Journal De Checkpoint à FreeBSD

Posté par  (site web personnel) .
Étiquettes : aucune
23
10
nov.
2009
Il y a un mois de ça, nous avons changer notre Firewall d'une solution Checkpoint à FreeBSD avec PF et OpenVPN.

Les raisons qui nous a motivé à changer ce dernier élément propriétaire de notre réseau sont les suivantes :
- Le client VPN fourni pas Checkpoint ne fonctionne pas sur les version 64 bits de Vista, certaines versions de MacOS X et sous Linux.
- Pas de LACP
- L'administration uniquement depuis un poste Windows
- Basé sur du Linux, mais suffisamment différent pour ne pas être utilisable comme un Linux
- Des options de sécurités top-cool qu'on passait notre temps à chercher puis désactiver
- Avoir deux IP sur la même carte réseau étant possible moyennant quelques bidouilles dans des fichiers de configuration non documentés.
- C'est une boîte noire (et vraiment opaque)
- Le support est misérable (genre le protocole pop3 devenait inutilisable chaque mois, après 6 mois de discussion avec le support on s'est résigné à redémarrer le firewall quand pop3 ne fonctionnait pas).
- Des licences à payer

Bref, ça fait maintenant un mois que notre FreeBSD fonctionne et il fonctionne plutôt bien.

En fait les utilisateurs VPN sont plutôt content (une amélioration des vitesses d'accès a été observée), ils peuvent utiliser le VPN même s'ils utilisent Mac OS X, Windows Vista 64 bits (le directeur, par exemple) ou encore Linux.
La configuration des règles étant un simple fichier texte, on peut stocker ça avec un outil de gestion de version (SVN dans notre cas). Comme les règles sont faites avec FWBuilder ont peut envisager de changer demain de solution (genre Linux/ipatbles) sans devoir réécrire toutes les règles (Checkpoint permettait d'imprimer les règles uniquement).
On se retrouve avec la possibilité de configurer la machine "aux petits oignons" en suivant simplement la documentation généreusement fournie du projet FreeBSD.
On peut mettre deux IP sur une interface réseau sans avoir à se battre, on a du LACP, on peut prévoir d'étendre les fonctionnalités et de faire évoluer les fonctionnalités selon nos besoins.

Le bonheur quoi.

  • # Le pare-feu Checkpoint, un mur de brêles, hein ?

    Posté par  . Évalué à 8.

    Des options de sécurités top-cool qu'on passait notre temps à chercher puis désactiver

    Ils aiment bien le jeu ­« où est Charlie ? », à Checkpoint…

    ­La faculté de citer est un substitut commode à l'intelligence -- Somerset Maugham

  • # /me confirme

    Posté par  (site web personnel) . Évalué à 9.

    Dans ma boîte c'est avec de l'OpenBSD qu'on débarque, et ça donne:
    - oui mais combien d'interfaces gigabit ? ... on monte les cartes qu'on veut mon bon monsieur
    - combien par compte VPN ? ... autant que vous voulez mon bon monsieur
    - combien pour une license pour faire du failover/load balancing ? ... on active relayd mon bon monsieur
    - et IPSec, et le mode cluster, et le monitoring, et le prix des mises à jour ...

    en gros à chaque fois qu'un concurrent arrive avec une boîte en plus et/ou la license qui va avec, nous on fait un peu de config et on ajoute une ligne dans le rc.local/rc.conf.local... jouissif

    • [^] # Re: /me confirme

      Posté par  (site web personnel) . Évalué à 10.

      Après combien il coûte l'administrateur plein de piquants capable de configurer ton openbsd aux petits oignons ?

      je pense justement que la cible des boites comme "checkpoint" ce ne sont pas les boites où justement on a pas besoin d'eux.

