IPFilter est le filtre de paquets IP (qui gère le NAT aussi) présent dans tous les OpenBSD antérieurs au 3.0. Il est considéré comme mature et stable.
Les nouvelles versions d'OpenBSD (>= 3.0) utilisent pf, un filtre de paquet qui dispose aussi de fonctionnalités NAT, développé au sein d'OpenBSD, et qui est aussi stable et fonctionnel (quelques fonctions supplémentaires par rapport à IPFilter) mais encore jeune.
Le point intéressant derrière cette nouvelle est que pour une fois ça n'a pas dégénéré en trolls et flames sur les listes de diffusions et forums Usenet d'OpenBSD.
Aller plus loin
- La news sur deadly (2 clics)
- « DarrenBSD » (3 clics)
- OpenBSD (2 clics)
# Petite précision
Posté par Miod in the middle . Évalué à 10.
Au lieu de lire
«Les nouvelles versions d'OpenBSD (>= 3.0) utilisent pf et nat, des outils développés au sein d'OpenBSD qui sont eux aussi stables et fonctionnels (quelques fonctions supplémentaires par rapport à IPFilter) mais encore jeunes.»
il faut lire :
«Les nouvelles versions d'OpenBSD (>= 3.0) utilisent pf, un filtre de paquet (disposant également de fonctionnalités NAT) développé au sein d'OpenBSD qui est aussi stable et fonctionnel (quelques fonctions supplémentaires par rapport à IPFilter) mais encore jeune.»
[^] # Re: Petite précision
Posté par Jean-Yves B. . Évalué à 6.
Ça m'apprendras à poster trop vite une fois de plus.
[^] # Re: Petite précision
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à -4.
[^] # Re: Petite précision
Posté par VACHOR (site web personnel) . Évalué à 5.
"Le point intéressant derrière cette nouvelle est que pour une fois ça n'a pas dégénéré en trolls et flames sur les listes de diffusions et forums Usenet d'OpenBSD."
Comme quoi tout peut arriver ;-)
# n'empeche que
Posté par Alphonse Oncle . Évalué à 3.
[^] # Re: n'empeche que
Posté par Jean-Yves B. . Évalué à 10.
L'OpenBSD de Darren n'est pas officiel, donc il ne bénéficiera pas forcément de la même aura que le « vrai ». En plus, OpenBSD sur CD est livré avec pf, pas ipf donc ça ne pose pas de réel problèmes pour ceux qui installent depuis le CD. Au pire certaines personnes qui ne voulaient pas upgrader à cause du passage à pf ne passeront jamais à pf mais bon, c'est le jeu.
Le développement de pf est assez actif (dixit le cvs), et la motivation semble grande (heureusement).
Je pense que le coup de Darren va plus motiver les troupes à faire le meilleur produit possible plutôt que les démotiver ...
Un truc qui m'étonne c'est qu'il n'y ai pas encore de bagarres à propos du nom.
[^] # Re: n'empeche que
Posté par Miod in the middle . Évalué à 10.
Quelques indices :
Primo, le produit de Darren Reed s'identifie comme «OpenBSD/IPF» ou «OpenBSD with IPF». Certes, pas le système lui-même, mais pour le télécharger il faut bien être passé sur le site de Darren Reed...
Secundo, Theo de Raadt est actuellement en vacances en Argentine, éloigné de tout ordinateur et connexion internet pour quelques jours encore, donc il est normal qu'il n'ait pas réagi pour le moment.
Tertio, nous avons briévement discuté de cette situation hier soir, et le consensus général était qu'il valait mieux en rire qu'en pleurer...
On verra bien, d'ici quelque temps, la popularité de cette variante du système, et la promotion qu'en fait Darren Reed qui, pour l'instant, n'a pas cherché à faire une publicité particulière à ce travail.
[^] # Re: n'empeche que
Posté par Loic Jaquemet . Évalué à -3.
Ca veut dire que sans M. de Raadt , 'OpenBSD' ne peut pas réagir ?
mdr ...
[^] # Re: n'empeche que
Posté par Le Mollusque Courtois . Évalué à 8.
mdr ... »
Ca veut dire qu'on peut réfléchir avant de réagir (on peut remarquer aussi que l'inverse est franchement con.) Et attendre que le 'leader' soit là pour réagir officiellement, si nécessaire. Surtout quand il n'y a pas urgence.
De plus, il me semble que la réponse était donnée dans le Tertio.
[^] # Re: n'empeche que
Posté par Miod in the middle . Évalué à 5.
Il est normal d'attendre son retour avant de prendre une eventuelle decision qui le concerne au plus haut plan.
[^] # Re: n'empeche que
Posté par nicolas garnier . Évalué à 5.
Après libre à eux de faire l'effort pour re-installer IPF sur leur système plutot que d'utiliser celui déjà présent par défaut.
De plus je ne suis pas sûr que Daren s'amuse à maintenir sa version par rapport aux évolutions d'OpenBSD, et surtout qu'il sorte sa version pour toutes les architectures supportées par Théo.
[^] # Re: n'empeche que
Posté par Jean-Pierre Heraton . Évalué à 7.
je trouve que c une excellente nouvelle.
