Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-31 Par sujet Fabien ILLIDE

Le 30/07/2017 à 22:45, Xavier Beaudouin a écrit :

Hello,

(...)

honnetement, vu le prix des "petits" boitiers UTM genre PA-200 en
refurb, ça deviens vite pas rentable de bricoler une solution maison.
apres jconfirme. alixboard + pfsense + 10mn de setup, j'ai du pf, un
vpn, et le "multihoming" qui fonctionne depuis genre 5 ans, sans jamais
avoir a faire autre chose que lire les mails me disant que le machin
s'est mis a jour.
bon par contre trouver une board fanless qui fait du 1GbE sur plusieurs
interfaces qu'a une paire de SFP+ pour du twinax et companie , c'est
tout de suite vachement plus compliqué. caveat emptor et tout et tout.

Y a les boards Atom C27xx / C25xx, qui sont fanless. Par contre j'ai pas vu 
avec du SFP+. Mais y a souvent un port PCI-E...

Je fais tourner du pfsense avec un C2550 depuis plus de 2 ans et j'ai pas encore eu 
le coup du dead atom... ou c'est uniquement sur des linux  ? :)


Les appliances PfSense on eu droit a une update BIOS pour éviter le 
soucis des Atom

j'ai plus d'infos la dessus si tu veux

Il y en a qui sont pas fanless mais très silencieuses, avec 2x 10G SFP+, 
4x 1G (dont 1 combo SFP), et extension possible +4x 1 gigabit
comme celle ci : 
https://shop.imageinnetwork.fr/fr/firewall/165-firewall-xg-2758-1u-10gigabit-120go-ssd-pfsense.html


--
Fabien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-30 Par sujet Xavier Beaudouin
Hello,

(...)

> pfsense c'est une super réponse a jépabudget, mais les gens on tendance
> a le coller sur des brouettes cosmiques (genre ma vieille ALIX avec un
> proco AMD alimenté par trois hamsters et vaguement assez de ram pour
> afficher l'interface web) et a activer toute les options super
> gourmandes en ressources du genre suricata/bro (avec une conf bien obese
> a base de reconstruction de sessions, d'audit ssl et tout le toutim). et
> apres, ben ça mouline.

+1
 
> honnetement, vu le prix des "petits" boitiers UTM genre PA-200 en
> refurb, ça deviens vite pas rentable de bricoler une solution maison.
> apres jconfirme. alixboard + pfsense + 10mn de setup, j'ai du pf, un
> vpn, et le "multihoming" qui fonctionne depuis genre 5 ans, sans jamais
> avoir a faire autre chose que lire les mails me disant que le machin
> s'est mis a jour.
> bon par contre trouver une board fanless qui fait du 1GbE sur plusieurs
> interfaces qu'a une paire de SFP+ pour du twinax et companie , c'est
> tout de suite vachement plus compliqué. caveat emptor et tout et tout.

Y a les boards Atom C27xx / C25xx, qui sont fanless. Par contre j'ai pas vu 
avec du SFP+. Mais y a souvent un port PCI-E...

Je fais tourner du pfsense avec un C2550 depuis plus de 2 ans et j'ai pas 
encore eu le coup du dead atom... ou c'est uniquement sur des linux  ? :)

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-30 Par sujet Edouard Chamillard
On 07/30/2017 09:07 PM, Michel Py wrote:

>> megagolgoth a écrit :
>> Je plussoie pfsense, j'en ai deux à chaque bout d'un vpn et ca juste marche 
>> depuis des mois
>> (APU pcengines et Thinkpad R60). A part les MàJ, je fais pas grand chose en 
>> "maintenance".
> Je me suis laissé dire que pfSense quand ont commence à rajouter des modules 
> (premier sur la liste : SNORT ou Suricata) c'était pas toujours facile. Le 
> truc que j'ai bien aimé avec Untangle c'est l'aspect "UTM pour les nuls". 
> J'avais jamais regardé, j'ai téléchargé l'ISO et en 10 minutes voila pouf çà 
> marche.
>
>
>> Julien TDN a écrit :
>> Je vois que certain propose OPNsense, je l'ai testé il y as quelque mois, 
>> c'est bien un fork de pfSense
>> reste a lui trouver une utilité ! (Perso il m'apporte rien de plus que 
>> pfSense + un peu de boulot)
> J'ai jamais tellement aimé quand ce genre de chose se met à forker dans tous 
> les sens :-(
>
> Merci à tous pour vos retours !
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

pfsense c'est une super réponse a jépabudget, mais les gens on tendance
a le coller sur des brouettes cosmiques (genre ma vieille ALIX avec un
proco AMD alimenté par trois hamsters et vaguement assez de ram pour
afficher l'interface web) et a activer toute les options super
gourmandes en ressources du genre suricata/bro (avec une conf bien obese
a base de reconstruction de sessions, d'audit ssl et tout le toutim). et
apres, ben ça mouline.

