La première version du HOWTO de ce nouveau filtre de paquets, vient de sortir. En gros, PF reprend la syntaxe d'IPFilter et permet donc une migration facile.
Aller plus loin
- The OpenBSD Packet Filter HOWTO (28 clics)
- Site de PF : OpenBSD Packet Filter (21 clics)
# Bonjour, je viens foutre la merde
Posté par Anonyme . Évalué à -5.
[^] # Re: Bonjour, je viens foutre la merde sur <U>BSDFR</U>
Posté par Anonyme . Évalué à -10.
*BSD sux
[^] # Re: Bonjour, je viens foutre la merde sur <U>BSDFR</U>
Posté par Anonyme . Évalué à -4.
[^] # Re: Bonjour, je viens foutre la merde sur <U>BSDFR</U>
Posté par Anonyme . Évalué à -5.
[^] # Re: Bonjour, je viens foutre la merde
Posté par Brice Favre (site web personnel) . Évalué à 3.
On est pas sur net2one ici avec notre programmation d'informations selon notre bon plaisir.
Enlevez vos oeillères
Si ça vous emmerde tellement, postez des news linux, faites de la pub pour un autre site plus othodoxe à vos yeux ou montez en un.
[^] # Re: Bonjour, je viens foutre la merde
Posté par Anonyme . Évalué à -8.
Dans le genre cretin tu es au top permet moi de te le dire.
Sinon pour t eviter continuer dans la lame qui est tienne je t invite a passer chez net2one quand tu veux pour voir comment on fonctionne.
[^] # Re: Bonjour, je viens foutre la merde
Posté par Brice Favre (site web personnel) . Évalué à -1.
Je recois tout les matins des articles sur un sujet précis (ma boite).
C'est sympa mais souvent je reçois deux ou trois fois la même chose.
Enfin mes conneries je les assument (au risque d'y perdre des plumes et des xps)
[^] # Re: Bonjour, je viens foutre la merde
Posté par Anonyme . Évalué à -3.
[^] # Re: Bonjour, je viens foutre la merde
Posté par Anonyme . Évalué à -1.
Y'a qu'a voir les 2 ou 3 commentaires qui se battent en duel dans quelques-unes de leur news.
[^] # Re: Bonjour, je viens foutre la merde
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à 8.
Toolinux la première chose qu'ils ont fait en arrivant, c'est contacter les différents acteurs du libre pour dire "linuxfr dans quelques mois n'existera plus, on va les remplacer, bla bla". Bon bah ça fait quelques mois et on est toujours là, par contre on entend moins parler d'eux en ce moment.
[^] # Re: Bonjour, je viens foutre la merde
Posté par Brice Favre (site web personnel) . Évalué à 1.
Je suis pour la complémentarité des deux. Je veux recevoir ma revue de presse sur un sujet précis, je m'inscrit sur net2one et reçois tous les matin mon joli mail en html.
Je veux avoir un petit point sur des sujets susceptibles de m'intéresser tout en ignorant qu'ils existent, je viens sur linuxfr.
De temps en temps je tombe sur toolinux en faisant une recherche sur google.
Voilà.
[^] # Re: Bonjour, je viens foutre la merde
Posté par Annah C. Hue (site web personnel) . Évalué à 2.
Procmail envoie ça directement à Dave Null.
[^] # Re: Bonjour, je viens foutre la merde
Posté par Anonyme . Évalué à -4.
Et tu browses avec lynx par plaisir, aussi?
[^] # Re: Bonjour, je viens foutre la merde
Posté par Anonyme . Évalué à -1.
non, w3m, pourquoi ?
[^] # Re: Bonjour, je viens foutre la merde (préparez vos PG)
Posté par Brice Favre (site web personnel) . Évalué à -1.
Attention
-1
[^] # Re: Bonjour, je viens foutre la merde
Posté par Guillaume Plessis (site web personnel) . Évalué à 0.
c est clair, leur portail est nettement moins actif en ce moment. ESperons pour eux que des nouveautes apparaitront bientot, sinon leurs predictions pourraient bien se retourner contre eux.
Tant pis pour la pluralite en ce moment, meme si de nombreuses news se recoupent (sans trol, aucun...)
De toutes facons, j aime moins l orange :)
[^] # Re: Bonjour, je viens foutre la merde
Posté par Anonyme . Évalué à -1.
[^] # Re: Bonjour, je viens foutre la merde
Posté par Pascal Terjan (site web personnel) . Évalué à 0.
