Un fork d'OpenBSD avec IPFilter

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
23
jan.
2002
OpenBSD
Darren Reed distribue désormais un OpenBSD avec IPFilter (ipf+ipnat) remis dedans (il avait été enlevé suite à des problèmes de licence).

IPFilter est le filtre de paquets IP (qui gère le NAT aussi) présent dans tous les OpenBSD antérieurs au 3.0. Il est considéré comme mature et stable.
Les nouvelles versions d'OpenBSD (>= 3.0) utilisent pf, un filtre de paquet qui dispose aussi de fonctionnalités NAT, développé au sein d'OpenBSD, et qui est aussi stable et fonctionnel (quelques fonctions supplémentaires par rapport à IPFilter) mais encore jeune.

Le point intéressant derrière cette nouvelle est que pour une fois ça n'a pas dégénéré en trolls et flames sur les listes de diffusions et forums Usenet d'OpenBSD.

Aller plus loin

  • # Petite précision

    Posté par  . Évalué à 10.

    Une erreur s'est glissée dans le texte de la niouse.

    Au lieu de lire
    «Les nouvelles versions d'OpenBSD (>= 3.0) utilisent pf et nat, des outils développés au sein d'OpenBSD qui sont eux aussi stables et fonctionnels (quelques fonctions supplémentaires par rapport à IPFilter) mais encore jeunes.»

    il faut lire :
    «Les nouvelles versions d'OpenBSD (>= 3.0) utilisent pf, un filtre de paquet (disposant également de fonctionnalités NAT) développé au sein d'OpenBSD qui est aussi stable et fonctionnel (quelques fonctions supplémentaires par rapport à IPFilter) mais encore jeune.»
    • [^] # Re: Petite précision

      Posté par  . Évalué à 6.

      Ah oui, j'm'ai gouré à cause des deux fichiers de configuration séparés (ce qui est bien). Mais on utilise pfctl pour charger les deux.

      Ça m'apprendras à poster trop vite une fois de plus.
    • [^] # Re: Petite précision

      Posté par  (site Web personnel) . Évalué à -4.

      Merci.
    • [^] # Re: Petite précision

      Posté par  (site Web personnel) . Évalué à 5.

      Une petite précision très intéressante de ce post, c'est :
      "Le point intéressant derrière cette nouvelle est que pour une fois ça n'a pas dégénéré en trolls et flames sur les listes de diffusions et forums Usenet d'OpenBSD."
      Comme quoi tout peut arriver ;-)
  • # n'empeche que

    Posté par  . Évalué à 3.

    ca va pas simplifier les choses pour que les gens utilisent pf au lieu de ipfilter, ni aider la motivation a developper pf non?
    • [^] # Re: n'empeche que

      Posté par  . Évalué à 10.

      Bof. Pas mal de gens sont passés à pf. Je pense que ceux qui utilisent ipf avec openbsd > 2.9 se feront gentiment éconduire des ml si ils ont un problème avec.

      L'OpenBSD de Darren n'est pas officiel, donc il ne bénéficiera pas forcément de la même aura que le « vrai ». En plus, OpenBSD sur CD est livré avec pf, pas ipf donc ça ne pose pas de réel problèmes pour ceux qui installent depuis le CD. Au pire certaines personnes qui ne voulaient pas upgrader à cause du passage à pf ne passeront jamais à pf mais bon, c'est le jeu.

      Le développement de pf est assez actif (dixit le cvs), et la motivation semble grande (heureusement).

      Je pense que le coup de Darren va plus motiver les troupes à faire le meilleur produit possible plutôt que les démotiver ...

      Un truc qui m'étonne c'est qu'il n'y ai pas encore de bagarres à propos du nom.
      • [^] # Re: n'empeche que

        Posté par  . Évalué à 10.

        Pourquoi il n'y a pas encore de dispute à propos du nom ?

        Quelques indices :

        Primo, le produit de Darren Reed s'identifie comme «OpenBSD/IPF» ou «OpenBSD with IPF». Certes, pas le système lui-même, mais pour le télécharger il faut bien être passé sur le site de Darren Reed...

        Secundo, Theo de Raadt est actuellement en vacances en Argentine, éloigné de tout ordinateur et connexion internet pour quelques jours encore, donc il est normal qu'il n'ait pas réagi pour le moment.

        Tertio, nous avons briévement discuté de cette situation hier soir, et le consensus général était qu'il valait mieux en rire qu'en pleurer...

        On verra bien, d'ici quelque temps, la popularité de cette variante du système, et la promotion qu'en fait Darren Reed qui, pour l'instant, n'a pas cherché à faire une publicité particulière à ce travail.
        • [^] # Re: n'empeche que

          Posté par  . Évalué à -3.

          Secundo, Theo de Raadt est actuellement en vacances en Argentine, éloigné de tout ordinateur et connexion internet pour quelques jours encore, donc il est normal qu'il n'ait pas réagi pour le moment.

          Ca veut dire que sans M. de Raadt , 'OpenBSD' ne peut pas réagir ?

          mdr ...
          • [^] # Re: n'empeche que

            Posté par  . Évalué à 8.

