Des solutions alternatives à la MNF

[fabzz007]

Salut à tous...

Après plusieurs années de bons et loyaux services j'ai décidé de changer mon MNF 8.2. Le soucis est que je suis déçu de la politique de mandriva concernant le MNF2. Donc je suis à la recherche d'une solution alternative afin d'avoir un Firewall solide du monde libre qui me proposerai les même services ou presque que MNF 8.2.

Notemment : L'aspect multi-network car j'ai 3 sous-réseau et 1 DMZ + ma zone Wan

Au départ j'avais dans l'esprit de me lancer dans l'installation d'une debian + shorewall + squid + ... en claire refaire ma mnf mais à la main pour bénificier ainsi de la mise à jour de mes pakages

Mais j'aimerai connaitre votre opinion avant de ma lancer dans l'aventure car je craind que ça ne sois un peu l'uzine à gaz tout ça. Alors si il existe un digne remplaçant pour MNF je vous écoute

Merci à tous !

[Gandalf]

Salut je suis un peu dans le même cas que toi, mais sans solution gratuite actuellement. Je n'ai pas vraiment cherché non plus, c'est vrai ! Mais je ne trouve mon bonheur que dans les FWs payants actuellement, dommage.

[fred-info]

Salut,

Mandriva MNF, a priori, vient de mandrake MNF.

Et si tu rentres un peu dans les fichiers de config tu t'aperçois que c'est du pompage total (adaptation ) de sme.

J'ai bien suivi l'histoire à l'époque de mandrake, quand ils voulaient sortir MNF.
Je pense que quand ils sont devenu Mandriva ils ont continué le même système.

Leur message à l'époque c'était : "un firewall ne doit faire que firewall, il ne doit pas faire serveur de mail, ftp samba ..."

Je vois que maintenant ils ont évolué.

Mais pour revenir à ta question, que te manque t'il si tu choisis sme ou free eos ?

Quand tu dis "j'ai trois sous-réseaux et une dmz plus le wan" tu veux dire que tu as 5 cartes réseau ?

Explique un peu mieux ton architecture physique et logique et je te donnerai mon avis.

A bientot

[fabzz007]

gandalf>> Alors ce topic te sera surement aussi utilie qu'a moi

fred-info>> Actuellement j'ai 3 réseaux relier à ma passerelle MNF ce qui nous donne donc 4 cartes réseaux quand on compte l'interface wan. Ce que je recherche c'est une distrib (ou un ensemble de packages) qui soient reconnuent comme sécurisé et dans un projet suivi qui me permette de mettre en place une passerelle dont les fonctions prioncipales seraient : proxy, firewall, routeur, et VPN.

merci de vos conseils

[vanvan]

Bonjour.

Essayes firewall builder. ça a l'avantage de mettre le minimum sur la machine qui sert de firewall, et de pouvoir avoir une interface pour configurer son firewall avec une interface client.
Après c'est moins intuitif que la MNF mais pour définir tes zones, tu n'auras aucun soucis.

[Gandalf]

Ouh là on va droit au débat SME/Firewall ! Sans vouloir te contredire, SME n'est pas comparable à un firewall ( en natif je précise ! ), et ne gère pas tout ce que gère MNF ( multizonalité surtout ).
MNF dispose en plus d'une interface web d'administration dédié au firewalling, et à rien d'autre, car effectivement on n'installe pas n'importe quel service sur un tel élément du réseau.
SME est un serveur poylvalent qui remplit très bien son rôle ( DC, mail, FTP ..... ), mais ce n'est pas un firewall !
Bref, d'une façon native et gratuite, je n'ai trouvé aucun autre firewall gratuit qui remplissait aussi bien son rôle que le MNF ( même pas IPCOP ). Si tu en connais nous sommes tous preneurs bien sûr.

Pour la petite histoire, SME 7 est basé sur une CentOS elle même basée sur une RedHat, et MNF est une dérivée de Mandrake, donc ce n'est pas du pompage comme tu dis ! Et de toute façon toutes ces distribs proviennent du même noyau à la base, mais le travail en aval n'est pas le même !

@ +

[fabzz007]

gandalf me coupe l'herbe sous le pied car j'allais rééditer mon POST.

Je voulais justement dire que SME ne convennait par pour son aspect "TROP" polyvalent... j'aime pas trop l'idée de départ du projet qui est de proposer un Serveur Linux multi-fonction.

Personnellement je souhaite quelque chose d'orienté sécurité et uniquement sécurité... MNF était parfait mais ne l'est plus

IPCOP semble pas trop mal : Gandalf tu semble l'avoir testé qu'es ce qui n'irait pas avec IPCOP ? J'ai l'impression qu'on ne peut pas avoir plusieurs carte réseau dans la zone green ??? je me trompe ?

vanvan> je ne connais pas firewall builder je vais jeter un coup d'oeil de ce pas...

[vanvan]

L'idée, tu peux définir tes zones avec pour chaque les adresses sources et destinations avec les ports et les services.
Au début c'est pas forcément évident à prendre en main mais c'est super pratique car tu peux faire des groupes sur lesquels tu appliquent la même politique de sécurité. ça c'est super pratique.
Après tu n'as plus qu'à compiler tes règles ( depuis l'interface c juste un bouton ) et hop après tu upload sur la machine qui sert de firewall.

[Gandalf]

J'ai bien connu IPCOP en version 1.3, elle a pas mal changé depuis. Ce que je n'aime pas : nativement tout sort du lan vers le wan, c'est pas bon ! En plus les couleurs des zones ça me gonfle vite, des règles sont prédéfinies entre chaque couleur et à toi de t'y faire.
Moi j'aime quand tout est interdit, rien n'est défini : je définis moi-même mes interfaces, les zones s'y rapportant et les règles qui régissent les flux entre elles. Comme ça je maîtrise parfaitement tout ce qui passe.
Ce n'est pas le cas avec IPCOP. Ca l'est avec MNF. Ceci dit je ne connais pas bien la dernière version, et je crois savoir que la V1.5 devrait s'améliorer sur certains points, mais rien n'est sûr !