"Vous avez combien de visiteurs par jour?"
"Je ne sais pas exactement mais plus que LinuxFR"
"C'est à dire ?"
"Je ne sais pas mais ça fait beaucoup"
Ca m'avait fait bien marrer le gars qui ne sais pas combien il a de visiteurs mais qui dit seulement "plus que LinuxFR" :)
# Portage Linux?
Posté par Anonyme . Évalué à 8.
Ou est ce trop dépendant du kernel et il faudrait tout réécrire?
[^] # Re: Portage Linux?
Posté par Foxy (site web personnel) . Évalué à 10.
Mais l'implémentation des piles TCP/IP Linux et BSD* sont assez différentes et cela obligerait à un gros travail de portage.
Il faut savoir qu'Ipfilter fonctionnait jusqu'aux noyaux de la série 2.0 mais que le portage fût abandonné pour les séries suivantes car le dvpt était trop important et que Linux a son propre système de FW :-(
De plus, IPFilter nécessitait des modifs pour compiler et fonctionner sur OpenBSD par rapport à la branche de développement général. Donc l'implémentation OpenBSD est déjà une particularité, alors celles entre Linux et BSD*, bonjour la masse de boulot. (enfin à mon avis, car je ne me suis jamais penché en détail sur les différences des codes des piles TCP/IP).
[^] # Re: Portage Linux?
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à 4.
[^] # Re: Portage Linux?
Posté par Annah C. Hue (site web personnel) . Évalué à 10.
(et puis en plus iptables n'est pas supérieur à ipf en ce qui concerne le filtrage ip, cf les bugs "de jeunesse" d'IPtables http://www.securityfocus.com/bid/2602(...) ).
[^] # Re: Portage Linux?
Posté par Gaël Le Mignot . Évalué à 5.
Quand a lisibilite des regles, c'est une histoire de gout... Moi je ne trouve les regles IPTables complexes a lire.
entre
block in quick on kue0 from 10.0.0.0/8 to any
et
iptables -I INPUT -i eth0 --source 10.0.0.0/8 -j DROP
je ne vois pas trop en quoi l'une est plus simple ou plus complexe
[^] # Re: Portage Linux?
Posté par Gaël Le Mignot . Évalué à -1.
> Quand a lisibilite des regles, c'est une histoire de gout... Moi je ne trouve les regles IPTables complexes a lire.
Quand a la lisibilite des regles, c'est une histoire de gout... Moi je ne trouve pas les regles IPTables complexes a lire.
[^] # Re: Portage Linux?
Posté par Annah C. Hue (site web personnel) . Évalué à 5.
[^] # Re: Portage Linux?
Posté par Gaël Le Mignot . Évalué à 4.
En plus l'avantage d'une commande est qu'il est tres facile d'enlever ou de rajouter des regles en live.
Par exemple chez moi root n'a pas le droit de faire sortir des paquets (iptables -A OUTPUT -m owner --uid-owner 0 -j DROP) mais quand je fais un apt-get je l'y autorise temporairement.
Ou bien tu veux loguer temporairement certains paquets pour faire un test quelconque.
[^] # oui mais non...
Posté par _PinG _ . Évalué à 5.
Je vais rechercher justement un mail ou Rusty Russel (le 'kernel_firewall_hacker' ou 'iptables/netfilter_hacker', au choix) expliques ce choix d'une commande et non d'un fichier de conf... C'est relativement interessant à lire...
Dans le même esprit, ceux qui sont interessés par netfilter/iptables peuvent lire http://netfilter.samba.org/unreliable-guides/netfilter-hacking-HOWT(...) : "The Linux netfilter Hacking HOWTO"...
Allez aussi jeter un oeuil sur
http://netfilter.samba.org/unreliable-guides/(...) , c'est très interessant...
[^] # Re: oui mais non...
Posté par Anonyme . Évalué à 0.
De plus lorsque tu fais des modifs c'est quand meme plus simple de lire un fichier dans un editeur que d'avoir a faire un 'ipchains -L -n | less' a chaque modification.
Et puis tu compares le fait de lancer une commande a celui d'editer un fichier, mais tu oublierais pas volontairement la consultation des chaines existantes avant de lancer la commande ?
Resultat je prefere largement un fichier de regles :)
[^] # Re: oui mais non...
Posté par _PinG _ . Évalué à 1.
Quand à vérifier les règles avant de les modifier/ajouter dynamiquement, si tu te contente d'interdire une IP en haut de la chaine, il n'y a pas de problèmes...
