Re: [FRnOG] [TECH] Choix d'une appliance Firewall

2013-09-21 Par sujet Xavier Beaudouin 
Hello,

Le 20 sept. 2013 à 11:53, Leslie-Alexandre DENIS m...@ladenis.fr a écrit :

 #include reply.h
 
 Je vais pas aller dans les détails, je parle pour moi et c'était le sujet 
 (migrer depuis pfSense et pas vers pfSense) donc sentiments de côté pfSense 
 est un bon produit base BSD donc stable mais faut pas trop cumuler les 
 services d'une part, d'autre part les packages c'est confus, les migrations 
 et autres upgrades c'est pas fait pour la grosse prod, et tu peux avoir des 
 phénomènes particuliers sur des VLAN qui montent pas, des trunks qui tombent, 
 du Snort qui boit beaucoup.

Comme tout logiciels opensource, ceci dépends très sérieusement de ton 
matériel. Si tu fais des VLAN / Lagg (trunk) sur des cartes réseau à l'eau 
bénite (ou en mousse, au choix), comme des realtek ou autres chipset a la con 
(broadcom...), là tu es sûr d'avoir des emmerdes.

Alors avec du matériel sérieux : Chipset intel / Cpu Intel / carte réseau 
intel, j'ai jamais eu le moindre problème.

Donc évites de dénigrer des soft qui sont aussi utilisé dans des truc comme 
juniper (pour info une série J chez JunOS c'est un pauvre CPU - P4 je crois - 
et des cartes réseaux intel, sur une base FreeBSD avec quelques modules low 
level) ou Netapp (idem c'est du FreeBSD 7... + logiciels proprios dans des 
modules). 

Si FreeBSD tenais pas le pavé, je pense que ces 2 marques auraient des soucis.

 Après je l'utilise aussi en gw vpn ssl, avec un peu de routage/fw, ça va 
 super bien oui.

Evidement si tu mets 20 règles de firewall c'est que tu as un problème de 
fond : est-ce que tu utilises bien ton firewall...

Perso je préfère avoir 3 firewalls successifs que un seul avec 90 interfaces / 
vlan.

Xavier

 Le 20/09/2013 11:04, Xavier Beaudouin a écrit :
 Hello,
 
 Le 20 sept. 2013 à 10:53, Leslie-Alexandre DENIS m...@ladenis.fr a écrit :
 
 Pour l'avoir essayé en VM une fois, le produit est plutôt bien fait et 
 complet en terme de fonctionnalités. C'est plus corporate que pfSense, je 
 dirais que c'est du Netasq/Fortinet like.
 Heu j'utilise pfsense pour pas mal de choses là où je bosse...
 
 #define corporate pour un firewall...
 
 Parce que un pfSense 2.1 bien configuré c'est plus pratique que un netscreen 
 out the box... (pas taper on est vendredi).
 
 Rien que pour l'openvpn intégré qui tape sur mon annuaire LDAP, déjà c'est 
 un *bien* infini avec le wizard qui fait le binaire autoconf pour les 
 windows box ou le fichier de conf pour Viscosity ca m'as permis d'avoir la 
 paix romaine avec les gens qui se baladent un peu partout (y compris dans 
 les UE ou les VPN IPsec sont souvent mouillés on vas dire).
 
 Xavier
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] stage en alternance

2013-09-21 Par sujet Mathias HOUNGBO 
Bonjour a tous,

un ami sur Paris ou Amiens, en Master Mention Sciences et Technologie de
l'Information et de la Communication (STIC)
Spécialité Ingénierie des Systèmes et Réseaux Informatiques (ISRI)
recherche pour un stage en alternance, une entreprise qui intervient
dans les services de l'Internet, la sécurité, les noms de domaine, etc ...

Merci

désolé pour le cross-posting

Open source is not limited to software
-- 
Bénin Fedora Ambassador - Linux #213110 
Made in Bénin - http://mathias.houngbo.net 
Association IGBANet - http://www.igbanet.org/ 



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Choix d'une appliance Firewall

2013-09-21 Par sujet Francois Romieu 
Bonjour,

Xavier Beaudouin k...@oav.net :
[...]
 Comme tout logiciels opensource, ceci dépends très sérieusement de ton
 matériel. Si tu fais des VLAN / Lagg (trunk) sur des cartes réseau à
 l'eau bénite (ou en mousse, au choix), comme des realtek ou autres chipset
 a la con (broadcom...), là tu es sûr d'avoir des emmerdes.

Sauf à mettre du 8139 en production, le recours à des composants Realtek
comme les 816x dans un contexte où des VLAN sont nécessaires risque plutôt
de se heurter à des problèmes logiciels. Après, c'est sûr, les composants
Realtek n'offrent pas forcément les fonctions d'amélioration des
performances qui sont devenues la norme ailleurs et ils ont leur lot de
bugs.

Je suis preneur hors-liste si tu as quelques détails d'un cas d'utilisation
foireux avec des VLAN.

 Alors avec du matériel sérieux : Chipset intel / Cpu Intel / carte réseau
 intel, j'ai jamais eu le moindre problème.

Tu ne le choisis pas complètement au pif pour autant.

-- 
Ueimor


---
Liste de diffusion du FRnOG
http://www.frnog.org/