Et hop. un ptit topic ouvert pour Mr iraysyvalo et moi même, tout deux utilisateur de m0n0wall et heureux propriétaire d'un boitier PDS 2100 de chez Intrusion.com

-------------------------------------
Présentation du boitier
-------------------------------------
Un topic bien pratique ouvert par tifrere, un gars bien sympa qui m'a aidé à mes débuts avec la bête :
http://forum.hardware.fr/hardwarefr/OSAlternatifs/m0n0wall-firewall-BSD-fait-sujet-43956-1.htm

Le boitier est en fait un Celeron 500 (pour le modèle 2100, finalement, c'est pas du 300 ni du 600, j'ai vérifié sur Processors Finder de Intel) embarqué sur une mini CM . Elle est équipée d'un slot mémoire qui prend de la Sdram standard.
Pas de disque dur mais un adaptateur CF -> IDE.
En standard avec le boitier on trouve un Microdrive IBM 340 Mo

Specs du modèle 2100 :
- Celeron 500 Mhz
- 64 Mo de Sdram (extensible)
- Microdrive IBM 340 Mo sur adaptateur CF->IDE (Le slot est compatible Compact Flash sans problème)
- 3 Interfaces 10/100 Ethernet
- 2 Ports USB
- Interface série (pour administration)
- Dimension : 22 cm Large x 4 cm de haut

Les versions supérieures (PDS 2310 par exemple) embarquent plus de mémoire, des processeurs > 500 Mhz et un disque IDE à la place du Microdrive.


-------------------------------------
Le Firewall
-------------------------------------

m0n0wall est un Firewall basée sur FreeBSD 5.x (un dérivé d'unix)dont les fonctionnalités sont les suivantes :

- Firewalling
- NAT / PAT
- Dynamic DNS update
- SSL
- VPN / IPSec
- Traffic Shaper
- DNS / DHCP
- Administration par interface full web en ssl (mise à jour, etc...)
- Etc....
- screenshots ici : http://www.m0n0.ch/wall/screenshots.php
- A développer

-------------------------------------
Actualités m0n0wall
-------------------------------------
Version stable : 1.11
Version béta : 1.2b9 (change log : http://m0n0.ch/wall/beta.php)

En version béta toujours :
Un m0n0wall amélioré (dans le sens ou il y a des fonctions en + et bien sympathique du genre le loadbalancing et le failover sur 2 interfaces) : PfSense
http://www.pfsense.com/

NOUVEAU : monoBSD
Maintenant lorsqu'on arrive sur le site de m0n0wall (http://m0n0.ch/) on tombe sur une nouvelle partie du site m0n0BSD, un mini FreeBSD à installé sur CF ou microdrive, même type d'installation que m0n0wall. excellent !
-------------------------------------
Bidouilles & Customs
-------------------------------------

- Voir changements de ventilateurs en page 2

-------------------------------------
les Tools & autres
-------------------------------------

m0n0wall faisant partie des freesoftware pas mal de gens commencent à ajouter ou améliorer des fonctionnalités.

Petit outils sympa : monomon
Outil qui permet de monitoré l'activité du Firewall depuis son poste windows

http://monomon.matf.de/

Analyser les logs m0n0wall :
http://wallwatcher.com/

J'ai commence a y jouer et c'est vraiment cool !

-------------------------------------
Le boitier en lui-meme
-------------------------------------

Sobre, sa connectique (3 RJ45, 2 USB -- va falloir trouver quoi en faire, monitoring UPS peut-etre ?, plus 1 port serie).

Sur le mien, les 3 interfaces RJ45 E1, E2, E3 etaient inversees par rapport au nom des periphs BSD. A savoir sis2 (E1/WAN pour nous), sis1 (E2/OPT1 pour le moment mais on peut changer le nom, futur DMZ je pense) et sis0 (E3/LAN pour nous).

Les diodes correspondant aux interfaces rezo s'allument des qu'il y a activite

Pour le moment, les ventilos embarques sont un peu bruyants !

-------------------------------------
m0n0wall
-------------------------------------

Il y a plusieurs firewall qu'on peut mettre sur ce genre de petit boitier mais m0n0wall fait vraiment fort dans sa categorie ..