honnetement, vu le prix des "petits" boitiers UTM genre PA-200 en
refurb, ça deviens vite pas rentable de bricoler une solution maison.
apres jconfirme. alixboard + pfsense + 10mn de setup, j'ai du pf, un
vpn, et le "multihoming" qui fonctionne depuis genre 5 ans, sans jamais
avoir a faire autre chose que lire les mails me disant que le machin
s'est mis a jour.
bon par contre trouver une board fanless qui fait du 1GbE sur plusieurs
interfaces qu'a une paire de SFP+ pour du twinax et companie , c'est
tout de suite vachement plus compliqué. caveat emptor et tout et tout.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-30 Par sujet Michel Py
> megagolgoth a écrit :
> Je plussoie pfsense, j'en ai deux à chaque bout d'un vpn et ca juste marche 
> depuis des mois
> (APU pcengines et Thinkpad R60). A part les MàJ, je fais pas grand chose en 
> "maintenance".

Je me suis laissé dire que pfSense quand ont commence à rajouter des modules 
(premier sur la liste : SNORT ou Suricata) c'était pas toujours facile. Le truc 
que j'ai bien aimé avec Untangle c'est l'aspect "UTM pour les nuls". J'avais 
jamais regardé, j'ai téléchargé l'ISO et en 10 minutes voila pouf çà marche.


> Julien TDN a écrit :
> Je vois que certain propose OPNsense, je l'ai testé il y as quelque mois, 
> c'est bien un fork de pfSense
> reste a lui trouver une utilité ! (Perso il m'apporte rien de plus que 
> pfSense + un peu de boulot)

J'ai jamais tellement aimé quand ce genre de chose se met à forker dans tous 
les sens :-(

Merci à tous pour vos retours !

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-30 Par sujet Maxime DERCHE
Bonjour à toutes et tous,


Le 28/07/2017 à 21:14, Erik LE VACON a écrit :
>
>
>
> On Fri, 28 Jul 2017 18:41:30 +
> Gregory Bousselin  wrote:
>
>> J'aurais conseiller pfsense !
>>
>> J'ai installé un XG pour tester y'a quelques mois, c'était pas génial (pas
>> mal de bug), apres ca s'est sûrement améliorer depuis !
> Bonjour,
> Hors specs annoncées, mais dans mon cas OpenBSD+PF. La partie IDS/UTM doit 
> être gérée en aval via d'autres couches soft (Snort, Squid/SquidGuard,  ) 
> . Ca juste marche mais côté admin, ca implique du scripting/maintenance de 
> temps à autres et d'y passer du temps à l'install initiale. 
> Pour répondre à la question: des solutions packagées type Calyptix ou 
> IWinGate existent (TIP: 1) aimer le risque dans le cas de la seconde, et 2) à 
> bencher, j'en ai vu mais pas testé au long cours)
>
> Avantage de la solution DIY (pour moi) : moins de dépendance aux bugs "ovni" 
> des solutions tout-en-un où le moindre use-case bizarre te plombe 10 jours à 
> résoudre/contourner quand tu voudrais juste te poser et pas debugguer 
> (exemple type: le MPATH fortinet et les joies du source-routing), et enfin 
>  plaisir, respect et fierté de ta promise quand elle te voit faire de la 
> magie sur une console pour désactiver/rétablir netflix quand le bulletin 
> trimestriel de junior tombe :)
>
> My two .

Routeur/parefeu/proxy/PA WiFi/IPsec/OpenVPN/etc. sous OpenBSD chez moi
aussi, avec Packet Filter (Freebox en mode pont, l'interface
externe/publique récupère son adresse via DHCP). Il y a eu plusieurs
générations côté matériel mais je suis content de la dernière en date,
un Soekris net6501 mis en route fin 2013.
Je n'ai jamais voulu d'interface web et j'utilise OpenBSD
quotidiennement donc le besoin ne s'est jamais fait sentir. On peut
saluer le travail en cours de Martin Pieuchot (mpi@) pour l'amélioration
des performances réseau d'OpenBSD en sortant la pile réseau du joug de
l'affreux KERNEL_LOCK, ce qui laisse espérer que PF sous OpenBSD ne sera 
bientôt plus limité à un unique cœur de calcul (PF sous FreeBSD ne souffre pas 
de ce problème).

pfSense, basé sur FreeBSD, est un très bon produit, interface web fonctionnelle 
quoique
vieillotte. OpnSense aussi, mais avec une conception un peu plus moderne
et une interface web nettement plus conviviale.

Côté matériel la gamme APU2 chez PC Engines
() continue d'avoir une excellente
réputation, mais je ne l'ai jamais testée.


Bien cordialement,

-- 
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-29 Par sujet nikolaii

Bonsoir,

On 07/29/2017 08:25 PM, megagolgoth wrote:

Bonjour,

Je plussoie pfsense, j'en ai deux à chaque bout d'un vpn et ca juste 
marche depuis des mois (APU pcengines et Thinkpad R60). A part les 
MàJ, je fais pas grand chose en "maintenance".


J'ai quelquefois des comportements bizarres de unbound dessus, 
redémarrer le service suffit.




oui Unbound pour une raison que j'ignore se met à ne plus fonctionner 
assez régulièrement - et ce quelque soit la version de pfsense (j'ai le 
même pb d'une mise à jour à l'autre).
De guerre lasse je suis passé sur les DNS d'OVH ... le ressenti au 
niveau des réponses est largement meilleur. Peut-être une mauvaise 
optimisation d'unbound?


Sinon c'est un peu le genre de produit qui s'installe et s'oublie une 
fois bien configuré.


Nicolas


Megagolgoth.

Le 28/07/2017 à 20:41, Gregory Bousselin a écrit :

J'aurais conseiller pfsense !

J'ai installé un XG pour tester y'a quelques mois, c'était pas génial 
(pas

mal de bug), apres ca s'est sûrement améliorer depuis !

Le ven. 28 juil. 2017 à 20:38, Guillaume Tournat 
 a

écrit :


J'utilise FortiGate. Mais ça n'est pas gratuit.
Sinon pfSense est très bien.


Le 28 juil. 2017 à 20:33, Michel Py 


a écrit :

Salut la liste,

Comme beaucoup ici j'ai été "désigné par le sort" pour être le support

technique de la famille (!) et je voudrais savoir ce que vous utilisez
comme Pare-feu / IDS / UTM. Les paramètres :

- Gratuit.
- Tourne sur PC recyclé pas trop daubique (4 GO de RAM).
- En mode Bridge / Transparent. Voir schéma ci-dessous.
- Pas chiant à installer.
- Pas ou très peu d'administration : installe et oublie.

J'ai essayé Sophos XG firewall home (l'ancien UTM n'est plus 
disponible)

et Untangle.

Sophos j'ai touvé chiant à administrer; rien que pour avoir DHCP faut

faire quelque chose, il bloque des trucs utilisés par tout le monde ou
presque, donc faut s'en occuper.

Untangle j'ai trouvé facile et pas emmerdant.

pfSense c'est le prochain que je regarde.

Vos avis les enfants ?

Michel.

++
| Internet   |
+-+--+
  |
+-+--+
| Modem ou   |
| machinbox  |
+-+--+
  |
+-+--+
| Routeur|
| NAT DHCP   |
+-+--+
  |
+-+--+
| FW/IDS/UTM |
+-+--+
  | ++
  |   +-+ Wifi   |
  |   | ++
+-+---+--+
| Switch |  ++
|+--+ PC |
+-+--+  ++
  |
+-++
| PC   |
+--+


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-29 Par sujet megagolgoth

Bonjour,

Je plussoie pfsense, j'en ai deux à chaque bout d'un vpn et ca juste 
marche depuis des mois (APU pcengines et Thinkpad R60). A part les MàJ, 
je fais pas grand chose en "maintenance".


J'ai quelquefois des comportements bizarres de unbound dessus, 
redémarrer le service suffit.


Megagolgoth.

Le 28/07/2017 à 20:41, Gregory Bousselin a écrit :

J'aurais conseiller pfsense !

J'ai installé un XG pour tester y'a quelques mois, c'était pas génial (pas
mal de bug), apres ca s'est sûrement améliorer depuis !

Le ven. 28 juil. 2017 à 20:38, Guillaume Tournat  a
écrit :


J'utilise FortiGate. Mais ça n'est pas gratuit.
Sinon pfSense est très bien.



Le 28 juil. 2017 à 20:33, Michel Py 

a écrit :

Salut la liste,

Comme beaucoup ici j'ai été "désigné par le sort" pour être le support

technique de la famille (!) et je voudrais savoir ce que vous utilisez
comme Pare-feu / IDS / UTM. Les paramètres :

- Gratuit.
- Tourne sur PC recyclé pas trop daubique (4 GO de RAM).
- En mode Bridge / Transparent. Voir schéma ci-dessous.
- Pas chiant à installer.
- Pas ou très peu d'administration : installe et oublie.

J'ai essayé Sophos XG firewall home (l'ancien UTM n'est plus disponible)

et Untangle.

Sophos j'ai touvé chiant à administrer; rien que pour avoir DHCP faut

faire quelque chose, il bloque des trucs utilisés par tout le monde ou
presque, donc faut s'en occuper.

Untangle j'ai trouvé facile et pas emmerdant.

pfSense c'est le prochain que je regarde.

Vos avis les enfants ?

Michel.

++
| Internet   |
+-+--+
  |
+-+--+
| Modem ou   |
| machinbox  |
+-+--+
  |
+-+--+
| Routeur|
| NAT DHCP   |
+-+--+
  |
+-+--+
| FW/IDS/UTM |
+-+--+
  | ++
  |   +-+ Wifi   |
  |   | ++
+-+---+--+
| Switch |  ++
|+--+ PC |
+-+--+  ++
  |
+-++
| PC   |
+--+


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-29 Par sujet BRET Wilfried
Le 29/07/2017 à 00:42, Michel Py a écrit :
>> BRET Wilfried a écrit :
>> J'utilise l'ancienne Utm Sophos @Home et n'ai pas de soucis avec. L’ancienne 
>> version me semble plus 
>> simple à administrer chez moi (mais c'est peut être parce-que j'ai des 
>> soucis de conf ivp6 avec XG)
> Il y a plein de problèmes avec XG, mais utiliser l'ancienne version c'est 
> dangereux aussi, je me demande quand ils vont arrêter les mises à jour.
>

C'est pas faux, j'avais d'ailleurs trouvé un concurrent Italien "assez
proche" ( http://www.endian.com/community/overview/ ) au cas ou.
Il leur manque le support Ipv6 par contre (en tout cas, quand j'avais
regardé  , en 2016)

>> Erik LE VACON a écrit :
>> Avantage de la solution DIY (pour moi) : moins de dépendance aux bugs "ovni" 
>> des solutions tout-en-un où le moindre
>> use-case bizarre te plombe 10 jours à résoudre/contourner quand tu voudrais 
>> juste te poser et pas debugguer
> C'est pour çà que je le mets en mode bridge : si çà marche pas, je bypasse le 
> machin et basta; ce n'est qu'une des couches de protection et si on l'enlève 
> temporairement le monde ne s'arrête pas.
>
> Michel.
>
> ++
> | Internet   |
> +-+--+
>   |
> +-+--+
> | Modem ou   |
> | machinbox  |
> +-+--+
>   |
> +-+--+
> | Routeur|
> | NAT DHCP   |
> +-+--+
>   |
> +-+--+
> | FW/IDS/UTM |
> +-+--+
>   | ++
>   |   +-+ Wifi   |
>   |   | ++
> +-+---+--+
> | Switch |  ++
> |+--+ PC |
> +-+--+  ++
>   |
> +-++
> | PC   |
> +--+
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-28 Par sujet Michel Py
> BRET Wilfried a écrit :
> J'utilise l'ancienne Utm Sophos @Home et n'ai pas de soucis avec. L’ancienne 
> version me semble plus 
> simple à administrer chez moi (mais c'est peut être parce-que j'ai des soucis 
> de conf ivp6 avec XG)

Il y a plein de problèmes avec XG, mais utiliser l'ancienne version c'est 
dangereux aussi, je me demande quand ils vont arrêter les mises à jour.


