D'abord je voudrais dire que je ne veux pas commencer un troll ou quoi que
ce soit dans le genre. Simplement, je me demande depuis un moment maintenant
quel est le "meilleur" firewall entre Packet Filter (OpenBSD) et Netfilter
(Linux noyau 2.6)
Le soucis c'est que j'ai acheté un WRAP sur PC Engines dernièrement et que
je voudrais y installer un des deux. Puisque niveau matériel le WRAP est
assez léger (processeur à 266Mhz, 128Mo de ram) mais qu'il va surement gérer
pas mal de règles de tte sorte (filtrage, nat, qos/traffic shapping, vpn
ssl/ipsec), je voudrais choisir le firewall qui me conviennent le mieux
selon 3 critères :
- les performances (débits sortants/entrants avec du NAT et/ou du filtrage,
temps de latence, pourcentage de perte de paquets, etc...)
- la sécurité (openbsd est réputé pour son code sécurisé, je me demande donc
si Netfilter a un historique de vulnérabilité ou des implémentations
différentes qui le rendent moins sur... mais si c'est le cas j'aimerais une
"preuve" comme un lien par exemple)
- les "plugins" (je pense par exemple à PFSync, CARP, ALTQ pour PF ou les
modules conn_track_ftp et irc pour Netfilter... mais j'en oublie surement
beaucoup)
Seuls ces 3 critèrs m'importent vraiment. Les différences de syntaxe, de
clarté, de plateforme ou de religion :) ne m'importe pas ! J'ai donc besoin
de votre aide pour faire mon choix ! Un lien, une expérience concrète, une
présentation, n'importe quoi qui pourrait m'aider à choisir sans remord !
Je sais que beaucoup me dirait "choisis celui qui te convient le mieux" mais
sincèrement, encore aujourd'hui je n'arrive pas à faire de choix... Linux
est mieux documenté la plupart du temps (quoi que la FAQ de PF soit géniale)
mais la syntaxe de PF me parait (critère qui n'est pas valable cependant,
voir plus haut) plus clair au niveau de la syntaxe... donc plutot que de
choisir ainsi, je voudrais des comparatifs techniques à la place.
Quelque chose comme : http://www.benzedrine.cx/pf-paper.html mais qui soit à
jour :)
J'espère que vous m'aiderez et que je ne viole pas la chartre en parlant de
PF ici. J'ai posté la meme chose sur le group BSD.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Kevin Denis
Le 17-10-2006, Akane a écrit :
D'abord je voudrais dire que je ne veux pas commencer un troll ou quoi que ce soit dans le genre. Simplement, je me demande depuis un moment maintenant quel est le "meilleur" firewall entre Packet Filter (OpenBSD) et Netfilter (Linux noyau 2.6)
amha, cette question serait plus en charte sur fr.comp.securite
Le soucis c'est que j'ai acheté un WRAP sur PC Engines dernièrement et que je voudrais y installer un des deux. Puisque niveau matériel le WRAP est assez léger (processeur à 266Mhz, 128Mo de ram) mais qu'il va surement gérer pas mal de règles de tte sorte (filtrage, nat, qos/traffic shapping,
ca c'est OK
vpn ssl/ipsec),
je ferais des tests quand meme pour cette partie.
je voudrais choisir le firewall qui me conviennent le mieux selon 3 critères : - les performances (débits sortants/entrants avec du NAT et/ou du filtrage, temps de latence, pourcentage de perte de paquets, etc...) - la sécurité (openbsd est réputé pour son code sécurisé, je me demande donc si Netfilter a un historique de vulnérabilité ou des implémentations différentes qui le rendent moins sur... mais si c'est le cas j'aimerais une "preuve" comme un lien par exemple)
La derniere chose qui me vienne en tete etait l'histoire du window tracking qui n'existait pas dans netfilter. Aujourd'hui, ca l'est.
Aussi, un des developpeurs openBSD travaillait sur differentes attaques de TCP basees sur ICMP. Il en a fait un draft: http://www.gont.com.ar/drafts/icmp-attacks/draft-gont-tcpm-icmp-attacks-04.txt Il faudrait creuser pour voir ce que propose netfilter a ce niveau, si le document apparait comme etant justifie (j'ai lu pas mal de polemiques la dessus)
- les "plugins" (je pense par exemple à PFSync, CARP, ALTQ pour PF ou les modules conn_track_ftp et irc pour Netfilter... mais j'en oublie surement beaucoup)
pfsync existe sous openBSD. _Rien_ de comparable n'existe sous linux. -- Je suis magicien. Et aujourd'hui, je suis chaud, je vais taper sur n'importe qui!! Moralite: "Le chaud mage frappe tout le monde"
Le 17-10-2006, Akane <akane@guesswhere.com> a écrit :
D'abord je voudrais dire que je ne veux pas commencer un troll ou quoi que
ce soit dans le genre. Simplement, je me demande depuis un moment maintenant
quel est le "meilleur" firewall entre Packet Filter (OpenBSD) et Netfilter
(Linux noyau 2.6)
amha, cette question serait plus en charte sur fr.comp.securite
Le soucis c'est que j'ai acheté un WRAP sur PC Engines dernièrement et que
je voudrais y installer un des deux. Puisque niveau matériel le WRAP est
assez léger (processeur à 266Mhz, 128Mo de ram) mais qu'il va surement gérer
pas mal de règles de tte sorte (filtrage, nat, qos/traffic shapping,
ca c'est OK
vpn ssl/ipsec),
je ferais des tests quand meme pour cette partie.
