Ne suivant pas du tout l'évolution de ce qui se fait sur *nix j'ai un peu de mal à trouver mon bonheur. Voici ce que j'ai :
 
   LAN --- serveur SBS 2000 --- WAN
 
Voici ce que je souhaite faire :
 
   LAN --- serveur SBS 2000 --- serveur Filtrage --- WAN
 
A l'heure actuelle le serveur SBS 2000 fait office de routeur entre le LAN et le WAN.
 
Je cherche une distrib simple à installer et à configurer qui permetterait de filtrer les trames (restreindre les protocoles qui peuvent passer, les services, etc)
 
J'ignore si c'est réalisable, mais idéalement le serveur de filtrage serait transparent (pas de routage), il prend les trames sur une interface, les filtre et les renvoie sur l'autre.
 
Que prendriez-vous comme distrib ?
 
Merci !  

=> google est ton ami
 
va voir sur distrowatch y a un topic spécial distro routeur et tu pourras visiter les différents sites adhoc pour faire ton choix  
 
ps: skoi sbs ?

M$ small business server il me semble
edit:  => google est ton ami

Envoie un MP a fioul665, il va te dire comment faire.

SBS = Small Buisness Server... un truc que tu trouves assez souvent en PME qui intègre Windows + Exchange + ISA...
 
Pour Distrowatch c'est pas mal du tout comme site, permet au moisn de faire une première sélection :
http://www.distrowatch.com/dwres.p [...] =firewalls
 
Qu'avez-vous testé ? Avez-vous déjà implémenté une telle solution en entreprise ? De mon côté j'avais deux noms en têtes : IPCop et Smoothwall, mais malheureusement je n'ai pas eu le temps de tester l'une ou l'autre !

J'ai envoyé le MP à ta place, il m'a répondu :
"IPCOP, ca au moins c'est sécurisé, pas comme iptables avec 20 regles de merde"
 
La réponse est claire, il faut choisir IPCOP.

OK ca a le mérite d'être clair

Je vois pas le problème avec iptables. Il suffit juste d'assimiler sa désastreuse syntaxe et de bien faire attention à ce que l'on fait.

 
Toi tu fais pas de la prod
 
:x

c clair
 
Ipcop , pas mal , et y'a pas mal d'astuces de protection du bastion : pour la maison je suis devenu acro.
 
En attendant que conti m'invite pour un cour O.bsd chez lui ,  

Je viens de finir la doc sur IPCop, me semble correspondre aux besoins et reste simple tant au niveau de l'installation que de la configuration.
 
Par ailleurs trois interfaces sont plus que suffisantes dans le cas précis.
 
Je vais tester dès que j'ai un moment et voir pour mettre en place prochainement une solution à base de ce dernier.

 
perso je t'inviterais même pas pour que tu me sortes les poubelles alors je vois pas qui t'invitera pour te donner un cours  

a ton service si tu as le moindre pb ...
 
nb : fais bien gaffe ds le chois ds interface Green Bleu et orange apres ca roule vraiment tout seul.
SNORT (quoique trop causantl'ami ), SSH ,DHCP, PROXY, VPN ... chkrootkit, nettoyage disque, cron style msec ..bref les gars qu'on pondu cette chtite distro connaisent pas la mal securité.

OK je sens que je vais m'amuser... j'ai un pentium pro 200 qui traine dans un coin ave 3 cartes PCI, il fera l'affaire pour tester avant d'aller chez le client lui mettre quelque chose de sérieux en face d'ISA
 
Aujourd'hui c'était la première fois que je me pointait chez eux et la première chose que je vois sur le bureau : FxSasser de Symantec

 
Gaffe au matos que tu utilises. Il faut que les composants de ton firewall soient de bonne qualité. Personnellement, j'ai déja réalisé un firewall OpenBSD pour une boite, et je leur ai placé le disque dur dans un rack ventilé. Avec tout ça, je leur ai livré un autre rack, avec une copie à l'identique du disque dur présent dans le firewall...

 
detail important pour toi requin :
 
tu peux monter le filtrage de flux POP,  SMTP et http sur une ipcop : DansGuardian. Avec lui LA vermine s'eclate sur le firewall, merci ipcop.

SMTP -> pourra être utile, bien que actuellement c'est Interscan VirusWall qui reçoit cette m...
 
POP et HTTP -> passeront pas (ils on bien un "intranet" sommaire, mais pas sensé être dispo depuis l'extérieur, et ils ne sont pas sensés relever d'autres boîtes mails que celles de leur messagerie interne)

 
T'inquiète pas c'est un serveur HP qui n'est guère plus utilisé avec du joli matos (PII 450, disques SCSI, streamer et tutti quanti) ... de toute manière tu ne peux pas espérer qqch de stable sur du matos merdique
 
Par contre ma machine de test sera qqch d'assez deg' sur une vieille carte mère Asus avec de l'EDO... mais bon les cartes réseaux utilisent des chipsets AMD PCNet plutot bien reconnus, c'est déjà ca

et si cher modo, si !!!
Certaines distro sont ETUDIées pour etre ... des firewalls disposant de mecanisme EFFICACE d'autoprotection ... y'a pas qu'iptable ds la vie surtout sur un firewall sinon ca se saurait !!
 
ben oui tiens pourquoi Mandrake s'enmmerde et investie en r&d a faire la MNF ? einh didons ? etc ... etc...
 
 
 

 
Interscan virus wall est un super produit, vraiment c un premier choix.
je te conseille de le conserver (il fait stmp ftp et http). De plus le fait d'avoir interscan sur une autre machine que ton firewall c aussi un bon choix en terme d'achi securisée.
 
