Le 05.12.2006 19:28,, le perspicace Christophe Meessen s'exprimait en ces termes: > Bonsoir, > > je suis en train d'installer un ordinateur avec plusieurs interfaces > réseau en vue de l'utiliser comme firewall. > > Q1 : J'ai commencé à installer edgy-server, mais on m'a conseillé > d'installer plutôt dapper-server à cause du LTS. Est-ce une erreur > d'installer edgy-server ? Serais-je par exemple obligé de migrer vers > une versions suivante dans un an ? Logiciel Libre = Liberté. Tu es Libre, Max ;-) Si ton firewall est destiné à protéger une entreprise, alors oui, peut-être que Dapper est plus pérenne. Mais dans un cas comme dans l'autre, si une faille de sécurité est détectée, elle sera corrigé dans les mêmes délais. Dapper Server bénéficie d'un service de 5 ans (si je ne me trompe), Edgy Eft est en quelque sorte une version de transition entre deux LTS et sera supportée moins longtemps.
Est-ce que tu devras alors migrer dans un an ? NON. En informatique professionnelle, on ne migre que pour bénéficier de nouvelles fonctions ou de mises à jour correctives. Si tu installes Edgy Eft et qu'on découvre une faille de sécurité dans le firewall iptable dans 10 ans, ben à ce moment là, tu pourras décider si oui ou non tu dois migrer. Ce n'est que dans le monde M$ qu'on pousse les usagers à prendre la nouvelle version, lorsque l'on reçoit un fichier.doc de nouvelle génération que notre version antérieure ne peut pas lire. Et tout ce qui s'en suit... > Q2: L'installation d'edgy-server est laborieuse et je regrette > l'interface graphique dont le copier coller par exemple ou etherreal. > tcpdump c'est un peu brut de décoffrage. Un compromis est-il > envisageable ? Euh... Je ne comprend pas ta question. Je pense comprendre que Xorg n'est pas installé par défaut sous Edgy Eft Server ? Rien ne n'empêche de l'installer malgré tout. Pour l'administration, tu passes dans le runlevel qui va bien et qui démarre Xorg, et pour le reste, dans le runlevel (qui va bien aussi) qui ne lance pas Xorg. > Q3: je voudrais utiliser shorewall, mais je voudrais être sûr qu'il > est démarré avant d'activer l'interface internet. Avec mon fw actuel > j'ai eu une attaque qui consistait à planter la machine puis envoyer > des trames directement après avant que le soft de firewall a eu le > temps de s'activer. J'ai vu qu'il est possible de définir des scripts > à lancer avant l'initialisation de certains interfaces. Cela pourrait > faire l'affaire, mais je voudrais aussi que les règles iptables > soient par défaut (a priori) le rejet total de messages plutôt que la > règle actuelle qui est de tout laisser passer. Ça sort de mes compétences, tout ça :-) Mais tu ne poses pas de question. > Q4: sur mandrake squid était installé par défaut. Là je passe a > ubuntu et je me demande si squid est bien utile ? Ben il est utile si tu en as besoin. Facile la réponse :-) Et puisque la babasse est dans la DMZ, mieux vaut supprimer les services inutiles. > Q5: je souhaiterais configurer certains services en chrooted tel que > dhcpd, named, ntpd et éventuellement squid. Il y aurait beaucoup de > choses à changer ? Joker ! Je comprend, ô combien ! qu'on utilise Ubuntu pour toutes ses qualités :-) Mais pour information, il existe une (des ?) distributions minimales destinées uniquement à configurer des firewalls. > Bien cordialement, > > Ch. Meessen -- SunWukong GPG Key available : 0xF4DD0AD2 on keyserver.ubuntu.com -- ubuntu-fr mailing list [email protected] https://lists.ubuntu.com/mailman/listinfo/ubuntu-fr