> Erik LE VACON a écrit :
> Avantage de la solution DIY (pour moi) : moins de dépendance aux bugs "ovni" 
> des solutions tout-en-un où le moindre
> use-case bizarre te plombe 10 jours à résoudre/contourner quand tu voudrais 
> juste te poser et pas debugguer

C'est pour çà que je le mets en mode bridge : si çà marche pas, je bypasse le 
machin et basta; ce n'est qu'une des couches de protection et si on l'enlève 
temporairement le monde ne s'arrête pas.

Michel.

++
| Internet   |
+-+--+
  |
+-+--+
| Modem ou   |
| machinbox  |
+-+--+
  |
+-+--+
| Routeur|
| NAT DHCP   |
+-+--+
  |
+-+--+
| FW/IDS/UTM |
+-+--+
  | ++
  |   +-+ Wifi   |
  |   | ++
+-+---+--+
| Switch |  ++
|+--+ PC |
+-+--+  ++
  |
+-++
| PC   |
+--+


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-28 Par sujet BRET Wilfried
Le 28/07/2017 à 20:33, Michel Py a écrit :
> Salut la liste,


Bonsoir,


> Comme beaucoup ici j'ai été "désigné par le sort" pour être le support 
> technique de la famille (!) et je voudrais savoir ce que vous utilisez comme 
> Pare-feu / IDS / UTM. Les paramètres :
>
> - Gratuit.
> - Tourne sur PC recyclé pas trop daubique (4 GO de RAM).
> - En mode Bridge / Transparent. Voir schéma ci-dessous.
> - Pas chiant à installer.
> - Pas ou très peu d'administration : installe et oublie.
>
> J'ai essayé Sophos XG firewall home (l'ancien UTM n'est plus disponible) et 
> Untangle.

J'utilise l'ancienne Utm Sophos @Home et n'ai pas de soucis avec.

Apparemment on peut la trouver ici :
https://www.sophos.com/fr-fr/products/free-tools/sophos-utm-home-edition.aspx
Sinon il "suffit" de télécharger l'image "software appliance" ici :
https://www.sophos.com/en-us/support/utm-downloads.aspx et de se créer
un compte là "https://myutm.sophos.com/; pour générer une licence Home User.

L’ancienne version me semble plus simple à administrer chez moi (mais
c'est peut être parce-que j'ai des soucis de conf ivp6 avec XG)

> Sophos j'ai touvé chiant à administrer; rien que pour avoir DHCP faut faire 
> quelque chose, il bloque des trucs utilisés par tout le monde ou presque, 
> donc faut s'en occuper.
> Untangle j'ai trouvé facile et pas emmerdant.
>
> pfSense c'est le prochain que je regarde.
>
> Vos avis les enfants ?
>
> Michel.
>   
> ++
> | Internet   |
> +-+--+
>   |
> +-+--+
> | Modem ou   |
> | machinbox  |
> +-+--+
>   |
> +-+--+
> | Routeur|
> | NAT DHCP   |
> +-+--+
>   |
> +-+--+
> | FW/IDS/UTM |
> +-+--+
>   | ++
>   |   +-+ Wifi   |
>   |   | ++
> +-+---+--+
> | Switch |  ++
> |+--+ PC |
> +-+--+  ++
>   |
> +-++
> | PC   |
> +--+
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-28 Par sujet David Ponzone
Pas gratuit mais pas cher: Kerio Control.
J'ai pas testé par manque de temps.

David Ponzone



> Le 28 juil. 2017 à 20:33, Michel Py  a 
> écrit :
> 
> Salut la liste,
> 
> Comme beaucoup ici j'ai été "désigné par le sort" pour être le support 
> technique de la famille (!) et je voudrais savoir ce que vous utilisez comme 
> Pare-feu / IDS / UTM. Les paramètres :
> 
> - Gratuit.
> - Tourne sur PC recyclé pas trop daubique (4 GO de RAM).
> - En mode Bridge / Transparent. Voir schéma ci-dessous.
> - Pas chiant à installer.
> - Pas ou très peu d'administration : installe et oublie.
> 
> J'ai essayé Sophos XG firewall home (l'ancien UTM n'est plus disponible) et 
> Untangle.
> 
> Sophos j'ai touvé chiant à administrer; rien que pour avoir DHCP faut faire 
> quelque chose, il bloque des trucs utilisés par tout le monde ou presque, 
> donc faut s'en occuper.
> 
> Untangle j'ai trouvé facile et pas emmerdant.
> 
> pfSense c'est le prochain que je regarde.
> 
> Vos avis les enfants ?
> 
> Michel.
> 
> ++
> | Internet   |
> +-+--+
>  |
> +-+--+
> | Modem ou   |
> | machinbox  |
> +-+--+
>  |
> +-+--+
> | Routeur|
> | NAT DHCP   |
> +-+--+
>  |
> +-+--+
> | FW/IDS/UTM |
> +-+--+
>  | ++
>  |   +-+ Wifi   |
>  |   | ++
> +-+---+--+
> | Switch |  ++
> |+--+ PC |
> +-+--+  ++
>  |
> +-++
> | PC   |
> +--+
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-28 Par sujet Mathias WOLFF
pfsense ou si tu veux mettre les mains dans le cambouis (pas très
compliqué non plus, mais faut aimer les fichiers de config), OpenBSD avec pf


