Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

FIREWALL INDEPENDANT

16 réponses
Avatar
jean durandt
--_7523659e-733e-4f6d-b64e-d8bc9007b0e1_
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


bonsoir

c'est la soir=E9e=2C ce soir pour moi.

j'ai d=E9cid=E9 de mettre un firewall et malheureusement cela n'a pas =E9t=
=E9 g=E9nial. j'ai donc cherch=E9 et j'ai perdu plusieurs liens int=E9ressa=
nts pour lesquels je vous aurai demand=E9 votre avis concernant la robustes=
se.
ALCAZAR est l'un d'eux

PROBLEMATIQUE :

je vais mets en service une b=E9cane qui ne servira qu'=E0 g=E9rer la s=E9c=
urit=E9 ( contre les t=E9l=E9chargements ill=E9gaux - l=E0 encore merci Had=
opi pour la saloperie mise en place et les soi-disantes labellisations. je =
ne le dirai jamais assez : Voil=E0 une loi arbitraire qui ne sert que ceux =
qui ne payent pas d'impots en france et qui vont vivre en CH).

Bref je reviens =E0 mon souci :
une machine qui g=E8re le flux donc firewall proxy routeur... deux cartes e=
th et avant un routeur wifi.

je cherche une solution qui soit connue de la communaut=E9 - donc fiable=2C=
s=E9rieuse=2C et efficace - tiens je viens de parler de lacommunaut=E9 qui=
me lit :) - et qui puisse ^etre appliqu=E9e en pme. le tout en transparen=
ce totale pour l'utilisateur.
enregistrements des logs etc. ...

j'aurai appr=E9ci=E9 travailler avec une page - comme on trouve dans les h=
otels - en limitant par exemple la bande passante pour le t=E9l=E9chargemen=
t qui ne s'effectuerait pas dans le cadre de la loi. comme je l'ai dit je s=
uis contre cette loi=2C mais il faut s'y plier et ceux qui pretent un acc=
=E8s internet sont les coupables d=E9sign=E9s. On n'a jamais vu un armurier=
finir en taule parce qu'il avait vendu une arme. Avec hadopi si !

Dans mes recherches=2C j'ai vu aussi qu'il existait des Os firewall sous de=
bian. qu'en pensez-vous ?

Mais l=E0 encore il y a trop de choix ....

alcasar pfsenser shorewall....

MERCI POUR VOTRE AIDE PRECIEUSE.
=

--_7523659e-733e-4f6d-b64e-d8bc9007b0e1_
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<html>
<head>
<style><!--
.hmmessage P
{
margin:0px=3B
padding:0px
}
body.hmmessage
{
font-size: 10pt=3B
font-family:Tahoma
}
--></style>
</head>
<body class=3D'hmmessage'><div dir=3D'ltr'>
bonsoir<br><br>c'est la soir=E9e=2C ce soir pour moi.<br><br>j'ai d=E9cid=
=E9 de mettre un firewall et malheureusement cela n'a pas =E9t=E9 g=E9nial.=
j'ai donc cherch=E9 et j'ai perdu plusieurs liens int=E9ressants pour lesq=
uels je vous aurai demand=E9 votre avis concernant la robustesse.<br>ALCAZA=
R est l'un d'eux<br><br>PROBLEMATIQUE :<br><br>je vais mets en service une =
b=E9cane qui ne servira qu'=E0 g=E9rer la s=E9curit=E9 ( contre les t=E9l=
=E9chargements ill=E9gaux - l=E0 encore merci Hadopi pour la saloperie mise=
en place et les soi-disantes labellisations. je ne le dirai jamais assez :=
Voil=E0 une loi arbitraire qui ne sert que ceux qui ne payent pas d'impots=
en france et qui vont vivre en CH).<br><br>Bref je reviens =E0 mon souci :=
<br>une machine qui g=E8re le flux donc firewall proxy routeur... deux cart=
es eth et avant un routeur wifi.<br><br>je cherche une solution qui soit co=
nnue de la communaut=E9 - donc fiable=2C s=E9rieuse=2C et efficace - tiens =
je viens de parler de lacommunaut=E9 qui me lit&nbsp=3B :) - et qui puisse =
^etre appliqu=E9e en pme. le tout en transparence totale pour l'utilisateur=
.<br>enregistrements des logs etc. ...<br><br>j'aurai appr=E9ci=E9 travaill=
er&nbsp=3B avec une page - comme on trouve dans les hotels - en limitant pa=
r exemple la bande passante pour le t=E9l=E9chargement qui ne s'effectuerai=
t pas dans le cadre de la loi. comme je l'ai dit je suis contre cette loi=
=2C mais il faut s'y plier et ceux qui pretent un acc=E8s internet sont les=
coupables d=E9sign=E9s. On n'a jamais vu un armurier finir en taule parce =
qu'il avait vendu une arme. Avec hadopi si !<br><br>Dans mes recherches=2C =
j'ai vu aussi qu'il existait des Os firewall sous debian. qu'en pensez-vous=
?<br><br>Mais l=E0 encore il y a trop de choix ....<br><br>alcasar pfsense=
r shorewall....<br><br>MERCI POUR VOTRE AIDE PRECIEUSE.<br> </di=
v></body>
</html>=