      On peut pas comparer un produit vendu sur étagère et une installation custom d'openbsd adaptée précisement aux besoins d'une entreprise en particulier

      La boite qui n'a pas envie d'avoir la compétence avancée en interne de PF, elle prend du checkpoint et elle appelle le support quand ca ne fonctionne pas
      La boite qui se sent capable de gérer son firewall customisé sous freebsd ou openbsd, elle rigolera quand elle verra la proposition de checkpoint.

      • [^] # Re: /me confirme

        Posté par  . Évalué à 3.

        /agree

        Cet homme est un sage.

      • [^] # Re: /me confirme

        Posté par  (site web personnel) . Évalué à 7.

        Sérieusement l'installation de base m'a pris une heure (ou deux) et permet d'avoir toutes les fonctionnalités de base d'un bon firewall. La création des régles avec FWBuilder est, à mon avis, bien moins compliquée qu'avec l'outil checkpoint.
        Ensuite la configuration "aux petits oignons" n'est pas nécessaire au début (je commence maintenant à m'intéresser à ça et je n'ai pas une grande expérience *BSD), ensuite, à mesure que les besoins augmentent, on peut affiner ça configuration.

        De plus faire l'installation d'un checkpoint, tu as intérêt à ne pas être à ton premier pour que ça marche. Mon premier j'ai dû le réinstaller 3 fois parce que si tu mets la mauvaise options dans l'outil, ben tu peux réinstaller (et je t'expliques pas comment c'est simple de configurer les clés de licences ... à vrai dire je saurais plus le faire).

        Non, checkpoint c'est joli sur un PowerPoint du vendeur, mais ça s'arrête là (pfsense est une alternative complète à checkpoint (mais il lui manque le LACP)).

        "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

      • [^] # Re: /me confirme

        Posté par  (site web personnel) . Évalué à 10.

        La boite qui n'a pas envie d'avoir la compétence avancée en interne de PF, elle prend du checkpoint et elle appelle le support quand ca ne fonctionne pas ...
        précisément, et on les en remercie

        Mais comme indiqué dans le journal, de toute façon la configuration un peu plus avancée (de Checkpoint) nécessite quand même de partir en spéléo d'options non documentées. Et à comparer un firewall builder et checkpoint, je vois pas une énorme différence. Le setup reste peut-être un brin plus compliqué, mais entre deux jours de consultance Checkpoint + license et deux jours de consultance OpenBSD, il reste toujours xK euros à dépenser en support et/ou formation

      • [^] # Re: /me confirme

        Posté par  . Évalué à 1.

        La boite qui n'a pas envie d'avoir les compétences en interne, elle paye une journée de prestation, pour un prix pas fondamentalement différent (en comptant licence + maintenance vs presta pour évolutions).

        Bilan financier : équivalent.
        Bilan fonctionnel : tout bon pour BSD.

    • [^] # Re: /me confirme

      Posté par  (site web personnel) . Évalué à 2.

      Malheureusement openBSD n'a pas le support matériel nécessaire (dans mon cas), mais c'était mon premier choix.

      "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

      • [^] # Re: /me confirme

        Posté par  . Évalué à 4.

        Et en prenant un truc moins pointu mais plus souple niveau matériel (du genre Linux avec des blobs qui supportent ton matériel), ça fait pas?

        THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

        • [^] # Re: /me confirme

          Posté par  (site web personnel) . Évalué à 4.

          Ben j'ai pris FreeBSD du coups, comme dit dans mon journal.

          "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

        • [^] # Re: /me confirme

          Posté par  . Évalué à 1.

          Y en a encore beaucoup des blob sous GNUx ?

          Parce que perso, le seul truc binaire que je suis « forcé » d'installer c'est le firmware de la carte WiFi (même pas le module). Sinon, y a les drivers NVidia, mais pour le reste j'vois pas trop…

          (c'est une question pas un troll)

  • # Tout dépend du besoin...

    Posté par  . Évalué à 2.

    Le client VPN fourni pas Checkpoint ne fonctionne pas sur les version 64 bits de Vista
    Pourtant il est vendu pour :
    http://www.checkpoint.com/products/endpoint_connect/index.ht(...)
    Bon j'ai pas testé, mais tu as quoi comme alternative pour faire un check du poste et un déploiement de règles locales a la connexion ?

