Conversation
precedente ou
suivante
Firewall Packet Filter
Envoyé par:
DeeVoiD
Bonjour,
je suis en train de comparer différent firewall, et sur une page de wikipedia, j'ai vu des informations sur Packet Filter.. Il disait que Packet Filter ne fait pas d'inspection de service dans le noyau..
Ma question est simple : que veule-t-il dire pas "dans le noyau" -> est-ce possible de le faire ?
je suis aller sur le site d'openbsd, et il a des options de suivi stateful (http://www.openbsd.org/faq/pf/fr/filter.html#stateopts).. Est-ce que si c'est possible, est-ce autant "poussé" que dans netfilter ?
Si ce n'est pas possible, comment faire pour ne pas ouvrir le port 80 en input pour que le traffic sur le web ne soit pas perturber de le LAN ?
Merci d'avance
je suis en train de comparer différent firewall, et sur une page de wikipedia, j'ai vu des informations sur Packet Filter.. Il disait que Packet Filter ne fait pas d'inspection de service dans le noyau..
Ma question est simple : que veule-t-il dire pas "dans le noyau" -> est-ce possible de le faire ?
je suis aller sur le site d'openbsd, et il a des options de suivi stateful (http://www.openbsd.org/faq/pf/fr/filter.html#stateopts).. Est-ce que si c'est possible, est-ce autant "poussé" que dans netfilter ?
Si ce n'est pas possible, comment faire pour ne pas ouvrir le port 80 en input pour que le traffic sur le web ne soit pas perturber de le LAN ?
Merci d'avance
Poste le Wednesday 6 May 2009 11:45:56
Re: Firewall Packet Filter
Envoyé par:
DeeVoiD
rebonjour..
Je viens de voir que depuis la version 4.1 d'openBSD, la surveillance de l'état était active par défaut, pas besoin de mettre le "keep state".. Donc, il fait bien de SPI..
Mais autre question, j'ai vu qu'il autorisait les réponses au requete, mais est-ce qu'il permet aussi les connexions en relation avec celle de sortie (--m state RELATED sous iptables ?
Merci d'avance
Je viens de voir que depuis la version 4.1 d'openBSD, la surveillance de l'état était active par défaut, pas besoin de mettre le "keep state".. Donc, il fait bien de SPI..
Mais autre question, j'ai vu qu'il autorisait les réponses au requete, mais est-ce qu'il permet aussi les connexions en relation avec celle de sortie (--m state RELATED sous iptables ?
Merci d'avance
Poste le Wednesday 6 May 2009 14:16:35
Re: Firewall Packet Filter
Envoyé par:
bewie
salut,
Alors premierement l'action "state" avec la synthaxe keep state.
Elle est utilisée quand on veut créer une entrée dans la table des états de connexions lorsqu'un paquet matche la règle, et appliquer la même politique aux paquets suivants prenant part à la connexion. Tous ces paquets sont donc rattachés à cette entrée, et du coup cela vérifie que la séquence des paquets TCP est bien respectée.
Sinon tu au aussi la possibilité de mettre un "flag"
flags tcp_flags_check/mask: on peut spécifier des vérifications supplémentaires sur les flags d'un paquet TCP, par exemple pour traiter les ouvertures de session TCP. Exemple le flags "S/SA" applique un régle matchant sur les paquets TCP qui ont parmi les deux drapeaux SYN et ACK, seulement SYN positionné. Si les 2 drapeaux sont positionnés, le paquet ne matchera pas la règle.
Aprés pour la liste des flags dispo: [www.openbsd.org]
Alors premierement l'action "state" avec la synthaxe keep state.
Elle est utilisée quand on veut créer une entrée dans la table des états de connexions lorsqu'un paquet matche la règle, et appliquer la même politique aux paquets suivants prenant part à la connexion. Tous ces paquets sont donc rattachés à cette entrée, et du coup cela vérifie que la séquence des paquets TCP est bien respectée.
Sinon tu au aussi la possibilité de mettre un "flag"
flags tcp_flags_check/mask: on peut spécifier des vérifications supplémentaires sur les flags d'un paquet TCP, par exemple pour traiter les ouvertures de session TCP. Exemple le flags "S/SA" applique un régle matchant sur les paquets TCP qui ont parmi les deux drapeaux SYN et ACK, seulement SYN positionné. Si les 2 drapeaux sont positionnés, le paquet ne matchera pas la règle.
Aprés pour la liste des flags dispo: [www.openbsd.org]
Poste le Thursday 7 May 2009 12:46:34
Ce forum !
Firewall Packet Filter
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons