# [Firewall]Distrib basée sur gentoo

## zeuss1414

Bonjour, 

Je suis a la recherche d'une distribution qui fait office de firewall car j'aimerais remplacer mon vieux routeur Linksys qui n'offre que peu de possibilité. 

Comme je suis assez familier avec gentoo, j'aurais voulu savoir si vous connaissiez une distribution firewall basée sur gentoo. 

Dans le cas contraire, laquelle me conseillerez vous, sachant que je compte faire du VPN. 

Merci d'avance.

----------

## boozo

'alute

gentoo based je ne crois pas... sauf peut-être GNAP  :Wink: 

btw : les solutions apportées à ton thread précédent ne te conviennent pas ? (ipcop - pfsense - sme - ...)

----------

## zeuss1414

quel post precedent ?

----------

## SnowBear

Salut,

basé sur gentoo je ne connais pas,

par contre je connais bien pfsense et je te le recommande chaudement  :Wink: 

----------

## boozo

celui-ci ce n'était pas un OS que tu cherchais alors mais il y a des solutions OS qui t'on été apporté dans l'histoire

Enfin si tu veux un retour : j'ai 3 ipcop qui tournent depuis ~4ans sans soucis aucun mais psfense est sympatoche aussi (tout comme sme d'ailleurs) après ça dépend de ton réseau et de ce que tu veux (contraintes hardwares, coût, temps, ...)   :Wink: 

Btw, je trouve gnap intéressant à plus d'un titre et je compte bien migrer un de ces 4. Certains en ont en prod chez eux ou au taf ?

----------

## zeuss1414

GNAP a l'air d'être assez vieux. 

Au niveau contraite, je vois pas trop ce que vous attendez ?

----------

## boozo

oui en effet depuis 1 an que je ne m'y suis penché cela semble au point mort (encore qu'il faudrait voir sur la mailing list pour savoir de quoi il retourne) cela dit ce n'est pas pour autant un mauvais produit   :Rolling Eyes: 

Au niveau contraintes, j'entend ce que tu veux en faire (autre que du VPN) ou lui faire subir... nb de clients, services, niveau de disponibilité,... et puis le temps que tu as a y consacrer pour connaitre un minimum les rouages des fonctionnalités, updates, paramétrages, etc.

----------

## CryoGen

Ton linksys n'est pas flashable avec openwrt ?

Sinon +1 pour pfSense

----------

## zeuss1414

Déja je pourrai flasher mon WRT mais du coup je couperait le net sur tous les poste wifi, à savoir 3 donc c'est pas genial mais j'y pense. 

Après ce que j'aimerais faire c'est installer un nouvo routeur avec un distrib linux et tester les fonctionnalité genre vpn ...

Par la suite je compte mettre une ptit clef usb wifi sur ce pose pour qu'il remplace mon WRT et je pourrai donc remplacer mon WRT sans pb.

Edit : Dsl j'ai tout eteind car y a un pire orage qui passait ...

Je reprend.. 

Donc nivo disponibilite faudrais que ca tienne bien et que j'ai pas besoin de la toucher une fois que ca marche. Sinon  pour l'utilisation c'est surtout partage de connexion, firewall et pourquoi ajouter un peu QOS si jamais c'est pas trop chiant.

Dèrrière il y aurau environ 5-6 poste donc mon serveur Web, Ssh, DNS, Mail ...

----------

## CryoGen

 *zeuss1414 wrote:*   

> Déja je pourrai flasher mon WRT mais du coup je couperait le net sur tous les poste wifi, à savoir 3 donc c'est pas genial mais j'y pense. 
> 
> .

 

Bah ca couperai le net juste le temps du flash... je ne vois pas le problème   :Confused: 

----------

## zeuss1414

Ben disons que comme je bosse je peux faire ca que le soir et bon tant qu'a faire je prefere faire ca trankil quand j'ai le temps et bien tester toutes les possibilité. 

En plus comme je suis pas le seul a utiliser la connection je prefere pas faire chiez tout le monde.

----------

## boozo

En ce cas, ipcop remplira parfaitement ces tâches   :Wink: 

Pour faire simple, tu as 4 interfaces préconfigurées (red = WAN ; blue = DMZ ; orange = wifi ; green = LAN) chaqunes ayant des règles de  gestion iptables adaptées à l'usage. Et pour la gestion de tous les services, tu as une interface web accessible du lan et/ou de l'extérieur ; plus tout une tripotée d'addons pour l'ajout de fonctionnalités.

Jette un oeil sur leur site et sur celui de mhaddons pour te faire une idée

----------

## zeuss1414

Ben je vais voir du coté d'IP cop, pour l'instant j'ai vite fait installer pfsense sur une machine qui trainait c'est plutôt pas mal. Je vais essayer IPcop dès que j'ai le temps. Si vous avez d'autre proposition faut pas hésité ...