C'est pour ça que maintenant je préconise des firewalls commerciaux, mais ça coute les yeux de la tête. Mais quel plaisir de configurer un CheckPoint ....

@ + !

PS : je n'ai jamais essayé Firewall Builder !

[fred-info]

Gandalf,

J'ai rencontré Mandrake (la société) avant qu'ils ne sortent MNF.
J'étais déjà utilisateur mandrake mais j'installais des "machines filtrantes" sur base RH (début de ADSL), des powerpack Mandrake etc...
J'ai participé à une réunion chez eux et j'ai évoqué e-smith.
A peu près un an plus tard est sorti MNF.
J'ai regardé un peu dans l'bouzin et je suis tombé sur des fichiers Mitel Networks.
Voilou.
Je n'ai rien contre Mandrake, au contraire, sinon j'aurais pas vendu des powerpack et je regrette ce qui leur est arrivé.


fabzz007,

firewall builder semble etre un tres bon gui pour iptable.

Pour ce qui est de tes réseaux ont-ils des services à partager (à part le wan)
Quelle doit être l'étanchéité entre ces réseaux.


A bientot

[jdh]

A mon tour ... Depuis de nombreuses annéees j'ai expérimenté pas mal de distributions Linux (ma première : ygdrazil avec un noyau 0.99p12 !). (Pour Mandrake, j'ai acheté un cdrom du temps de NOL !).

En 2000, j'ai été initié à iptables en remplacement d'ipchains grace à un ingénieur d'Alcove (SSLL). Cela fait donc longtemps que j'ai vu des solutions diverses : scripts, générateurs, interfaces graphiques.

La MNF s'appuie sur Shorewall qui est un (pseudo-)générateur basé autour de quelques fichiers extrèmement simples. La structure de ces fichiers permet de créer une interface web assez intuitive.

L'interface de MNF est finalement assez comparable à celles de CheckPoint, Raptor (Symantec), WatchGuard ou encore SonicWall (produits que j'ai aussi utilisé et mis en oeuvre). J'ai essayé aussi il y a longtemps Firebuilder sans être aucunement surpris.

Je suis donc fan de Shorewall qui, moyennant quelques efforts de rigueur, permet d'écrire les règles de filtrage avec rapidité et sans erreurs.

Je note en regroupant les règles par section :

# fw -> net : dns, ftp, http
ACCEPT fw net udp domain
ACCEPT fw net tcp domain,ftp,www

# fw -> lan
...

# lan -> net

C'est très rapide et fiable (attention à ne pas faire d'erreurs du genre pop au lieu de pop3 !). On peut tout faire sans compter les "macros" qui peuvent simplifier encore.

Donc ma solution, depuis pas mal de temps, c'est Debian + Shorewall + huile de doigts.

Alors les IPCOP limités à 4 zones (pardon 5 avec Violet, merci Franck78) ou les SME, cela n'est pas pour moi (même si je les ai évalué).

Mais je n'oublie pas qu'un PC "passerelle" c'est plus qu'un firewall : il faut ajouter SQUID, BIND, DHCP, SQUIDGUARD, P3SCAN, HAVP, .... Là aussi, quand j'ai trouvé une solution je copie les bons fichiers de conf ... (un bon site sur le sujet : http://arnofear.free.fr merci à lui)


(Je suis très sceptique sur des fichiers MITEL dans MNF notamment parce que e-smith c'est un script de firewall, et j'aurais voulu lire SNF antérieur à MNF).

(En entreprise, sauf besoin très spécifique, je conseille, comme Gandalf, une appliance genre Netasq, Sonic, ou autres, parce que je ne veux rendre ma société dépendante de moi, que c'est plus professionnel, et que cela ne coute pas si cher en négociant bien).

[fred-info]

(Je suis très sceptique sur des fichiers MITEL dans MNF notamment parce que e-smith c'est un script de firewall, et j'aurais voulu lire SNF antérieur à MNF).

J'étais très étonné aussi.

Pour SNF aul ieu de MNF tu dois avoir raison.

A bientot

[fabzz007]

Merci de vos conseils Pour le moment je pense m'orienter vers shorewall mais si d'autres on envie de présenter une solution... je suis open

@++

[Jacques-]

Bonjour,

Il y a la solution de créer sa MNF à la main, avec les paquets présents dans la MNF (entre autre httpd-naat qui est l'interface web).
Ensuite, la mise à jour se fera par les mirroirs classiques mandriva.
Ce n'est pas un package "secure" au niveau marketing, mais le résultat est le même. Si le noyau est compilé en dur, pas de modules, on peut même arriver à un niveau de sécurité supérieur (plus difficile d'installer un rootkit ainsi).
Mais c'est pas mal de travail...

Jacques

[moussgrd]

Bonjour,
Je suis dans le cas que vous et je trouve mon bonheur sur Monowall et Pfsense avec une préférence pour Pfsense. Je vous invite à y jetter un coup d'oeil, les performances sont remarquable et me font oublier la MNF.
On peut faire du double messhing WAN avec 2 FW en fail over, bref la liste est longue.
Evidement, pour ceux qui sont habitués à Shorewall comme je l'étais, il faudra un moment d'adptation, mais les règles sont plus proches des parfeu Nokia par exemple. J'ai mon frangin qui bosse dans la sécu dans une compagnie d'assurance, il install Monowall dans des boitiers Nokia ...
Faites y un tour, je crois beaucoup d'entre vous ne serez pas déçus.