Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
Antoine MILLET wrote:
Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est
moins bien que PF ? :)
Par exemple :
- pf : set skip on lo
- iptables : /sbin/iptables -A INPUT -i lo -j ACCEPT ; /sbin/iptables
-A OUTPUT -o lo -j ACCEPT
et tu recharges pas les règles sous pf ? ;-)
Ce n'est certe qu'un exemple, mais à quand un firewall avec fichier de
configuration sous Linux ?
et iptables-{save,restore} c'est pour les chiens ?
(Oui, je sais que c'est pas génial comme troll, mais bon...)
( mais si, mais si y a moyen :) )
--
Hervé COMMOWICK, EXOSEC (http://www.exosec.fr/)
ZAC des Metz - 3 Rue du petit robinson - 78350 JOUY EN JOSAS
Tel: +33 1 30 67 60 65 - Fax: +33 1 75 43 40 70
mailto:hcommow...@exosec.fr
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
Le 24 juil. 09 à 16:35, Antoine MILLET a écrit : Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est moins bien que PF ? :) Ce n'est certe qu'un exemple, mais à quand un firewall avec fichier de configuration sous Linux ? (Oui, je sais que c'est pas génial comme troll, mais bon...) Ben non, tout le monde sait que pf est mieux...en plus c'est plus court a taper :) Allez, je file en WE :)--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
2009/7/24 Antoine MILLET antoine.mil...@gmail.com
Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est
moins bien que PF ? :)
Par exemple :
- pf : set skip on lo
- iptables : /sbin/iptables -A INPUT -i lo -j ACCEPT ; /sbin/iptables
-A OUTPUT -o lo -j ACCEPT
Ce n'est certe qu'un exemple, mais à quand un firewall avec fichier de
configuration sous Linux ?
(Oui, je sais que c'est pas génial comme troll, mais bon...)
--
Antoine MILLET
www.rentabiliweb.org
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Personellement j'utilise firehol sous linux, ca te donne iptables avec un
fichier de configuration super simple ...
Les regles generees ne le sont pas elles :)
fw:~# firehol try
FireHOL: Saving your old firewall to a temporary file: OK
FireHOL: Processing file /etc/firehol/firehol.conf: OK
FireHOL: Activating new firewall (666 rules): OK
Keep the firewall? (type 'commit' to accept - 30 seconds timeout) : commit
Successfull activation of FireHOL firewall.
fw:~#
home_ips=172.20.0.0/24 239.255.255.250 192.168.10.0/24
work_ip=xx.xx.yy.yy.
gw_ip=xx.xx.xx.xx yy.yy.yy.yy
internet_trusted=xx.xx.xx.xx yy.yy.yy.yy
dnat to 172.20.0.167:5060 inface eth1 proto tcp udp dport 5060
dnat to 172.20.0.32:80 inface eth1 src ${internet_trusted} proto tcp dport
8083
[..]
# Accept all client traffic on any interface
interface eth0 home
client all accept
[..]
interface tun0 vpn
policy accept
client all accept
server all accept
interface ppp0 sshvpn
policy accept
client all accept
server all accept
interface eth1 world
server ident reject with tcp-reset
client all accept
server ssh accept src ${work_ip}
group with src ${internet_trusted}
server ssh accept
server smtp accept
server ping accept
group end
router home2vpn inface eth0 outface tun0
route all accept
router vpn2home inface tun0 outface eth0
route all accept
router home2world inface eth0 outface eth1
masquerade
route all accept
router world2home inface eth1 outface eth0
client all accept
server http accept dst 172.20.0.32
[..]
router home2sshvpn inface eth0 outface ppp0
masquerade
route all accept
--
Gael Martinez
RE: [FRnOG] Troll du vendredi : PF vs. IPTABLE
Sérieusement, iptables-{save,restore) c'est bien mais la syntaxe est quand même
pourave. Les chaines sont une invention d'un être qui à vraiment besoin de
soutien psychologique : sa schizophrénie pernicieuse et sadique est dangereuse
pour tout le monde.
Je ne sais pas si pf a hérité ça d'ipfilter. Mais ipfilter autorise deux jeux
de configurations en mémoire avec la bascule de l'une à l'autre de manière
atomique.
Donc ipfilter c'est mieux et peut-être même mieux que pf parce que ça tourne
sous Linux, Solaris et tout.
--
Pierre
-Original Message-
From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of Hervé
COMMOWICK
Sent: Friday, July 24, 2009 4:39 PM
To: frnog@frnog.org
Subject: Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
Antoine MILLET wrote:
Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est
moins bien que PF ? :)
Par exemple :
- pf : set skip on lo
- iptables : /sbin/iptables -A INPUT -i lo -j ACCEPT ; /sbin/iptables
-A OUTPUT -o lo -j ACCEPT
et tu recharges pas les règles sous pf ? ;-)
Ce n'est certe qu'un exemple, mais à quand un firewall avec fichier de
configuration sous Linux ?
et iptables-{save,restore} c'est pour les chiens ?
(Oui, je sais que c'est pas génial comme troll, mais bon...)
( mais si, mais si y a moyen :) )
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
2009/7/24 Hervé COMMOWICK hcommow...@exosec.fr
Antoine MILLET wrote:
Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est
moins bien que PF ? :)
Par exemple :
- pf : set skip on lo
- iptables : /sbin/iptables -A INPUT -i lo -j ACCEPT ; /sbin/iptables
-A OUTPUT -o lo -j ACCEPT
et tu recharges pas les règles sous pf ? ;-)
pas forcément :) tu peux les charger dynamiquement (depuis un fichier de
conf ou un prog externe) à l'aide des ancres.
