INTRODUCTION
 
Bon, étant donné qu'en deux jours j'ai du répondre quatre cinq fois aux mêmes questions
alors cela pourrait être bien que tous donnions notre avis sur les divers firewall existant dans un même topic
 
 
Il y a un crosspost sur PresencePC : [Comparatif - Install Firewall Sur PC] LRP, MNF, Smoothwall, ...
 
j'ai pensé que faire un crosspost pouvais être interressant étant donné qu'il s'agit de rassembler les avis et expériences d'un maximum de personne.
 
 
nos avis, nos conseils, nos configs
des liens pour les comprendre
en clair, d'avoir un bon gros topic qui donnerait toutes les infos à qui souhaiterai monter son firewall
 
j'ajouterai que sur OSA on a un joli topic de config de firewall
http://forum.hardware.fr/forum2.ph [...] h=&subcat=
 
légende:

• pour les distribs
• [*] [NomDeQuelqu'un] pour la personne qui a donné son avis (je n'ai pas toujours fait un copier/collé parfait pour des raisons de présentation etc..., si un quote d'un de vos messages ne vous convient pas, n'hésitez pas à le signaler)

• [*][*][All] pour les avis, informations issues d'une remarque générale, issues de plusieurs personnes etc...

 
Veuillez préciser, s'il vous plait, lorsque les distributions ou les logiciels que vous proposez ne sont pas gratuits
 
 
 
 
 
 
 
 
NOUBLIEZ PAS QU IL EXISTE UN TOPIC REGROUPANT LES FAVORIS DU FORUM SOFT&REZO CE QUI IMPLIQUE QUE PAS MAL DE LIENS INTERRESSANT PERMETTANT DE MIEUX COMPRENDRE LES RESEAUX PUISSENT S'Y TROUVER
CE LIENS SE TROUVE JUSTE EN DESSOUS DE CELUI DES REGLES DU FORUM
sous l'appellation
-=Liens utiles sur le Software & Réseau=-
 
 
 
 
 
------------------------------------------------------------------
------------------------------------------------------------------
 
 
 
 
 
 
 
 
 
 
SITES EXPLIQUANT-DEBATTANT DU FONCTIONNEMENT DES RESEAUX
 
www.pnfh.net
* court, avec pas mal d'exemple direct (un proxy, un routeur), images etc...
en clair, bref et simple, le minimum requit à connaitre (selon moi) avant d'accéder à un réseau (internet y compris)
 
 
www.funix.org
* super site, cliquez sur le petit lien réseaux en haut de page et vous arriverez dans un petit dossier de 80 pages environ expliquant de manière assez détaillée de nombreux aspect des réseaux dont également les aspects matériels (qu'est ce qu'un routeur, un switch, un commutateur, un hub etc...)
 
 
 
 
 
------------------------------------------------------------------
------------------------------------------------------------------
 
 
 
 
 
 
 
 
 
SITES SPECIALISE SUR UNE OU PLUSIEURS DISTRIBUTIONS
 
http://www.ixus.net/ [Francophone]

• [*][Aschrack]

Vous trouverez notamment sur ce site des documents techniques et fiches d'information sur les différentes distributions comme IPCop, Smoothwall et E-Smith SME Server
[/Aschrack]
 
 
http://leaf-project.org/ [Anglophone]
Linux Embedded Appliance Firewall

• [*][danny92]

J'ai trouvé un site intéressant basé sur les distrib légères sur disquettes
[/danny92]
 
 
 
------------------------------------------------------------------
------------------------------------------------------------------
 
 
 
 
 
 
 
 
 
LES DISTRIBUTIONS COMPLETES
 
 

• [*]

[Aschrack]
1°) je ne l'ai pas testé
2°) avis
[-] la dernière mise à jour date
[+]cependant, je pense qu'il peut toujours être bien utile sur les config les plus petite (au point de ne pas avoir de disque dur par exemple). Autrement, même sur un 486 je conseillerai Smoothwall plutôt que LRP
[/Aschrack]
 