je voudrais choisir le firewall qui me conviennent le mieux
selon 3 critères :
- les performances (débits sortants/entrants avec du NAT et/ou du filtrage,
temps de latence, pourcentage de perte de paquets, etc...)
- la sécurité (openbsd est réputé pour son code sécurisé, je me demande donc
si Netfilter a un historique de vulnérabilité ou des implémentations
différentes qui le rendent moins sur... mais si c'est le cas j'aimerais une
"preuve" comme un lien par exemple)
La derniere chose qui me vienne en tete etait l'histoire du window
tracking qui n'existait pas dans netfilter. Aujourd'hui, ca l'est.
Aussi, un des developpeurs openBSD travaillait sur differentes attaques
de TCP basees sur ICMP. Il en a fait un draft:
http://www.gont.com.ar/drafts/icmp-attacks/draft-gont-tcpm-icmp-attacks-04.txt
Il faudrait creuser pour voir ce que propose netfilter a ce niveau, si
le document apparait comme etant justifie (j'ai lu pas mal de polemiques
la dessus)
- les "plugins" (je pense par exemple à PFSync, CARP, ALTQ pour PF ou les
modules conn_track_ftp et irc pour Netfilter... mais j'en oublie surement
beaucoup)
pfsync existe sous openBSD. _Rien_ de comparable n'existe sous linux.
--
Je suis magicien. Et aujourd'hui, je suis chaud, je vais taper sur
n'importe qui!!
Moralite: "Le chaud mage frappe tout le monde"
D'abord je voudrais dire que je ne veux pas commencer un troll ou quoi que ce soit dans le genre. Simplement, je me demande depuis un moment maintenant quel est le "meilleur" firewall entre Packet Filter (OpenBSD) et Netfilter (Linux noyau 2.6)
amha, cette question serait plus en charte sur fr.comp.securite
Le soucis c'est que j'ai acheté un WRAP sur PC Engines dernièrement et que je voudrais y installer un des deux. Puisque niveau matériel le WRAP est assez léger (processeur à 266Mhz, 128Mo de ram) mais qu'il va surement gérer pas mal de règles de tte sorte (filtrage, nat, qos/traffic shapping,
ca c'est OK
vpn ssl/ipsec),
je ferais des tests quand meme pour cette partie.
je voudrais choisir le firewall qui me conviennent le mieux selon 3 critères : - les performances (débits sortants/entrants avec du NAT et/ou du filtrage, temps de latence, pourcentage de perte de paquets, etc...) - la sécurité (openbsd est réputé pour son code sécurisé, je me demande donc si Netfilter a un historique de vulnérabilité ou des implémentations différentes qui le rendent moins sur... mais si c'est le cas j'aimerais une "preuve" comme un lien par exemple)
La derniere chose qui me vienne en tete etait l'histoire du window tracking qui n'existait pas dans netfilter. Aujourd'hui, ca l'est.
Aussi, un des developpeurs openBSD travaillait sur differentes attaques de TCP basees sur ICMP. Il en a fait un draft: http://www.gont.com.ar/drafts/icmp-attacks/draft-gont-tcpm-icmp-attacks-04.txt Il faudrait creuser pour voir ce que propose netfilter a ce niveau, si le document apparait comme etant justifie (j'ai lu pas mal de polemiques la dessus)
- les "plugins" (je pense par exemple à PFSync, CARP, ALTQ pour PF ou les modules conn_track_ftp et irc pour Netfilter... mais j'en oublie surement beaucoup)
pfsync existe sous openBSD. _Rien_ de comparable n'existe sous linux. -- Je suis magicien. Et aujourd'hui, je suis chaud, je vais taper sur n'importe qui!! Moralite: "Le chaud mage frappe tout le monde"
Akane
Merci :)
Je vais poster ca sur fr.comp.securite pour voir !
Mais c'est un bon début de réponse !
Merci :)
Je vais poster ca sur fr.comp.securite pour voir !
