Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
Antoine MILLET wrote: Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est moins bien que PF ? :) Par exemple : - pf : set skip on lo - iptables : /sbin/iptables -A INPUT -i lo -j ACCEPT ; /sbin/iptables -A OUTPUT -o lo -j ACCEPT et tu recharges pas les règles sous pf ? ;-) Ce n'est certe qu'un exemple, mais à quand un firewall avec fichier de configuration sous Linux ? et iptables-{save,restore} c'est pour les chiens ? (Oui, je sais que c'est pas génial comme troll, mais bon...) ( mais si, mais si y a moyen :) ) -- Hervé COMMOWICK, EXOSEC (http://www.exosec.fr/) ZAC des Metz - 3 Rue du petit robinson - 78350 JOUY EN JOSAS Tel: +33 1 30 67 60 65 - Fax: +33 1 75 43 40 70 mailto:hcommow...@exosec.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
Le 24 juil. 09 à 16:35, Antoine MILLET a écrit : Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est moins bien que PF ? :) Ce n'est certe qu'un exemple, mais à quand un firewall avec fichier de configuration sous Linux ? (Oui, je sais que c'est pas génial comme troll, mais bon...) Ben non, tout le monde sait que pf est mieux...en plus c'est plus court a taper :) Allez, je file en WE :)--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
2009/7/24 Antoine MILLET antoine.mil...@gmail.com Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est moins bien que PF ? :) Par exemple : - pf : set skip on lo - iptables : /sbin/iptables -A INPUT -i lo -j ACCEPT ; /sbin/iptables -A OUTPUT -o lo -j ACCEPT Ce n'est certe qu'un exemple, mais à quand un firewall avec fichier de configuration sous Linux ? (Oui, je sais que c'est pas génial comme troll, mais bon...) -- Antoine MILLET www.rentabiliweb.org --- Liste de diffusion du FRnOG http://www.frnog.org/ Personellement j'utilise firehol sous linux, ca te donne iptables avec un fichier de configuration super simple ... Les regles generees ne le sont pas elles :) fw:~# firehol try FireHOL: Saving your old firewall to a temporary file: OK FireHOL: Processing file /etc/firehol/firehol.conf: OK FireHOL: Activating new firewall (666 rules): OK Keep the firewall? (type 'commit' to accept - 30 seconds timeout) : commit Successfull activation of FireHOL firewall. fw:~# home_ips=172.20.0.0/24 239.255.255.250 192.168.10.0/24 work_ip=xx.xx.yy.yy. gw_ip=xx.xx.xx.xx yy.yy.yy.yy internet_trusted=xx.xx.xx.xx yy.yy.yy.yy dnat to 172.20.0.167:5060 inface eth1 proto tcp udp dport 5060 dnat to 172.20.0.32:80 inface eth1 src ${internet_trusted} proto tcp dport 8083 [..] # Accept all client traffic on any interface interface eth0 home client all accept [..] interface tun0 vpn policy accept client all accept server all accept interface ppp0 sshvpn policy accept client all accept server all accept interface eth1 world server ident reject with tcp-reset client all accept server ssh accept src ${work_ip} group with src ${internet_trusted} server ssh accept server smtp accept server ping accept group end router home2vpn inface eth0 outface tun0 route all accept router vpn2home inface tun0 outface eth0 route all accept router home2world inface eth0 outface eth1 masquerade route all accept router world2home inface eth1 outface eth0 client all accept server http accept dst 172.20.0.32 [..] router home2sshvpn inface eth0 outface ppp0 masquerade route all accept -- Gael Martinez
RE: [FRnOG] Troll du vendredi : PF vs. IPTABLE
Sérieusement, iptables-{save,restore) c'est bien mais la syntaxe est quand même pourave. Les chaines sont une invention d'un être qui à vraiment besoin de soutien psychologique : sa schizophrénie pernicieuse et sadique est dangereuse pour tout le monde. Je ne sais pas si pf a hérité ça d'ipfilter. Mais ipfilter autorise deux jeux de configurations en mémoire avec la bascule de l'une à l'autre de manière atomique. Donc ipfilter c'est mieux et peut-être même mieux que pf parce que ça tourne sous Linux, Solaris et tout. -- Pierre -Original Message- From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of Hervé COMMOWICK Sent: Friday, July 24, 2009 4:39 PM To: frnog@frnog.org Subject: Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE Antoine MILLET wrote: Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est moins bien que PF ? :) Par exemple : - pf : set skip on lo - iptables : /sbin/iptables -A INPUT -i lo -j ACCEPT ; /sbin/iptables -A OUTPUT -o lo -j ACCEPT et tu recharges pas les règles sous pf ? ;-) Ce n'est certe qu'un exemple, mais à quand un firewall avec fichier de configuration sous Linux ? et iptables-{save,restore} c'est pour les chiens ? (Oui, je sais que c'est pas génial comme troll, mais bon...) ( mais si, mais si y a moyen :) ) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