 
 
 
 

• [*]

[Aschrack]
Documentation en anglais (sur le site)
documentation en français ici : www.ixus.net
la doc traduite (pour une ancienne version cependant), ainsi que certain tutoriaux
 
> config requise 486 min 16 mo de ram (si je me souviens bien pour la ram)
> dernière release le 10/12/2002, le projet est bien suivit
* la config du firewall se fait à partir d'un pc du réseau local via une interface html
* je comptais le tester. Seulement, après avoir lu toute la doc, eh bien je me suis dit qu'il ne me convenait pas.
 [+/-] Ceci transforme le pc sur lequel sera installée la distrib en un firewall, vous ne pourrez plus rien en faire d'autre (impossible d'installer d'autres prog, d'utiliser l'espace disque pour autre chose, etc...)
 [-] après avoir lu toute la doc (sauf les réponses concernant l'adsl et l'isdn dans la faq vu que je ne dispose ni de l'un ni de l'autre) je me suis rendu compte qu'il manquait quelques fonctionnalités à mes yeux
* le contrôle de bande passante par exemple (attributions d'un pourcentage ou d'une quantité de bp pour tel ou tel pc du réseau local, attributions d'une certaine bp vers telle ip d'internet, ou pour tel port etc...)
* possibilité d'incorporer une blacklist d'ip ou d'url
 
il est possible que ces fonctionnalités soient disponibles, seulement dans ce cas le seul cas où on évoque leur possible existances est dans la doc où il dise "mais ceci est réservé pour les usages peu courants" (désolé de ne pas quoter correctement mais je ne retrouve plus l'occurence)
 
autrement, il me semble très très bien,
[+] peut tourner sur des toutes petites bécanes (bien sûr cela dépend du traffic qu'il va devoir gérer)
[+] a des fonctions de gestion de vpn etc...
[+] la doc disponible sur le site est sous deux "format", le premier pour être vue sur un écran, l'autre spécialement adaptée pour être imprimée (j'ai rajouté ce point suite à ma remarque concernant la doc de mnf)
[/Aschrack]
 
 
 

• [*][Arcord]

Concernant : smoothwall 2.0 beta bullet.
[+]J'ai 4 PC derrière et elle me convient bien. La stabilité est excellente malgré le statut de beta.
[+]De plus, elle gère le modem ECI usb, de toute les distributions de ce type, elle est à ma connaissance la seule à le faire.
[+]Elle est extrèmement simple, même pour les plus débutants d'entre nous.
[-] Comme sur la 1.0 on ne peut attribuer un % de bande passante à telle ou telle machine.
[-] le driver eci étant générique, la passerelle perd la connection assez souvent lorsque l'on joue à Unreal Tournament et/ou ses mods. C'est le seul jeu durant lequel j'ai noté ce défaut.
 
guide d'installation de la Smoothwall 0.9.8 (idem pour la 1.0):
http://www.ixus.net/modules.php?na [...] age&pid=68
 
guide de configuration de la smoothwall 0.9.8 (idem pur la 1.0):
http://www.ixus.net/modules.php?na [...] age&pid=65
 
Ces guides sont aussi téléchargeables en .pdf sur ixus.net.
[/Arcord]
 
 
 
 
 

• [*]

[Aschrack]
Les fonctionnalités du MNF se trouvent sur ce liens
http://www.mandrakesoft.com/products/snf/features
Celles du SNF sont au même lien
Et comme il semble qu'on ne puisse télécharger que la mnf, je suppose qu'ils ne doivent pas être bien différent (d'ailleurs il n'y a qu'une seule doc aussi je pense)
Disponible sur la page de téléchargement de mandrake soft
doc dispo: http://www.linux-mandrake.com/fr/fdoc.php3 (dispo en anglais uniquement semble-t-il)
 
[+]Gratuit bien evidement
 
config requise :  
 

 
Avis? ben jvais me pencher sur la doc maintenant, j'espère que le mnf intègre la gestion de bande passante et peut tourner sur un amd 133 mhz. Autrement, jvais devoir chercher du côté d'une distrib classique de linux et y mettre iproute etc...
 
