Je suis entrain de m'installer une mandrake 10 sur une machine destinée
à faire passerelle et j'ai un petit soucis avec shorewall.
En effet, au boot, celui-ci refuse de se lancer en me donnant l'erreur :
Error: Unable to determine the routes through interface
Donc, pas d'accès en ssh :-(
Par contre, si sur le poste lui même, je me logue, et je relance un
service shorewall restart, plus de soucis.
J'ai pensé que c'était à cause du démarrage de shorewall avant le
réseau car j'ai dans /etc/rc3.d :
S03shorewall
S10network
Est-ce un problème connu et faut-il inverser le lancement ? Je trouve ça
un peu gros comme "bug" et je me dis que je dois avoir une erreur ailleurs.
On Sat, 28 Aug 2004 11:32:57 +0200, =?ISO-8859-15?Q?Jérémy?= JUST wrote:
Pour Shorewall, le site d'origine (www.shorewall.org, je crois) fournit d'excellents exemples commentés. Ça vaut le coup de remplacer toute la config de la Mdk (qui fonctionne bizarrement mal) par ces exemples et de les adapter à son propre cas.
bizarrement mal ? en quoi exactement ?
Gérard Patel
On Sat, 28 Aug 2004 11:32:57 +0200, =?ISO-8859-15?Q?Jérémy?= JUST
<jeremy_just@netcourrier.com> wrote:
Pour Shorewall, le site d'origine (www.shorewall.org, je crois)
fournit d'excellents exemples commentés. Ça vaut le coup de remplacer
toute la config de la Mdk (qui fonctionne bizarrement mal) par ces
exemples et de les adapter à son propre cas.
On Sat, 28 Aug 2004 11:32:57 +0200, =?ISO-8859-15?Q?Jérémy?= JUST wrote:
Pour Shorewall, le site d'origine (www.shorewall.org, je crois) fournit d'excellents exemples commentés. Ça vaut le coup de remplacer toute la config de la Mdk (qui fonctionne bizarrement mal) par ces exemples et de les adapter à son propre cas.
bizarrement mal ? en quoi exactement ?
Gérard Patel
Jérémy JUST
On Sat, 28 Aug 2004 13:12:25 GMT (gerard patel) wrote:
Pour Shorewall, le site d'origine (www.shorewall.org, je crois) fournit d'excellents exemples commentés. Ça vaut le coup de remplacer toute la config de la Mdk (qui fonctionne bizarrement mal) par ces exemples et de les adapter à son propre cas.
bizarrement mal ?
Oui. Pour être honnête, pas du tout, sur la Mdk 9.2. :)
Et j'ai aussi été déçu de ne pas trouver la doc complète de Shorewall en local (à moins que j'aie loupé un RPM, ce qui est possible).
en quoi exactement ?
Si je me contentais d'utiliser l'interface graphique pour activer Shorewall et le configurer (tout fermer en entrée sauf SSH), ça me fermait tout *en sortie*!! Et je ne pouvais plus rien faire (pas de web, pas de ssh...).
Comme je voulais en plus mettre en place une passerelle, j'ai trouvé plus rapide d'aller chercher les exemples (two-interfaces.tgz en l'occurrence) sur le site de Shorewall et les lire/éditer plutôt que bidouiller avec l'interface graphique et modifier salement des trucs à la main sans rien comprendre. La mise en place d'un pare-feu est un tout et on ne peut pas se permettre de mettre des rustines jusqu'à ce que ça tombe en marche.
Avec la Mdk 10.0, je n'ai pas eu plus de chance, mais je n'ai que vaguement essayé.
