Reprise du message précédent :

Je retiens la premiere phrase pour ne pas rebondir sur le reste (connaissant ton attachement aux OS de redmond ou, c'est bien connu, un outil = une tâche par opposition aux *n*x)
 
Par contre, pour fioul, j'ai pas dit qu'IPCop ct pas bien, ou que je ferai mieux, c'est jsute que t'as dit qu'IPTables ct a chier, alors je voulais savoir si IPCop utilisait autre chose .. apperemment non ...stout
 
Ralala .. ces mercredi qu'on dirait des vendredis, c'est qd meme terrible .

 
tu veux savoir les firewall qui me laissent bouche bé ?
 
les firewall bridgeant : ils sont invisibles sur un reseau, n'existent pas, mais pourtant ils filtrent et bien meme

 
Moi c'est Heather Brooke, mais ça doit pas etre pour les memes raisons. (Attention, cette remarque nécessite de la culture)

je te parles pas de revolution, juste une distro "tunée" pour la secu et pour un particulier c tres bien :
 
De plus elle embarque suffisament de mecanisme de securité pour bloquer 80 % des attaques.
 
un pote a posé ,chez lui, un zyxel (rout, fw etc) à 5000 F ,il n'arrive pas a la cheville d'une ipcop. (gratuite )

JoWiLe : nan, IPCop c mieux, stout

 
Voila ce qui me choque. IPCOP utilise IPTables.

je suis d'accord, mais peux tu ecrire noir sur blanc que ce que tu as codé (sens large) ds ta deb est du meme niveau qualitatif qu'une ipcop (pr exemple) ou les gars du projet paufinent le bébe depuis 2 ou  3ans ?
 
c clair que si tu presentes ca a tes responsable va falloir, que si on te fous un expert en audit secu , ne pas transpirer qd l'ingé secu va amener SA BATTERIE d'EXPLOITS et la balancer sur ta deb. , perso (nous ausi on a des fw basé sur des distro de base ...) je serai tres attentifs et tres tres humble.
 
Soyons honnetes avec nous meme, des firewall ou l'os est developpé en interne pour le matos c pas pour rien que ce sont les plus robustes.
 
Tu vois fw-1 m fais bien marré a ce niveau ...

oui mais un tulisateur tres tres averti :!!!
 
tu as essayé ipcop ?
 
essaies tu verras , moi je vannais dessus avant ben je peux te dire qu'@ home c du regal.

soit , mais de base (woody) un debian c moins secure qu'un open bsd .... c comme ca !
meme tout feux eteint, j'y peu rien c des experts qui le disent !

 
Je serais plus rassuré avec ma deb qui est bridgée alors que ton ipcop ne l'est pas  

 
d'autant que sa conntrack sature vite !  
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 
t'as trouvé pire que toi !    
fais gaffe à pas trop trainer avec lui, ça serait dommage qu'il tire ton niveau vers le bas  

 
echo > /proc/..... et on remonte a 32762 ,  .
Ca se corrige.

il est dev chez M$ ....

Quelques petites remarques comme ça...
- les mises à jour d'ipcop sont régulières et faciles à appliquer?
- comment peut-on faire confiance en une distribution soit disant orientée firewall et sécurité, qui fait tourner tout un tas de services (ouverts sur le LAN, mais quand même...). Si l'on attache une importance toute particulière à la sécurité, alors on installe un bastion sans service pour le firewall, et des DMZ.
- j'aime bien OpenBSD car cet OS est sécurisé par défaut et de plus, pf est très puissant tout en restant simple. Plus c'est simple, mieux c'est, surtout pour un firewall.
- je pense qu'une distribution genre Debian bien configurée peut faire un très bon firewall, mais par contre il y aura plus de boulot que pour OpenBSD, où tout est déja blindé.

   
 
y-a aussi "des" qui disent que M$ c'est plus secure que du linux ... bien sur ils sont très intelligents ces gens, ils comparent toute une distro avec un simple os  

 
La il est question de sécu... et comme je pense qu'il y a du bon à prendre partout je me rensiegne
 
En ce qui me concerne si le serveur ne m'avait pas chuchotter à l'oreille "Utilise moi ! Ne me laisse pas dans un coin !", j'aurais sûrement mis en place un petit boitier genre Sonicwall ou Zywall... ca aurait été amplement suffisant au vu des besoins.
 
Après concernant mon attachement à la firme de Redmond, je trouve il n'y pas de quoi crier "Vade Retro Windowsas" dès qu'on en aperçoit un... pas mal de logiciels tout à fait corrects sont développés pour cette plateforme et permettent à des entreprises de faire leur buziness. Il est vrai que la plus part de mes clients utilisent exclusivement des plateformes MS avec des logiciels pévus uniquement pour cette plateforme, ce n'est pas pour autant qu'il n'y pas quelques logiciels libres qui sont utilisés...  
 
Par exemple plusieurs médecins utilisent Irfanview pour visualiser les fichiers créés en radiologie (du TIFF ou JPEG bien volumineux), mon serveur mail (exim) tourne sur une debian, j'effectue quelques développements à l'aide de PHP/MySQL, j'utilise de teps à autre GIMP ; ce n'est pas pour celà que je vais cracher sur des produits commerciaux et propriétaires... du moins tant qu'ils fonctionnent

Concernant Openbsd, moi ce qui m'inquiete plus c'est l'aspect monté en charge (scalabilité ), ce bench est assez connu : http://bulk.fefe.de/scalability/
 
Et en plus il ne supporte pas le smp

 
 - oui (10 maj en 1 an de 1.3 basé sur iptables, la 1.2 etait encore en ipchains)
 
- elle fait tourner les services sensibles que SI tu lui demandes !!!
grosse nuances qd meme !! de base y'a apache sur le lan et c tout .
Les gros repoches : c les full open de LAN->DMZ et DMZ->EXT. c pas clean. (en entreprise jamais ca)
- OpenBSD m'interesse bcp, mais techniquement c point facile , fwbuilder est donc mon allié !!.
-deb ... oui mais y'a du taf pour arriver a du bsd ... une mnf comme base c deja mieux !

c LA bonne attitude.
 
chaque brique du système est intéressante quelle soit rouge noire ou blanche !!
 
excusez moi le paralléle mais  c un peu comme les races : la diversité est si enrichissante , elle PEU profiter a tout le monde !

 
dit fioul, fait nous un chtit topo sur OpenBSD ou met le en place au lieu de joué au grand manitou

je maitrise point , plutot conti !!

une tite spéciale fioul
 

 
 
désolé pour ifrance
 
m'en veut pas trop mister fioul

aucun , pb j'accepte la deconnade TouJourS volontier  !!

 
No problemo, Requin peut toujours passer avec son matos, et je lui configure un bastion OpenBSD aux petits oignons.

 
Heu, ton réseau a besoin d'encaisser un traffic comparable à celui d'un slashdotting? Parce que bon, dans le genre violent, c'est pas mal...