--_7523659e-733e-4f6d-b64e-d8bc9007b0e1_--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/COL120-W55B624B8BEFF98D6805FB09DE10@phx.gbl

10 réponses

1 2
Avatar
Samuel Cifuentes
Le 14/10/2011 23:47, jean durandt a écrit :
bonsoir

c'est la soirée, ce soir pour moi.

j'ai décidé de mettre un firewall et malheureusement cela n'a pas été génial. j'ai donc cherché et j'ai perdu plusieurs liens intéressants pour lesquels je vous aurai demandé votre avis concernant la robustesse.
ALCAZAR est l'un d'eux




bonjour
IPCop est est un autre

PROBLEMATIQUE :

je vais mets en service une bécane qui ne servira qu'à gérer la sécurité ( contre les téléchargements illégaux - là encore merci Hadopi pour la saloperie mise en place et les soi-disantes labellisations. je ne le dirai jamais assez : Voilà une loi arbitraire qui ne sert que ceux qui ne payent pas d'impots en france et qui vont vivre en CH).

Bref je reviens à mon souci :
une machine qui gère le flux donc firewall proxy routeur... deux cartes eth et avant un routeur wifi.

je cherche une solution qui soit connue de la communauté - donc fiable, sérieuse, et efficace - tiens je viens de parler de lacommunauté qui me lit :) - et qui puisse ^etre appliquée en pme. le tout en transparence totale pour l'utilisateur.
enregistrements des logs etc. ...

j'aurai apprécié travailler avec une page - comme on trouve dans les hotels - en limitant par exemple la bande passante pour le téléchargement qui ne s'effectuerait pas dans le cadre de la loi. comme je l'ai dit je suis contre cette loi, mais il faut s'y plier et ceux qui pretent un accès internet sont les coupables désignés. On n'a jamais vu un armurier finir en taule parce qu'il avait vendu une arme. Avec hadopi si !

Dans mes recherches, j'ai vu aussi qu'il existait des Os firewall sous debian. qu'en pensez-vous ?

Mais là encore il y a trop de choix ....

alcasar pfsenser shorewall....

MERCI POUR VOTRE AIDE PRECIEUSE.





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Leopold BAILLY
jean durandt writes:

Bonjour,

merci pour votre réponse qui entraîne une nouvelle question ?

entre ALCAZAR et IPCOP lequel sera le plus puissant - même s'il est
difficile à configurer la doc cela existe en premier lieu.

j'ai vraiment un souci d'usage et je veux pouvoir interdire certains
sites ou certains types de paquets à télécharger (torrent, certaines
extensions etc;)



je ne sais pas si c'est bien clair pour toi, mais il n'existe qu'un
seul firewall sous Linux, il est intégré au noyau et se configure par
la commande iptables. Quant au proxy http, ça sera sûrement squid avec
squidguard pour affiner le filtrage.

La ribambelle de logiciels, ou même distributions, que tu qualifies de
"firewall" sont simplement une enveloppe pour les mêmes briques de
bases.

Donc, en terme de "puissance", c'est la même chose.

