07/09/2011 @ 10:31:25: blietaer: [FireWall] BBOX, ALIX et DEBIAN
Bonjour,
J'ai fait l'acquisition d'une petite Alix board 2D13: c'est un bijou.
En 1h j'avais un Linux Debian/Voyage qui tournait dessus.
La distro Voyage ONE est un strip de Debian i386 avec du support pour VoIP/Asterisk.
L'idée est, dans l'ordre:
a.) de fister ma BBox en bridge et de laisser l'alix piloter le PPPoA.
b.) de firewaller directement sur l'Alix
c.) de passer mon numéro I-Talk/BGC vers VoIP pure (voipbuster? 3*? ovh?) et de laisser l'Alix gérer mon Asterisk (surtout redirection d'appel/poste, elle ne devrait sans doute même pas faire du codec si VoIPhones)
L'étape a.) ne devrait pas poser de problème, c.) non plus vu la distro 'faite pour'
Mais trouver une belle petite solution FW à installer dans une Debian (!= d'une distro dédiée 'FW': SmoothWall PFSense,...) me parait plus 'touchy'...
Je me rends bien compte qu'un firewall 'by the book' devrait firewaller et...c'est tout, mais pas vraiment envie de me fendre d'une 2ème board (c'est aussi pour cela que j'en ai prise une à 3 trous: LAN/WAN/VoIP)
Bref: qu'est ce que vous proposez comme petit FW à 'ajouter' sur une Debian?
07/09/2011 @ 10:59:26: Olaf: [FireWall] BBOX, ALIX et DEBIAN
Honnêtement, les GUI pour iptables, ça fait de la bouillie. Perso, je le fais à la main, c'est bien plus propre et maintenable. Tu colles ta config iptables dans un script histoire de ne pas la refaire à chaque fois et ça roule
07/09/2011 @ 11:22:13: blietaer: [FireWall] BBOX, ALIX et DEBIAN
Oui, voila: iptable/script est une piste, mais les distro dédiées (ipCop, SmoothWall, PFSense, m0m0wall,...) sont vraiment sexe et stable (ouvrir un port en 2 click, c'est quand même plus simple pour moi que de causer iptable...je ne suis pas encore un pure à ce point là) avec plein de 'sifflets et cloches' (graphes, stats, logs,...) pour pas re-inventer la roue.
Bref mon choix c'est plutôt de :
SOIT prendre une distro dédiée FW et essayer taper dessus Asterisk
SOIT prendre une distro dédiée Asterisk (voyage ONE) et essayer taper dessus un bon FW
SOIT prendre une distro à tout faire (debian) et tout monter moi-même
08/09/2011 @ 18:40:41: ovh: [FireWall] BBOX, ALIX et DEBIAN
As-tu déjà essayé ça :
http://www.fwbuilder.org/
C'est un logiciel qui permet de configurer graphiquement les firewalls les plus courants du marché (dont iptables donc).
10/09/2011 @ 14:13:45: blietaer: [FireWall] BBOX, ALIX et DEBIAN
Oui j'était tombé dessus, pas encore essayé.. je me demandais ce que cela vallait.
on dirait un truc à la CheckPoint (configurer, compiler et puis pousser)
mais pas de vrai belle courbes/stats/etc...on perd un peu par rapport à un pfSense.
15/09/2011 @ 15:35:27: blietaer: [FireWall] BBOX, ALIX et DEBIAN
15/09/2011 @ 16:43:10: blietaer: [FireWall] BBOX, ALIX et DEBIAN
[mode shoutebox cont'd]
AttendsAttendsAttendsAttendsAttends ?!
Je viens de clasher un bon vieux
# pkg_add -rv asterisk (ma TOUTE première commande BSD du monde entiers)
sur ma pfSense (freeBSD 8.1) et...il le fait ce con?!
ouch! (mais est-ce qu'il va gérer les dépendances???)
J'attends de voir avant de sortir le champagne mais je crois que cela vaut la peine de se peigner un peu le cul à essayer..surtout si c'est aussi simple...bon j'ai pas encore de prompt asterisk, mais on verra bien.