    Basé sur du Linux, mais suffisamment différent pour ne pas être utilisable comme un Linux
    Si tu parles bien d'ipso, c'est basé sur du bsd à l'origine. Et il existe Gnukia pour retrouver un peu du confort Gnu sous ipso


    Avoir deux IP sur la même carte réseau étant possible moyennant quelques bidouilles dans des fichiers de configuration non documentés.
    Jamais essayé, mais dans quel but ? Ipso supportte très bien les interfaces vlans

    Des licences à payer
    Des options de sécurités top-cool qu'on passait notre temps à chercher puis désactiver
    Bref, ça ne correspond pas à ton besoin.

    Concernant les perf, il y a des cartes accélératrices qui fonctionnent correctement sous openbsd ? Déjà qu'il ne sait apparement pas utiliser plusieurs core d'après http://www.openbsd.org/faq/pf/fr/perf.html ...

    Et ca fonctionne bien en mode actif/actif ?

    • [^] # Re: Tout dépend du besoin...

      Posté par  (site web personnel) . Évalué à 3.

      Le client VPN fourni pas Checkpoint ne fonctionne pas sur les version 64 bits de Vista
      Pourtant il est vendu pour :
      http://www.checkpoint.com/products/endpoint_connect/index.ht(...)
      Ça c'est nouveau. Mais bon il fonctionne toujours pas sur Mac OS (et c'est ce qu'on a le plus) ...

      Si tu parles bien d'ipso, c'est basé sur du bsd à l'origine. Et il existe Gnukia pour retrouver un peu du confort Gnu sous ipso

      Checkpoint c'est un système Redhat modifié. Tu t'attends à avoir un système Redhat, mais tu te retrouves avec un truc trop différent pour pouvoir être administré comme un Redhat. Rien à voir avec IPSO donc.

      Bref, ça ne correspond pas à ton besoin.
      Non, payer des licences et du support pour avoir un support qui n'arrive pas à résoudre mon problème après 6 mois, c'est pas vraiment ce que j'attendais.

      Concernant les perf, il y a des cartes accélératrices qui fonctionnent correctement sous openbsd ? Déjà qu'il ne sait apparement pas utiliser plusieurs core d'après http://www.openbsd.org/faq/pf/fr/perf.html ...

      Sous OpenBSD je sais pas, j'utilise FreeBSD.

      Et ca fonctionne bien en mode actif/actif ?
      Pas encore redondant, peut-être l'année prochaine ...

      "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

      • [^] # Re: Tout dépend du besoin...

        Posté par  . Évalué à -2.

        Sous OpenBSD je sais pas, j'utilise FreeBSD.

        Au temps pour moi, je pense à PF dès que je vois firewall et bsd dans la même phrase. Mais la question reste valable : Splat supporte le multicoeur, les cartes accélératrice et le mode actif/actif depuis longtemps. Qu'en est-il sous freebsd ?

      • [^] # Périphérique de crypto.

        Posté par  (site web personnel) . Évalué à 2.

        Sous OpenBSD je sais pas, j'utilise FreeBSD.

        Tous les drivers pour les cartes de crypto sous FreeBSD ont été piqués chez OpenBSD.

        Ça marche avec tout ce qui utilise le framework de crypto (IPsec, geli, un bout de kerberos) ou en userland via le device cryptodev (pour openssl par exemple).

        les pixels au peuple !

    • [^] # Re: Tout dépend du besoin...

      Posté par  . Évalué à 3.

      Des licences à payer
      Des options de sécurités top-cool qu'on passait notre temps à chercher puis désactiver
      Bref, ça ne correspond pas à ton besoin.
      Tu sous-entends que des gens ont besoin:
      - de payer des licences,
      - de se faire chier à désactiver des trucs qui les emmerdent et qu'ils ont payé?