Premiere bidouille (tres facile via l'interface Web de m0n0), j'ai du assigner de force l'adresse MAC d'une carte rezo reconnue par le modem du FAI ..

petite question : le bousin la, il est a fabrique soit meme ou il s'achete tel quel ??

si reponse = 2 , on le trouve ou ?

Le bousin PDS 2100 .. c'est intrusion.com qui les vend(ait ??) ..

Pour d'autres boitiers sympas :
- les Soekris (que j'ai eu le plaisir de signaler depuis longtemps)
-> cf http://soekris.kd85.com et http://www.soekris.com

- les WRAP
-> cf http://www.pcengines.ch/

Ces deux premiers sont officielement supportes par m0n0wall !

- les OpenBrick
-> cd http://www.openbrick.com/

Et Beavis peut nous parler de ce qu'ils font ici -> http://www.bearstech.com/

Tiens chose intéressante, sur les OpenBrick on peut installer une mini debian assez cool pour qui veut y mettre son propre package (iptables, pure-ftpd, etc...)

Pour les boitiers, on les trouve chez moi lol

Et Beavis peut nous parler de ce qu'ils font ici -> http://www.bearstech.com/

Qui me parle ?

On a testé pas mal de boitiers.

Les Neos de chez Lex sont très bô !! Et completement silencieux, sans ventillation du tout !
Un caloduct envoi la chaleur sur les cotés du boitier qui servent de dissipateurs.
Ils existes en pas mal de version : que ce soit pour la taille ou les bus (mini-pci / pcmcia ).
Il y a même une version avec 3 ports gigabit avec laquelle on bosse pour un projet avec l'INRIA.

Le Soekris, j'ai eu l'occasion de le voir dans des conférences/expo linux. Le wrap s'en rapproche beaucoup.
Actellement, on teste les boitiers wrap de pc-engines pour en faire des AP wifi en WPA, pour un projet wifi dans la vallée d'Ornon.

je teste la version avec 1 ethernet, 2 mini-pci ce qui permet d'y mettre 2 cartes wifi.

On a aussi testé des boitiers rackables 1U/19".

Le point commun de boiters qu'on utilise c'est d'avoir l'os sur une compact-flash.

On bosse avec une distrib faite maison, basée en gros sur une lfs avec pas mal de scripts/patches maison.
Elle est strippée au maximum, elle tient largement sur une CF de 128Mo à 60% pleine.
On a pris le parti d'utiliser une glibc complète pour pouvoir vraiment installer ce qu'on veut dessus.
On fabrique des packages binaires au format debian, car apt-get est très pratique pour gérer nos mises à jour.

Test du DNS forwarding (dnsmasq) aujourd'hui ! Ne pas oublier d'enregistrer les baux obtenus par les clients DHCP. Ceux-ci doivent aussi envoyer leur nom pour que le reste du reseau local les connaisse automatiquement.

-------------------------------------
Administrer son Firewall à distance : Connexion en HTTP-Secure
-------------------------------------

Lorsque vous voulez administrer votre Firewall depuis l'extérieur, mieux vaut faire transiter le mot de passe via HTTPs où les trames http sont alors cryptées via SSL.

Activer la connexion en HTTPS :

Pour cela rien de plus simple, il suffit d'activer au niveau de m0n0wall l'accès à l'interface graphique en HTTPS.

Rendez vous dans System -> General Setup puis webGUI protocol.
Sélectionnez https (vous pouvez en profiter pour changer le port d'écoute également, au cas ou vous auriez déja un serveur qui écoute en ssl sur le port 443)


Le problème (enfin on va dire l'inconfort plutot) c'est que vous ne pouvez pas accepter définitivement le certificat SSL lors de la connexion avec votre butineur préféré , que cela ne tienne, nous allons créer un certificat autosigné (donc trusté par nous ) grâce à openssl sous nux

Création du certificat SSL :
Je fonctionne sous debian. pour récupérer openssl je me contente d'utiliser aptitude , donc un ptit apt-get install openssl suffit. Vous pouvez également installer openssl via package, pour plus d'infos pensez à votre ami Google

