Gaël Le Mignot a écrit 812 commentaires

Rien ne t'empeche de faire un script shell qui parse un fichier de conf et appelle iptables avec les options qui faut. Tu en as deja plusieurs qui existent (cf http://www.freshmeat.net(...)).

En plus l'avantage d'une commande est qu'il est tres facile d'enlever ou de rajouter des regles en live.
Par exemple chez moi root n'a pas le droit de faire sortir des paquets (iptables -A OUTPUT -m owner --uid-owner 0 -j DROP) mais quand je fais un apt-get je l'y autorise temporairement.

Ou bien tu veux loguer temporairement certains paquets pour faire un test quelconque.

Oups... j'ai ripper sur mon clavier (j'suis plus habitue au qwerty ca me trouble)

> Quand a lisibilite des regles, c'est une histoire de gout... Moi je ne trouve les regles IPTables complexes a lire.
Quand a la lisibilite des regles, c'est une histoire de gout... Moi je ne trouve pas les regles IPTables complexes a lire.

Les bugs c'est vite dit. Il y a en eu un seul. Quand a PF, il est trop recent pour qu'on puisse juge. Quand au bug de Netfilter, il etait sur le protocole helper des connexions FTP. Je ne sais meme pas si PF possede un protocol helper (ils n'en parlent pas sur leurs sites).

Quand a lisibilite des regles, c'est une histoire de gout... Moi je ne trouve les regles IPTables complexes a lire.

entre
block in quick on kue0 from 10.0.0.0/8 to any
et
iptables -I INPUT -i eth0 --source 10.0.0.0/8 -j DROP

je ne vois pas trop en quoi l'une est plus simple ou plus complexe

S'il s'agit juste de la syntaxe des outils d'admin, il serait sans doute plus simple d'ecrire un programme convertissant les regles PF en regles Netfilter.

Ce qui compte surtout dans un firewall, AMHA, c'est d'abord sa fiabilite et ensuite ses differentes possibilites (nat, statefull, fitre des portscan, detection des paquets malformes, ...). Quelqu'un sait-il quels sont les fonctionnalites permises par PF et pas par Netfilter et reciproquement?

Au cas ou certains ne le sauraient pas, ce n'est pas la license de KDE qui posait problème mais celle de QT. Redhat aurait put fournir KDE sans QT... mais ça n'aurait pas servit à grande chose. Et la license de QT était totalement inacceptable à l'époque

Ca n'a rien à voir. Le Kernel tout le monde connait. Le projet Demolinux pas forcément, et si Linuxfr doit en parler, vaut qu'ils en parlent lors de la sortie de la béta que pour la version finale.

Ben non justement.
Le but d'une version beta c'est que des gens la test pour que la finale soit le plus stable possible.
Donc il faut que le plus de gens au possible soient au courant.

Moi ce qui m'a le plus surpris c'est ca:
"Basic firewall included in the Linux Red Hat installation."

Il me semble que la RedHat 7.1 utilise le kernel 2.4 et donc Netfilter. Netfilter est loin d'etre un firewall basique, et j'aimerais bien savoir ce que fais ZoneAlarm Pro et qui n'est pas faisable avec Netfilter...

Ou bien n'ont-ils tester qu'une interface de configuration offrant des options limitees? (Je en sais pas si il en existe une...)

Et bien si quelqu'un veut faire un fork de Mozilla et veut que son code a lui soit en GPL et pas en LGPL c'est beaucoup plus simple pour lui maintenant.

Tout depend de la maniere dont tu ecris les regles, mais il parfaitement possible de demander a Netfilter de faire ce que tu viens de dire.
En gros, dans ta chaine INPUT tu valides les demandes de connexions sur les ports ouverts, et tu envoies les paquets se trouvant dans une connexion deja etablie dans une autre chaine qui filtre.
Ca donne:

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m state --state ESTABLISHED -j FILTER

y'a plus qu'a definir tes regles dans FILTER.

Ce n'est qu'une solution parmis d'autres... iptables est tres puissant et tres configurable :)

Ma machine tourne 16h par jours, calculs intensifs en permanence car j'ai un client SETI@Home, c'est un Athlon 1.2GHz, et elle marche très bien même quand il fait 35° dans la pièce. Tu as doit avoir un très mauvais ventillo, ou alors ce sont des Athlon 1.1GHz qui sont overclockés en 1.2!!

Les x86 récents ne sont pas réellement CISC.
Tous les processeurs AMD à partir du K6 et Intel à partir du PII sont RISC à l'intérieur et possède une couche d'émulation qui convertit les instructions CISC x86 en instructions RISC internes qui sont alors exécuter.

Quand au Crusoé, c'est même un logiciel (le code morpherer) qui assure la conversion CISC x86 => RISC interne. Résultat: un processeur beaucoup plus petit qui consomme moins.

Pour ceux qui cherche un revendeur en France (payement par chéque): http://www.mcd2-diff.fr/.(...) Il y'a pas mal de livres, jeux et merchandising Linux.
Il y a aussi http://ikarios.fr,(...) qui est un peu moins complet.