Je m'y suis mal pris? Quelqu'un a eu plus de succès? D'un autre côté, lire la documentation de Shorewall m'a permis de (un peu) mieux comprendre comment fonctionne un réseau. Cette doc devrait être offerte pour tout achat de câble RJ-45! :)
-- Jérémy JUST
On Sat, 28 Aug 2004 13:12:25 GMT
g.patel@wanadoo.fr.invalid (gerard patel) wrote:
Pour Shorewall, le site d'origine (www.shorewall.org, je crois)
fournit d'excellents exemples commentés. Ça vaut le coup de remplacer
toute la config de la Mdk (qui fonctionne bizarrement mal) par ces
exemples et de les adapter à son propre cas.
bizarrement mal ?
Oui. Pour être honnête, pas du tout, sur la Mdk 9.2. :)
Et j'ai aussi été déçu de ne pas trouver la doc complète de Shorewall
en local (à moins que j'aie loupé un RPM, ce qui est possible).
en quoi exactement ?
Si je me contentais d'utiliser l'interface graphique pour activer
Shorewall et le configurer (tout fermer en entrée sauf SSH), ça me
fermait tout *en sortie*!! Et je ne pouvais plus rien faire (pas de web,
pas de ssh...).
Comme je voulais en plus mettre en place une passerelle, j'ai trouvé
plus rapide d'aller chercher les exemples (two-interfaces.tgz en
l'occurrence) sur le site de Shorewall et les lire/éditer plutôt que
bidouiller avec l'interface graphique et modifier salement des trucs à
la main sans rien comprendre.
La mise en place d'un pare-feu est un tout et on ne peut pas se
permettre de mettre des rustines jusqu'à ce que ça tombe en marche.
Avec la Mdk 10.0, je n'ai pas eu plus de chance, mais je n'ai que
vaguement essayé.
Je m'y suis mal pris? Quelqu'un a eu plus de succès?
D'un autre côté, lire la documentation de Shorewall m'a permis de (un
peu) mieux comprendre comment fonctionne un réseau. Cette doc devrait
être offerte pour tout achat de câble RJ-45! :)
On Sat, 28 Aug 2004 13:12:25 GMT (gerard patel) wrote:
Pour Shorewall, le site d'origine (www.shorewall.org, je crois) fournit d'excellents exemples commentés. Ça vaut le coup de remplacer toute la config de la Mdk (qui fonctionne bizarrement mal) par ces exemples et de les adapter à son propre cas.
bizarrement mal ?
Oui. Pour être honnête, pas du tout, sur la Mdk 9.2. :)
Et j'ai aussi été déçu de ne pas trouver la doc complète de Shorewall en local (à moins que j'aie loupé un RPM, ce qui est possible).
en quoi exactement ?
Si je me contentais d'utiliser l'interface graphique pour activer Shorewall et le configurer (tout fermer en entrée sauf SSH), ça me fermait tout *en sortie*!! Et je ne pouvais plus rien faire (pas de web, pas de ssh...).
Comme je voulais en plus mettre en place une passerelle, j'ai trouvé plus rapide d'aller chercher les exemples (two-interfaces.tgz en l'occurrence) sur le site de Shorewall et les lire/éditer plutôt que bidouiller avec l'interface graphique et modifier salement des trucs à la main sans rien comprendre. La mise en place d'un pare-feu est un tout et on ne peut pas se permettre de mettre des rustines jusqu'à ce que ça tombe en marche.
Avec la Mdk 10.0, je n'ai pas eu plus de chance, mais je n'ai que vaguement essayé.
Je m'y suis mal pris? Quelqu'un a eu plus de succès? D'un autre côté, lire la documentation de Shorewall m'a permis de (un peu) mieux comprendre comment fonctionne un réseau. Cette doc devrait être offerte pour tout achat de câble RJ-45! :)
-- Jérémy JUST
Christophe PEREZ
Le Sat, 28 Aug 2004 23:15:21 +0200, Jérémy JUST a écrit:
Comme je voulais en plus mettre en place une passerelle, j'ai trouvé plus rapide d'aller chercher les exemples (two-interfaces.tgz en l'occurrence) sur le site de Shorewall et les lire/éditer plutôt que bidouiller avec l'interface graphique et modifier salement des trucs à la main sans rien comprendre.