1) On génère la clé. Type RSA, longueur 1024 dans le fichier pds2100.key

# openssl genrsa 1024 > pds2100.key
Réponse du shell : Generating RSA private key, 1024 bit long modulus

2) Demande de certificat avec la clé que nous venons de générer. Mon fichier de configuration se trouve dans /etc/ssl, vous pouvez modifier en accord avec votre config
# openssl req -config /etc/ssl/openssl.cnf -new -key pds2100.key > pds2100.csr

Réponse du shell : plusieurs questions auxquelles il va faloir répondre
Je rempli avec mes infos à moi que g

Country Name (2 letter code) [AU]: FR
State or Province Name (full name) [Some-State]: France
Locality Name (eg, city) []: Lyon
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Nextworlds
Organizational Unit Name (eg, section) []: Security
Common Name (eg, YOUR name) []: mon nom
Email Address []: mon adresse @ mon domaine
A challenge password []: un mot de passe
An optional company : rien

3) Enfin, on génère le certificat. Dans cet exemple, Format X509, validité 4000 jours (on peut faire plus), notre demande pds2100.csr, notre clé pds2100.key et notre fichier de sortie pds2100.crt

# openssl x509 -req -days 4000 -in pds2100.csr -signkey pds2100.key -out pds2100.crt

et voilou

Installation dans m0n0wall sur le Firewall :

Rendez vous maintenant dans la section System -> Advanced


Ensuite on va utiliser les fichiers .crt et .key donc respectivement dans mon exemple pds2100.crt et pds2100.key

En dessous de "WebGUI SSL certificate/key" :
Copier coller le contenu du fichier .key dans la section Key
Copier coller le contenu du fichier .crt dans la section Certificate

Cette opération sur m0n0wall requiert un petit reboot, hop c parti......

Fin

Tada! Connectez vous en HTTPS, vous verez le détail de votre jolie certificat
Acceptez le certificat de manière définitive, et hop, le tour est joué
Have fun

Sortie de m0n0BSD http://m0n0.ch/bsd/

Ok, jusque-la je me connectais en interne en https .. j'ai donc accepte le certificat par defaut de m0n0wall

Le 05 juillet 2005 - 14 h 12, Tugs a écrit : Le problème (enfin on va dire l'inconfort plutot) c'est que vous ne pouvez pas accepter définitivement le certificat SSL lors de la connexion avec votre butineur préféré , que cela ne tienne, nous allons créer un certificat autosigné (donc trusté par nous ) grâce à openssl sous nux

Je peux continuer a utiliser ce certificat par defaut non ?*

Surtout que plus loin dans tes manips, tu acceptes quand meme a partir de l'exterieur ton certificat autosigne .. donc apres, tout repose comme dans le cas du certificat par defaut de m0n0wall sur la robustesse de ton mot de passe .. (au fait, l'admin par defaut du FW n'est plus admin chez moi )


*Mais ton tuto est tres cool et de ce pas, je vais changer mon certificat

PS : si on n'est pas en IP fixe, reste a determiner l'IP du FW !!?

Rien à voir avec l'ip fixe, ce n'est pas un certificat basé sur le SQDN

pour le certificat par défaut, tu veras que dans Mozilla par exemple, tu ne peux pas le conserver (accepter de manière définitive le certificat) c'est ca le prb

Le 05 juillet 2005 - 17 h 36, Tugs a écrit : Rien à voir avec l'ip fixe, ce n'est pas un certificat basé sur le SQDN

On s'est pas compris .. tu parles de pouvoir acceder au FW depuis l'exterieur .. il faut bien que je repere l'IP de mon FW pour ca, non ?

pour le certificat par défaut, tu veras que dans Mozilla par exemple, tu ne peux pas le conserver (accepter de manière définitive le certificat) c'est ca le prb

Ok, par defaut, mon mozilla l'acceptait par session .. j'l'ai laisse faire

OKi tu parlais d'ip via l'extérieur, autant pour moi, à ce moment la il te faut user (et abuser) de la possibilité de mettre à jour un DNS dynamique

-------------------------------------
Logging
-------------------------------------

Evidemment, m0n0wall a une page de logs ..