            « Ca veut dire que sans M. de Raadt , 'OpenBSD' ne peut pas réagir ?
            mdr ... »

            Ca veut dire qu'on peut réfléchir avant de réagir (on peut remarquer aussi que l'inverse est franchement con.) Et attendre que le 'leader' soit là pour réagir officiellement, si nécessaire. Surtout quand il n'y a pas urgence.

            De plus, il me semble que la réponse était donnée dans le Tertio.
          • [^] # Re: n'empeche que

            Posté par  . Évalué à 5.

            Non, je veux simplement dire que Theo est le proprietaire du nom.
            Il est normal d'attendre son retour avant de prendre une eventuelle decision qui le concerne au plus haut plan.
    • [^] # Re: n'empeche que

      Posté par  . Évalué à 5.

      Je pense que si. Les gens qui veulent utiliser OpenBSD ne vont pas aller chercher leur distribution chez Daren, mais chez OpenBSD.

      Après libre à eux de faire l'effort pour re-installer IPF sur leur système plutot que d'utiliser celui déjà présent par défaut.

      De plus je ne suis pas sûr que Daren s'amuse à maintenir sa version par rapport aux évolutions d'OpenBSD, et surtout qu'il sorte sa version pour toutes les architectures supportées par Théo.
    • [^] # Re: n'empeche que

      Posté par  (site Web personnel) . Évalué à 7.

      Pour ma part je pense plutot que plus il y a de produit libre pour une fonctionnalité (le filtrage de paquets) et plus les produits sont interressants. C un des cotes de la concurrence (l'emulation).
      je trouve que c une excellente nouvelle.
      • [^] # Re: n'empeche que

        Posté par  (site Web personnel) . Évalué à 5.

        Oui la concurrence c'est bien jusqu'à un certain point... voir KDE et Gnome.
        Le problème c'est que après c'est plus difficile à administrer, et former les gens sur différents systèmes c'est plus long, quand on y arrive. C'est un coût non négligeable qui peut conduire à délaisser les logiciels libres au profit par exemple de Firewall-1.
        De plus, il serait souhaitable d'avoir une interface graphique sympa pour administrer son FW. La diversité des produits dans le LL ne favorise pas l'apparition de ce type d'outils. Dans un contexte entreprise, un administrateur peut légitimement souhaiter disposer d'un outil central d'admin de ses firewalls, avec une interface simple à la Firewall-1 pour gérer tout ça sans trop se gourer.

        Plus généralement une meilleure mutualisation des efforts (synergie ?) dans le LL serait souhaitable...
        • [^] # digression sur l'admin de firewalls ...

          Posté par  . Évalué à 3.

          De plus, il serait souhaitable d'avoir une interface graphique sympa pour administrer son FW.


          Bof. Pourquoi ? Ou alors pas en local. En même temps l'interface austère du fichier texte est une sélection comme une autre pour écrèmer les admins incompétents.

          Dans un contexte entreprise, un administrateur peut légitimement souhaiter disposer d'un outil central d'admin de ses firewalls


          Là le problème vient de tout le monde. Je ne crois pas qu'il existe de mib standardisée pour gérer un firewall en snmp mais ce serait sympa (si on veut).

          Il vaut quand même mieux isoler complètement le firewall d'un quelconque accès réseau (autre que les interfaces qu'il filtre), par pure paranoïa. Et dans ces cas là, vt100 roulaize. Mais je ne suis qu'un jeune padawan en admin réseau alors il vaut mieux que je me taise.

          interface simple [...] pour gérer tout ça sans trop se gourer.


          AMHA on se gourre autant quelque soit l'interface. En plus une config de firewall n'est pas un truc fait en 5 secondes, il faut réfléchir et tester avant de mettre en production.


          Plus généralement une meilleure mutualisation des efforts (synergie ?) dans le LL serait souhaitable..


          Ce serait bien mais ce n'est pas humainement possible car on ne peut rien exiger d'un développeur de libre bénévole, il développe pour lui avant tout (et par effet de bord pour les autres).
  • # pfff

    Posté par  . Évalué à -10.

    Je n'ai rien contre les xxxBSD et autre macOSX, mais je trouve qd meme que c'est un beau b*rd*l ... C'est en partie du a la licence.

    Le succes de Linux vient surement de là.
    Lui au moins il est unique.
    comme Windows, comme solaris...
    • [^] # Allez, je marche dans le troll

      Posté par  . Évalué à 3.

      Pas plus le bordel que n distribs Linux.

      N'empêche, trop gros, passe pas le troll :
      windows unique, linux unique, solaris unique, arf.

      Tout ça pour lancer l'enfilade habituelle sur la licence BSD, pfff.

      [-1, couché le troll !]
    • [^] # Re: pfff

      Posté par  (site Web personnel) . Évalué à 3.

      C'est plutôt un problème d'ego entre deux personnes qui veulent tout controler (Daren Reed pour IPF et Theo Deraadt pour OpenBSD).
      • [^] # égo ?