[Edit]
[-] alors soit je suis un gland qui est incapable d'utiliser Acrobat (mais j'ai pas eu de problème jusqu'à présent et encore dernièrement avec la doc de smoothwall) soit la doc du mnf est faite que pour être vue sur un écran. Pcq si vous l'imprimée, c'est vraiment mal foutu, ca utilise un quart de la page en 100%. Ce qui fait que si vous voulez pas trop gaspiller de papier ben vous faites en sorte que ca prenne toute la page mais alors c'est écrit super grand. En clair, mnf c'est libre mais contre l'écologie, pcq y'a que dalle par page, ils ont pas cherché du tout à faire gaffe à ne pas terminer leur chapitre sur une page. Ce qui nous donne plein de pages avec uniquement un numéro, ou une phrase, etc...
 
Donc niveau contenu jdis pas, mais niveau présentation spaltop.
 
bon, jvais continuer à lire là, j'avais imprimé les 150 premières pages.
[/Edit]
[/Aschrack]
 
 
 

• [*][Groody]

[-]j'avais testé la SNF, et, très lourde ...
[/Groody]
 
 
 
 
 

 
Documentation :  
- sur site
- www.ixus.net
 

• [*][Sorg]

[+]Petite config (A partir du 486)
[+]Petit disque dur
[+]Très simple a installer
[+]Libre (licence GPL)
[+]Facile à configurer (par interface web)
[+]TRES stable (Plus de 5 mois d'uptime sans souci)
[+]Compatible alcatel Speedtouch usb, modem ethernet (tous , PPTP et PPPOE) , modem RTC externe , modem ISDN interne
[-]Firewall seulement, peu de bidouillage possible
[/Sorg]
 
 
 

• [*][*][All]

[-]Pas de gestion de bande passante!
[/All]
 
 
 

• [*][Groddy]

IpCop ne me vas pas, car je ne peux pas gérer les règles.
Le nat est par defaut activé.
[/Groody]
 
 
 
 
 

Documentation : sur site
en Français : www.ixus.net
 

• [*][Sorg]

http://www.e-smith.org
news://alt.e-smith.fr
 
[+]Config moyenne (P166 / 64Mo minimum)
[+]Simple installer
[+]Rien à configurer pour le firewall
[+]Serveur Mail, Web, FTP, Reseau, impression
[+]Compatible Modem ethernet, RTC externe, ISDN
[+]Compatible Speed touch USB et Bewan PCI ST moyennant bidouille
[+]Facile d'étendre les possibilités si on a quelques connaissances linux
[-]Plus complexe que IPCOP
[-]Moins stable (logique, à force de bidouiller...)
 
J'utilise SME depuis un an en raison des nombreuses fonctions mais je recommande IPCOP au débutants qui veulent simplement partager une connexion et se proteger derrière un firewall.
 
Pour plus de renseignements: le site de référence francophone:
http://www.ixus.net
 
Il est clair que SME ne peut servir de serveur mail que pour une petite structure
 
http://e-smith.dyndns.org
[/Sorg]
 
 
 

• [*][Groody]

J'abandonne la SME comme serveur de mails car ne remplit pas tous nos besoin :
- envoi d'un mail à l'expéditeur lorsque la boite mail d'un utilisateur est pleine (bloquée par quota). Actuellement, je n'ai rien trouvé pour que ça le fasse.
- log des pièces jointe (là j'ai pas vraiment cherché  
[/Groody]
 
 
 
 
 

• [*][flox ]

Il y a FloppyFW qu est pas trop mal pour une distrib sur disquette  
Noyau 2.4.20
Iptables
Possibilite de gestion de bande passante
Modules disponibles
[/Flox]  
 
 
 

