|
| PORTAIL | ANNUAIRE | ARTICLES | COMPARATEUR HÉBERGEURS | DEVIS | FORUMS | RÉDUCTEUR D'URL |
|
|
|
|
||||||
| fr.comp.os.bsd Systèmes BSD et dérivés (NetBSD, FreeBSD, ...). |
 |
|
|
LinkBack | Outils de la discussion |
17/10/2006, 23h47
|
#1 |
Messages: n/a
Hébergeur: |
Netfilter vs PF (pas de troll)
Bonjour,
D'abord je voudrais dire que je ne veux pas commencer un troll ou quoi que ce soit dans le genre. Simplement, je me demande depuis un moment maintenant quel est le "meilleur" firewall entre Packet Filter (OpenBSD) et Netfilter (Linux noyau 2.6) Le soucis c'est que j'ai acheté un WRAP sur PC Engines dernièrement et que je voudrais y installer un des deux. Puisque niveau matériel le WRAP est assez léger (processeur à 266Mhz, 128Mo de ram) mais qu'il va surement gérer pas mal de règles de tte sorte (filtrage, nat, qos/traffic shapping, vpn ssl/ipsec), je voudrais choisir le firewall qui me conviennent le mieux selon 3 critères : - les performances (débits sortants/entrants avec du NAT et/ou du filtrage, temps de latence, pourcentage de perte de paquets, etc...) - la sécurité (openbsd est réputé pour son code sécurisé, je me demande donc si Netfilter a un historique de vulnérabilité ou des implémentations différentes qui le rendent moins sur... mais si c'est le cas j'aimerais une "preuve" comme un lien par exemple) - les "plugins" (je pense par exemple à PFSync, CARP, ALTQ pour PF ou les modules conn_track_ftp et irc pour Netfilter... mais j'en oublie surement beaucoup) Seuls ces 3 critèrs m'importent vraiment. Les différences de syntaxe, de clarté, de plateforme ou de religion  ne m'importe pas ! J'ai donc besoinde votre aide pour faire mon choix ! Un lien, une expérience concrète, une présentation, n'importe quoi qui pourrait m'aider à choisir sans remord ! Je sais que beaucoup me dirait "choisis celui qui te convient le mieux" mais sincèrement, encore aujourd'hui je n'arrive pas à faire de choix... Linux est mieux documenté la plupart du temps (quoi que la FAQ de PF soit géniale) mais la syntaxe de PF me parait (critère qui n'est pas valable cependant, voir plus haut) plus clair au niveau de la syntaxe... donc plutot que de choisir ainsi, je voudrais des comparatifs techniques à la place. Quelque chose comme : http://www.benzedrine.cx/pf-paper.html mais qui soit à jour J'espère que vous m'aiderez et que je ne viole pas la chartre en parlant de Linux ici et en postant la meme chose chez les Linuxiens Merci d'avance, Akane. |
|
|
18/10/2006, 07h35
|
#2 |
|
Messages: n/a
Hébergeur: |
Re: Netfilter vs PF (pas de troll)
Akane <akane@guesswhere.com> wrote:
> openbsd est réputé pour son code sécurisé Sans vouloir faire de troll, OpenBSD est réputé pour l'excellent travail de sécurisation qui est fait autour de son code (audit de problèmes récurrent, mesures proactives du genre W^X, separation de privilege et autres). Maintenant, dire que c'est sécurisé me parrait être un pas spéculatif difficile à franchir. Il suffit de regarder la page des erratas d'OpenBSD pour se convaincre que le code n'est pas sécurisé. Le code sécurisé écrit par des êtres humains, ca ne court pas les rues. -- Emmanuel Dreyfus http://hcpnet.free.fr/pubz manu@netbsd.org |
|
|
|
18/10/2006, 10h43
|
#3 |
|
Messages: n/a
Hébergeur: |
Re: Netfilter vs PF (pas de troll)
"Akane" <akane@guesswhere.com> writes:
> Linux est mieux documenté la plupart du temps Si ce n'est pas un troll, je n'y connais plus rien... [fu2 junk] |
|
|
|
18/10/2006, 13h05
|
#4 |
|
Messages: n/a
Hébergeur: |
Re: Netfilter vs PF (pas de troll)
Akane devait dire quelque chose comme ceci :
> D'abord je voudrais dire que je ne veux pas commencer un troll ou quoi que > ce soit dans le genre. On va dire que c'est donc juste de la maladresse... > [...] je voudrais choisir le firewall qui me conviennent le mieux > selon 3 critères : > - les performances [...] > - la sécurité [...] > - les "plugins" [...] La souplesse de configuration et les capacités de filtrage ne t'intéressent pas ? :-/ > [...] mais la syntaxe de PF me parait (critère qui n'est pas valable > cependant, voir plus haut) plus clair au niveau de la syntaxe... [...] Au contraire, c'est un critère de premier ordre. Une syntaxe que tu comprends (i.e trouve plus clair) est le gage de règles qui correspondent exactement à ce que tu souhaites, là où une syntaxe plus complexe/obscure peut t'ammener à laisser de grands trous ouverts par inadvertance. > donc plutot que de > choisir ainsi, je voudrais des comparatifs techniques à la place. Aucun comparatif ne t'aidera, sauf s'il est fait exactement dans les conditions que tu vas rencontrer. Un filtre IP peut, par exemple, être plus rapide que tous les autres à faible charge, et s'effondrer à forte charge, ou plus rapide avec peu de règle et extrèmement lent lorsqu'il doit en gérer un paquet. De même que les performances peuvent aussi dépendre de la machine sur laquel il tourne. Un filtre IP optimisé pour un dual processor peut s'effondrer s'il n'y en a qu'un sur la machine. Bref, c'est extremement subjectif. > J'espère que vous m'aiderez et que je ne viole pas la chartre en parlant de > Linux ici et en postant la meme chose chez les Linuxiens Franchement, si, parce que ta question aurait dû être posée sur fr.comp.securite. Cela étant dit, en dehors de toute préférence personnelle, entre netfilter et PacketFilter, ce dernier l'emporte forcément. C'est le plus récent des deux (et même le plus récent tout court). Il bénéficie donc du retour d'expérience de tous ces prédécesseurs, de toutes les idées nouvelles et, surtout, il a été développée d'entré pour tenir compte de tout cela. Sur le plan de ces capacités nouvelles, il sera donc toujours un poil plus performant et plus robuste que ces prédécesseurs, qui eux ont dû adapter le code pour intégrer ces nouveautées. > Merci d'avance, De rien. |
|
|
|
| Outils de la discussion | |
|
|
