On Aug 28, 2008, at 12:02 PM, Steven Le Roux wrote:
De plus n'étant pas du tout familier avec les *BSD, je ne compte pas
me diriger sur cette voie : je préfère pour l'instant rester sur un
système que je connais bien, surtout pour des firewalls !
C'est un choix, mais j'ai sauté le pas car c'est assez facile de
monter un openBSD pour ça. Je viens juste de maqueter deux openbsd
qui font du 802.1q, tu utilises carp sur tes interfaces vlan, puis
pfsync pour le maintiens des sessions quand l'un ou l'autre tombe
(et ça c'est top car totalement transparent même au niveau des
sessions utilisateurs lorsqu'un équipement tombe)
Pour ce que j'ai testé CARP, je trouve ça vraiment très performant,
(aucune perte de paquet, presque pas de latence de convergence (bcp
moins d'une seconde)
Ajouté à celà, ceux qui utiliseront la solution ne sont pas plus
familier avec netfilter qu'avec packetfilter, donc l'apprentissage
de pf me semble bien plus simple et lisible que netfilter.
Je rajouterais aussi que la configuration de PF (sur FreeBSD ou
OpenBSD) s'effectue a un seul niveau (un seul fichier) qui permet de
definir les regles de filtrage, de nat et du traffic shaping (avec ALTQ)
Le seule probleme que j'ai personellement avec PF c'est que c'est du
"last match" ce qui a toujours tendence a me perturber (et je en suis
pas le seul) pour l'ecriture des regles.
Personellement a votre place je n'abondonnerais pas les appliances
pour du firewall applicatif. Parce que chez nous on a fait exatement
l'inverse... pour differentes raisons parmis lesquelles :
1 - Les procedures de gestion des firewall applicatifs (type
netfilter, pf ou autre) doivent etre tres tres tres strictes et
suivies a la lettre pour ne pas se retrouver dans des situations tres
difficiles (rajout des regles a la volee dans le firewall a la ligne
de commande, sans les mettres dans la conf ou les confs dans le cas
d'un cluster.. des OS qui refusent de booter pour des histoires de
raids ou betement de BIOS. Ou des interfaces rajoutee a coup de
ifconfig et pas mis dans les scripts de demarrages, ou avec une erreur
de syntax qui ne peut etre verifiee qu'au boot... etc etc)
Mettre en place un Firewall applicatif et faire en sort que sa conf et
sa gestion soient "bullet proof" prend beaucoup de temps et sur ce
genre de brique essentielle d'une plate-forme une fois que c'est en
"PROD" plus moyen d'y toucher...
2 - Dans notre cas, il fallais que le Firewall fasse passerelle VPN
aussi... ce qui est assez complique a mettre en place de facon
"industrielle" (avec les procedures qui vont avec aussi...)
Pour moi, si vous avez la possibilite (et le budget surtout) d'avoir
des appliances (le choix de la techno/constructeur est un autre debat)
faites le. On peut tout faire avec des firewalls applicatif mais ca
prend beaucoup de temps et les gerer au jour le jour est tres
complique s'il s'agit d'une "equipe".
Youssef
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/