• [*][Aschrack]

petite précision pour floppyfw, je signale que c'est basé sur iptable et ipchains
et que pour la doc, ben on nous ramène tout simplement à la doc de ces derniers    
autres info, si vous êtes sous windows et que vous voulez éditer les fichiers ini de la distrib, oubliez pas de le faire avec wordpad et non  notepad
[/Aschrack]
 

• [*][krapaud]

[url=le mode d'emploi en français, spécifique à l'adsl :  
http://www.illico.org/public/proje [...] le.html]a.  [/url]
le mode d'emploi en français, spécifique à l'adsl :  
http://www.illico.org/public/proje [...] relle.html
[/krapaud]
 
 
 

• [*][popol]

Perso j'ai testé Astaro et c'est vraiment bien foutu: c'est très souple, ergonomique, et tenu à jour régulièrement.
Il fait tout ce que je lui demande, c'est à dire pas grand chose, mais le fait bien.
Vous pouvez tester en ligne la demo de la console d'administration web: http://www.astaro.com  --> en haut "online demo".
[+]Peut tourner sur des Pentium I et K6  
[/popol]
 
 
 

• [*][Aschrack]

je ne le connaissais pas, mais il me semble payant à première vue

[/Aschrack]
 
 
 

• [*][Horus]La distrib Astaro est disponible gratuitement pour un usage privé[/Horus]

• [*][Horus]

pour de petites machines; tres stable
[/Horus]
 
 
 

• [*][Aschrack]

Le site annonce
Deux versions:
1°) Coyote Linux Floppy Release
- une version sur floppy,  
- uniquement pour partage de connexion
- préparation de la disquette via OS krosoft ou linux
- requiert peut de ressource (fonctionne sur pc peu puissant)
- gratos, téléchargeable directement via la section "download" du site
 
2°) Wolverine Firewall and VPN Server
- destiné à une usage commercial
- routeur, firewall, détection d'intrus, IP load balancer, ...
- payant (achat online)
[/Aschrack]
 
 
 
 
 
------------------------------------------------------------------
------------------------------------------------------------------
 
 
 
 
 
 
 
 
 
 
LES LOGICIELS  
 
logiciels parfois utilisés dans les distributions complètes etc...
 

• IPTable

• [*][Aschrack]

pour iptable une chtite doc en fr
http://www.netfilter.org/documenta [...] r-faq.html
[/Aschrack]
 
 
------------------------------------------------------------------
------------------------------------------------------------------
 
Les Fonctionnalités - Services  
 

• QOS - Quality Of Service

(par exemple, gestion de bande passante)
 

• [*][bruno31]

a dit ici :  
sous nunux
http://www.linux-france.org/prj/jargonf/Q/QOS.html
 
Quality Of Service
 
http://www.freenix.org/unix/linux/ [...] Howto.html
http://ds9a.nl/2.4Networking/
http://www.davin.ottawa.on.ca/
http://qos.ittc.ukans.edu/howto/index.html
http://ciscam.univ-aix.fr/doctech/linuxqos.html
 
http://www.ittc.ukans.edu/~pramodh [...] o_qos.html
http://linux.zonebg.com/documentat [...] Linux.html  
[/bruno31]

JE te donne mes expériences:
 
IPCOP http://www.ipcop.org
 
[+]Petite config (A partir du 486)
[+]Petit disque dur
[+]Très simple a installer
[+]Libre (licence GPL)
[+]Facile à configurer (par interface web)
[+]TRES stable (Plus de 5 mois d'uptime sans souci)
[+]Compatible alcatel Speedtouch usb, modem ethernet (tous , PPTP et PPPOE) , modem RTC externe , modem ISDN interne
[-]Firewall seulement, peu de bidouillage possible
 
SME Server http://www.e-smith.org
news://alt.e-smith.fr
 
[+]Config moyenne (P166 / 64Mo minimum)
[+]Simple installer
[+]Rien à configurer pour le firewall
[+]Serveur Mail, Web, FTP, Reseau, impression
[+]Compatible Modem ethernet, RTC externe, ISDN
[+]Compatible Speed touch USB et Bewan PCI ST moyennant bidouille
[+]Facile d'étendre les possibilités si on a quelques connaissances linux
[-]Plus complexe que IPCOP
[-]Moins stable (logique, à force de bidouiller...)
 