Le 28/07/2017 à 20:33, Michel Py a écrit :
> Salut la liste,
>
> Comme beaucoup ici j'ai été "désigné par le sort" pour être le support 
> technique de la famille (!) et je voudrais savoir ce que vous utilisez comme 
> Pare-feu / IDS / UTM. Les paramètres :
>
> - Gratuit.
> - Tourne sur PC recyclé pas trop daubique (4 GO de RAM).
> - En mode Bridge / Transparent. Voir schéma ci-dessous.
> - Pas chiant à installer.
> - Pas ou très peu d'administration : installe et oublie.
>
> J'ai essayé Sophos XG firewall home (l'ancien UTM n'est plus disponible) et 
> Untangle.
>
> Sophos j'ai touvé chiant à administrer; rien que pour avoir DHCP faut faire 
> quelque chose, il bloque des trucs utilisés par tout le monde ou presque, 
> donc faut s'en occuper.
>
> Untangle j'ai trouvé facile et pas emmerdant.
>
> pfSense c'est le prochain que je regarde.
>
> Vos avis les enfants ?
>
> Michel.
>   
> ++
> | Internet   |
> +-+--+
>   |
> +-+--+
> | Modem ou   |
> | machinbox  |
> +-+--+
>   |
> +-+--+
> | Routeur|
> | NAT DHCP   |
> +-+--+
>   |
> +-+--+
> | FW/IDS/UTM |
> +-+--+
>   | ++
>   |   +-+ Wifi   |
>   |   | ++
> +-+---+--+
> | Switch |  ++
> |+--+ PC |
> +-+--+  ++
>   |
> +-++
> | PC   |
> +--+
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-28 Par sujet Erik LE VACON




On Fri, 28 Jul 2017 18:41:30 +
Gregory Bousselin  wrote:

> J'aurais conseiller pfsense !
> 
> J'ai installé un XG pour tester y'a quelques mois, c'était pas génial (pas
> mal de bug), apres ca s'est sûrement améliorer depuis !

Bonjour,
Hors specs annoncées, mais dans mon cas OpenBSD+PF. La partie IDS/UTM doit être 
gérée en aval via d'autres couches soft (Snort, Squid/SquidGuard,  ) . Ca 
juste marche mais côté admin, ca implique du scripting/maintenance de temps à 
autres et d'y passer du temps à l'install initiale. 
Pour répondre à la question: des solutions packagées type Calyptix ou IWinGate 
existent (TIP: 1) aimer le risque dans le cas de la seconde, et 2) à bencher, 
j'en ai vu mais pas testé au long cours)

Avantage de la solution DIY (pour moi) : moins de dépendance aux bugs "ovni" 
des solutions tout-en-un où le moindre use-case bizarre te plombe 10 jours à 
résoudre/contourner quand tu voudrais juste te poser et pas debugguer (exemple 
type: le MPATH fortinet et les joies du source-routing), et enfin  plaisir, 
respect et fierté de ta promise quand elle te voit faire de la magie sur une 
console pour désactiver/rétablir netflix quand le bulletin trimestriel de 
junior tombe :)

My two .