      Je te crois, hein: c'est grâce à eux que l'industrie du logiciel propriétaire se porte bien.

      Troll libriste à part, ce qui me fait tiquer n'est pas que tu mentionnes le fait qu'on puisse avoir besoin de solutions propriétaires, mais que tu cites les reproches (les inconvénients) faits aux solutions propriétaires pour expliquer qu'elles ne correspondent pas aux besoins auxquels elles répondent.
      "Venez chez nous avec vos solutions, nous avons des problèmes!"

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

      • [^] # Re: Tout dépend du besoin...

        Posté par  (site web personnel) . Évalué à 6.

        Tu sous-entends que des gens ont besoin:
        - de payer des licences,

        Oui, si tu as un budget annuel qui doit être épuisé à la fin de l'année (sinon on te le diminue l'année suivante), les licences c'est un outil fantastique.

        "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

        • [^] # Re: Tout dépend du besoin...

          Posté par  . Évalué à 1.

          J'avais entendu parler d'une école où il recevait un budget mazout de chauffage en fonction de ce qu'ils avaient brûlé l'année précédente. Donc pour être sûr d'avoir assez de fric l'année suivante, ils allumaient les radiateurs en été pour brûler le fond de la cuve.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Tout dépend du besoin...

            Posté par  (site web personnel) . Évalué à 2.

            Ça ne m'étonne pas, j'étais dans une entreprises qui avaient aussi cette politique de "griller" le budget. Au mois de décembre on achetait plein de trucs inutiles pour vider les caisses. On recevait les trucs on s'amusait deux jours avec et après on les déposait sur une étagère, jusqu'à ce que ça finisse à la poubelle. C'est juste horrible.
            Une année on voulait faire un investissement (nécessaire, un multi-fonction gros volume, le précédent était à deux doigts de lâcher). On a proposer de déplacer une partie du budget de l'année en cours sur l'année suivante (pour avoir assez pour l'achat).
            Ça a été refusé, mais on a reçu un supplément spécial investissement pour ça. On a gaspillé tranquillement notre budget comme d'habitude (et ce n'était pas l'état, mais bien une entreprise dans le secteur privé).

            "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

        • [^] # Re: Tout dépend du besoin...

          Posté par  (Mastodon) . Évalué à 2.

          Acheter un "ticket annuel de support" est aussi un outil fantastique dans ce cadre.

          "ne perdez pas votre budget, achetez mes tickets, ils sont bons ils sont chauds, garantis douze mois"

      • [^] # Re: Tout dépend du besoin...

        Posté par  . Évalué à 0.

        Tu sous-entends que des gens ont besoin:
        - de payer des licences,
        - de se faire chier à désactiver des trucs qui les emmerdent et qu'ils ont payé?


        Plus précisement, je dis que si tu achétes quelque chose dont tu n'as pas besoin et que tu est obligé de te taper une migration après, apprends à faire une étude.

        • [^] # Re: Tout dépend du besoin...

          Posté par  (site web personnel) . Évalué à 7.

          Tu es obligé de te taper une migration parce que tu te rends compte que tu as un protocole inutilisable durant 6 mois et que le support que tu paies n'est pas capable de solutionner le problème.
          Tu te tapes une migration parce que pour rester sur le système il faut acheter encore plus de licences (le nombre d'utilisateurs a augmenté), mais que tes problèmes du début traînent toujours dans les méandres d'un support incompétent.
          Tu te tapes une migration parce que l'entreprise qui fabrique le produit n'a pas réussi à suivre l'évolution de l'informatique (Mac OS, Linux, Windows 64 bits).

          Mais ça tu sais pas quand tu signes le contrat. Au contraire, ils te disent que ça va être super "scalable", "optimize your productivity" and "with 27/24 hours, 8/7 days support" ...

          Finalement, j'étais pas là pour faire ce choix, mais en même temps mon point de vue aurait été le suivant : "Mmmmh, vous voulez prendre checkpoint. C'est bien. Bon c'est du proprio, on aura que des emmerdes avec. Après vous faites ce que vous voulez mais moi je touche pas à ça", ça marche à tous les coups.