[^] # Re: oui mais non...
Posté par Gaël Le Mignot . Évalué à 1.
Libre a toi de faire un fichier avec tes regles dedans et un script shell ipt.sh:
#!/bin/sh
IPTABLES=/sbin/iptables
while read line
do
$IPTABLES $line
done
Et apres tu fais ipt.sh < ruleset
[^] # Re: oui mais non...
Posté par _PinG _ . Évalué à 1.
[^] # Re: oui mais non...
Posté par Anonyme . Évalué à 0.
Merci pour la confirmation.
[^] # Re: Portage Linux?
Posté par Anonyme . Évalué à -1.
PF il booste trop ta mere !
[^] # Re: Portage Linux? (non, pitié pas ça ;-)
Posté par Eric Leblond (site web personnel) . Évalué à 6.
Tu as oublié de préciser que cette assertion est vraie uniquement pour les gens qui changent leur sendmail.cf à la volée.
Plus sérieusement, la syntaxe de ipf est somme toute honnête (pour écrire une règle de filtrage), mais il lui manque la souplesse de l'appel en ligne de commande d'iptable:
Ceci permet de faire des scripts iptable modulable et très efficace.
[^] # Re: Portage Linux? (non, pitié pas ça ;-)
Posté par Sebastien (site web personnel) . Évalué à 5.
Par contre, un truc que j'aime bien et que je ne sais pas si netfilter fait, c'est la possibilité d'avoir un jeu de règles actif et un passif. On insère les règles dans le second, on échange les deux pour tester et on remets le premier ensuite pour continuer le bidouillage.
[^] # Re: Portage Linux?
Posté par gabuzo . Évalué à 0.
[^] # Re: Portage Linux?
Posté par Gaël Le Mignot . Évalué à 1.
/etc/init.d/iptables {start,stop,restart}
Suffit de faire un script shell, c'est bien compliquer
[^] # Re: Portage Linux?
Posté par gabuzo . Évalué à 1.
Je sais bien que l'on peut faire un script mais cela ne change rien.
Dans le cas de pf/ipf la configuration s'effectuant avec une seule commande le firewall passe immédiatement de l'état avant configuration à l'état après configuration (pour couper les cheveux en 4 on peut aussi ajouter un état pendant).
Avec iptables même si l'on utilise un script, il y aura des états intermédiaires après chaque ajout de règle. Pour être vraiment paranoïaque il faudrait dans la conception de son firewall prendre en compte les états intermédiaires pour s'assurer que quelque soit la situation la machine ne se retrouve pas dans un état bizarre ou que ces états intermédiaires ne peuvent pas être utilisés par des méchants.
[^] # Re: Portage Linux?
Posté par _PinG _ . Évalué à 2.
exemple :
'iptables-save > mes_reges_a_moi' pour sauver et 'iptables-restore < mes_reges_a_moi' pour restaurer... ca sauve toutes les règles, user-defined chains, defaults policies, et autres...
[^] # Re: Portage Linux?
Posté par _PinG _ . Évalué à 5.
Quand à savoir si ce qu'a dit Fabien sur Netfilter est vrai, c'est très compliqué, car très subjectif. Mais l'on peut parler de certains avantages de netfilter sur ses concurents directs :
*/ modularitée/flexibilitée qui permet d'étendre les fonctions/targets.
*/ système de chaines très pratique et très fonctionnel
*/ statefull
*/ permet de matcher les adresses mac
*/ système de matching par limites, pour éviter les DDOS par exemple (système inteligent : edge et limit-burst)
*/ matching par owner (propriétaire), cad la personne qui a créé le paquet...
*/ rajout de targets (notement LOG qui est très pratique pour la lisibilitée de ses fichiers de logs...)
Attention, je n'ai pas dit qu'il était le seul à posséder ces attributs (ie de nombreux firewalls sont statefull de nos jours), juste qu'il a l'avantage de les réunir tous, et d'être facilement extenssible.
[^] # Re: Portage Linux?
Posté par Anonyme . Évalué à 0.
[^] # Re: Portage Linux?
Posté par Gaël Le Mignot . Évalué à 3.
Ce qui compte surtout dans un firewall, AMHA, c'est d'abord sa fiabilite et ensuite ses differentes possibilites (nat, statefull, fitre des portscan, detection des paquets malformes, ...). Quelqu'un sait-il quels sont les fonctionnalites permises par PF et pas par Netfilter et reciproquement?
