>> cette extension netfilter 'owner' n'etait malheureusement pas
>> fonctionnelle sur les machines SMP
> Oui je le savais, même si je ne vois pas bien le rapport entre ce module et le SMP...
Cest un probleme de lock: pour connaitre le owner, l'astuce de l'extension c'est d'aller cherche la structure "file" relative au paquet skbuff, mais cependant, on ne peut pas "locker" cette structure pour l'utiliser depuis les "bottom halves" du kernel en SMP
>> Le code est tres simple, et pour le moment les regles sont stockées
>> dans une base de données SQL
> Je ne suis pas sur que cela soit des plus simple de faire un pare-feu avec
> postgresql par derrière... Cela ne me tente pas du tout d'installer un serveur SQL
> sur tous mes postes ! Si c'est SQLite, c'est différent, c'est juste une autre
> manière que d'utiliser la Berkeley DB et en plus, on peut utiliser une autre DB au
> cas ou...
Non l'idée de la base de données, c'est surtout qu'elle soit centralisée pour tous les postes bien sur.
Par contre pour une utilisation en station desktop, il existe un support sqlite3 effectivement.
> > d'apres l'auteur, il reste beaucoup de choses, a faire, mais ce
> > systeme de pare feu est fonctionnel,
> Même si j'en comprends l'esprit, ta phrase n'est quand même pas claire dans
> l'absolue.
Oui, virgule en trop.
Je voulais simplement dire que l'auteur pense encore beaucoup travailler dessus, mais il estime que l'architecture de base (notament la communication/le protocole kernel<->userspace) est stable
Son but est de faire mergrt ce systeme dans le kernel officiel.
> Dans la pratique, je pense que nufw est intéressant mais avoir un pare-feu local
> à chaque poste est bien aussi. Surtout que pour moi il est facile avec cfengine
> de configurer 50 ou 100 postes ;-)
Oui une des idées que je trouve tres interessante dans ce projet, c'est la possibilité que des machines d'un meme sous reseau puisse quand meme avoir une defense entre elles, ie un systeme de filtrage.
Il pourrait clairement, d'apres ce que j'ai compris, etre utilisé pour faire un pare-feu personnel "maison", mais en tant qu'admin, je vois bien comment l'utiliser dans un reseau.
Le code est tres simple, et pour le moment les regles sont stockées dans une base de données SQL (postgresql ou sql), on est loin de cette usine a gaz qu'est nufw..
d'apres l'auteur, il reste beaucoup de choses, a faire, mais ce systeme de pare feu est fonctionnel, faut voir ce que va donner ce projet
[^] # Re: Module owner
Posté par nf nf . En réponse à la dépêche Compte rendu en temps réel de l'atelier Netfilter 2007. Évalué à 1.
>> fonctionnelle sur les machines SMP
> Oui je le savais, même si je ne vois pas bien le rapport entre ce module et le SMP...
Cest un probleme de lock: pour connaitre le owner, l'astuce de l'extension c'est d'aller cherche la structure "file" relative au paquet skbuff, mais cependant, on ne peut pas "locker" cette structure pour l'utiliser depuis les "bottom halves" du kernel en SMP
>> Le code est tres simple, et pour le moment les regles sont stockées
>> dans une base de données SQL
> Je ne suis pas sur que cela soit des plus simple de faire un pare-feu avec
> postgresql par derrière... Cela ne me tente pas du tout d'installer un serveur SQL
> sur tous mes postes ! Si c'est SQLite, c'est différent, c'est juste une autre
> manière que d'utiliser la Berkeley DB et en plus, on peut utiliser une autre DB au
> cas ou...
Non l'idée de la base de données, c'est surtout qu'elle soit centralisée pour tous les postes bien sur.
Par contre pour une utilisation en station desktop, il existe un support sqlite3 effectivement.
> > d'apres l'auteur, il reste beaucoup de choses, a faire, mais ce
> > systeme de pare feu est fonctionnel,
> Même si j'en comprends l'esprit, ta phrase n'est quand même pas claire dans
> l'absolue.
Oui, virgule en trop.
Je voulais simplement dire que l'auteur pense encore beaucoup travailler dessus, mais il estime que l'architecture de base (notament la communication/le protocole kernel<->userspace) est stable
Son but est de faire mergrt ce systeme dans le kernel officiel.
> Dans la pratique, je pense que nufw est intéressant mais avoir un pare-feu local
> à chaque poste est bien aussi. Surtout que pour moi il est facile avec cfengine
> de configurer 50 ou 100 postes ;-)
Oui une des idées que je trouve tres interessante dans ce projet, c'est la possibilité que des machines d'un meme sous reseau puisse quand meme avoir une defense entre elles, ie un systeme de filtrage.
[^] # Re: Module owner
Posté par nf nf . En réponse à la dépêche Compte rendu en temps réel de l'atelier Netfilter 2007. Évalué à 1.
Il existe un projet qui va plus loin dans cette idée, il se nomme network events connector http://www.synack.fr/project/cn_net/cn_net.html
Il pourrait clairement, d'apres ce que j'ai compris, etre utilisé pour faire un pare-feu personnel "maison", mais en tant qu'admin, je vois bien comment l'utiliser dans un reseau.
Le code est tres simple, et pour le moment les regles sont stockées dans une base de données SQL (postgresql ou sql), on est loin de cette usine a gaz qu'est nufw..
d'apres l'auteur, il reste beaucoup de choses, a faire, mais ce systeme de pare feu est fonctionnel, faut voir ce que va donner ce projet