          "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

          • [^] # Re: Tout dépend du besoin...

            Posté par  . Évalué à 10.

            Je fais exactement pareil :-)
            Mon supérieur: "mais pourquoi pensez-vous que ça va nous poser problème ?"
            Moi: "parceque TOUT l'informatique pose des problèmes"
            Mon supérieur: "ah bon, et donc vos solutions poserons problème alors"
            Moi: "oui, et je pourrais les résoudre. Ce qui n'est pas le cas des solutions avec lesquelles nous ne pouvons rien modifier, contrôler, ou comprendre"
            Mon supérieur: "nous allons tout de même prendre la solution x".

            La dernière dois qu'il m'a fait le coup, c'était il y a 3 ans. Ca coûtait 5000 euros mensuel pour relier 12 sites en VPN (solution Equant, des branques de chez Farce Télécom). Au bout de 2 mois de non fonctionnement, mon supérieur me dit un lundi au détour d'un couloir:
            "ça y est, le VPN fonctionnen enfin."
            Moi: "Je suis au courant vu que c'est moi qui ai débranché le VPN Equant. A la place c'est la solution dont je vous ai parlé" (OpenVPN)
            Mon supérieur: "....."
            Moi: "J'en ai profité pour relier nos 32 sites au lieu de seulement 12"

            Il n'aime pas du tout quand je le regarde sans sourire.
            Il sait aussi que c'est là que je lui explique qu'il faut remonter mon salaire. Mais ça fait 3 ans qu'il n'a plus decidé de conneries :-)

      • [^] # Re: Tout dépend du besoin...

        Posté par  . Évalué à 0.

        ais que tu cites les reproches (les inconvénients) faits aux solutions propriétaires pour expliquer qu'elles ne correspondent pas aux besoins auxquels elles répondent.

        En fait je suis persuadé qu'il y a un marché pour checkpoint autant que pour PF, tout dépends justement du besoin. C'est pour ça que je demande des infos sur la partie performance, n'ayant jamais migré de l'un à l'autre. Mais l'auteur du journal préfére pointer ma confusion Freebsd/openbsd plutôt que d'essayer de répondre.

        • [^] # Re: Tout dépend du besoin...

          Posté par  (site web personnel) . Évalué à 3.

          Oh t'es lourd là. J'ai mis toutes les infos que tu m'as demandé (mais il faut que tu lises toi-même) https://linuxfr.org/~tchetch/29011.html#1080564 .

          La partie performance, je l'ai dit dans le journal, semble meilleure mais je n'ai pas fait de mesures. Les utilisateurs du VPN ont remarqué que c'était plus rapide, c'est déjà un indice suffisant (et le checkpoint étant mort et enterré je ne pourrais pas faire de mesure comparative).

          "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

          • [^] # Re: Tout dépend du besoin...

            Posté par  . Évalué à 1.

            le checkpoint étant mort et enterré je ne pourrais pas faire de mesure comparative

            C'est tout ce que je demandais. Pour les liens vers freebsd, pf et carp, c'est gentil, merci.

    • [^] # Re: Tout dépend du besoin...

      Posté par  (site web personnel) . Évalué à 1.

      Bon j'ai pas testé, mais tu as quoi comme alternative pour faire un check du poste et un déploiement de règles locales a la connexion ?
      Check poste ? càd ?
      Sinon OpenVPN permet de déployer de la config de base (dns/domain/routes) et également des user scripts si je ne m'abuse. Maintenant je suppose qu'on va me sortir l'argument que l'application de ces règles peut-être esquivée par l'utilisateur, mais ça serait le cas aussi avec le client checkpoint, juste moins simple vu qu'on a pas les sources du bidule (c'est d'ailleurs ce qui me fait installer un soft pareil dans une VM quand je dois administrer les machines d'un client).

