Distribution securisée pour firewall/dmz

Salut,

Merci tufs pour tes liens , je ne connais pas tout ;)
Salut jipicy , merci également pour ta réponse, il est vrai qu'elle sont concues spécialement pour ca mais elles peuvent être plus instable et pourquoi pas moins sécurisé qu'un openbsd de base avec pf et preqque aucun service qui tourne.
C'est juste que je n'ai pas trop confiance en ces distributions toutes faites mais peut etre me trompe je...
Je suis justement entrain de tester ipcop ( très facile à installer et à manier) , mais il ya un peu trop de chose à mon gôut pour mon besoin.
On peut les désactiver mais bon..

A +
syno

salut

tient quelque firewall que j ai trouver dans ma doc perso regarde si tu peux trouver quelque chose pour toi .....
en attendant mieux :

* net-firewall/iptables-1.3.2 – Linux kernel (2.4+) firewall, NAT and packet mangling tools http://www.iptables.org/
* net-analyzer/firewalk-5.0 – A tool for determining a firewall's rule set http://www.packetfactory.net/firewalk/
* net-firewall/gtk-iptables-0.3.4 – A GTK-1.2 front end for iptables http://gtk-iptables.sourceforge.net/
* net-firewall/shorewall-2.4.1 – Full state iptables firewall http://www.shorewall.net/
* sys-apps/iproute2-2.6.11.20050310-r1 – kernel routing and traffic control utilities http://developer.osdl.org/dev/iproute2/
* net-analyzer/iptstate-1.3 – IP Tables State displays states being kept by iptables in a top-like format http://www.phildev.net/iptstate/
* net-analyzer/fragroute-1.2 – fragroute was written to aid in the testing of network intrusion detection systems, firewalls and basic TCP/IP stack behaviour. http://www.monkey.org/~dugsong/fragroute/
* net-firewall/arptables-0.0.3 – Arptables is used to set up, maintain, and inspect the tables of ARP rules in the Linux kernel. It is analogous to iptables, but operates at the ARP layer rather than the IP layer. http://ebtables.sourceforge.net/
* net-firewall/firehol-1.226-r1 – iptables firewall generator http://firehol.sourceforge.net/
* net-firewall/firestarter-1.0.3 – GUI for iptables firewall setup and monitor. http://www.fs-security.com/
* net-firewall/firestorm-0.5.4 – Network IDS http://www.scaramanga.co.uk/firestorm/
* net-firewall/ipsec-tools-0.4-r1 – IPsec-Tools is a port of KAME's IPsec utilities to the Linux-2.6 IPsec implementation. http://ipsec-tools.sourceforge.net/

Salut,

Ben disons que ces distribs dont tu parles sont conçues spécialement pour ça, et donc ne savent faire que ça (je parle surtout pour IPCop que j'utilise).

A mon avis à quoi bon s'embêter (à moins que ce ne soit le but recherché dans l'expectative de nourrir sa soif d'apprendre et d'enrichir ses connaissances ainsi que ses compétences) puisque d'autres ont pensé pour nous...

Tiens en plus y'a un site (avec forum) entièrement dédié à ces distribs : Ixus [http://www.ixus.net/index.php]

Ce n'est pas juste un firewall :
-Certaines ont un système de droit sur les fichiers un peu special
-Certaines font s'executer les logiciels avec chroot (confinés dans une arborescence minimales)
-Certaines loguent l'activité.
-Certaines sont faites pour faciliter la configuration d'une DMZ (plus facile et bien plus efficace qu'une distribution standard, pour un non spécialiste)

Tout ça fait une distribution pour DMZ.

mais elles peuvent être plus instable et pourquoi pas moins sécurisé qu'un openbsd de base : qu'est ce que ça apporte de discrediter ces distributions ?

Il existe aussi Mandrake SMF (mais pour la DMZ, je ne suis pas sûr).

Il existe des boitiers spécialisés qui font routeur et firewall. Pour les modèles non pro, ils sont d'ailleurs vendu sous le nom de routeur. Cela coûte moins cher qu'un pc, de plus, comme la fonction firewall est dans le silicium (on parle alors de logique cablée) et pas un logiciel, la sécurité offerte est bien meilleure que celle offerte par un pc utilisé comme firewall. Cerise sur le gateau, un routeur permet de mieux optimiser ton réseau qu'un switch.

Cependant, si tu veux utiliser beucoup de services tels que des serveurs internets, tu dois t'assurer que le firewall choisi permette de configurer et laisser passer tous ces services sur internet. Ces boitiers ont une limite au nombre de services qu'ils peuvent gérer, limite fixée une fois pour toute dans le silicium.