que ça ne rapporte pas en raison de la surfacturation faite par les operateurs déjà en place. Seuls des grosses structures style Leclerc peuvent s'y mettre (je pense qu'ils vendent ça comme ils vendent l'essence, comme produit d'appel, mais ça doit pas leur rapporter grand chose).
Moi je veux pas m'emmerder et en plus j'ai mon super forfait étudiant pas cher décompté à la minute avec 8000 SMS/mois que j'utilise pas je le résilie jamais parce qu'aujourd'hui c'est tout plus cher!
C'est surtout ce genre de réaction qui me désespère. Aujourd'hui la téléphonie mobile est clairement trop chere. Mais ce qui est agaçant c'est que personne ne bouge pour faire changer ça, croyant que le mobile leur est indispensable .... Mais il ya 20 ans on faisait comment (Attention, je ne nie pas que le mobile est pratique, je pense juste qu'il n'est pas indispensable pour la plupart des gens).
... que chacun envoie un courrier au service client de son operateur pour lui menacer de résilier si on continue à payer trop cher .... Parce que finalement un mobile, est-ce aussi indispensable que ça ?
Verifie les tables pour voir si c'est la qu'il range ses adrresses zemail pour spammer, et modifie-les ..... Au moins tu rendras service a quelques milliers(millions) de personnes ...
une solution à ce problème : faire comme pour la désignation de jurés dans un tribunal : désigner d'office des volontaires pour le dépouillement à partir des listes électorales.
[^] # Re: autre point
Posté par totof2000 . En réponse au journal [Fantasme ergonomique] Interface graphique pour firewall. Évalué à 2.
Ca done plutot <pre> pass in quick log on <interface> proto TCP from any to any port=22 </pre
[^] # Re: Pffff! PHP ca vit encore ? Ah oui, encore quelques sursauts ....
Posté par totof2000 . En réponse à la dépêche Sloth, un nouveau framework MVC pour PHP. Évalué à 6.
[^] # Re: autre point
Posté par totof2000 . En réponse au journal [Fantasme ergonomique] Interface graphique pour firewall. Évalué à 2.
En plus il faut suivre les évolutions des divers gestionnaires de paquets gérés ...
[^] # Re: autre point
Posté par totof2000 . En réponse au journal [Fantasme ergonomique] Interface graphique pour firewall. Évalué à 1.
En plus il faut suivre les évolutions des divers gestionnaires de paquets gérés ...
[^] # Re: autre point
Posté par totof2000 . En réponse au journal [Fantasme ergonomique] Interface graphique pour firewall. Évalué à 3.
# ssh autorise sur interface externe
pass in quick log on proto TCP from any to any port=22
# Pffff! PHP ca vit encore ? Ah oui, encore quelques sursauts ....
Posté par totof2000 . En réponse à la dépêche Sloth, un nouveau framework MVC pour PHP. Évalué à -8.
[^] # Re: autre point
Posté par totof2000 . En réponse au journal [Fantasme ergonomique] Interface graphique pour firewall. Évalué à 2.
C'est la même chose pour la mise en place de règles de firewall ....Les concepts sont les mêmes quel que soit le firewall, cependant construire un outil qui est capable de tous les géerer est assez compliqué. Aujourd'hui, on arrive à faire des choses qui "commmencent" à être intéressante. Cela dit ces outils montrent vite leurs limtes. Un exemple :
http://autopackage.org/faq.html?PHPSESSID=3e1bee0a19bb498f5a(...)
# Is autopackage meant to replace RPM?
No. RPM is good at managing the core software of a distro. It's fast, well understood and supports features like prepatching of sources. What RPM is not good at is non-core packages, ie programs available from the net, from commercial vendors, magazine coverdisks and so on. This is the area that autopackage tackles. Although in theory it'd be possible to build a distro based around it, in reality such a solution would be very suboptimal as we sacrifice speed for flexibility and distro neutrality. For instance, it can take several seconds to verify the presence of all required dependencies, something that RPM can do far quicker.
La question que je me pose sur ce genre d'outil c'est que se pass-t-il si un prérequis système n'est pas installé ou n'a pas la bonne versoin ? Voila une limite". Et tot ou tard avec ce genre d'outil on se trouve confronté à ce genre de limite. La seconde : "it can take several seconds to verify the presence of all required dependencies, something that RPM can do far quicker.".
Cet outil serait certainement plus intéressant si les distributions Linux ne liaient pas autant le "core OS" et les packages applicatifs .... Ceci permettrait de faire sauter un premier verroou.
[^] # Re: Mon sentiment sur ce genre d'outils ...
Posté par totof2000 . En réponse au journal [Fantasme ergonomique] Interface graphique pour firewall. Évalué à 2.
Je n'ai jamais dit ça, je dis simplement que la génération automatique montre souvent vite ses limites, et entre les prétendues possibilité d'un outil de génération automatique et ce qu'il fait réellement il y a souvent un gouffre, surtout lorsque ledit outil veut gérer un tas de trucs qui se ressemblent de loin mais qui de près ont t quand même pas mal de différeces, surtout quand on y ajoute une couche graphique ....