Mais l'interface graphique, ce n'est pas shorewall !
-- Christophe PEREZ Écrivez moi sans _faute !
Le Sat, 28 Aug 2004 23:15:21 +0200, Jérémy JUST a écrit:
Comme je voulais en plus mettre en place une passerelle, j'ai trouvé
plus rapide d'aller chercher les exemples (two-interfaces.tgz en
l'occurrence) sur le site de Shorewall et les lire/éditer plutôt que
bidouiller avec l'interface graphique et modifier salement des trucs à
la main sans rien comprendre.
Mais l'interface graphique, ce n'est pas shorewall !
Le Sat, 28 Aug 2004 23:15:21 +0200, Jérémy JUST a écrit:
Comme je voulais en plus mettre en place une passerelle, j'ai trouvé plus rapide d'aller chercher les exemples (two-interfaces.tgz en l'occurrence) sur le site de Shorewall et les lire/éditer plutôt que bidouiller avec l'interface graphique et modifier salement des trucs à la main sans rien comprendre.
Mais l'interface graphique, ce n'est pas shorewall !
-- Christophe PEREZ Écrivez moi sans _faute !
g.patel
On Sat, 28 Aug 2004 23:15:21 +0200, =?ISO-8859-15?Q?Jérémy?= JUST wrote:
Si je me contentais d'utiliser l'interface graphique pour activer Shorewall et le configurer (tout fermer en entrée sauf SSH), ça me fermait tout *en sortie*!! Et je ne pouvais plus rien faire (pas de web, pas de ssh...).
ah oui, c'est une accusation que j'ai vu plusieurs fois déjà. J'ai vérifié à chaque fois (et encore une fois maintenant...) et je n'ai jamais pu reproduire. D'après Mandrake, ce problème est résolu : http://qa.mandrakesoft.com/show_bug.cgi?idT02
Comme je voulais en plus mettre en place une passerelle, j'ai trouvé plus rapide d'aller chercher les exemples (two-interfaces.tgz en l'occurrence) sur le site de Shorewall et les lire/éditer plutôt que bidouiller avec l'interface graphique et modifier salement des trucs à la main sans rien comprendre. La mise en place d'un pare-feu est un tout et on ne peut pas se permettre de mettre des rustines jusqu'à ce que ça tombe en marche.
bof, ce mépris pour les outils graphiques est amusant, les adeptes de la configuration en utilisant directement iptables considèrent eux que shorewall est une rustine :-).
Avec la Mdk 10.0, je n'ai pas eu plus de chance, mais je n'ai que vaguement essayé.
ça serait intéressant de savoir si c'est effectivement résolu. Attention : si on essaye l'interface graphique de Mandrake après avoir fait une belle configuration à la main de Shorewall, il peut etre intéressant de faire une sauvegarde de /etc/shorewall auparavant.
Gérard Patel
On Sat, 28 Aug 2004 23:15:21 +0200, =?ISO-8859-15?Q?Jérémy?= JUST
<jeremy_just@netcourrier.com> wrote:
Si je me contentais d'utiliser l'interface graphique pour activer
Shorewall et le configurer (tout fermer en entrée sauf SSH), ça me
fermait tout *en sortie*!! Et je ne pouvais plus rien faire (pas de web,
pas de ssh...).
ah oui, c'est une accusation que j'ai vu plusieurs fois déjà.
J'ai vérifié à chaque fois (et encore une fois maintenant...)
et je n'ai jamais pu reproduire. D'après Mandrake, ce
problème est résolu :
http://qa.mandrakesoft.com/show_bug.cgi?idT02
Comme je voulais en plus mettre en place une passerelle, j'ai trouvé
plus rapide d'aller chercher les exemples (two-interfaces.tgz en
l'occurrence) sur le site de Shorewall et les lire/éditer plutôt que
bidouiller avec l'interface graphique et modifier salement des trucs à
la main sans rien comprendre.