Vraiment pas envie de lacher pfSense juste à cause d'Asterisk: c'est clair que c'est superbe, stable et eays...et puissant!
18/09/2011 @ 22:11:26: Keeper: [FireWall] BBOX, ALIX et DEBIAN
je confirme
suis passé de ipcop à pfsense (notamment pour sa capacité à gèrer plusieurs WAN) et c'est du bonheur pur
18/09/2011 @ 22:18:58: zion: [FireWall] BBOX, ALIX et DEBIAN
Eeeeh, Keeepeeeeer!! He is aliiive, aliiiive
18/09/2011 @ 22:50:53: Jean-Christophe: [FireWall] BBOX, ALIX et DEBIAN
on n'y croyait plus! Youhou
19/09/2011 @ 13:04:01: Keeper: [FireWall] BBOX, ALIX et DEBIAN
Oui oui
C'est surtout que le site est pas très fonctionnel depuis le boulot donc dur à suivre ^^
mais là on parle de pfsense alors
19/09/2011 @ 13:12:21: zion: [FireWall] BBOX, ALIX et DEBIAN
Le site est bloqué?
19/09/2011 @ 14:23:52: blietaer: [FireWall] BBOX, ALIX et DEBIAN
Viens de tester ASTLINUX, pas dingue: 3 reflash de la CF, et 3x pétée...vraiment pas stable. Dommage..semblait prometteuse.
19/09/2011 @ 15:08:45: Keeper: [FireWall] BBOX, ALIX et DEBIAN
Le site est bloqué?
non mais sur la quasi totalité des sites nous ne pouvons pas poster
19/09/2011 @ 15:10:37: zion: [FireWall] BBOX, ALIX et DEBIAN
Ah ça c'est pas idiot comme blocage...
19/09/2011 @ 16:01:06: Keeper: [FireWall] BBOX, ALIX et DEBIAN
je sais que j'en disais des bêtises
de là même une recherche sur un forum est bloquée. Il faut demander le déblocage.
Tout ça parce qu'il y en a un qui a dit du mal des RH sur un forum "régional"
23/11/2011 @ 15:43:45: blietaer: [FireWall] BBOX, ALIX et DEBIAN
Je gatouille un peu: pfSense est bien installé et tourne sur mon Alix.
J'ai bridgé un bon vieux speedtouch et le pppoe se fait nickel dans pfSense.
L'Asterisk embarqué dans l'alix tourne plein pot et tous les téléphones (3ème interface de l'Alix) peuvent sortir/recevoir des appelrs (yesss!)
La où cela coince...(j'ai honte)...c'est que les PCs sur l'interface LAN ne peuvent pas aller sur internet!
j'ai fait le tour de tous les menus, je pensais à un outbound NAT qui merdaient...
Le tcpdump montre bien les paquets ping qui arrivent sur l'ifce LAN, sortent par la WAN, reviennent..et puis c'est tout.
La résolution des DNS se fait bien sur les PCs (tous en DHCP) et puis...les réponses ping ne reviennent jamais.
Une idée?
Il faut configurer une route spéciale qui dit d'utiliser la WAN?
on dirait que c'est déjà OK puisque les paquets sortent bien....
c'est le NAT qui merde? pq les paquets ne sont pas re-acheminer sur l'interface LAN??
Merci !
24/11/2011 @ 13:00:24: max: [FireWall] BBOX, ALIX et DEBIAN
ufw ? tout simple, tout couillon, et tu peux ajouter des rêgles exotiques à la main si besoin
11/12/2011 @ 10:56:55: blietaer: [FireWall] BBOX, ALIX et DEBIAN
OK, tout roule super.
Mais vu que dans ma brousse j'ai une BGC ADSL de 3M/512k (Ové, ça vaaaaa hein!), il arrive que si qqun téléphone et qqun surfe, la communication s'en trouve un peu hachée...
Je sais que pfSense est justement un bonheur en traffic shaping, mais je ne suis pas vraiment certain de ce que je veux faire (et donc googler): ce n'est justement pas limiter ou faire des queues, mais juste dire:"si c'est du VoIP/RTP/SIP, le packet passe avant tout le monde..." jouable?