Ce qui va faire la différence pour toi, c'est leur ergonomie, leur
documentation, leur facilité de configuration, d'utilisation et
d'administration. C'est très subjectif, il te faudra sans doute les
tester toi-même et te faire ta propre idée par rapport à tes besoins.

Quel que soit le frontal que tu choisiras, tu aboutiras plus ou moins
au même résultat : blocage du trafic sortant directement, obligation
de passer par des services hébergés par la passerelle (proxy http avec
filtrage, serveur DNS, etc), authentification ; avec utilisation des
mêmes briques de base, à peu de choses près.


--
Léo.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Papinux
Le Fri, 14 Oct 2011 21:47:27 +0000, jean durandt a écrit :


bonsoir



Bonjour,


c'est la soirée, ce soir pour moi.

j'ai décidé de mettre un firewall et malheureusement cela n'a pas é té génial. j'ai donc cherché et j'ai perdu plusieurs liens intéress ants pour lesquels je vous aurai demandé votre avis concernant la robuste sse.
ALCAZAR est l'un d'eux



C'est Alcasar (http://www.alcasar.info/) basé sur une Mandriva.

On t'a donné des pistes. Les as-tu suivies?

--
Px

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Aéris
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 15/10/2011 10:30, Samuel Cifuentes a écrit :
Le 14/10/2011 23:47, jean durandt a écrit :
je vais mets en service une bécane qui ne servira qu'à gérer la
sécurité ( contre les téléchargements illégaux )





Tu as oublié que la loi HADOPI est très mal faite…
Même avec toute la sécurité du monde, celui qui veut vraiment
télécharger téléchargera…
Le plus emmerdé dans l'histoire, ce sont ceux qui ne téléchargeaient pas
du tout (entreprises…) qui se retrouvent à devoir mettre en place des
politiques de sécurité dignes du Pentagone et ceux qui téléchargeaient
peu (particuliers qui téléchargeaient 1 film au mois) qui ne comprennent
rien à la technique et sont totalement largués par rapport aux
contraintes de la loi.
Ceux qui ne sont pas emmerdés, ce sont les gros téléchargeurs, qui eux
auront toujours les moyens de télécharger (VPN, proxy, IP étrangères,
direct download…) et même pire de faire accuser les entités sus-nommées
de leurs méfaits (SeedFuck, botnet & zombies…).

Dans ton cas :

— Celui qui ne télécharge pas sera emmerdé avec le proxy pour des tâches
banales.
Travaillant avec un Squid, c'est une véritable calamité ambulante dès
qu'on sort du navigateur et que le logiciel utilisé ne permet la
configuration dynamique proxy.pac (IDE, wget, messagerie instantanée
type Kopete, IRC…).
Oui parce que tes machines du LAN continueront à devoir être accédées
sans proxy alors que tout le reste du flux devra passer par la passerelle.
Si en plus tu as le malheur d'être dans une société multi-site comme
moi, donc avec de multiples VPN, la table de routage proxy doit compter
une 20aine de ligne, presque une par machine à accéder, table à saisir
manuellement sur les machines et/ou dans chaque soft utilisé…

— Celui qui veut réellement télécharger téléchargera.
Le petit malin montera un Corkscrew ou un ProxyTunnel pour shunter tout
le proxy avec une machine tiers, téléchargera depuis des sites de direct
download après avoir pris soin de monter chez lui un proxy HTTP et de
modifier son /etc/hosts pour que megaupload pointe chez lui (qui
relaiera ensuite), ou tout bêtement passera par les multiples
HTTP-proxies non bloqués par Squid car trop mouvants.

Au final, le seul moyen de bloquer efficacement le téléchargement, ça
reste la pédagogie avec tes employés.
Mais ça, HADOPI a du l'oublier depuis longtemps ce mot…