J'utilise SME depuis un an en raison des nombreuses fonctions mais je recommande IPCOP au débutants qui veulent simplement partager une connexion et se proteger derrière un firewall.
 
Pour plus de renseignements: le site de référence francophone:
http://www.ixus.net

arf, kan même 400 pg la doc de mnf
mon imprimante va pas être contente
 
autrement, j'ai maté ipcop (j'ai été visiter leur site)
je n'ai pas vu non plus de contrôle de bp
dans le cas où mnf ne le ferais pas non plus
1°) suis je le seul qui voie un intérêt à cette fonction?
2°) quelqu'un aurait-il une suggestion à me faire?

ipcop, tu ne peux pas gérer la bande passante effectivement !
 
Avec SME 5.6 tu peux en créant tes règles de gestion de BP basés sur CBQ ou en utilisant un script tout fais comme Wondershaper.
C'est ce que je fais et ca marche très bien.

Je passe sur ce topic pour donner mon avis sur la smoothwall 2.0 beta bullet.
 
J'ai 4 PC derrière et elle me convient bien. La stabilité est excellente malgré le statut de beta.
De plus, elle gère le modem ECI usb, de toute les distributions de ce type, elle est à ma connaissance la seule à le faire.
Elle est extrèmement simple, même pour les plus débutants d'entre nous.
 
 
Les moins:
- Comme sur la 1.0 on ne peut attribuer un % de bande passante à telle ou telle mahcine.
- le driver eci étant générique, la passerelle perd la connection assez souvent lorsque l'on joue à Unreal Tournament et/ou ses mods. C'est le seul jeu durant lequel j'ai noté ce défaut.

j'ai ajouté une remarque sur la doc de mnf

IPcop pour le firewall + SME pour le proxy (SquidGuard+sarg), mail (serveur en test depuis 1 an).
 
J'abandonne la SME comme serveur de mails car ne remplit pas tous nos besoin :
 
 - envoi d'un mail à l'expéditeur lorsque la boite mail d'un utilisateur est pleine (bloquée par quota). Actuellement, je n'ai rien trouvé pour que ça le fasse.
 - log des pièces jointe (là j'ai pas vraiment cherché )
 
Donc je repars sur une Debian 3 et config à la mano.

Il est clair que SME ne peut servir de serveur mail que pour une petite structure. Cependant tes besoins ne me paraissent pas insurmontables. Tu as été te renseigner sur news://alt.e-smith.fr ???
A+
Sorg

J'y traine depuis 1 an
Et j'ai demandé plusieurs fois.

hello
 
ce topic me semble très interessant !
 
Imaginons que je veuille monter un proxy filtrant (cache si possible) avec firewall, existe t'il une distrib spécifique ? Ou bien suis-je obligé d'installer une distrib linux générale puis les prog correspondants ?
 
J'ai déjà regardé du coté d'IPCop et Smoothwall et ils ne font pas proxy filtrant

SME puis t'install SquidGuard, puis Sarg si tu veux de jolis rapport/logs de conso par IP/urls

 
Merci.
 
Je vais regarder ce laron là

http://e-smith.dyndns.org
 
Ca marche tout seul...

Il y a FloppyFW qu est pas trop mal pour une distrib sur disquette  : www.zelow.no/floppyfw
 
Noyau 2.4.20
Iptables
Possibilite de gestion de bande passante
Modules disponibles

IpCop ne me vas pas, car je ne peux pas gérer les règles.
 
Le nat est par defaut activé.
 
Il me faudrait le même genre de Firewall, mais avec gestion (graphique car j'y connais rien en nux) des rules, pour TOUT bloquer, sauf ce que j'autorise.
 
Par protocole, par ip de destination ou emettrice, etc...
 