Cela dit, le jour ou un tel outil sortira, je serai le premier à m'en réjouir, mais aujourd'hui je n'y crois pas (ou plus ...).
[^] # Re: autre point
Posté par totof2000 . En réponse au journal [Fantasme ergonomique] Interface graphique pour firewall. Évalué à 2.
[^] # Re: Mon sentiment sur ce genre d'outils ...
Posté par totof2000 . En réponse au journal [Fantasme ergonomique] Interface graphique pour firewall. Évalué à 2.
[^] # Re: Mon sentiment sur ce genre d'outils ...
Posté par totof2000 . En réponse au journal [Fantasme ergonomique] Interface graphique pour firewall. Évalué à 2.
Pas tant que ça en fait ... Ca dépend dans quel sens on le prend ...
De plus, je pense que si on commence à utiliser ce genre d'outil de haut niveau, le but c'est de ne plus aller voir ce qui se passe en bas niveau. Alors on peut avoir un plat de nouille bien optimisé mais difficilement compréhensible si on regarde sous le capot.
Je ne parle pas seulement de lisibilité mais d'efficacité. et la on peut prendre l'exemple du Perl ou C, pour ces langages un code efficace n'est pas forcément un code lisible ...
D'une manière générale ce n'est pas tant l'approche "interface graphique" qui me gène mais l'approche "interface graphique universelle".
La personne qui fait du traitement de texte n'a pas besoin de savoir comment fonctionne la génération d'odf, ...
Peut être, si elle utilise OpenOffice, ou toute autre suite bureautique concue autour de l'ODF, par exemple, elle pourra certainement esperer obtenir un meilleur code généré que si elle utilise un MS Word qui a été à l'origine concu pour un autre format, et le rendu ne sera pas forcément le même.
... comment fonctionne un système de fichier ...
Pour moi c'est un autre problème .... C'est le problème du développeur ça ... Si on veut prendre l'analogie des FS, il faudrait s'intéresser à la façon dont on définit les droits d'accès aux fichiers sur les serveurs Windows et Unix. Et les outils qui cherchent à uniformiser ce genre de trucs en généal réimplémentent un bout de code dans le noyau pour se superposer aux droits du système ...
Pour les deux autres exemples je n'ai pas d'arguments .... mais ça viendra certainement plus tard.
Enfin bref, tout ça pour dire que je trouve tes arguments un peu faiblards, même si je pense pas forcément que l'interface décrite dans ce journal soit une bonne manière d'aborder le problème (et n'étant pas admin système, je ne saurais trop me prononcer pour être tout à fait honnête).
Je pense que c'est surtout ma façon de m'exprimer qui est faiblarde. En fait je ne fais qu'exprimer un ressenti ... Je ne suis pas contre l'approche "interface graphique" mais plutot sceptique à l'interface graphique capable de gérer tous les firewalls existant. Et la c'est surtout un retour d'expérience par rapport aux tentatives que j'ai vues de faire la même chose dans d'autres domaines .....
.
[^] # Re: Mon sentiment sur ce genre d'outils ...
Posté par totof2000 . En réponse au journal [Fantasme ergonomique] Interface graphique pour firewall. Évalué à 4.
Il y aura toujours des cas ou on ne pourra pas l'accepter, un peu comme dans le cas de certains traitements que tu ne peux pas traiter en Python car trop lent (par exemple une animation complexe en 3D). C'est pour ça que le cas 1 me parait plus réalisable, ou alors il faut se cantonner aux 'cas simples et génériques' (un peu comme le font certaines interfaces de configuration aujourd'hui) parce que, à un moment tu devras descendre assez bas dans les spécificités du firewall et seul quelqu'un qui connait ledit firewall pourra comprendre ce qu'il fait.
# autre point
Posté par totof2000 . En réponse au journal [Fantasme ergonomique] Interface graphique pour firewall. Évalué à 2.
Un ensemble de règles bien écrites et bien commentées ne constitue pas une salade de nouilles ...
Sinon pour en revenir à ton idée, je la trouve plutot bonne, cependant vouloir faire un outil capable de s'interfacer avec tous les firewalls (j'exagère un peu avec "tous" mais l'idée est là) relève comme tu le souligne dans ton titre, du fantasme. Tiens un autre exemple qui me vient à l'idée : les tentatives de créer un outil capable de gérer les divers types de paquets des diverses distributions ....
# Mon sentiment sur ce genre d'outils ...
Posté par totof2000 . En réponse au journal [Fantasme ergonomique] Interface graphique pour firewall. Évalué à 9.
Ce genre d'outil en général marche bien pour des choses simples, mais n'est pas capable de traiter correctement les cas complexes. Au final on se retrouve avec un truc qui parait beau et clair mais quand on regarde au dela des apparences dans les couches inférieures on se rend compte que ce qui est généré en dessous est crade, mal optimisé, et souvent très complexe et peu factorisé.