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOmVwtAAoJEK8zQvxDY4P9iu8H/2gsUNf9cGTN7H97CpgztdCK
bAOv2zSQP92vPn/HHOikocMEDONZTnJC22nLHH2PzlDdJpG7owyxNEyqcb8QTs/h
oMhp5IvEor1kUNK9GZP2zzlRUK+Rj7NwVVYZ6glm0xkz04fquelqOTUlfiOQ9ann
CTYUsElIq79jXytdnD90tXmw3BudO9WpcktHIzCbsKSJ+bTiLeLKtLucMbD7cARO
nlKwl2MBZfSloIY8M+sSVCARpZqmtfvpJ0VuACVkOqObXLaZ/2ht05W0rykel6Dc
aA8DntzbmI7wdK/Ed9ygYjhdlHPTV1w8vtedUuFANoH0f+VsxCFNR8HfUjpqbm0 FH
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4e995c3c$0$29392$
Avatar
Yves Rutschle
On Sat, Oct 15, 2011 at 12:10:59PM +0200, Aéris wrote:
-- Celui qui veut réellement télécharger téléchargera.
Le petit malin montera un Corkscrew ou un ProxyTunnel pour shunter tout
le proxy avec une machine tiers, téléchargera depuis des sites de direct
download après avoir pris soin de monter chez lui un proxy HTTP



Note que du point de vue de l'hadopi, elle verra alors
l'adresse IP résidentielle du téléchargeur, ce qui exclue de
fait la responsabilité de l'entreprise: certes, les
utilisateurs continuent à télécharger, mais sous leur propre
responsabilité, ce qui est bien le but, si je ne m'abuse.

Au final, le seul moyen de bloquer efficacement le téléchargement, ça
reste la pédagogie avec tes employés.
Mais ça, HADOPI a du l'oublier depuis longtemps ce mot...



Tu reçevras un... E-MAIL D'AVERTISSEMENT!
http://francepixel.fr/frenchdandy/hadopi-dessin-anime-cartoon/#more-809

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Jean-Yves F. Barbier
On Sat, 15 Oct 2011 13:52:31 +0200
Yves Rutschle wrote:

...
Tu reçevras un... E-MAIL D'AVERTISSEMENT!
http://francepixel.fr/frenchdandy/hadopi-dessin-anime-cartoon/#more-809



Mouaaarf, on dirait la com' sur l'éducation sexuelle projetée dan s les
collèges US à la fin des années 50!
(remarquons au passage le fantastique bond dans le futur que les
administrations ont fait: du XVIIème siècle aux années 50, faut
saluer l'exploit; enfin ptêt pas... vu ce que ça a encore dà »
coûter qq centaines de milliers d'euros au con-tribuable:(

--
Be frank and explicit with your lawyer ... it is his business to confuse
the issue afterwards.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Aéris
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 15/10/2011 14:10, Yves Rutschle a écrit :
-- Celui qui veut réellement télécharger téléchargera.
> Le petit malin montera un Corkscrew ou un ProxyTunnel pour shunter tout
> le proxy avec une machine tiers, téléchargera depuis des sites de direct
> download après avoir pris soin de monter chez lui un proxy HTTP


Note que du point de vue de l'hadopi, elle verra alors
l'adresse IP résidentielle du téléchargeur, ce qui exclue de
fait la responsabilité de l'entreprise: certes, les
utilisateurs continuent à télécharger, mais sous leur propre
responsabilité, ce qui est bien le but, si je ne m'abuse.




Oui et non.

Oui, HADOPI lui tombera dessus pour défaut de sécurisation, mais pas
pour le piratage en lui-même.
Lorsqu'il sera devant les tribunaux à la 3ème lettre, pour voliation de
propriété intellectuelle cette fois, je doute qu'il ne balancera pas que
le flux allait réellement vers sa boîte.
S'il peut éviter une condamnation de 3 ans de prison et 300.000€
d'amende en balançant sa boîte — d'autant plus qu'il risque fort d'être
déjà licencié donc qu'il n'a plus grand chose à perdre — il ne se génera
pas !

