Forum Clubic

Quel BSD pour un firewall sur une toute petite config?

Bonjour,
Je compte recycler un vieux PC qui traine chez moi en faire un petit firewall (ipfilter + serveur web+ SSH). Le problème c’est que le PC en question est de 1995 (p100, 32mo EDO, DD 900mo). J’avais pensé à une OpenBSD car apparemment plus fiable au niveau sécurité mais il semblerait qu’elle soit assez lourde, que me conseillerez vous ?
J’aurais aussi aimé savoir quel firewall vous me recommanderez ? J’ai mis ipfilter car il semble le plus connu, mais je préférai un firewall le plus léger possible (même au dépend de la sécurité, je monte juste ce firewall pour toucher un peu de BSD)
Enfin, quel serveur web me conseillerais vous pour ma config, sachant qu’il sera très peu sollicité ? Pensez vous que ma config pourrait supporter un AMP ?

Merci pour vos réponses

Packet Filter fera l’affaire. La config est peut-être un peu vieillote, mais si tu ne met pas de règles trop compliqués et de trop gros tableaux, ça passera. Enfin, regarde mon avatar, tu verras quel est mon avis que la question :slight_smile:

Quant au serveur web, OpenBSD intègre une version modifiée d’Apache 1.3. Mais bon, là je garantis pas les résultats vu la configuration !

un linksys a 50€ avec OpenWRT fera autant sinon plus pour moins d’emmerdes et une consommation elec 100x moindre :wink:

Y’a encore mieux sinon : les Soekris.

Le problème KP2 c’est que sur beaucoup de routeurs ce n’est pas très stable (dont le mien malheureusement) et ça revient à acheter… Le but de recycler un vieux pc c’est de ne pas payer justement. Malheureusement je ne peux pas aider avec BSD puisque je n’y ai jamais touché.

Sinon ce serait intéressant une sorte de OpenWRT pour PC car là vu la configuration, ça serait pas mal légé.

Pis OpenWRT c’est du Linux, alors pour se taper iptables…

openwrt ou autre… ils ont de tres bonnes interfaces web pour les fonctionnalites de base

En même temps, le monsieur il voulait du BSD et vous commencez à troller en lui proposant de l’OpenWRT/Linux :slight_smile:

oui oui je sais bien…
j’aime pas de trop quand on propose autre chose plutot que repondre a la question mais dans certains cas extremes, je pense qu’on peut le faire quand meme. Et la, en l’occurence, un routeur a 50€ serait plus puissant, plus petit, plus pratique, plus fiable et bien moins consommateur en energie qu’une vieille becane qui a 13 ans.
De toute facon, ma proposition etait en marge de la question et n’influe pas sur les reponses donnees par d’autres.

Pour repondre : si tu veux openbsd, c’est ipfilter qu’il faut utiliser. C’est une reference et il convient parfaitement a ce que tu veux faire.
Pour le serveur web, vise plutot lighttpd plutot qu’apache. Pour php, peut etre que ca passerait si tu programmes bien et evite aussi mysql, privilegie sqlite qui est integre a php5.

Perdu, sous OpenBSD, c’est Packet Filter (pf).

ah shit… je melange toujours avec freebsd… je sais jamais lequel utilise pf ou ipfilter :-@:
De toute facon, ils sont tous les 2 excellents

Packet Filter est quand même bien plus puissant, et c’est lui qui est la référence (il est porté sur les 3 BSDs). Sous FreeBSD, j’utilise toujours et exclusivement pf :slight_smile:

C’est dommage qu’il n’y ait pas de tel outils (comprendre puissance + facilité) pour remplacer IPTables sous Linux quand même…
Edité le 19/03/2008 à 10:43

y’a une surcouche qui s’appelle shorewall que j’aime beaucoup mais c’est pas equivalent…

Oui, mais ça reste une surcouche en fait… Et fait-elle vraiment tout ce que fait par défaut un vrai firewall comme pf, avec une vraie gestion des scripts, un contrôle du fichier pf.conf avant qu’il soit lancé, ou autre ? Permet-il de faire du balancing en une ligne également ? Gestion des tables/macros ? Auto-blacklistage d’adresses floodant ssh ? etc…

Bref, j’attends beaucoup un outil comme ça sous Linux quand même ! :slight_smile:
Edité le 19/03/2008 à 20:37

tu entends quoi par “vraie gestion des scripts” ? “controle du fichier pf.conf” ?

Ce que j’apprecie particulierement avec shorewall c’est la fonctionnalite “d’essai”. on peut copier la conf, la modifier, faire un essai pendant x secondes et ca revient a l’ancienne conf. Si c’est ok, on passe en prod la nouvelle conf, si c’est pas bon, on recupere la main au bout du timeout.
Autre truc que j’aime bien : shorewall n’a pas seulement les 2 etats “arrete” et “demarre”. Il en a 3 en fait : “arrete”, “aucune regle active”, “demarre”. Lorsqu’il est “arrete”, tout est bloque sauf la conf minimale par defaut que l’on specifie (ca peut etre n’importe quelle conf) - pas mal pour un mode “secours”. Lorsqu’il est en mode “aucune regle active”, tout est ouvert et lorsqu’il est en mode “demarre”, ben c’est l’etat normal.
En plus, il dispose d’un systeme “light” qui permet de recevoir et activer un ensemble de regles sur un ensemble de firewalls. Pratique pour les grosses structures : on a un firewall maitre sur lequel on installe shorewall, X firewalls “enfants” sur lesquels on installe juste shorewall “light” et on utilise le maitre pour generer les regles “compilees” qui seront deployees sur les enfants par un moyen ou un autre (la partie “light” demarre et active les regles super vite).
On peut aussi centraliser la gestion des tunnels et autres bridges ainsi que creer/gerer des “templates” de regles tres pratiques pour les grosses confs.
Y’a pas mal d’autres trucs aussi que j’ai jamais trop utilise.
Y’a aussi surement des nouveautes depuis l’annee derniere ou j’ai cesse de l’utiliser.

Par contre pour le balancing, c’est loin d’etre aussi pratique et fiable que pf a moins qu’il se soit ameliore depuis. Et il n’y a pas de reponses “automatiques” comme un IDS pourrait le faire.

[quote=“clinty”
Bref, j’attends beaucoup un outil comme ça sous Linux quand même ! :slight_smile:
[/quote]

Moi aussi mais avec netfilter c’est pas gagne… il est tres complet mais vraiment incomprehensible.
Y’ a vraiment qu’avec des surcouches plus ou moins completes qu’il est utilisable…
Edité le 19/03/2008 à 21:05

Oui, et c’est une fonctionnalité importante. IPtables marche pas une commande qui accepte des arguments. On doit faire des scripts shell pour lancer plusieurs règles, avec le risque qu’une règle se vautre entre deux, et laisser IPtables dans un sale état (genre sans le port 22 d’ouvert, déjà arrivé, et t’as l’air bien con à distance ^_^). J’aime vraiment dans pf l’idée de recharger l’ancienne config si l’actuelle a une erreur.

Je testerai shorewall, tu m’as tenté. Mais j’espère juste un jour avoir autre chose qu’une surcouche…