Si vous en connaissez un qui fait ça ..

il me semble que MNF (multi network firewall) de mandrake fait ça.

j'avais testé la SNF, et, très lourde ...

merci beaucoup pour cette indication
pcq ils disent que ca tourne sur un 386 ou 486 jsais plus
alors moi avec mon 133 j'espèrais
mais y semble que vaut mieux laisser tomber
 
par contre je pense que la deuxième partie de la doc donne des conseils sur la secu etc... donc à conseiller à la lecture  

petite précision pour floppyfw, je signale que c'est basé sur iptable et ipchains
et que pour la doc, ben on nous ramène tout simplement à la doc de ces derniers    
autres info, si vous êtes sous windows et que vous voulez éditer les fichiers ini de la distrib, oubliez pas de le faire avec wordpad et non  notepad

bon, le topic est pas fait pour ca, pcq la doc c'est plutôt facile à trouver à ce sujet (enfin, je trouve), mais pour ceux qui en ont marre de lire toutes les doc en anglais
pour iptable une chtite doc en fr
http://www.netfilter.org/documenta [...] r-faq.html
 
 
jpropose de rassembler les infos par distrib dans mon premier post, ca vous va?
jpréciserai les auteurs à chaque fois bien evidement

Cela me parait judicieux en effet de tout "centraliser" dans le premier post.  

Je passe déposer quelques liens:
guide d'installation de la Smoothwall 0.9.8 (idem pour la 1.0):
http://www.ixus.net/modules.php?na [...] age&pid=68
 
guide de configuration de la smoothwall 0.9.8 (idem pur la 1.0):
http://www.ixus.net/modules.php?na [...] age&pid=65
 
Ces guides sont aussi téléchargeables en .pdf sur ixus.net.

Perso j'ai testé Astaro et c'est vraiment bien foutu: c'est très souple, ergonomique, et tenu à jour régulièrement. Il fait tout ce que je lui demande, c'est à dire pas grand chose, mais le fait bien.
 
Vous pouvez tester en ligne la demo de la console d'administration web: http://www.astaro.com  --> en haut "online demo".
 
Peut tourner sur des Pentium I et K6  
 
Sinon leur forum est sur http://www.astaro.org.

je suis dessus, je m'attendais à voir zone alarm, winroute ou autre ...

sous linux    non ... ipchains ou iptables toujours....

bon post

Il y a un crosspost sur PresencePC : [Comparatif - Install Firewall Sur PC] LRP, MNF, Smoothwall, ...

je sais pas si c'est une bonne idée le crosspost, hésitez pas à donner votre avis la dessus également

C'est plutôt une bonne idée, le but étant d'avoir un maximum d'informations et de feedback de la part des utilisateurs.

floppyfw pour ma part au boulot
firewall  pour 50 machine et floppyfw tourne depuis + de 10 mois sans pb et ya plus de disque dur fiabité matériel optimum
 
 
 
floppyfw    

le crosspost est bousillé pcq ils ont eu des prob de dur, jvais recréé le tomik (dommage que j'avais pas encore sauvegardé ce dernier )

je voudrais trouver les bonnes règle qui permettent d'autoriser IE, OutLook et MSN à fonctionner corectement pour surfer mail chat, et bloquer tout le reste des ports, je n'y arrive pas chaque fois ça bloque tout  

La distrib Astaro est disponible gratuitement pour un usage privé

 
Autre distrib fw : coyotelinux  
http://www.coyotelinux.com
pour de petites machines; tres stable

un petit    ca fait pas de mal

et la clarkconnect alors ???????????????
www.clarkconnct.com je u tilise depuis 2 mois pas de pb elle est comme SME Server elle a ncq bcq de fonction est entirement configurable a partir du web il existe une version gratuite et payant
 
Arcord, il y a IPcop aui genere le modem ECI usb , sur la clarkconnect elle le gere pas  origine mais tu pe installer le driver sans trop de pb

jla rajoute demain, là jdois bosser
@+
bonne nuit pour ceux ben pour qui c'est la nuit