La mise en place d'un pare-feu est un tout et on ne peut pas se
permettre de mettre des rustines jusqu'à ce que ça tombe en marche.
bof, ce mépris pour les outils graphiques est amusant,
les adeptes de la configuration en utilisant directement
iptables considèrent eux que shorewall est une rustine :-).
Avec la Mdk 10.0, je n'ai pas eu plus de chance, mais je n'ai que
vaguement essayé.
ça serait intéressant de savoir si c'est effectivement résolu.
Attention : si on essaye l'interface graphique de Mandrake après
avoir fait une belle configuration à la main de Shorewall, il peut
etre intéressant de faire une sauvegarde de /etc/shorewall
auparavant.
On Sat, 28 Aug 2004 23:15:21 +0200, =?ISO-8859-15?Q?Jérémy?= JUST wrote:
Si je me contentais d'utiliser l'interface graphique pour activer Shorewall et le configurer (tout fermer en entrée sauf SSH), ça me fermait tout *en sortie*!! Et je ne pouvais plus rien faire (pas de web, pas de ssh...).
ah oui, c'est une accusation que j'ai vu plusieurs fois déjà. J'ai vérifié à chaque fois (et encore une fois maintenant...) et je n'ai jamais pu reproduire. D'après Mandrake, ce problème est résolu : http://qa.mandrakesoft.com/show_bug.cgi?idT02
Comme je voulais en plus mettre en place une passerelle, j'ai trouvé plus rapide d'aller chercher les exemples (two-interfaces.tgz en l'occurrence) sur le site de Shorewall et les lire/éditer plutôt que bidouiller avec l'interface graphique et modifier salement des trucs à la main sans rien comprendre. La mise en place d'un pare-feu est un tout et on ne peut pas se permettre de mettre des rustines jusqu'à ce que ça tombe en marche.
bof, ce mépris pour les outils graphiques est amusant, les adeptes de la configuration en utilisant directement iptables considèrent eux que shorewall est une rustine :-).
Avec la Mdk 10.0, je n'ai pas eu plus de chance, mais je n'ai que vaguement essayé.
ça serait intéressant de savoir si c'est effectivement résolu. Attention : si on essaye l'interface graphique de Mandrake après avoir fait une belle configuration à la main de Shorewall, il peut etre intéressant de faire une sauvegarde de /etc/shorewall auparavant.
Gérard Patel
Jérémy JUST
On Sat, 28 Aug 2004 19:32:43 -0400 Christophe PEREZ wrote:
Pour Shorewall, le site d'origine (www.shorewall.org, je crois) fournit d'excellents exemples commentés. Ça vaut le coup de remplacer toute la config de la Mdk (qui fonctionne bizarrement mal) par ces exemples et de les adapter à son propre cas. Mais l'interface graphique, ce n'est pas shorewall !
Oui, oui, c'est pour ça que je parle de la « config de Shorewall fournie par Mandrake ». :)
Shorewall fonctionne très bien et est une bénédiction pour qui n'a pas envie de passer une semaine à écrire les règles iptables à la main (le plus long étant de lire la doc, qui nécessite d'avoir déjà de solides notions de réseau).
-- Jérémy JUST
On Sat, 28 Aug 2004 19:32:43 -0400
Christophe PEREZ <christophe.perez_faute@novazur.com> wrote:
Pour Shorewall, le site d'origine (www.shorewall.org, je crois)
fournit d'excellents exemples commentés. Ça vaut le coup de
remplacer toute la config de la Mdk (qui fonctionne bizarrement
mal) par ces exemples et de les adapter à son propre cas.
Mais l'interface graphique, ce n'est pas shorewall !
Oui, oui, c'est pour ça que je parle de la « config de Shorewall
fournie par Mandrake ». :)
Shorewall fonctionne très bien et est une bénédiction pour qui n'a pas
envie de passer une semaine à écrire les règles iptables à la main (le
plus long étant de lire la doc, qui nécessite d'avoir déjà de solides
notions de réseau).