Prenons un exemple tout bête : la génération de pages HTML par des outils style Frontpage/Dreamweaver. Je connais également quelqu'un qui a tenté de générer des règles pour son firewall à l'aide d'un outil "magique" capable de s'interfacer avec plusieurs firewalls ... Je vous racconte pas le plat de nouilles généré .... Plus récemment j'ai vu ce que peuvent donner des outils de génération de scripts. Pas génial ...
tout ceci pour dire que pour bien utiliser un outil il faut le connaitre, et ce dans n'importe quel domaine. Ca signifie connaitre les possibilités de chaque outil, ce qu'il peut faire, ou non, comment réaliser telle ou telle action de la meilleure facon. Faire abstraction de tout cela, c'est se concentrer sur le tronc commun des outils de même type (là on parle de firewall), et se priver des fonctionnalités qui ne sont pas communes. C'est aussi parfois vouloir faire les choses avec l'outil A de la même facon qu'avec l'outil B, alors qu'en s'y prenant autrement avec l'outil B, on obtient un meilleur résultat ...
On pourrait comparer ça à des clés (clé 6 pans, clé allen, etc ...) ou a des tournevis. Il existe des tournevis cruciformes, à tête plate. Il existe des petits, grands tournevis. Bien que parfois il soit possible d'utiliser un tournevis plat pour enlever une vis cruciforme, en général ça ne se passe pas sans dommage pour la vis, et ça ne marche pas tout le temps. Et au final il n'existe pas de tournevis universel capable de visser/dévisser toutes les vis ...
[^] # Re: oui mais ...
Posté par totof2000 . En réponse au journal OVH: "Mais on vous répète qu'un serveur loué ne vous appartient pas !". Évalué à 3.
[^] # Re: oui mais ...
Posté par totof2000 . En réponse au journal OVH: "Mais on vous répète qu'un serveur loué ne vous appartient pas !". Évalué à 3.
[^] # Re: [HS] Pourquoi paye-t-on si cher pour…
Posté par totof2000 . En réponse au journal [HS] Paye-t-on la téléphonie mobile trop cher ?. Évalué à 3.
Problème de transport : il reste des cabines telephoniques dans les stations et avec une carte bleue tu peux appeler ... Il y a d'autres méthodes fiables.
[^] # Re: La seule méthode efficace serait ...
Posté par totof2000 . En réponse au journal [HS] Paye-t-on la téléphonie mobile trop cher ?. Évalué à 3.
Pour les MVNO, il s'agit d'une belle arnaque mise en place pour pouvoir dire aux autorités de régulation des telecoms "Mais si il y a de la concurence, regardez !!!". Si ca ne prend pas c'est parce que ça ne rapporte pas en raison de la surfacturation faite par les operateurs déjà en place. Seuls des grosses structures style Leclerc peuvent s'y mettre (je pense qu'ils vendent ça comme ils vendent l'essence, comme produit d'appel, mais ça doit pas leur rapporter grand chose).
Moi je veux pas m'emmerder et en plus j'ai mon super forfait étudiant pas cher décompté à la minute avec 8000 SMS/mois que j'utilise pas je le résilie jamais parce qu'aujourd'hui c'est tout plus cher!
C'est surtout ce genre de réaction qui me désespère. Aujourd'hui la téléphonie mobile est clairement trop chere. Mais ce qui est agaçant c'est que personne ne bouge pour faire changer ça, croyant que le mobile leur est indispensable .... Mais il ya 20 ans on faisait comment (Attention, je ne nie pas que le mobile est pratique, je pense juste qu'il n'est pas indispensable pour la plupart des gens).
# La seule méthode efficace serait ...
Posté par totof2000 . En réponse au journal [HS] Paye-t-on la téléphonie mobile trop cher ?. Évalué à 1.
# PHP c'est à la ramasse !!!!
Posté par totof2000 . En réponse au message Offre d'emploi à Paris. Évalué à -2.
PHP EST MORT, VIVE ROR !!!
# sur HP ....
Posté par totof2000 . En réponse au message Recherche carté réseau un peu spéciale. Évalué à 3.
http://h18013.www1.hp.com/products/quickspecs/10861_div/1086(...)
[^] # Re: à toi de voir
Posté par totof2000 . En réponse au journal Vais-je résister à la tentation..... Évalué à 9.
[^] # Re: Votation, piéjakon.
Posté par totof2000 . En réponse à la dépêche Vote électronique : recommandation du FDI, réaction April et autres actualités. Évalué à 4.
[^] # Re: RMagick est ton ami
Posté par totof2000 . En réponse au message Manipulation d'imaes en Ruby. Évalué à 1.
[^] # Re: RMagick est ton ami
Posté par totof2000 . En réponse au message Manipulation d'imaes en Ruby. Évalué à 1.