Quel firewall (parefeu) pour un usage pro (et home) : libre !

En tant que décideur, si tu me mets comme proposition la récupération d'un Athlon B2 avec les éventuels problèmes qui iront avec (garantie absente, support zéro), ça sera un niet pur et simple.
 
Sophos je n'ai pas testé, je ne dirais rien dessus.
Tu n'as pas indiqué aussi dans ce topic la nécessité de NTOPng. Après quand je lis la description au niveau ressource CPU :

Si le matos du pare-feu est utilisé pour ça... est-ce que cela aura donc sa place dessus, au lieu de traiter les paquets ?
De la même manière pour une utilisation home ou small business/PME, savoir que tel quantité de traffic est utilisé pour telle application, c'est passionnant [:transparency]  
 
Il ne faut donc pas voir "trop large", et faire un résumé de ce que tu as réellement besoin. Tu parles par exemple "devoir se coltiner ip par ip les régles non merci", plus loin tu indiques vouloir du logs poussés, tu mets NTOPng encore plus loin.
C'est voir trop large, et tu n'avais pas indiqué avant !

Mouais, ben à l'occase passes voir les RMLL sur le stand Debian, et demandes-leur. La "direction" du développement est clairement faites par des dévs US, ou qui travaillent dans les boîtes US.
Je te parle Debian, pas d'autre chose.

Tu veux du Fr, en parefeu il y avait la suite Mandrake Security. "Avait".
Ben oui, du développement Fr c'est bien, mais quand ça ne choisit pas Mandriva comme base, mais plutôt du Debian et/ou de l'Ubuntu, y'a de quoi tousser.

J'ai indiqué le contraire ?
 
Je te dis juste qu'au bout d'un moment, il faut arrêter de chouiner et prendre ce qu'il y a.
Il ne faut pas oublier que pfsense propose des solutions de pare-feu pré-configurées, rackable en 19 pouces, (quasi) prêt à l'emploi. L'entreprise ou l'administration qui voit ça ne va pas s'enquiquiner à faire du "à la mano", elle n'a plus ni le temps, ni les moyens de se payer quelqu'un pour le maintenir. Idem pour le choix d'un Sophos ou d'un Endian.
C'est aussi à mettre dans la balance du choix d'un pare-feu pour une entreprise.
 
Quand au choix à la mano, il y a des personnes qui le font, mais qui ont les compétences pour. Va expliquer maintenant aux patrons de la STSI² (en exemple de grosse administration engagée dans le libre) qu'ils devront faire du pare-feu "à la mano", les ingés que t'aura en face ils te rireront au nez.

 
tu racontes un peu ce que tu veux sur Debian :
 
https://www.debian.org/devel/developers.loc
 
Et pour le made in france ?
Bien sure que cela a existé !(il y a pas bien longtemps)
Le problème est que les boites ont été racheté à coup de dollars, et dans la foulée les maisons mères ont changé les algo de cryptage/chiffrement maison(européen et français)
Bienvenu en Amérique camarade !
 
... écoutes Eric Filliol, c'est un sage: http://www.ledufakademy.fr/?p=116
 
Ensuite bien sure que du full linux cela peut tourner !
 
Enfin Synology c'est Taiwan ... donc chine ... Et pour ton info la partie samba du syno présente des bug facheux ! (c'est pourtant du pro DSM 5.0 !!!)
C'est l’expérience qui parle et tien lis ce truc (http://www.ledufakademy.fr/?cat=12Téléchargement puis "Technologies" et enfin "Sécurité..." puis "Migration ..." ), comme quoi y'en a qui se retroussent les manches chez nous, si si des français veulent encore vraiment bosser !

Ah ah et Debian c'est principalement maintenu par des développeurs... US [:s@ms:2]  
A un certain moment il faudra lâcher ton idée du 100% "made in France" pour ton infra informatique, ce n'est pas faisable.
 
Autre exemple : tu es un utilisateur d'un NAS Synology, pas trop "made in France" [:the geddons] et quand à remplacer du NAS Syno alors que dans pas mal de cas ils sont parfaitement dimensionnés et conçus pour, pour avoir un truc bricolé à la place, ce n'est pas le bon plan quand on est dans un milieu pro avec ses contraintes.

globalement je pense comme toi :! c'est moche ...
 
Mais bon il est loin le temps ou on montait une MNF (Mandrake Network Firewall) ou encore une mandrake 8/redhat 7.1 et on faisait son script iptables, bien loin.
Moi ce que je veux surtout avoir chez moi (au taf je ne suis plus impliqué on dira ;-) ) c'est avoir un monitoring ultra précis des flux, et puis quand on a été habitué à gérer des solution à plus de 5000 euros ... ipcop est juste (mais elle fait son taf à merveille)
 
Je me tate avec UTM 9.2 de sophos, Endian voir pfsense ... mais dans tout les cas je pense que le NSA free ... cela va être très dur !

encore plus chiant : le firewall qui interdit la connexions SSL à ton serveur perso si ce dernier dispose d'un certificat auto-signé  :sweat:  
 
par contre certains sites pourris mais avec un certif "conforme" ne sont pas tous filtrés  :ange:  

D'un côté c'est bien, d'un autre côté c'est moche... bye les tunnels SSH sur le port 80 pour mater du pr0n (ou tout autre utilisation) depuis son taf en se connectant sur son serveur perso :lol:  
 
Après une solution "faite maison" (enfin presque) à base de :
- règles iptables pour qui entre, qui sort
- un squid/squid-cache pour le cache web/http
- Snort/Argus/Bro (suivant la topologie du réseau) pour la surveillance
- Arpwatch (optionnel) avec un IPAM pour la gestion IP/MAC
- Nagios avec Weathermap ou du nProbe ou du SiLK pour le suivi du réseau
ça peut "quasiment" faire le taf demandé et même plus.

Alors il faut savoir que le parefeu comme tu le conçois n’existe plus.
On parle d'UTM ...  
Et heureusement car on peut tout passer par un simple port http(s) ouvert : un pare-feu digne de ce nom (et ce n'est qu'une pièce du dispositif) fait du DPI à minima, dispose d'une base d'attaques à jour etc.

non un linux (dsitrib) de base : n'est pas fait pour ... il faut faire du hardening dessus, voir recompiler des éléments pour avoir un truc acceptable. :non:

Mais, il existe.
Donc oui, le pare-feu d'OpenOffice est à intégrer dans la liste :D

Vote : pfsense. Pour être sérieux tout de même pour la question.

t'es vache là ;-)

• http://www.servethehome.com/Server [...] ton-c2550/  
• http://www.asus.com/Commercial_Ser [...] AIC25504L/ (mais où l'acheter ??? LDLC ... ?)
• http://pcengines.ch/apu1c4.htm + son boitier
• Shuttle DS61

 
 
Je peux aussi signaler un produit comme "firewall builder" pour monter from scratch !
 
un article sympa pour choisir : http://www.mondaiji.com/blog/other [...] all-distro