Des solutions alternatives à la MNF

[lagaffes]

Bonjour à tous,

Un petit up, pour savoir si quelqu'un a réussi à reconstruire une MNF2 à partir d'une distrib Mandriva normale ???

Et pour savoir pour les autres quel a été leur choix après leur réflexion.

Merci d'avance pour votre réponse

[fabzz007]

Du coup quand c'était possible (DMZ + LAN + WEB) je suis suis lancé corps et âmes dans IPCOP... Vraiment très satisfaisant...

Et sur un site en particulier où là j'avais vraiment plusieurs lan je me suis basé sur une topologie à 2 firewall:

Code: Tout sélectionner


internet <--->modem<--->ipcop<---->dmz<--->isa server<---->lan1
                                                     <-----> lan2
                                                     <-----> lan3

[bmwsat]

Bonjour,
je suis nouveau dans ce forum et ce sujet m'intéresse.
Que dites vous de la distribution proxmox firewall ou proxwall qui propose aussi une distribution dédiée à la messagerie (proxmox mailgateway)?

[jdh]

La MNF est prévu pour plusieurs lan (d'où son nom !).

C'est de mon point de vue un (grand) avantage sur IPCOP figé à 5 interfaces (Red + Green + Orange + Blue + Violet).

De plus MNF est basé sur Shorewall, un (pseudo-)firewall remarquablement bien pensé et complet. En gros c'est BOT intégré !


Ce n'est pas les schémas à double firewall (de Fabzz) qui compense cette limitation, bien au contraire. D'autant que, d'un, cela suppose de maîtriser 2 firewalls différents (ce qui n'est pas facile), et de deux, ISA n'est pas plus plus prévu pour du multi-interfaces (sans compter la lourdeur d'écriture des règles ...). (Je l'ai déjà écrit mais pas de réponses ...)

[psykolivier]

Comme l'a dit moussgrd, mais apparemment ca vous est passé au dessus, essayez m0n0wall... j'en ai un sur i386, sur une carte CF de 32Mo, 3 cartes réseau sur un pII350 / 64Mo de RAM, c'est VRAIMENT excellent ! http://m0n0.ch/wall/

[jdh]

Bonjour Psykolivier !

En effet, je suis assez d'accord, mOnOwall ou son dérivé pfSense (que j'ai regardé) sont intéressants. (NB : pfSense s'il est dérivé de mOnOwall a des buts différents !!!)

pfSense a une superbe interface web, très homogène et intégrant TOUT ce qu'il faut sur un firewall (multi-zones). Je dirais qu'il y a même plus de fonctions qu'IPCOP : en fait c'est de nombreux add-ons qui sont déjà intégrés.

Cependant, Linuxien et iptablien depuis longtemps, j'éprouve une difficulté intellectuelle à passer à PF que je connais insuffisament malgré de nombreux articles lus à son sujet. Avec un peu de pratique, pourquoi pas !

Mais franchement, j'ai été impressionné (bluffé ?) par pfSense.

Il ne faut pas oublier que MNF c'est Linux + noyau optimisé + Shorewall + interface web + quelques outils (Squid et complément, DNS, DHCP, ...). Je me débrouille assez bien pour faire mon propre fw (sans l'optimisation du noyau qui serait pourtant nécessaire).

Ce qui compte c'est de maitriser son firewall, c'est à dire qu'il soit facile de créer les règles nécessaires. (Sans pour autant faire du pseudo-multi-zones en conditionnant chaque règle comme sur ISA).

[fabzz007]

Pourquoi "pseudo multi-zone" d'isa ? je ne comprend pas trop cette critique... J'ai un isa avec 4 cartes réseaux. Ce ne sont pas des "pseudo" interfaces mais des interfaces biens véritables avec des règles et des stratégies différentes...
Je veux pas lancer une polémique juste comprendre...


Je ne savais pas que monowall permettait le multinetwork... J'irai donc jeter un oeil curieux à cette distrib dès que possible

merci du tuyeau

[jdh]

Comment ISA distingue les interfaces ?