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOmXshAAoJEK8zQvxDY4P968cH/Ah4kRAMr3hLvf+3NV9/bOrd
hwjdMPkXv2wG8PZE7Fdw7kZVLU8vP4GxR2EUsppBCQ/z+qn0YPxTXQI86p17OaVW
hbxxmZhIiIzokZbe47UVujR13TMJzKem6v13UFRoTMraHb+IruIJOdjTReNLOZYs
ZYS1sN1rSxHFyxUmXbgAYrI25EMyYoqDhYPGx7zDMtDhkgG5G7MyWnsc9KzXNQNJ
t4i9iHTDAFp9yVgg+NxHT0yXwS4LCjuoqx52OREN6jqFIweGqVp0Q8l19hCWMVib
b5UxV9/6L7o96b8lXGVpqZP/pztkYHYZVudJJ5QhYUgUNI0JP1RfZwi2G8qMv0E =ii4S
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4e997b27$0$23302$
Avatar
Yves Rutschle
On Sat, Oct 15, 2011 at 02:23:03PM +0200, Aéris wrote:
> Note que du point de vue de l'hadopi, elle verra alors
> l'adresse IP résidentielle du téléchargeur, ce qui exclue de
> fait la responsabilité de l'entreprise: certes, les
> utilisateurs continuent à télécharger, mais sous leur propre
> responsabilité, ce qui est bien le but, si je ne m'abuse.
Lorsqu'il sera devant les tribunaux à la 3ème lettre, pour voliation de
propriété intellectuelle cette fois, je doute qu'il ne balancera pas que
le flux allait réellement vers sa boîte.



Bah, il admet alors avoir mis en place un système de
contournement de la politique de sécurité de son entreprise
(le VPN) pour mener des opérations illégales, j'ai du mal à
voir comment l'employeur pourrait être tenu responsable.

Mais j'avoue que je suis naif et innocent, je n'ai aucune
idée de comment ça pourrait se conclure dans un tribunal.

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Aéris
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 16/10/2011 17:50, Yves Rutschle a écrit :
Bah, il admet alors avoir mis en place un système de
contournement de la politique de sécurité de son entreprise
(le VPN) pour mener des opérations illégales, j'ai du mal à
voir comment l'employeur pourrait être tenu responsable.



Il n'admet rien du tout, on sait juste que quelqu'un l'a fait, c'est pas
forcément lui =)

Mais j'avoue que je suis naif et innocent, je n'ai aucune
idée de comment ça pourrait se conclure dans un tribunal.



+1, surtout en ce moment…


- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOmxpRAAoJEK8zQvxDY4P95A0H/0hJCeN1u4RPDzJJ9A1US5gy
vIMboH/lzqfUJyEzp+gWkUY1VTJlR+IRo2z57oTZmuy9XyXpmZyOG9aBJavOEisE
wABO0V299eHW7R8XZQbGtNQc5tEswskdkqcKlvSZV8Hwuxymq4KTG8TZZfmjJjqJ
9PvXpEGzF+DqpSy0ga8lgWTlupfqIH/v8/zryx/E/PMBqYdMxO+duvmk+EPVn6qM
2aGsvzEC32p5akmbZB5BLS/0MczeecSp+lf9j4Q3vcBWE1x3SuRwAJI1sm2cU6HK
XLwAOagvVljP++FseLijUtATgx2H3f880YmDI4CXqZo2begPJarmTAMI0UDuEFo =GDlf
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4e9b1a59$0$32008$
Avatar
Jean-Yves F. Barbier
On Sun, 16 Oct 2011 17:32:26 +0200
Yves Rutschle wrote:

...
Mais j'avoue que je suis naif et innocent, je n'ai aucune
idée de comment ça pourrait se conclure dans un tribunal.



Depuis un certain temps, les tribunaux appliquent les lois à la lettre,
même (surtout?) si elles sont débiles (pléonasme typiquement français)
- certains sont également directement téléguidés par le pouvoir en place.

Donc, je dirais que si la loi dit: "IP == Responsable" les juges ne se
poseront aucune question.

(Marrant, il me semble me rappeler de mes cours de droit que les divers
codes élaborés par Napoléon parlaient de discernement dans l e préambule,
on en est fort éloigné...)

Récente exception: la cour de cass. vient de mettre les blogueurs sur
un pied d'égalité avec la presse conventionnelle et les journalis tes;
ce qui est une excellente chose pour la liberté d'expression:
http://placedeletape.wordpress.com/ - une fois n'est pas coutume
(apparemment, c'est un camouflet direct envers le pouvoir, puisque les
minutes sont publiées sur le site de la cour de cass., chose relativem ent
rare (moins de 1% des décisions sont rendues publiques par les magistr ats).

--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
1 2