----------

## El_Goretto

+1 pour redonner sa chance au Linksys via OpenWRT (et tester OpenVPN dessus justement).

Par contre, une vraie machine (genre PIII avec 256Mo de RAM) aura des perfs bien meilleures, au prix d'une intégration nulle (OpenWRT, c'est du clic-ça marche).

Quand à une distribution firewall basée sur gentoo, là, j'avoue, je vois mal ce que ça peut vouloir dire  :Smile:  (une gentoo hardened avec fwbuilder?)

----------

## titoucha

Je suis comme @El_Goretto je donnerais une chance au linksys. 

J'ai installé dernièrement X-WRT et la coupure a été très courte vu que le nouvel OS à repris toute la configuration de l'ancien.

En plus avec le système de paquet tu installes vraiment que ce que tu as besoin, donc avant de dédier une machine pour faire firewall je regarderais du côté d'OpenWRT/X-WRT.

----------

## zeuss1414

Ben pour le moment je suis en train de tester pfsense sur un K6-2 avec 350 de ram environ. Ca semble plutôt bien marché. 

J'ai aussi découvert SME server que je pense utiliser pour remplacer mon serveur car la gestion semble simple. En plus ca peut être une bonne solution pour la mise en place d'un serveur dans de petite structure ou les gens ne connaisse pas linux et ou une version 2003 serveur est trop chère.

----------

## Bapt

Deux petites choses à noter : 

1/ une nouvelle version de pfsense (1.2) arrive en se moment avec plein de bonne choses dedans : http://pfsense.blogspot.com/

2/ Si tu veux rester base gentoo, mais faire un bon firewall, tu peux te le faire à la main avec une gentoo/FreeBSD ce qui aura l'avantage de te permettre d'utiliser pf + ALTQ (Quand tu touches aux règles pf, il t'est impossible de revenir sur du iptables tellement la syntaxe de pf est intuitive et celle de iptables complètement tordu (une vraie torture)) et toutes les autres joyeuserie du monde BSD mais dans un univers gentoo.

----------

## zeuss1414

Ha cool tout ca !! J'aurais juste le temps de me faire la main avec la versioin actuelle et hop je pourrai mettre directe la derniere version en prod  :Wink: 

Sinon Gentoo pour un routeur, je dirait que l'idee me semble pas top car si tu veux utiliser les avantage de gentoo faut compiler et sur une pauvre machine c'est pas une bonne idée. Je prefère un bon vieux BSD que je configure et que je touche plus jamais ou presque ...

Sinon SME server vous en pensez quoi ?

----------

## titoucha

 *zeuss1414 wrote:*   

> Sinon Gentoo pour un routeur, je dirait que l'idee me semble pas top car si tu veux utiliser les avantage de gentoo faut compiler et sur une pauvre machine c'est pas une bonne idée. Je prefère un bon vieux BSD que je configure et que je touche plus jamais ou presque ...
> 
> 

 

Ce que plusieurs autres et moi-même t'avons proposé ce n'est pas basé sur Gentoo et tu ne compiles rien, je ne peux que te reconseiller de tester X-WRT/OpenWRT.

----------

## kwenspc

 *zeuss1414 wrote:*   

> 
> 
> Sinon Gentoo pour un routeur, je dirait que l'idee me semble pas top car si tu veux utiliser les avantage de gentoo faut compiler et sur une pauvre machine c'est pas une bonne idée. Je prefère un bon vieux BSD que je configure et que je touche plus jamais ou presque ...
> 
> 

 

J'ai "résolu" ce soucis en compilant tout sur ma nouvelle machine. Désormais les images serveurs (une pour les fichier un pour le routage) sont compilées sur un c2d. Une fois sur la machine serveur qui tourne avec xen je peus tester les images au côtés de celles qui tournent actuellement. Une fois que ça semble au poil je "shutdown" les anciennes images pour être totalement remplacée par les nouvelles. Mais j'avoue que c'est plus contraignant de faire comme ça que d'avoir une install statique qui ne bouge plus jamais (fin dans mon cas c'est surtout parce que j'ai plusieurs serveurs qui tournent sur la même machine que cette solution c'est avérée pas trop mal)

----------

## zeuss1414

@titoucha : 

Ma réponse était pour Batp qui proposait gentoo/FreeBSD.

@kwenspc : 

La solution Xen m'a déjà traverser l'esprit mais mon problème est que pour faire des essaie avant de l'utiliser vraiment j'ai pas de machine assez puissante. Je me vois mal essayer Xen sur un K6-2 ou un PIII 500 et faire tourner plusieurs machine virtuelle.

----------

## kwenspc

 *zeuss1414 wrote:*   

> Je me vois mal essayer Xen sur un K6-2 ou un PIII 500 et faire tourner plusieurs machine virtuelle.