J'ai été sauvé par une fausse manip ... qui a rendu mon PC autiste (le firewall droppait tous les paquets) :)
Le temps que je rentre chez moi pour réparer ça et j'ai éviter le pire je crois. Uniquement 30 attaques :(

Par contre j'en suis à plus de 1400 pour CodeRed... (les stats sur http://drizzt.dyndns.org/codered.php(...)).

Bon, tout le monde s'en fout donc -1

Attention, solution gore :)
Il existe un patch pour Netfilter (firewall du kernel 2.4.x) qui permet de matcher des chaines de caractères dans les paquets.

Un simple
iptables -A INPUT -p tcp --dport 80 -m string --string "default.ida" -j LOG
devrait suffir, pas besoin de démon...

Pour installer la pacth: télécharger le code source d'iptables et lance make patch-o-matic

> Pourquoi devrait-on avoir besoin de savoir que c'est dans la "classe" clist que se trouve la méthode set_column_width ?

Une raison comme ça... c'est plus simple pour chercher dans les docs. Une autre raison? Et bien si je veux changer mon truc de type, je sais que je peux.

> En plus je te dis pas la redondance sur la même ligne de code :

Dans ce cas oui, mais ce n'est pas très génant.
Vaut mieux trop d'informations que pas assez...

> > trouve au contraire que l'utilisation des GTK_WIDGET et autres macros rendent le code beaucoup plus lisibles
> La je ne vois pas pourquoi ? Parce que c'est en majuscule ?

Bien sur que non !

> > En GTK on sait à chaque fois exactement à quel niveau de l'héritage on se situe, et de quelle manière on utilise l'objet en question.
> Je ne saisis pas comment le fait d'utiliser une macro te permet de savoir a quel niveau d'heritage tu es.

C'est le fait que tu doives précisier (via une macro mais là n'est pas le pb) comme tu utilises ton objet.
J'ai un GtkCTree et je veux utiliser une fonction qui se trouve dans les GtkCList, je fais:
gtk_clist_set_column_width(GTK_CLIST(ctree), ...)
Et là on voit tout de suite que j'utilises mon ctree comme une clist (valide car GtkCTree hérite de GtkCList)

Il y a peut-être aussi un problème technique: QT étant codé en C++, il est extrèmement difficile, par exemple de faire un binding QT en C. Il est beaucoup plus facile de faire un programme C++ qui se linke avec du C que l'inverse, d'où, AMHA, l'utilité d'utiliser des langages de relativement bas niveau pour les libs, et de créer ensuite des bindings.

Le problème est sans doute le même avec d'autres langage d'ailleurs.

Juste un petit truc: de toute façon quand tu utilises la STL ou toute autre forme de template, le code est présent en mémoire une fois pas programme et par type de données...

Contrairement aux libraries comme la GLib où le code de g_list_insert() et de g_list_length() n'est qu'une fois pour toute en mémoire (car se trouvant dans la librarie partagée /usr/lib/libglib.so.1.2), dans les bibliothèques de template à la STL, le code source est dans les .h, donc inclus lors de la compilation dans le binaire... Et une fois pas type de données manipulées, bien sur, ce sont des templates.

Je trouve au contraire que l'utilisation des GTK_WIDGET et autres macros rendent le code beaucoup plus lisibles, car en GTK on sait à chaque fois exactement à quel niveau de l'héritage on se situe, et de quelle manière on utilise l'objet en question.
Je trouve ça beaucoup plus clair, et je pense que ça vaut largement son "coût" en nombres de touches à appuyer :)

Ce qui me choque le plus c'est que le sénat américain a débloqué 40 milliards de $ pour permettre à l'armée américaine d'effectuer des représailles... Et pendant ce temps la croix rouge américaine est obligée de mendier...

Lorsque j'ai vu la news sur /. intitulée "New York Red Cross Needs Tech Help (http://slashdot.org/article.pl?sid=01/09/13/1945207&mode=thread(...))
et que j'ai allumé la télé pour voir tout ce fric partir en fumée pour acheter des missiles, je me suis dit que le monde allait vraiment TRES mal :(((

Oui, c'est sur... dans le même genre il y a aussi Humorix: http://i-want-a-website.com/about-linux/(...) qui est pas mal

Le problème à mon avis n'est pas dans la repompe (enfin, là faut voir avec l'auteur), elle est dans le fait de ne pas citer la source.

Toutes les licenses libres (GPL, BSD, FDL, ...) stipulent que les noms des auteurs doivent rester visibles, et je trouve ça parfaitement normal.

Ca reste tres risque...
Un binaire "sl" et à la première faute de frappe au mauvais endroit, tout est fini :(

Non, il ne faut pas mettre . dans le PATH, c'est risqué, et ce n'est pas bien compliqué de taper ./foo!!!

Un bug a été rempli sur Bugzilla: http://bugzilla.mozilla.org/show_bug.cgi?id=75371(...)
avec comme titre: "UI prefs to control pop-up (popup) windows and other Javascript annoyances"

Donc, l'absence d'UI est actuellement un bug... qui attend que quelqu'un le corrige. Si l'un d'entre vous veut s'en charger :)

Sinon il est possible de voter pour les bugs que l'on souhaite voir corriger au plus vite sur Bugzilla.