2009/7/24 Hervé COMMOWICK hcommow...@exosec.fr Antoine MILLET wrote: Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est moins bien que PF ? :) Par exemple : - pf : set skip on lo - iptables : /sbin/iptables -A INPUT -i lo -j ACCEPT ; /sbin/iptables -A OUTPUT -o lo -j ACCEPT et tu recharges pas les règles sous pf ? ;-) pas forcément :) tu peux les charger dynamiquement (depuis un fichier de conf ou un prog externe) à l'aide des ancres. Ce n'est certe qu'un exemple, mais à quand un firewall avec fichier de configuration sous Linux ? et iptables-{save,restore} c'est pour les chiens ? (Oui, je sais que c'est pas génial comme troll, mais bon...) ( mais si, mais si y a moyen :) ) -- Hervé COMMOWICK, EXOSEC (http://www.exosec.fr/) ZAC des Metz - 3 Rue du petit robinson - 78350 JOUY EN JOSAS Tel: +33 1 30 67 60 65 - Fax: +33 1 75 43 40 70 mailto:hcommow...@exosec.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Steven Le Roux Jabber-ID : ste...@jabber.fr 0x39494CCB ste...@le-roux.info 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB
Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
2009/7/24 Antoine MILLET antoine.mil...@gmail.com Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est moins bien que PF ? :) et tu vas nous expliquer aussi pourquoi IPTABLES est plus stable que PF :) -- Antoine MILLET www.rentabiliweb.org --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Steven Le Roux Jabber-ID : ste...@jabber.fr 0x39494CCB ste...@le-roux.info 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB
Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
Le Fri, Jul 24, 2009 at 04:35:53PM +0200, Antoine MILLET [antoine.mil...@gmail.com] a écrit: Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est moins bien que PF ? :) Par exemple : - pf : set skip on lo - iptables : /sbin/iptables -A INPUT -i lo -j ACCEPT ; /sbin/iptables -A OUTPUT -o lo -j ACCEPT Ce n'est certe qu'un exemple, mais à quand un firewall avec fichier de configuration sous Linux ? Extrait de /etc/shorewall/policy : #SOURCE DESTPOLICY LOG LEVEL LIMIT:BURST dmz all ACCEPT net dmz ACCEPT dmz dmz ACCEPT # THE FOLLOWING POLICY MUST BE LAST all all REJECT info Extrait de /etc/shorewall/rules : ACCEPT net fw tcp 5 ACCEPT net fw udp 5000 -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 50, rue Riolan 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
Le (On) Fri, Jul 24, 2009 at 09:56:38AM -0500, Gael ecrivit (wrote): Personellement j'utilise firehol sous linux, ca te donne iptables avec En effet, je trouve les gens un peu durs avec iptables. Alors qu'on ne sait pas vraiment si vous parlez d'iptables, des programmes différents fournis par chaque distribution Linux, des divers wrappers qui tentent de fournir une syntaxe élégante, etc ? Un peu facile de privilégier pf, qui a été bien pensé dés le début... Vous trouverez toujours au prix de quelques jours de recherche et d'essais, des outils qui vous permettront d'avoir presque l'impression d'utiliser un outil compréhensible, rapidement appropriable, à la syntaxe cohérente avec ses ancêtres. Tout ça alors qu'il est de notoriété publique que Linux n'est pas fait pour faire du réseau, je trouve que c'est déjà bien qu'ils aient pensé à inclure un logiciel à la ZoneAlarm ! A+, -- Sameh Ghane --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
Antoine MILLET a écrit : Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est moins bien que PF ? :) Bonjour, Il y a probablement une dizaine de listes parlant de firewalling sous linux. Je ne suis pas sur de voir le rapport avec la charte de cette liste qui est, je le rappelle : FRnOG à pour but d'améliorer la qualité d'Internet et autres services IP en France. FRnOG est une plate-forme d'échange d'informations entre professionnels du réseau et de la sécurité. FRnOG n'est pas un lieu de débats polémiques, mais plutôt de discussion technique sur les problèmes et informations qui peuvent servir ou affecter Internet en France. http://www.frnog.org/?lang=fr -- Antoine MUSSO Architecte Réseau DISIT/ETU/ARC/ART tél. 02 40 12 73 62 Post-scriptum La Poste Ce message est confidentiel. Sous réserve de tout accord conclu par écrit entre vous et La Poste, son contenu ne représente en aucun cas un engagement de la part de La Poste. Toute publication, utilisation ou diffusion, même partielle, doit être autorisée préalablement. Si vous n'êtes pas destinataire de ce message, merci d'en avertir immédiatement l'expéditeur.
Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
Antoine Musso a écrit : Antoine MILLET a écrit : Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est moins bien que PF ? :) Bonjour, Il y a probablement une dizaine de listes parlant de firewalling sous linux. Je ne suis pas sur de voir le rapport avec la charte de cette liste qui est, je le rappelle : FRnOG à pour but d'améliorer la qualité d'Internet et autres services IP en France. FRnOG est une plate-forme d'échange d'informations entre professionnels du réseau et de la sécurité. FRnOG n'est pas un lieu de débats polémiques, mais plutôt de discussion technique sur les problèmes et informations qui peuvent servir ou affecter Internet en France. C'est la charte officielle. La vrai inclue le troll plus ou moins poilu du vendredi comme détente après les discussions techniques sur les problèmes :) (PF vaincra !) --- Liste de diffusion du FRnOG http://www.frnog.org/