> 
> Le ven. 28 juil. 2017 à 20:38, Guillaume Tournat  a
> écrit :
> 
> > J'utilise FortiGate. Mais ça n'est pas gratuit.
> > Sinon pfSense est très bien.
> >
> >
> > > Le 28 juil. 2017 à 20:33, Michel Py 
> > a écrit :
> > >
> > > Salut la liste,
> > >
> > > Comme beaucoup ici j'ai été "désigné par le sort" pour être le support
> > technique de la famille (!) et je voudrais savoir ce que vous utilisez
> > comme Pare-feu / IDS / UTM. Les paramètres :
> > >
> > > - Gratuit.
> > > - Tourne sur PC recyclé pas trop daubique (4 GO de RAM).
> > > - En mode Bridge / Transparent. Voir schéma ci-dessous.
> > > - Pas chiant à installer.
> > > - Pas ou très peu d'administration : installe et oublie.
> > >
> > > J'ai essayé Sophos XG firewall home (l'ancien UTM n'est plus disponible)
> > et Untangle.
> > >
> > > Sophos j'ai touvé chiant à administrer; rien que pour avoir DHCP faut
> > faire quelque chose, il bloque des trucs utilisés par tout le monde ou
> > presque, donc faut s'en occuper.
> > >
> > > Untangle j'ai trouvé facile et pas emmerdant.
> > >
> > > pfSense c'est le prochain que je regarde.
> > >
> > > Vos avis les enfants ?
> > >
> > > Michel.
> > >
> > > ++
> > > | Internet   |
> > > +-+--+
> > >  |
> > > +-+--+
> > > | Modem ou   |
> > > | machinbox  |
> > > +-+--+
> > >  |
> > > +-+--+
> > > | Routeur|
> > > | NAT DHCP   |
> > > +-+--+
> > >  |
> > > +-+--+
> > > | FW/IDS/UTM |
> > > +-+--+
> > >  | ++
> > >  |   +-+ Wifi   |
> > >  |   | ++
> > > +-+---+--+
> > > | Switch |  ++
> > > |+--+ PC |
> > > +-+--+  ++
> > >  |
> > > +-++
> > > | PC   |
> > > +--+
> > >
> > >
> > > ---
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


-- 
Erik LE VACON 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-28 Par sujet Duchet Rémy
Sinon https://opnsense.org



Rémy Duchet


 Message d'origine 
De : Gregory Bousselin <gregory.bousse...@gmail.com>
Date : 28.07.17 20:42 (GMT+01:00)
À : Guillaume Tournat <guilla...@ironie.org>, Michel Py 
<mic...@arneill-py.sacramento.ca.us>
Cc : "'frnog-t...@frnog.org' (frnog-t...@frnog.org)" <frnog-t...@frnog.org>
Objet : Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

J'aurais conseiller pfsense !

J'ai installé un XG pour tester y'a quelques mois, c'était pas génial (pas
mal de bug), apres ca s'est sûrement améliorer depuis !

Le ven. 28 juil. 2017 à 20:38, Guillaume Tournat <guilla...@ironie.org> a
écrit :

> J'utilise FortiGate. Mais ça n'est pas gratuit.
> Sinon pfSense est très bien.
>
>
> > Le 28 juil. 2017 à 20:33, Michel Py <mic...@arneill-py.sacramento.ca.us>
> a écrit :
> >
> > Salut la liste,
> >
> > Comme beaucoup ici j'ai été "désigné par le sort" pour être le support
> technique de la famille (!) et je voudrais savoir ce que vous utilisez
> comme Pare-feu / IDS / UTM. Les paramètres :
> >
> > - Gratuit.
> > - Tourne sur PC recyclé pas trop daubique (4 GO de RAM).
> > - En mode Bridge / Transparent. Voir schéma ci-dessous.
> > - Pas chiant à installer.
> > - Pas ou très peu d'administration : installe et oublie.
> >
> > J'ai essayé Sophos XG firewall home (l'ancien UTM n'est plus disponible)
> et Untangle.
> >
> > Sophos j'ai touvé chiant à administrer; rien que pour avoir DHCP faut
> faire quelque chose, il bloque des trucs utilisés par tout le monde ou
> presque, donc faut s'en occuper.
> >
> > Untangle j'ai trouvé facile et pas emmerdant.
> >
> > pfSense c'est le prochain que je regarde.
> >
> > Vos avis les enfants ?
> >
> > Michel.
> >
> > ++
> > | Internet   |
> > +-+--+
> >  |
> > +-+--+
> > | Modem ou   |
> > | machinbox  |
> > +-+--+
> >  |
> > +-+--+
> > | Routeur|
> > | NAT DHCP   |
> > +-+--+
> >  |
> > +-+--+
> > | FW/IDS/UTM |
> > +-+--+
> >  | ++
> >  |   +-+ Wifi   |
> >  |   | ++
> > +-+---+--+
> > | Switch |  ++
> > |+--+ PC |
> > +-+--+  ++
> >  |
> > +-++
> > | PC   |
> > +--+
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-28 Par sujet Gregory Bousselin
J'aurais conseiller pfsense !