[^] # Re: n'empeche que
Posté par VACHOR (site web personnel) . Évalué à 5.
Le problème c'est que après c'est plus difficile à administrer, et former les gens sur différents systèmes c'est plus long, quand on y arrive. C'est un coût non négligeable qui peut conduire à délaisser les logiciels libres au profit par exemple de Firewall-1.
De plus, il serait souhaitable d'avoir une interface graphique sympa pour administrer son FW. La diversité des produits dans le LL ne favorise pas l'apparition de ce type d'outils. Dans un contexte entreprise, un administrateur peut légitimement souhaiter disposer d'un outil central d'admin de ses firewalls, avec une interface simple à la Firewall-1 pour gérer tout ça sans trop se gourer.
Plus généralement une meilleure mutualisation des efforts (synergie ?) dans le LL serait souhaitable...
[^] # digression sur l'admin de firewalls ...
Posté par Jean-Yves B. . Évalué à 3.
Bof. Pourquoi ? Ou alors pas en local. En même temps l'interface austère du fichier texte est une sélection comme une autre pour écrèmer les admins incompétents.
Là le problème vient de tout le monde. Je ne crois pas qu'il existe de mib standardisée pour gérer un firewall en snmp mais ce serait sympa (si on veut).
Il vaut quand même mieux isoler complètement le firewall d'un quelconque accès réseau (autre que les interfaces qu'il filtre), par pure paranoïa. Et dans ces cas là, vt100 roulaize. Mais je ne suis qu'un jeune padawan en admin réseau alors il vaut mieux que je me taise.
AMHA on se gourre autant quelque soit l'interface. En plus une config de firewall n'est pas un truc fait en 5 secondes, il faut réfléchir et tester avant de mettre en production.
Ce serait bien mais ce n'est pas humainement possible car on ne peut rien exiger d'un développeur de libre bénévole, il développe pour lui avant tout (et par effet de bord pour les autres).
# pfff
Posté par kesako . Évalué à -10.
Le succes de Linux vient surement de là.
Lui au moins il est unique.
comme Windows, comme solaris...
[^] # Allez, je marche dans le troll
Posté par Jean-Yves B. . Évalué à 3.
N'empêche, trop gros, passe pas le troll :
windows unique, linux unique, solaris unique, arf.
Tout ça pour lancer l'enfilade habituelle sur la licence BSD, pfff.
[-1, couché le troll !]
[^] # Re: pfff
Posté par DPhil (site web personnel) . Évalué à 3.
[^] # égo ?
Posté par Anonyme . Évalué à 4.
Si IPF n'est plus dans OpenBSD, c'est suite à un problème de licence qui témoignait d'une divergeance de vue sur ce que devait être OpenBSD.
Le problème s'étant avèré insurmontable, IPF à tout simplement été retiré. A partir de là, on peut peu être parler de l'égo de Daren Reed pour expliquer son refus de se conformer à la ligne d'OpenBSD.
Mais certainement pas de celui de Theo. Le conflit est être Reed et le projet OpenBSD.
[^] # Re: égo ?
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à 3.
[^] # Re: égo ?
Posté par Jean-Yves B. . Évalué à 5.
En plus la stabilité de cette licence laisse perplexe, ça ne donne pas envie d'incorporer ça dans son code.
La licence actuelle est la suivante (version 3.4.23) :
C'est bizarre, une sorte de BSD dont on n'a pas le droit de changer la licence (± GPL ?). Je me demande comment ça s'insère dans {Net,Free}BSD sans conflits ça ?
IPFilter incorporé à NetBSD semble avoir une autre licence :
http://cvsweb.netbsd.org/bsdweb.cgi/basesrc/dist/ipf/LICENCE?rev=1.(...)
(mais je peux me tromper je ne connais pas bien l'arbre de Net et j'ai cherché un peu au pif)
Il faudrait que je googlise un peu pour retrouver les enfilades dans les ml de l'époque.
[^] # LGPL ?
Posté par Le Mollusque Courtois . Évalué à 6.
Ca y ressemble, mais contrairement à la GPL, il ne précise pas très bien ce qu'il entend par derivative work. J'ai l'impression qu'il a essayé de refaire une LGPL, en souhaitant que ce code et d'éventuelles modifications restent sous cette licence, mais qu'il puisse etre utilisé dans un logiciel dont les autres parties (linkées...) auraient une licence quelconque. Pas très clair en tous cas...
[^] # Re: LGPL ?
Posté par kesako . Évalué à -2.
Le bordel est encore plus beau que je ne l'imaginais ...
allez hop -1
[^] # Re: égo ?
Posté par DPhil (site web personnel) . Évalué à 5.
[^] # Re: égo ?
Posté par Anonyme . Évalué à 0.
Je ne nie pas que l'ambiance ne devait pas être radieuse déjà pour des questions techniques, mais toutes ces dépêches http://linuxfr.org/search.php3?keywords=ipfilter&topic=-1&s(...)
dissuadent de penser que le point qui a décidé de l'exclusion d'ipfilter est bien la licence.
[^] # est bien -> n'est pas
Posté par Anonyme . Évalué à -4.
[^] # Re: égo ?
Posté par DPhil (site web personnel) . Évalué à 3.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.