        Posté par  . Évalué à 4.

        Je trouve assez désagréable que dès que des gens ont des convictions, on les taxe de vouloir tout controller.

        Si IPF n'est plus dans OpenBSD, c'est suite à un problème de licence qui témoignait d'une divergeance de vue sur ce que devait être OpenBSD.
        Le problème s'étant avèré insurmontable, IPF à tout simplement été retiré. A partir de là, on peut peu être parler de l'égo de Daren Reed pour expliquer son refus de se conformer à la ligne d'OpenBSD.
        Mais certainement pas de celui de Theo. Le conflit est être Reed et le projet OpenBSD.
        • [^] # Re: égo ?

          Posté par  (site Web personnel) . Évalué à 3.

          Le problème de licence n'avait-il pas été réglé ensuite, suite au retrait de ipf de openbsd ?
          • [^] # Re: égo ?

            Posté par  . Évalué à 5.

            Oui et non. Il y a eu une histoire bizarre. Je ne crois pas qu'il y ait eu une version BSD pure.
            En plus la stabilité de cette licence laisse perplexe, ça ne donne pas envie d'incorporer ça dans son code.


            La licence actuelle est la suivante (version 3.4.23) :

            Copyright (C) 1993-2002 by Darren Reed.

            The author accepts no responsibility for the use of this software and
            provides it on an ``as is'' basis without express or implied warranty.

            Redistribution and use, with or without modification, in source and binary
            forms, are permitted provided that this notice is preserved in its entirety
            and due credit is given to the original author and the contributors.

            The licence and distribution terms for any publically available version or
            derivative of this code cannot be changed. i.e. this code cannot simply be
            copied, in part or in whole, and put under another distribution licence
            [including the GNU Public Licence.]

            THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS ``AS IS'' AND
            ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
            IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
            ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
            FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
            DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
            OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
            HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
            LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
            OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
            SUCH DAMAGE.

            I hate legalese, don't you ?


            C'est bizarre, une sorte de BSD dont on n'a pas le droit de changer la licence (± GPL ?). Je me demande comment ça s'insère dans {Net,Free}BSD sans conflits ça ?

            IPFilter incorporé à NetBSD semble avoir une autre licence :
            http://cvsweb.netbsd.org/bsdweb.cgi/basesrc/dist/ipf/LICENCE?rev=1.(...)
            (mais je peux me tromper je ne connais pas bien l'arbre de Net et j'ai cherché un peu au pif)

            Il faudrait que je googlise un peu pour retrouver les enfilades dans les ml de l'époque.
            • [^] # LGPL ?

              Posté par  . Évalué à 6.

              « C'est bizarre, une sorte de BSD dont on n'a pas le droit de changer la licence (± GPL ?). Je me demande comment ça s'insère dans {Net,Free}BSD sans conflits ça ? »

              Ca y ressemble, mais contrairement à la GPL, il ne précise pas très bien ce qu'il entend par derivative work. J'ai l'impression qu'il a essayé de refaire une LGPL, en souhaitant que ce code et d'éventuelles modifications restent sous cette licence, mais qu'il puisse etre utilisé dans un logiciel dont les autres parties (linkées...) auraient une licence quelconque. Pas très clair en tous cas...
              • [^] # Re: LGPL ?

                Posté par  . Évalué à -2.

                >Pas très clair en tous cas...
                Le bordel est encore plus beau que je ne l'imaginais ...

                allez hop -1
        • [^] # Re: égo ?

          Posté par  (site Web personnel) . Évalué à 5.

          Il me semble que sur la ML, on parlait plutôt de problèmes techniques (intégration d'IPv6, de bridge bi-directionel ou du fichier de configuration) plus que de problèmes de licence. De plus, Darren ne tenait quasiment jamais compte des modif effectuées par l'équipe OpenBSD pour les intégrer dans les realeases d'IPF et ça ne plaisais pas du tout à Théo de Raadt.
          • [^] # Re: égo ?

            Posté par  . Évalué à 0.

            Ca fait classieux d'évoquer la ML, de dire que le problème est technique.

            Je ne nie pas que l'ambiance ne devait pas être radieuse déjà pour des questions techniques, mais toutes ces dépêches http://linuxfr.org/search.php3?keywords=ipfilter&topic=-1&s(...)
            dissuadent de penser que le point qui a décidé de l'exclusion d'ipfilter est bien la licence.
            • [^] # est bien -> n'est pas

              Posté par  . Évalué à -4.

              (corps rempli)
            • [^] # Re: égo ?

              Posté par  (site Web personnel) . Évalué à 3.

              Va voire l'interview de Théo sur http://kerneltrap.com/article.php?sid=389(...) et tu verras bien que le problème de la licence n'a été que l'excuse officielle. Le core OpenBSD attendait de pouvoir virer IPF, mais il fallait une raison valable. Par ailleurs, Daren a modifier sa licence avant de se faire jeter d'openBSD, ce qui le rend compatible avec Free et Net donc pourquoi pas avec Open ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.