 

Tout dépend de tes besoins, perso un P3 600 (fsb à 133), dd de 160go et 1Go de ram me suffit. (bon ok avec 2 machines virtuelles ça passe, mais avec plus je pense qu'on commence à perdre beaucoup après question perfs).

----------

## zeuss1414

Ah ca peut etre cool du coup !!! Mais c'est quoi comme machine virtuelle que tu fait tourner dessus ?

----------

## kwenspc

2 gentoo :] 

une très basique qui sert de routeur: juste l'install stage3 de base + iptables + shorewall (que je teste en ce moment, me suis pas encore décidé). 

et un un peu plus "complète" qui sert de serveur de fichier et de lecteur audio (pas encore sûr) et un serveur web (pas encore en place): base stage 3 + les outils NFS etc... + mpd + lighttpd (apache ça fait trop usine à gaz pour ce que je veux) + log et quelques ptits softs du genre

Toutes les mises à jours des images sont centralisée sur mon core 2 duo et, de fait, les images n'ont pas gcc ni d'arbre portage. Je ne copie que le strict nécessaire. L'interêt justement c'est que si une image est corrompue, hop je peus très vite recharger une nouvelle (ou un backup de l'ancienne si la nouvelle déconne). En fait je mets toutes mes machines à jour via mon core 2 duo (via des chroot 32 bits), mêmes mon laptop mais là je ne crée pas d'image pour xen bien entendu.

----------

## zeuss1414

Je comprend pas trop le principe. Tu fait les image sur ton fixe, tu vire certain composant et tu met l'image sur ton serveur ou tourne Xen c'est ca ? 

T'a une doc la dessus que je puisse voir un peu comment ca marche ?

----------

## kwenspc

J'ai pas de doc non, mais voilà en gros le principe:

1 - je crée un environnement 32 bits sous mon environnement 64bits (c2d oblige)

2 - dans cet environnement j'ai mis un stage 3 2006.1 et je l'ai mis à jour

3 - je copie cet environnement en autant de "machines" que je vais installer/mettre à jour par ce moyen

4 - je chroot dans les environnements mais au préalable j'ai monté leur dev, tmp et surtout /usr/portage sur celui de mon 64bits

5 - sous l'environnement cible du routeur par exemple, j'installe shorewall

6 - une fois que les paquets sont installés et configurés je quitte le chroot

7 - je backup l'environnement avant chaque maj (pour le serv juste les maj GLSA), car si le nouvel environnement déconne faut que je puisse reprendre  sans avoir à tout reconstruire.

là pour Xen je créer une image de 1Go avec dd (1Go étant largement suffisant vu que j'arrive dans les ~600 mo à tout péter). Je la monte, et je copie le contenu de mon environnement 'routeur' dans l'image en excluant bien certaines répertoires tels que ceux concernant gcc, les headers etc...

Je balance l'image sur ma machine qui tourne avec Xen, je la charge et voilà. 

(pour les fichiers de configuration, pour ne pas les perdres et/ou les réecrire à chaque fois je sauvegarde le rep etc de l'envirronement, et à chaque maj bien sûr je fais attention à l'etc-update.)

Je suis en train de scripter tout ça (là j'ai déjà la construction des environnements, me reste certains contrôles à insérer). Si je finis tout ça (  :Rolling Eyes:  ) je les posterais sûrement. Je vais essayer de faire un truc assez unifié (pour éviter de jongler avec de multiples scripts).

Ah oui, ça fonctionne aussi bien sur un environnement natif 32 bits que 64bits, je me suis pas limité à ceux qui ont un 64bits et qui veulent créer des environnement 32bits.

[edit]

Avantages:

- on reste sous gentoo  :Smile: 

- ce système peut être utilisé pour autre chose que pour créer des images xen (je maj mes autres pc par ce procédé)

- dès lors qu'on fait tourner ce procédé sur une machine puissante on gagne nettement en rapidité de compilation (d'autant que la maj de la base peut-être répercuté sur les environnement qui se base sur cette base, c'est mal dit mais on se comprend)

Inconvénients:

- Plutôt long à mettre en place la première fois (d'autant que je créer tout from-scratch en scriptant au passage)

- nécessite une certaine "discipline" pour jongler entre toutes les configs (ça le script aide déjà pas mal)

- nécessite une machine puissante, sinon on perd l'interêt de la rapidité, normal.

ah sinon pour les maj des machines je réfléchis à mettre un serveur rsync sur la "grosse" machine et les machines à maj se synchronise sur leur config. Faut que je vois ça.

[/edit]

----------

## zeuss1414

Ca semble nikel mais bon faut avoir du temps pour s'y mettre. Maintenant si tu fait des scrit et tout je serait pret à tester mais d'abord il faut que je reinstalle ma gentoo car la je suis en pleine reinstallation de mon fixe qui est aussi un C2D

----------