Ne faut-il pas préciser dans chaque règle une range ip ? (alors qu'il serait bien plus simple de décrire les règles interface par interface).

[Gandalf]

Ah ça faisait longtemps que je n'étais pas passé, et quand ça parle de MNF je ne peux pas m'empêcher d'y mettre mon grain de sel !
J'en ai parcouru des distribs, et bien je n'ai jamais trouvé d'équivalent ( tout fait ) du MNF, qui reste pour moi une référence ( plusieurs MNF 1 et 2 en prod, dont certains depuis 3 ans sans soucis ).
Le MNF est véritablement modulaire, càd que si demain je veux ajouter ou supprimer une zone, c'est un jeu d'enfant, ce qui permet d'optimiser son architecture. En plus shorewall est LE must de cette distrib, on peut même créer des règles avec le fichier de conf sans se tromper. Le GUI est excellent, et les services annexes ( filtrage, DHCP ... ) sont bien pensés et pas trop nombreux ( en gros ils n'ont pas eu la bêtise d'intéger un serveur FTP comme dans certaines autres distribs ... ).
Le problème, c'est la politique obscure de Mandriva que j'ai déjà contacté plusieurs fois sans aucune réponse. Ca c'est beau tiens, et après ils s'étonnent que l'on bosse tous sur des Red Hat, bande de naze !
Je vais aller voir PFSense que je ne connais pas non plus, en espérant y trouver mon bonheur.

PS : ah oui j'oubliais ( et là je vais faire plaisir à jdh ) que MNF filtre en sortie, ce qui me semble être d'une logique absolue ! Z'avez déjà vu un Checkpoint qui laisse tout sortir ?

[fabzz007]

Gandalf>> J'en suis au même point que toi... Très satisfait de la mnf mais très TRES déçu de la politique de mandriva... dommage d'avoir d^abandonné cette solution...

jdh >> oui et non Car effectivement c'est par range d'IP mais en faîte tu créer un objet réseau qui contient le range d'ip et ensuite tu utilise cet objet dans tes règles ce qui au final revient au même que d'utiliser des règles par interface... sauf si tu change de plan d'adresse ip toutes les 5 minutes

[lagaffes]

Bon je vais faire un test en essayant de recontruire ma MNF2 à partir d'une mandriva 2007 (vu qu'il y a toujours le package httpd2-natt de fournit, il y a peut être même une version française (on peu toujours rêver ).

Mais je pense que d'autres personnes on déjà dû essayé et que ça n'a pas marché

Sinon dans le pire des cas, je ferai un essai à base de Débian (où là je suis sûr que ça sera toujours gratuit et d'avoir des package à jour et sécurisé), en y ajoutant l'interface de nuface qui a l'air pas mal.

Je suis d'accord avec Gandal sur la MNF2 et sur Shorewall, c'est vraiment domage ce changement de politique.

Je vous tiens au courant bien sûr.

@+

[jdh]

Un bon filtrage c'est ET l'interface ET l'adressage réseau : que se passe-t-il si je configure un PC avec un adressage d'une autre interface ?

Je note que pas mal de solution (promox précédemment cité) semble issu de Shorewall comme MNF. Cela vaut le coup d'essayer ...

[fabzz007]

jhd>> C'est vrai... perso j'utilise des vlan... ainsi je suis sûr que même en changeant d'adresse IP l'utilisateur ne peut pas accéder à une autre interface de l'ISA... et ainsi j'ai une aleterte de spoofing.

[lagaffes]

Gandalf,

Peux-tu me dire si l'interface http-naat et ses composants ont évolué depuis sa sortie (ajout de fonctionnalités ...)

car j'ai trouvé ceci :

- httpd2-naat-0.8-10mdk.noarch
- naat-backend-0.8-37mdv2007.0.i586
- ...

Merci d'avance pour ta réponse

[Gandalf]

Gandalf,

Peux-tu me dire si l'interface http-naat et ses composants ont évolué depuis sa sortie (ajout de fonctionnalités ...)

Certainement, mais je ne peux pas te dire en quoi, car je ne m'y suis pas collé depuis quelques années !