      Si tu parles bien d'ipso, c'est basé sur du bsd à l'origine. Et il existe Gnukia pour retrouver un peu du confort Gnu sous ipso
      Je suis pas un spécialiste Checkpoint, mais ça se vend pas que sur des plateformes Nokia, ils le vendent même à installer sur un Windows

      Avoir deux IP sur la même carte réseau étant possible moyennant quelques bidouilles dans des fichiers de configuration non documentés.
      Jamais essayé, mais dans quel but ? Ipso supportte très bien les interfaces vlans
      Là je vois vraiment pas le rapport

      Bref, ça ne correspond pas à ton besoin.
      Un client de plus \o/

      Concernant les perf, il y a des cartes accélératrices qui fonctionnent correctement sous openbsd ? Déjà qu'il ne sait apparement pas utiliser plusieurs core d'après http://www.openbsd.org/faq/pf/fr/perf.html ...
      Effectivement, avec de l'OpenVPN par exemple c'est un process par CPU, donc à moins de monter plusieurs VPN et faire du round robin avec relayd, c'est pas out of the box (bien que faire du round robin avec relayd ça soit pas vraiment dur ...)
      Sinon y'a du support de cryptodev pour Via padlock (avec OpenSSL sous OpenBSD j'ai déjà essayé avec des débits à 300Mbits/s, mais j'ai un doute, je sais plus si c'était avec AES128 ou AES256 ou les deux)

      Et ca fonctionne bien en mode actif/actif ?
      Désolé pour la déception, mais j'ai rien de mieux qu'un manuel, section 6.11.3 - Load balancing de http://www.openbsd.org/faq/faq6.html#CARP . Malheureusement je doute fortement que ça marche en ayant les machines comme endpoint IPSec ou OpenVPN (ou alors il faut sérieusement bidouiller)

      • [^] # Re: Tout dépend du besoin...

        Posté par  . Évalué à 1.

        Check poste ? càd ?
        Vérification de conformité, par exemple s'assurer de la présence d'un antivirus à jour avant d'autoriser la connexion. Tout ce qui se cache derrière le beau terme marketting " NAC"

        Je suis pas un spécialiste Checkpoint, mais ça se vend pas que sur des plateformes Nokia, ils le vendent même à installer sur un Windows
        Tout à fait, sur linux et solaris aussi, mais restons sérieux...

        Effectivement, avec de l'OpenVPN par exemple c'est un process par CPU, donc à moins de monter plusieurs VPN et faire du round robin avec relayd, c'est pas out of the box (bien que faire du round robin avec relayd ça soit pas vraiment dur ...)
        Sinon y'a du support de cryptodev pour Via padlock (avec OpenSSL sous OpenBSD j'ai déjà essayé avec des débits à 300Mbits/s, mais j'ai un doute, je sais plus si c'était avec AES128 ou AES256 ou les deux)
        Ok, je ne connais pas, merci pour l'info. 300Mbps en vpn c'est bien, mais la plus petite des IP appliance checkpoint est annoncé au double, faudrait comparer en conditions réelles.

        Malheureusement je doute fortement que ça marche en ayant les machines comme endpoint IPSec ou OpenVPN (ou alors il faut sérieusement bidouiller)
        Ca de toute façon, ça marche toujours très bien sur le papier chez plein de constructeurs...

        • [^] # Re: Tout dépend du besoin...

          Posté par  . Évalué à 2.

          Vérification de conformité, par exemple s'assurer de la présence d'un antivirus à jour avant d'autoriser la connexion.

          OMG ça se connecte jamais quoi...

        • [^] # Re: Tout dépend du besoin...

          Posté par  . Évalué à 0.

          mais la plus petite des IP appliance checkpoint est annoncé au double, faudrait comparer en conditions réelles.
          regarde aussi les "*"
          style "sans aucune règle et en faisant rien d'autre".

          c'est comme certains appliance proxy "non non notre appliance fonctionne wirespeed" .... enfin seulement quand la carte est en passthrough parce que sinon tu fonctionne a 10% du débit max avec des règles normal.