J'ai installé un XG pour tester y'a quelques mois, c'était pas génial (pas
mal de bug), apres ca s'est sûrement améliorer depuis !

Le ven. 28 juil. 2017 à 20:38, Guillaume Tournat  a
écrit :

> J'utilise FortiGate. Mais ça n'est pas gratuit.
> Sinon pfSense est très bien.
>
>
> > Le 28 juil. 2017 à 20:33, Michel Py 
> a écrit :
> >
> > Salut la liste,
> >
> > Comme beaucoup ici j'ai été "désigné par le sort" pour être le support
> technique de la famille (!) et je voudrais savoir ce que vous utilisez
> comme Pare-feu / IDS / UTM. Les paramètres :
> >
> > - Gratuit.
> > - Tourne sur PC recyclé pas trop daubique (4 GO de RAM).
> > - En mode Bridge / Transparent. Voir schéma ci-dessous.
> > - Pas chiant à installer.
> > - Pas ou très peu d'administration : installe et oublie.
> >
> > J'ai essayé Sophos XG firewall home (l'ancien UTM n'est plus disponible)
> et Untangle.
> >
> > Sophos j'ai touvé chiant à administrer; rien que pour avoir DHCP faut
> faire quelque chose, il bloque des trucs utilisés par tout le monde ou
> presque, donc faut s'en occuper.
> >
> > Untangle j'ai trouvé facile et pas emmerdant.
> >
> > pfSense c'est le prochain que je regarde.
> >
> > Vos avis les enfants ?
> >
> > Michel.
> >
> > ++
> > | Internet   |
> > +-+--+
> >  |
> > +-+--+
> > | Modem ou   |
> > | machinbox  |
> > +-+--+
> >  |
> > +-+--+
> > | Routeur|
> > | NAT DHCP   |
> > +-+--+
> >  |
> > +-+--+
> > | FW/IDS/UTM |
> > +-+--+
> >  | ++
> >  |   +-+ Wifi   |
> >  |   | ++
> > +-+---+--+
> > | Switch |  ++
> > |+--+ PC |
> > +-+--+  ++
> >  |
> > +-++
> > | PC   |
> > +--+
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-28 Par sujet Guillaume Tournat
J'utilise FortiGate. Mais ça n'est pas gratuit. 
Sinon pfSense est très bien. 


> Le 28 juil. 2017 à 20:33, Michel Py  a 
> écrit :
> 
> Salut la liste,
> 
> Comme beaucoup ici j'ai été "désigné par le sort" pour être le support 
> technique de la famille (!) et je voudrais savoir ce que vous utilisez comme 
> Pare-feu / IDS / UTM. Les paramètres :
> 
> - Gratuit.
> - Tourne sur PC recyclé pas trop daubique (4 GO de RAM).
> - En mode Bridge / Transparent. Voir schéma ci-dessous.
> - Pas chiant à installer.
> - Pas ou très peu d'administration : installe et oublie.
> 
> J'ai essayé Sophos XG firewall home (l'ancien UTM n'est plus disponible) et 
> Untangle.
> 
> Sophos j'ai touvé chiant à administrer; rien que pour avoir DHCP faut faire 
> quelque chose, il bloque des trucs utilisés par tout le monde ou presque, 
> donc faut s'en occuper.
> 
> Untangle j'ai trouvé facile et pas emmerdant.
> 
> pfSense c'est le prochain que je regarde.
> 
> Vos avis les enfants ?
> 
> Michel.
> 
> ++
> | Internet   |
> +-+--+
>  |
> +-+--+
> | Modem ou   |
> | machinbox  |
> +-+--+
>  |
> +-+--+
> | Routeur|
> | NAT DHCP   |
> +-+--+
>  |
> +-+--+
> | FW/IDS/UTM |
> +-+--+
>  | ++
>  |   +-+ Wifi   |
>  |   | ++
> +-+---+--+
> | Switch |  ++
> |+--+ PC |
> +-+--+  ++
>  |
> +-++
> | PC   |
> +--+
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/