Compte rendu en temps réel de l'atelier Netfilter 2005

Posté par  . Modéré par Jaimé Ragnagna.
Étiquettes : aucune
0
3
oct.
2005
Sécurité
Le Netfilter Workshop 2005 a commencé ce matin à Séville : les discours d'introduction et la présentation du programme se sont terminés juste au moment de l'Eclipse solaire.

Cet atelier devrait permettre de définir les orientations du projet Netfilter, et également d'avancer sur les mises à jour de technologies à venir.

Sponsor de l'évènement, INL a mis en place un site qui permet de suivre les activités de l'atelier en temps réel.

Aller plus loin

  • # nf-HiPAC

    Posté par  (site web personnel) . Évalué à 5.

    Sur l'article de contrack on peut trouver un joli graph de performances qui cite le nom d'un projet apellé "nf-HiPAC", crée par une entreprise appellée Mara (drôle de nom), sponsor du Netfilter Workshop.
    http://www.hipac.org/index.html(...)
    Celui-ci se présente comme un nouveau filtre de paquets illustrant un "nouveau framework pour la classification des paquets" (ce sont leur termes).
    Ils critiquent l'approche d'Iptable, qui applique séquentiellement les règles, et annoncent un temps de tri presque constant quelque soit le nombre de règles.
    Pour en rajouter, ils affichent une compatibilité totale avec les outils en espace utilisateur, et affirment être utilisable en production :
    http://www.hipac.org/status/stability.html(...)

    À la lecture de la doc, j'ai l'impression que ce système n'offre pas exactement les fonctions d'iptables (http://www.hipac.org/documentation/user_guide.html(...) ) et qu'il est plus difficile à étendre :
    nf-HiPAC does not offer an API like netfilter which can be used to write match and target extensions. We already have general support for netfilter matches and targets but we are nevertheless continuing to integrate other matches and targets directly into the algorithm as native match/target because this improves their matching performance. You can help us by telling us which matches/targets you need so that we can go and implement them as native matches, if possible. Have a look at our TODO list first.

    Autre truc bizarre, les releases sont espacées de quelques années, même si la dernière remonte à quelques jours (exprès pour la conférence ?). Plutôt curieux comme mode de développement.
    http://www.hipac.org/status/news.html(...)

    Quelqu'un à eu l'occasion de tester ? C'est vraiment si bien que ça ? Pourquoi on parle pas de son inclusion dans le kernel ?
    • [^] # Re: nf-HiPAC

      Posté par  (site web personnel) . Évalué à 3.

      Il y a un speech sur nf hipac aujourd'hui, je vous en dirai plus sur le site de compte rendu dès que possible.

      Sinon, j'ai discuté avec le développeur principal, Michael Bellion, hier soir. Il semble que l'espacement des releases soit lié à son financement ou non par une société. Actuellement, il s'agit de MAra system (basé en suède) qui l'emploie.
    • [^] # Re: nf-HiPAC

      Posté par  . Évalué à 5.

      tiens tant qu'on y est il y a aussi ipset: http://ipset.netfilter.org/features.html(...) , qui selon ca: http://people.netfilter.org/kadlec/nftest.pdf(...) (a la fin notamment)
      est plus rapide que nf-hipac et iptables. quand on correlle le tout avec http://www.benzedrine.cx/pf-slides.pdf(...) on en deduit,

      ipset > nf-hipac > iptables > ipf > pf (enfin je me comprend, peut etre pas au niveau features... parce que pf il fait plein de choses cool comme les scrub in all et scrub out all )

      en gros on va dire que ca tient mieu la charge, a oui tant qu'à faire on peut voir qu'il vaut mieu mettre des cartes gigabit au lieu des 100/10 meme pour des reseaux en 100, cf: http://openbsd.bug.it/faq/pf/fr/perf.html(...)

      dans le 1er pdf on voit aussi ke les Xeon c'est mal ^-^, j'en profite pour dire que j'aime pas intel... ;-) , mais c'est pas les meme plateforme non plus...

      ps: merci brice
      • [^] # Re: nf-HiPAC

        Posté par  (site web personnel) . Évalué à 2.

        La conférence de kadlec sur ipset (http://nfws.inl.fr/en/?p=6)(...) était vraiment très interessante. Cet outil permet de gérer de manière plus intelligentes et efficaces des groupes d'objets, mais il faut tout de même noter que les deux projets (ipset et nf hipac) ne sont pas dans la même catégorie :
        - avec ipset, c'est l'admin qui réalise l'optimisation (script obligatoire d'ailleurs)
        - avec nf_hipac : l'optimisation est automatique, la gestion des règles par l'admin reste inchangée par rapport à iptables.

        Ce n'est pas tout à fait la même chose (surtout sur un jeu de règles conséquent) ;-)
        • [^] # Re: nf-HiPAC

          Posté par  (site web personnel) . Évalué à 2.

          avec ipset, c'est l'admin qui réalise l'optimisation (script obligatoire d'ailleurs)

          En même temps Ipset a l'air moins intrusif et probablement plus facile à maintenir. Et puis c'est pas vraiment de l'optimisation à la main, c'est juste déclarer des blocs nommés d'IPs et de ports, au lieu de disséminer le classement dans plusieurs règles.
          Si j'ai bien suivit on pourrait parfaitement imaginer un outil userspace qui convertirais les scripts iptables longs en version abregées par ipset (et la version ipset risque d'être plus explicite que l'originale).
          • [^] # Re: nf-HiPAC

            Posté par  (site web personnel) . Évalué à 2.

            > En même temps Ipset a l'air moins intrusif et probablement plus facile à maintenir.

            Tout à fait d'accord sur le côté moins intrusif mais nf-hipac permet d'avoir un jeu de règles linéaires et s'occupe lui-même de l'optimisation.

            > Si j'ai bien suivit on pourrait parfaitement imaginer un outil userspace qui convertirais les scripts iptables

            Pour ça autant utiliser nf-hipac

            Il vaut mieux revoir le script de génération pour être plus meta. Un outil gérant des ensembles comme nuface (http://www.inl.fr/nuface.html) par exemple pourrait générer des règles ipset au lieu de règles iptables standards et profiter de l'optimisation apporté par ipset.
      • [^] # Re: nf-HiPAC

        Posté par  . Évalué à 2.

        Les courbes du papier d'Hartmeier ne sont plus d'actualité:
        le papier a été rédigé il y a 3 ans: à l'époque pf n'avait même pas un an, et les devs OpenBSD travaillaient surtout à le rendre le plus robuste et complet possible.

        Depuis, un énorme travail a été fait sur les perfs.
    • [^] # Re: nf-HiPAC

      Posté par  (site web personnel) . Évalué à 1.

      L'inclusion de nf-hipac dans le core de Netfilter vient d'être décidée. devrait arriver dans les bacs avec le kernel 2.6.16.
  • # Question bête....

    Posté par  . Évalué à 3.

    J'ai une question bête : pourquoi ya la photo d'un ZX Spectrum sur toutes les pages du workshop ?

    C'était mon premier ordinateur et ça fait tout bizarre d'en revoir un !
    • [^] # Re: Question bête....

      Posté par  (site web personnel) . Évalué à 2.

      > C'était mon premier ordinateur et ça fait tout bizarre d'en revoir un !

      Pablo Neira, organisateur du Workshop, s'est dit la même chose lorsqu'il a vu cette photo. Aucune autre raison donc qu'un souvenir des débuts en informatique de l'organisateur.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.