Mais il a aussi un service syslog (accessible depuis Diagnostics->Log->Settings) ..
Les logs sont alors retransmis en UDP/514 vers le serveur qui veut bien l'ecouter.

Tugs a deja parle de monomon et de WallWatcher sous Win qui permettent de voir a distance et en temps reel ce qui se passe sur le routeur.

Netcat peut suffire a la tache (multi-plateformes) mais reste rudimentaire. Sous *nix, syslogd bien sur (+les nouveaux syslog-ng et nsyslog)

Sorti de la 1.2B10 :

# 1.2b10 (09/11/2005)

* updated base system to FreeBSD 4.11-RELEASE-p11
* upgraded PHP to 4.4.0
* updated dhcpd to 3.0.3
* updated racoon to 20050510a
* removed psm0 from generic-pc/cdrom kernel config as there have been reports of exotic machines that lock up with it and it serves no use anyway
* fixed bug on DNS forwarder page where sometimes the wrong entry would be edited/deleted
* fixed name resolution on firewall logs page
* fixed PPTP interface display on firewall logs page
* redirect after clearing logs to avoid reposting on next refresh in browser
* allow current tab to be clicked to refresh log page for all logs (not just firewall log)
* allow source interface to be selected on Diagnostics: Ping page
* DNS forwarder: entire domains may be overridden by specifying a DNS server to be queried for them
* cleaned up captive portal local user manager to be consistent with other user databases in config.xml (i.e. don't store usernames in XML tag names anymore)
-> existing users won't be converted and will have to be manually entered again! (since this is a beta version and there has never been a release with the captive portal local user manager before)
* added ARP table diagnostics page
* added Traceroute diagnostics page
* added firewall states diagnostics page
* fixed filter rule generator to generate rules for DHCP on optional interfaces if the DHCP server is enabled on the interface that the optional interface in question is bridged to (e.g. OPT1 bridged to LAN and DHCP server running on LAN -> clients on OPT1 can now use the DHCP server on LAN as well). Note: the interface that the DHCP server is running on must have a link for this to work (cf. FreeBSD PR kern/41632 - there's a fix, but it's too intrusive)
* fixed problem with racoon not updating the expiration timer of dynamically generated policies (for mobile clients) upon rekeying
* allow server/port to be specified for DynDNS client
* many OpenVPN fixes/improvements

Bientot la release, ca promet une jolie version

Bonjour tous,
je suis un utilisateur du m0n0wall !
Il est tout simplement Génial, et je sens mon réseaux en sécurité.

Seulement je me demandais, savez-vous, ou avez vous l'expériance d'un m0n0wall sur un réseaux à fort trafique?
car j'ésite a en placer un à l'entrée des serveurs pour mon boulo (environs 20'000 connexions simultanées.)
et je voulais savoir si M0nowall supporterais une telle charge, et combien de connexion il supporterait.

Merci pour les indications.

Kweb

kweb, base sur un BSD, logiciellement il devrait faire l'affaire ..

Maintenant, faut aussi voir a muscler le matos sous-jacent ..

PS : Quel est ton FW actuel dans cet environnement ?

Sortie de la 1.2 en Release !

10/09/2005 - m0n0wall 1.2 released!
m0n0wall 1.2 includes many new features as well as improvements to existing ones (captive portal, PPTP VPN, logging, DHCP relay, diagnostics, DynDNS updater, IPsec). Countless small changes have been made to make the webGUI even more useful, and many bugs have been fixed in all components.

Et... Enfin ma photo dans la gallery officielle m0n0wall

http://m0n0.ch/wall/gallery.php
(Sébastien Tugs)

Pour répondre à Kweb, j'ai mis en prod 2 m0n0wall sur des PDS 2300 (512 Mo de ram) essentiellement gonflé pour le VPN (c'est le cryptage/décryptage qui charge la machine)

4.000 Connex simmultanées ca bronche pas.

Tu es sur de ton chiffre ? 20.000 "simultanées" ?? 20.000 Connexions concurentes ca fait beaucoup qd même.