[^] # Re: Portage Linux?
Posté par Miod in the middle . Évalué à 4.
En ce qui concerne OpenSSH, le travail était somme toute relativement simple : il s'agissait d'adapter petit à petit le code aux subtilités de chaque système, au besoint en fournissant des fonctions de remplacement (très peu de systèmes ne dérivant pas de 4.4BSD fournissent les fonctions err(), errx(), warn() et warnx() dans libc, pour prendre un exemple simple).
Ce travail a été réalisé par un groupe de personnes indépendantes d'OpenBSD. Il a été reconnu et officialisé car il s'agit d'un travail de qualité.
Refaire la même chose avec PF est bien entendu théoriquement possible, mais, outre le fait que PF évolue plutôt vite pour l'instant, il est volontairement très lié aux particularités d'OpenBSD. Il ne devrait pas être trop difficile d'en effectuer un portage sur un autre système BSD, car les piles tcp/ip sont proches (et même identiques pour la pile ipv6 qui est KAME). Par contre, pour un autre système, ce sera beaucoup plus délicat...
[^] # Re: Portage Linux?
Posté par Anonyme . Évalué à 10.
Le premier c'est que PF optimise la table de règles tout seul, suffit de mettre par interface, prototocole et tout et un truc qui s'appelle le "skip step" optimise.
Le meilleur : le state modulation
OpenBSD dispose d'un excellent niveau de production de nombres aléatoires, et donc comme les numéros de séquence de paquets en dépendant, ça permet d'obtenir une bonne distribution. Bref, il y a cette étude à consulter d'abord :
http://razor.bindview.com/publish/papers/tcpseq.html(...)
Ensuite, on peut demander au parfeu de remplacer les ISN des machines par celles de la machine parefeu sous OpenBSD. Ensuite la normalisation de paquets, un peu plus consommateur de ressources mais tout aussi intéressant.
Imaginez : un OpenBSD sur une bonne machine, agissant comme routeur/parefeu et qui remplace les ISN par les siens, ça permet de disposer d'une bonne sécurité pour les machines dont les piles TCP/IP sont un peu moins bonnes :) Cool non ?
Ya plein de bonnes idées et quelques unes pourraient trouver une appréciable place dans Linux, sans doute. Faut lire la FAQ de PF c'est pas long du tout (40 Ko) et tout est expliqué. Espérons que l'auteur placera la FAQ en français rapidement sinon je peux la donner à Penso pour qu'il la colle quelque part ici.
J'adore voir naître des softs quand ils sont prometteurs comme ça.
--
Gilbert
(gilbertf@posse-press.com)
[^] # Re: Portage Linux?
Posté par _PinG _ . Évalué à 6.
OpenSSH est donc vachement plus secure sous OpenBSD que la version portée, et oui monssieur (et je fait pas de troll à 3 francs, les gens ici qui me connaissent savent que je suis plutôt pro-Linux que l'inverse).
[^] # Re: Portage Linux?
Posté par Anonyme . Évalué à 1.
[^] # Re: Portage Linux?
Posté par Anonyme . Évalué à 0.
C'est dommage, car OpenSSH est vraiment un bon petit soft et qu'il faudrait consacrer autant de soin à le porter sous Linux qu'à le développer sous OpenBSD. Je suis sous OpenBSD mais bon j'ai mes camarades autour de moi sous Linux et OpenSSH pour se créer des tunnels c'est trop bon.
Je pense m'acheter une carte Wireless et voir ce qu'on peut faire avec SSH dessus histoire d'avoir un petit réseau LAN à Posse (ils mélangent tellement les Windows ici qu'on accède à rien sans problèmes même avec Samba.. ! :-(
Merci pour ta remarque ;->
--
Gilbert
(gilbertf@posse-press.com)
# IPFilter > netfilter ?
Posté par BaaL . Évalué à 0.
Le fait est que netfilter est encore beaucoup trop jeune par rapport à ipfilter. Il n'y a qu'a voir les commentaires dans les sources de netfilter :
fichier : net/ipv4/netfilter/ip_conntrack_proto_tcp.c
/* FIXME: Examine ipfilter's timeouts and conntrack transitions more closely. They're more complex. --RR */
Je ne dit pas que netfilter c'est pas bien mais juste que AMHA un firewall en milieu critique devrait utiliser OpenBSD avec ipfilter. Pour un firewall chez vous netfilter est très bien.
(merci Amon pour l'info ... m**** je suis demasqué maintenant :)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.