On Sat, 28 Aug 2004 19:32:43 -0400 Christophe PEREZ wrote:
Pour Shorewall, le site d'origine (www.shorewall.org, je crois) fournit d'excellents exemples commentés. Ça vaut le coup de remplacer toute la config de la Mdk (qui fonctionne bizarrement mal) par ces exemples et de les adapter à son propre cas. Mais l'interface graphique, ce n'est pas shorewall !
Oui, oui, c'est pour ça que je parle de la « config de Shorewall fournie par Mandrake ». :)
Shorewall fonctionne très bien et est une bénédiction pour qui n'a pas envie de passer une semaine à écrire les règles iptables à la main (le plus long étant de lire la doc, qui nécessite d'avoir déjà de solides notions de réseau).
-- Jérémy JUST
Jérémy JUST
On Sun, 29 Aug 2004 07:20:29 GMT (gerard patel) wrote:
je n'ai jamais pu reproduire. D'après Mandrake, ce problème est résolu : http://qa.mandrakesoft.com/show_bug.cgi?idT02
Effectivement... Mes paquets sont à jour, donc je dois avoir la correction, mais peut-être avais-je déjà modifié ma configuration, à cette date-là.
bof, ce mépris pour les outils graphiques est amusant,
C'est surtout le bidouillage que j'évite: - j'utilise l'interface sans vraiment savoir ce qu'elle fait - je vais voir le fichier et je modifie jusqu'à ce que ça fonctionne.
Pour un pare-feu, c'est dangereux; un trou est vite laissé.
les adeptes de la configuration en utilisant directement iptables considèrent eux que shorewall est une rustine :-).
Oui. Je connais des gens qui ne s'en sortent pas avec les multiples fichiers de Shorewall et préfèrent une liste de règles iptables (ou l'équivalent sous Solaris). Ce qui m'a séduit dans Shorewall, c'est sa documentation plus que sa fonction elle-même.
Avec la Mdk 10.0, je n'ai pas eu plus de chance, mais je n'ai que vaguement essayé. ça serait intéressant de savoir si c'est effectivement résolu.
Hum, oui. (je sais, c'est pas bien de ne pas faire de rapports de bogues... Quand j'ai mis ça en place, je devais être super-pressé et tout et tout et j'ai reporté le rapport à plus tard).
Attention : si on essaye l'interface graphique de Mandrake après avoir fait une belle configuration à la main de Shorewall, il peut etre intéressant de faire une sauvegarde de /etc/shorewall auparavant.
Oui, et tant qu'à faire, remettre les fichiers de conf d'origine, pour que Drakefirewall retrouve ses marques.
-- Jérémy JUST
On Sun, 29 Aug 2004 07:20:29 GMT
g.patel@wanadoo.fr.invalid (gerard patel) wrote:
je n'ai jamais pu reproduire. D'après Mandrake, ce problème est
résolu :
http://qa.mandrakesoft.com/show_bug.cgi?idT02
Effectivement...
Mes paquets sont à jour, donc je dois avoir la correction, mais
peut-être avais-je déjà modifié ma configuration, à cette date-là.
bof, ce mépris pour les outils graphiques est amusant,
C'est surtout le bidouillage que j'évite:
- j'utilise l'interface sans vraiment savoir ce qu'elle fait
- je vais voir le fichier et je modifie jusqu'à ce que ça fonctionne.
Pour un pare-feu, c'est dangereux; un trou est vite laissé.
les adeptes de la configuration en utilisant directement
iptables considèrent eux que shorewall est une rustine :-).
Oui.
Je connais des gens qui ne s'en sortent pas avec les multiples
fichiers de Shorewall et préfèrent une liste de règles iptables (ou
l'équivalent sous Solaris).
Ce qui m'a séduit dans Shorewall, c'est sa documentation plus que sa
fonction elle-même.
Avec la Mdk 10.0, je n'ai pas eu plus de chance, mais je n'ai que
vaguement essayé.