Ce n'est certe qu'un exemple, mais à quand un firewall avec fichier de
configuration sous Linux ?
et iptables-{save,restore} c'est pour les chiens ?
(Oui, je sais que c'est pas génial comme troll, mais bon...)
( mais si, mais si y a moyen :) )
--
Hervé COMMOWICK, EXOSEC (http://www.exosec.fr/)
ZAC des Metz - 3 Rue du petit robinson - 78350 JOUY EN JOSAS
Tel: +33 1 30 67 60 65 - Fax: +33 1 75 43 40 70
mailto:hcommow...@exosec.fr
---
Liste de diffusion du FRnOG
http://www.frnog.org/
--
Steven Le Roux
Jabber-ID : ste...@jabber.fr
0x39494CCB ste...@le-roux.info
2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB
Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
2009/7/24 Antoine MILLET antoine.mil...@gmail.com Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est moins bien que PF ? :) et tu vas nous expliquer aussi pourquoi IPTABLES est plus stable que PF :) -- Antoine MILLET www.rentabiliweb.org --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Steven Le Roux Jabber-ID : ste...@jabber.fr 0x39494CCB ste...@le-roux.info 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB
Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
Le Fri, Jul 24, 2009 at 04:35:53PM +0200, Antoine MILLET [antoine.mil...@gmail.com] a écrit: Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est moins bien que PF ? :) Par exemple : - pf : set skip on lo - iptables : /sbin/iptables -A INPUT -i lo -j ACCEPT ; /sbin/iptables -A OUTPUT -o lo -j ACCEPT Ce n'est certe qu'un exemple, mais à quand un firewall avec fichier de configuration sous Linux ? Extrait de /etc/shorewall/policy : #SOURCE DESTPOLICY LOG LEVEL LIMIT:BURST dmz all ACCEPT net dmz ACCEPT dmz dmz ACCEPT # THE FOLLOWING POLICY MUST BE LAST all all REJECT info Extrait de /etc/shorewall/rules : ACCEPT net fw tcp 5 ACCEPT net fw udp 5000 -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 50, rue Riolan 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
Le (On) Fri, Jul 24, 2009 at 09:56:38AM -0500, Gael ecrivit (wrote): Personellement j'utilise firehol sous linux, ca te donne iptables avec En effet, je trouve les gens un peu durs avec iptables. Alors qu'on ne sait pas vraiment si vous parlez d'iptables, des programmes différents fournis par chaque distribution Linux, des divers wrappers qui tentent de fournir une syntaxe élégante, etc ? Un peu facile de privilégier pf, qui a été bien pensé dés le début... Vous trouverez toujours au prix de quelques jours de recherche et d'essais, des outils qui vous permettront d'avoir presque l'impression d'utiliser un outil compréhensible, rapidement appropriable, à la syntaxe cohérente avec ses ancêtres. Tout ça alors qu'il est de notoriété publique que Linux n'est pas fait pour faire du réseau, je trouve que c'est déjà bien qu'ils aient pensé à inclure un logiciel à la ZoneAlarm ! A+, -- Sameh Ghane --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
Antoine MILLET a écrit : Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est moins bien que PF ? :) Bonjour, Il y a probablement une dizaine de listes parlant de firewalling sous linux. Je ne suis pas sur de voir le rapport avec la charte de cette liste qui est, je le rappelle : FRnOG à pour but d'améliorer la qualité d'Internet et autres services IP en France. FRnOG est une plate-forme d'échange d'informations entre professionnels du réseau et de la sécurité. FRnOG n'est pas un lieu de débats polémiques, mais plutôt de discussion technique sur les problèmes et informations qui peuvent servir ou affecter Internet en France. http://www.frnog.org/?lang=fr -- Antoine MUSSO Architecte Réseau DISIT/ETU/ARC/ART tél. 02 40 12 73 62 Post-scriptum La Poste Ce message est confidentiel. Sous réserve de tout accord conclu par écrit entre vous et La Poste, son contenu ne représente en aucun cas un engagement de la part de La Poste. Toute publication, utilisation ou diffusion, même partielle, doit être autorisée préalablement. Si vous n'êtes pas destinataire de ce message, merci d'en avertir immédiatement l'expéditeur.
Re: [FRnOG] Troll du vendredi : PF vs. IPTABLE
Antoine Musso a écrit : Antoine MILLET a écrit : Voici un troll simple du vendredi après-midi : Pourquoi IPTABLES c'est moins bien que PF ? :) Bonjour, Il y a probablement une dizaine de listes parlant de firewalling sous linux. Je ne suis pas sur de voir le rapport avec la charte de cette liste qui est, je le rappelle : FRnOG à pour but d'améliorer la qualité d'Internet et autres services IP en France. FRnOG est une plate-forme d'échange d'informations entre professionnels du réseau et de la sécurité. FRnOG n'est pas un lieu de débats polémiques, mais plutôt de discussion technique sur les problèmes et informations qui peuvent servir ou affecter Internet en France. C'est la charte officielle. La vrai inclue le troll plus ou moins poilu du vendredi comme détente après les discussions techniques sur les problèmes :) (PF vaincra !) --- Liste de diffusion du FRnOG http://www.frnog.org/