          • [^] # Re: Tout dépend du besoin...

            Posté par  (site web personnel) . Évalué à 6.

            Oui, et sans activer les fonctions à part, genre cache web, dns, etc. J'ai déja du faire des tests pour un constructeur qui voudrait grandir, et c'est la méthodologie qu'on a employé, principalement pour des raisons de bon sens :
            - tester isolement les composants pour la vitesse, ça permet de vérifier les régressions ou les avancées
            - faire un profile type d'usage de plusieurs composants, c'est complexe et sans doute aussi trompeur que le reste, car tout le monde va utiliser le produit à sa façon, donc quitte à donner des chiffres qui ne correspondent pas à la réalité de tout les clients, autant en donner des bons dans au moins un cas

            Ceci dit, c'est un vrai probléme, et depuis, je sais que je crois plus les benchs des fabricants :)

  • # Mais pourquoi ???

    Posté par  (site web personnel) . Évalué à 3.

    Pourquoi utiliser FWBuilder ???

    Ca rajoute une couche inutile qui risque de provoquer des bug inutile dans la conf pour rien. Et puis c'est pas comme si PF était compliqué à manipuler. En plus un élément aussi important pour la sécurité tu ne le change pas tout les matin donc inutile de choisir ce logiciel pour une pseudo raison de sécurité. Bref vire moi ce logiciel inutile et écris tes règles toi même.

    • [^] # Re: Mais pourquoi ???

      Posté par  (site web personnel) . Évalué à 2.

      J'ai pas le temps de me mettre à PF pour le moment, mais t'inquiètes je vais commander un joli livre et le lire tranquillement.
      Le reste c'est des arguments commerciaux ...

      "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

    • [^] # Re: Mais pourquoi ???

      Posté par  . Évalué à 2.

      En même temps, il dit que ça permet une migration en cas de besoin. C'est pas forcément une mauvaise idée.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Mais pourquoi ???

        Posté par  (site web personnel) . Évalué à 4.

        C'est pour ça que j'ai dit : En général on ne migre pas le coeur de sa sécurité tout les matins. Et puis le jour ou tu migres tu as une tel préparation à faire sur ce genre de machine que tu peux envisager de réécrire les règles.

      • [^] # Re: Mais pourquoi ???

        Posté par  (Mastodon) . Évalué à 3.

        pour ce que j'en sais, firewall builder permet d'importer/exporter les différentes syntaxes, donc au pire, tu n'utilise fwbuilder que le jour où tu as besoin de migrer.

        Et franchement étant donné la qualité de la syntaxe pf, je ne vois pas l'intérêt de migrer vers un autre (d'ailleurs c'est pas pour rien qu'on trouve plein de scripts de conversions vers pf, mais aucun depuis pf vers un autre).

        • [^] # Re: Mais pourquoi ???

          Posté par  . Évalué à 1.

          je ne vois pas l'intérêt de migrer vers un autre

          Vers un autre je sais pas, mais migrer... la casse ?

  • # détourner

    Posté par  . Évalué à 1.

    "- Basé sur du Linux, mais suffisamment différent pour ne pas être utilisable comme un Linux"

    Ca devient vraiment agassant , les constructeurs , intégrateurs ... qui se base sur du libre , pour le détourner complétement .. (et pas seulement le libre mais les standard ) comme dans un autre domaine les GPS tomtom, c'est du linux mais on peu pas l'utiliser comme un linux ....

    • [^] # Re: détourner

      Posté par  . Évalué à 3.

      D'un autre côté, il y a encore des constructeurs ou éditeurs qui jouent le jeu, c'est franchement agréable, et c'est le genre de boîte que je privilégie toujours.
      C'est le cas par exemple de Nokia, qui fournit son N900 avec un Linux maison, la fameuse Maemo, mais qui laisse de quoi bidouiller : par défaut un shell et même un interpréteur Python sur un téléphone \o/

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.