par jdh » 30 Juil 2005 16:51
Je m'inscris en faux sur ces affirmations.
La plupart des routeurs ainsi que les boites (LiveBox, NeufBox, FreeBox, Triway, ...) ne fonctionnent que comme un simple routeur filtrant SANS la fonction "state-full". Ce sont donc des ersatz d'ipchains et non d'iptables. Il ne suivent donc pas la connexion en tant que telle. Ce qui est évidemment moins bien qu'un suivi de connexion comme l'assure Iptables.
Je veux rappeler qu'avant 2000, un leader dans le domaine du firewall ("controle-point" !) avancait "sa" technologie comme élément fort de son statut de n° 1 du secteur. Or cette technologie était le suivi de connexion, c'est à dire ni plus ni moins qu'iptables. Rendons à César, il disposait déjà de quelques proxy applicatifs, ce qui est l'avenir du firewall : analyser en plus l'intérieur du protocole.
J'ai aussi constaté que le routeur que tu possèdes indique qu'il est firewall "state-full" lui aussi. Il est bien évident qu'il faut disposer de pas mal de mémoire pour suivre la connexion dans sa globalité. Je pense que la taille mémoire est limitée pour un tel hardware. Il doit donc être vu comme un routeur "soho" et il est d'ailleurs, présenté comme tel.
Si on veut comparer ce routeur à IPCOP, il faut noter que l'avantage est bien évidemment à IPCOP. Avec ses possibilités de base qui me paraissent déjà supérieures, il faut noter la possibilité d'ajouter des "add-ons" pour ajouter la fonction Squid ou la fonction IDS ou d'autres encore. Mais à la base on peut déjà "loguer" de choses ce qui est essentiel à un minimum de sécurité. On peut au vol écouter le traffic, ce qui est parfois nécessaire.
Je crois qu'il est nécessaire que personne n'imagine que, sans expérience, il est très difficile (voire impossible) de paramétrer complètement un tel produit. Cela exige de connaitre beaucoup de choses. C'est d'ailleurs l'objet de ce site, non limité à IPCOP. Que tu n'arrives pas à configurer tel add-on, ne signifie en aucun cas qu'IPCOP serait moins performant qu'autre chose.
En ce qui me concerne, je n'ai jamais installé IPCOP, je me construit mes propres machines sur base Debian et avec Shorewall comme élément de base (le "firewall" de MNF et autres ...). J'ai choisi ce "générateur de script" après avoir longtemps fait mes propres scripts iptables. Et je l'ai choisi pour la qualité du code produit (shorewall status).
Remettons les choses à leur place : ce routeur est un bon routeur filtrant (même, sans doute, un peu mieux que les autres) mais ce n'est pas mieux qu'un IPCOP bien configuré par un pilote averti.
Je ne continue pas (plus) ce troll.