Car si tu fous dansguardian sur la ipcop tu actives un service qui pourrai avoir des failles exploitable ! (la c des choix politiques .)

tu vois pas ?
 
Nous quand on commande des firewalls , y'a des fonctionnalités builtin qu'on aime bien , d'ailleurs y'a des gens vraiment trés callés en couches ISO basses qui ont paufiné les noyaux pour qu'ils soient plus robuste aux DoS, Faille, exploit ... certains developpent meme des noyau specifique (voir des OS) ... alors tu as raison cher modo : les distro sont toutes pretes pour la secu (note bien le mot "pretes" )
 
Mais c pas grave, t 'es juste modo et moi fioul666.

euh ... bah a vrai dire, moi non plus ...
Ca reste une distrib, elle est juste préconfigurée.
Si tu fais tout pareil avec tes chtites mimines, t'as la meme chose, non? ou alors ils utilisent d'autres softs?
Et pour le firewalling, ils utilisent koi par ex? iptables ?

 
ouvres 5 secondes tes yeux : les gars qui paufinent des ipcop, mnf, clarckconnect sont sur ces projets depuis 3 ans ... (pour ne parler que linux, votre language)
 
Toi tu arrives et en 1 semaine (et je suis tres gentil) tu arrives avec ta distro "generique" tu la tune et hop tu as la meme qualité de protection ?
 
  , mais c triste qd meme des topics qui partent comme ca , d'autant plus que notre cher modo va dire que partout ou je passe ca part en "fight" comme il dit si bien.....
 
...

de toute façon il est sur que IPcop c'est nettement mieux que OpenBsd & pf ...

Hey pas besoin de troller
 
Il y a un principe simple que l'on utilises en général en plongées sous-marine : KISS (Keep It Simple Stupid)
 
En clair il s'agit de maintenir les choses simples pour que quand ca merde tu puisses t'en sortir vivant avec des procédures simples... bon ca marche pas à tous les coups et il faut un sacré sang froid
 
Appliqué à la sécurité informatique, tant qu'à faire autant prendre qqch de simple à configurer dévolu à une tâche bien spécifique où le risque qu'une erreur / faille se glisse à quelque part est minimisé (c'est mon point de vue).

n'importe quoi ...
 
justement contrairement a des gens ici :je n'ai jamais d'avis Figé sur une sujet !!
 
Pourquoi Open BSd ca devien mieux que iptables/linux pour du firewalling peu cher ?
 
Simplment parcqaue linux devient de plus en plus decortiqué, connus , les failles pleuvent !
A contrario (et pour l'instannt) la bsd reste reservée aux avertis ... elle est encore tres secure. Ca changera peut etre.

oui modo.

Il ne s'agit pas  (hélas ) d'un troll la , juste une maniere d'expliquer le point de vue de mazout777 .
Apres que IPcop te convienne mieux tout a fait d'accord ( une interface simple a mettre en place ) mais affirmer a tord & a travers que iptables c'est nul alors que IPcop se sert de iptables ... ma fois cela fait un peu bizarre

 
Je peux pas m'empecher de quoter ca pour la postérité.    
Amusez vous bien, je pars en WE

 
lis plus haut (search).
 
Mecanisme de signature de tout les fichiers de la distro,
check de rootkit,
regles iptables autoadaptives (tu fais ca toi ds ta distro, moi pas) en fonction des resultats donnée par snort ...
 
... et pour le reste je ne suis pas assez technique sur le sujet (ipcop.org ou autre), mais suffisament experimenté en secu pour lire les changlog et voir que bcp de pb et concept son pris en charge et codé ds la distro "dite spécialisée".

bon va falloir que tu songes a relire la multitude de tes trolls divers & variés .
exemple tout con ton assertion sur le fait que conti ne ferait pas de 'production' terme clé si il en ait ...
Ensuite le terme de 'secure' ne veut strictement rien dire & ce n'est pas parce qu'un produit est connu qu'il n'est pas 'secure' . le premier élement de la sécurité c'est je pense un peu l'administrateur qui s'occupe de la machine ...
En ce qui concerne la comparaison pf/iptables tu devrais sérieusement songer a lire pf ( bon la syntaxe on s'en fout ceci dit conti ) il est nettement plus riche & configurable que l'est actuellement iptables ( & je n'ose pas parler de ip6tables )
Mais vu qu'au final tu fais de la 'prod' alors que nous non , on ne peut que s'écraser devant tes propos .

!tg mikala

tu lui veux quoi au poney belge ?

 
et la, encore, tu te plantes !
 
un firewall doit rester un firewall.
socle de base robuste.
transparence maximal.
filtrage en couche basse.
 
Pour atteindre ses qques objectifs de bases : unemasse de savoir enorme est necessaire qq soit ta problematique post ou pre firewall ...
 ... le reste ca se passe apres lui et c une autre problèmatique,securité certe, mais tout autre.
 

tu connais po open stout

ah bon ?  
car tu crois réellement tous mes trolls sur open/free sur le chan ?

 
Non mais arrete ! Tu vas nous le rendre malheureux !  

je me tairai dans mon interet general

Je retiens la premiere phrase pour ne pas rebondir sur le reste (connaissant ton attachement aux OS de redmond ou, c'est bien connu, un outil = une tâche par opposition aux *n*x)
 
Par contre, pour fioul, j'ai pas dit qu'IPCop ct pas bien, ou que je ferai mieux, c'est jsute que t'as dit qu'IPTables ct a chier, alors je voulais savoir si IPCop utilisait autre chose .. apperemment non ...stout
 
Ralala .. ces mercredi qu'on dirait des vendredis, c'est qd meme terrible .