PHWinfo - Afficher un message

18/10/2006, 13h05

Akane devait dire quelque chose comme ceci :

> D'abord je voudrais dire que je ne veux pas commencer un troll ou quoi que
> ce soit dans le genre.

On va dire que c'est donc juste de la maladresse...

> [...] je voudrais choisir le firewall qui me conviennent le mieux
> selon 3 critères :
> - les performances [...]
> - la sécurité [...]
> - les "plugins" [...]

La souplesse de configuration et les capacités de filtrage ne
t'intéressent pas ? :-/

> [...] mais la syntaxe de PF me parait (critère qui n'est pas valable
> cependant, voir plus haut) plus clair au niveau de la syntaxe... [...]

Au contraire, c'est un critère de premier ordre. Une syntaxe que tu
comprends (i.e trouve plus clair) est le gage de règles qui
correspondent exactement à ce que tu souhaites, là où une syntaxe plus
complexe/obscure peut t'ammener à laisser de grands trous ouverts par
inadvertance.

> donc plutot que de
> choisir ainsi, je voudrais des comparatifs techniques à la place.

Aucun comparatif ne t'aidera, sauf s'il est fait exactement dans les
conditions que tu vas rencontrer. Un filtre IP peut, par exemple, être
plus rapide que tous les autres à faible charge, et s'effondrer à forte
charge, ou plus rapide avec peu de règle et extrèmement lent lorsqu'il
doit en gérer un paquet. De même que les performances peuvent aussi
dépendre de la machine sur laquel il tourne. Un filtre IP optimisé pour
un dual processor peut s'effondrer s'il n'y en a qu'un sur la machine.
Bref, c'est extremement subjectif.

> J'espère que vous m'aiderez et que je ne viole pas la chartre en parlant de
> Linux ici et en postant la meme chose chez les Linuxiens

Franchement, si, parce que ta question aurait dû être posée sur
fr.comp.securite.

Cela étant dit, en dehors de toute préférence personnelle, entre
netfilter et PacketFilter, ce dernier l'emporte forcément. C'est le
plus récent des deux (et même le plus récent tout court). Il bénéficie
donc du retour d'expérience de tous ces prédécesseurs, de toutes les
idées nouvelles et, surtout, il a été développée d'entré pour tenir
compte de tout cela. Sur le plan de ces capacités nouvelles, il sera
donc toujours un poil plus performant et plus robuste que ces
prédécesseurs, qui eux ont dû adapter le code pour intégrer ces
nouveautées.

> Merci d'avance,

De rien.

18/10/2006, 13h05	#4
Stephane Catteau Messages: n/a Hébergeur:	Re: Netfilter vs PF (pas de troll) Akane devait dire quelque chose comme ceci : > D'abord je voudrais dire que je ne veux pas commencer un troll ou quoi que > ce soit dans le genre. On va dire que c'est donc juste de la maladresse... > [...] je voudrais choisir le firewall qui me conviennent le mieux > selon 3 critères : > - les performances [...] > - la sécurité [...] > - les "plugins" [...] La souplesse de configuration et les capacités de filtrage ne t'intéressent pas ? :-/ > [...] mais la syntaxe de PF me parait (critère qui n'est pas valable > cependant, voir plus haut) plus clair au niveau de la syntaxe... [...] Au contraire, c'est un critère de premier ordre. Une syntaxe que tu comprends (i.e trouve plus clair) est le gage de règles qui correspondent exactement à ce que tu souhaites, là où une syntaxe plus complexe/obscure peut t'ammener à laisser de grands trous ouverts par inadvertance. > donc plutot que de > choisir ainsi, je voudrais des comparatifs techniques à la place. Aucun comparatif ne t'aidera, sauf s'il est fait exactement dans les conditions que tu vas rencontrer. Un filtre IP peut, par exemple, être plus rapide que tous les autres à faible charge, et s'effondrer à forte charge, ou plus rapide avec peu de règle et extrèmement lent lorsqu'il doit en gérer un paquet. De même que les performances peuvent aussi dépendre de la machine sur laquel il tourne. Un filtre IP optimisé pour un dual processor peut s'effondrer s'il n'y en a qu'un sur la machine. Bref, c'est extremement subjectif. > J'espère que vous m'aiderez et que je ne viole pas la chartre en parlant de > Linux ici et en postant la meme chose chez les Linuxiens Franchement, si, parce que ta question aurait dû être posée sur fr.comp.securite. Cela étant dit, en dehors de toute préférence personnelle, entre netfilter et PacketFilter, ce dernier l'emporte forcément. C'est le plus récent des deux (et même le plus récent tout court). Il bénéficie donc du retour d'expérience de tous ces prédécesseurs, de toutes les idées nouvelles et, surtout, il a été développée d'entré pour tenir compte de tout cela. Sur le plan de ces capacités nouvelles, il sera donc toujours un poil plus performant et plus robuste que ces prédécesseurs, qui eux ont dû adapter le code pour intégrer ces nouveautées. > Merci d'avance, De rien.