ça serait intéressant de savoir si c'est effectivement résolu.
Hum, oui. (je sais, c'est pas bien de ne pas faire de rapports de
bogues... Quand j'ai mis ça en place, je devais être super-pressé et
tout et tout et j'ai reporté le rapport à plus tard).
Attention : si on essaye l'interface graphique de Mandrake après
avoir fait une belle configuration à la main de Shorewall, il peut
etre intéressant de faire une sauvegarde de /etc/shorewall
auparavant.
Oui, et tant qu'à faire, remettre les fichiers de conf d'origine, pour
que Drakefirewall retrouve ses marques.
On Sun, 29 Aug 2004 07:20:29 GMT (gerard patel) wrote:
je n'ai jamais pu reproduire. D'après Mandrake, ce problème est résolu : http://qa.mandrakesoft.com/show_bug.cgi?idT02
Effectivement... Mes paquets sont à jour, donc je dois avoir la correction, mais peut-être avais-je déjà modifié ma configuration, à cette date-là.
bof, ce mépris pour les outils graphiques est amusant,
C'est surtout le bidouillage que j'évite: - j'utilise l'interface sans vraiment savoir ce qu'elle fait - je vais voir le fichier et je modifie jusqu'à ce que ça fonctionne.
Pour un pare-feu, c'est dangereux; un trou est vite laissé.
les adeptes de la configuration en utilisant directement iptables considèrent eux que shorewall est une rustine :-).
Oui. Je connais des gens qui ne s'en sortent pas avec les multiples fichiers de Shorewall et préfèrent une liste de règles iptables (ou l'équivalent sous Solaris). Ce qui m'a séduit dans Shorewall, c'est sa documentation plus que sa fonction elle-même.
Avec la Mdk 10.0, je n'ai pas eu plus de chance, mais je n'ai que vaguement essayé. ça serait intéressant de savoir si c'est effectivement résolu.
Hum, oui. (je sais, c'est pas bien de ne pas faire de rapports de bogues... Quand j'ai mis ça en place, je devais être super-pressé et tout et tout et j'ai reporté le rapport à plus tard).
Attention : si on essaye l'interface graphique de Mandrake après avoir fait une belle configuration à la main de Shorewall, il peut etre intéressant de faire une sauvegarde de /etc/shorewall auparavant.
Oui, et tant qu'à faire, remettre les fichiers de conf d'origine, pour que Drakefirewall retrouve ses marques.
-- Jérémy JUST
k
Le Sun, 29 Aug 2004 12:44:09 +0200 après l'an de grâce, inspiré(e) Jérémy JUST écrivait la plume légère :
bof, ce mépris pour les outils graphiques est amusant,
C'est surtout le bidouillage que j'évite: - j'utilise l'interface sans vraiment savoir ce qu'elle fait - je vais voir le fichier et je modifie jusqu'à ce que ça fonctionne.
Pour un pare-feu, c'est dangereux; un trou est vite laissé.
Je suis d'accord avec Jeremy, il est pas agréable d'avoir un outil qui
est opaque sur sa façon de travailler. On peut facilement faire le contraire de ce que l'on voulait
les adeptes de la configuration en utilisant directement iptables considèrent eux que shorewall est une rustine :-).
Oui. Je connais des gens qui ne s'en sortent pas avec les multiples fichiers de Shorewall et préfèrent une liste de règles iptables (ou l'équivalent sous Solaris). Ce qui m'a séduit dans Shorewall, c'est sa documentation plus que sa fonction elle-même. Là encore, c'est toujours le même principe, il est facile de parcourir,
la doc et les conf de shorewall, et il faut admettre qu'on peut très rapidement faire des choses très propres et compréhensible sans s'énerver (admettre que les connections sortante d'une interface, dropper les RFC 1918 sur interfaces publiques, droppper les ping)
Utiliser la ligne de commande est lié à d'autres réflexes : on lit la doc, on comprend les exemples et on travaille ensuite. L'interface graphique est souvent liée à une idée d'utiliser un logiciel sans comprendre ce qu'il fait (car l'interface te masquerait la complexité ;)
Je fais parti des vieux cons qui lisent, et qui pensent que comprendre avant d'agir c'est plutôt mieux.
Le Sun, 29 Aug 2004 12:44:09 +0200 après l'an de grâce, inspiré(e)
Jérémy JUST <jeremy_just@netcourrier.com> écrivait la plume légère :
bof, ce mépris pour les outils graphiques est amusant,
C'est surtout le bidouillage que j'évite:
- j'utilise l'interface sans vraiment savoir ce qu'elle fait
- je vais voir le fichier et je modifie jusqu'à ce que ça fonctionne.
Pour un pare-feu, c'est dangereux; un trou est vite laissé.
Je suis d'accord avec Jeremy, il est pas agréable d'avoir un outil qui
est opaque sur sa façon de travailler. On peut facilement faire le
contraire de ce que l'on voulait
les adeptes de la configuration en utilisant directement
iptables considèrent eux que shorewall est une rustine :-).
Oui.
Je connais des gens qui ne s'en sortent pas avec les multiples
fichiers de Shorewall et préfèrent une liste de règles iptables (ou
l'équivalent sous Solaris).
Ce qui m'a séduit dans Shorewall, c'est sa documentation plus que sa
fonction elle-même.
Là encore, c'est toujours le même principe, il est facile de parcourir,
la doc et les conf de shorewall, et il faut admettre qu'on peut très
rapidement faire des choses très propres et compréhensible sans
s'énerver (admettre que les connections sortante d'une interface,
dropper les RFC 1918 sur interfaces publiques, droppper les ping)
Utiliser la ligne de commande est lié à d'autres réflexes : on lit la
doc, on comprend les exemples et on travaille ensuite. L'interface
graphique est souvent liée à une idée d'utiliser un logiciel sans
comprendre ce qu'il fait (car l'interface te masquerait la complexité ;)
Je fais parti des vieux cons qui lisent, et qui pensent que comprendre
avant d'agir c'est plutôt mieux.
Le Sun, 29 Aug 2004 12:44:09 +0200 après l'an de grâce, inspiré(e) Jérémy JUST écrivait la plume légère :
bof, ce mépris pour les outils graphiques est amusant,
C'est surtout le bidouillage que j'évite: - j'utilise l'interface sans vraiment savoir ce qu'elle fait - je vais voir le fichier et je modifie jusqu'à ce que ça fonctionne.
Pour un pare-feu, c'est dangereux; un trou est vite laissé.
Je suis d'accord avec Jeremy, il est pas agréable d'avoir un outil qui
est opaque sur sa façon de travailler. On peut facilement faire le contraire de ce que l'on voulait
les adeptes de la configuration en utilisant directement iptables considèrent eux que shorewall est une rustine :-).
Oui. Je connais des gens qui ne s'en sortent pas avec les multiples fichiers de Shorewall et préfèrent une liste de règles iptables (ou l'équivalent sous Solaris). Ce qui m'a séduit dans Shorewall, c'est sa documentation plus que sa fonction elle-même. Là encore, c'est toujours le même principe, il est facile de parcourir,
la doc et les conf de shorewall, et il faut admettre qu'on peut très rapidement faire des choses très propres et compréhensible sans s'énerver (admettre que les connections sortante d'une interface, dropper les RFC 1918 sur interfaces publiques, droppper les ping)
Utiliser la ligne de commande est lié à d'autres réflexes : on lit la doc, on comprend les exemples et on travaille ensuite. L'interface graphique est souvent liée à une idée d'utiliser un logiciel sans comprendre ce qu'il fait (car l'interface te masquerait la complexité ;)
Je fais parti des vieux cons qui lisent, et qui pensent que comprendre avant d'agir c'est plutôt mieux.
