Compte rendu en temps réel de l'atelier Netfilter 2005

Posté par _gryzor_ le 03 octobre 2005 à 22:45. Modéré par Jaimé Ragnagna.

Étiquettes : aucune

oct.

2005

Le Netfilter Workshop 2005 a commencé ce matin à Séville : les discours d'introduction et la présentation du programme se sont terminés juste au moment de l'Eclipse solaire.

Cet atelier devrait permettre de définir les orientations du projet Netfilter, et également d'avancer sur les mises à jour de technologies à venir.

Sponsor de l'évènement, INL a mis en place un site qui permet de suivre les activités de l'atelier en temps réel.

Aller plus loin

Résumé en temps réel du Netfilter Workshop (2 clics)
Netfilter Workshop résumé (1 clic)
Site officiel de l'atelier Netfilter (1 clic)

# nf-HiPAC

Posté par un_brice (site web personnel) le 04 octobre 2005 à 00:48. Évalué à 5.

Sur l'article de contrack on peut trouver un joli graph de performances qui cite le nom d'un projet apellé "nf-HiPAC", crée par une entreprise appellée Mara (drôle de nom), sponsor du Netfilter Workshop.
http://www.hipac.org/index.html(...)
Celui-ci se présente comme un nouveau filtre de paquets illustrant un "nouveau framework pour la classification des paquets" (ce sont leur termes).
Ils critiquent l'approche d'Iptable, qui applique séquentiellement les règles, et annoncent un temps de tri presque constant quelque soit le nombre de règles.
Pour en rajouter, ils affichent une compatibilité totale avec les outils en espace utilisateur, et affirment être utilisable en production :
http://www.hipac.org/status/stability.html(...)

À la lecture de la doc, j'ai l'impression que ce système n'offre pas exactement les fonctions d'iptables (http://www.hipac.org/documentation/user_guide.html(...) ) et qu'il est plus difficile à étendre :
nf-HiPAC does not offer an API like netfilter which can be used to write match and target extensions. We already have general support for netfilter matches and targets but we are nevertheless continuing to integrate other matches and targets directly into the algorithm as native match/target because this improves their matching performance. You can help us by telling us which matches/targets you need so that we can go and implement them as native matches, if possible. Have a look at our TODO list first.

Autre truc bizarre, les releases sont espacées de quelques années, même si la dernière remonte à quelques jours (exprès pour la conférence ?). Plutôt curieux comme mode de développement.
http://www.hipac.org/status/news.html(...)

Quelqu'un à eu l'occasion de tester ? C'est vraiment si bien que ça ? Pourquoi on parle pas de son inclusion dans le kernel ?
- [^] # Re: nf-HiPAC
  
  Posté par Eric Leblond (site web personnel) le 04 octobre 2005 à 10:20. Évalué à 3.
  
  Il y a un speech sur nf hipac aujourd'hui, je vous en dirai plus sur le site de compte rendu dès que possible.
  
  Sinon, j'ai discuté avec le développeur principal, Michael Bellion, hier soir. Il semble que l'espacement des releases soit lié à son financement ou non par une société. Actuellement, il s'agit de MAra system (basé en suède) qui l'emploie.
- [^] # Re: nf-HiPAC
  
  Posté par abc le 04 octobre 2005 à 11:07. Évalué à 5.
  
  tiens tant qu'on y est il y a aussi ipset: http://ipset.netfilter.org/features.html(...) , qui selon ca: http://people.netfilter.org/kadlec/nftest.pdf(...) (a la fin notamment)
  est plus rapide que nf-hipac et iptables. quand on correlle le tout avec http://www.benzedrine.cx/pf-slides.pdf(...) on en deduit,
  
  ipset > nf-hipac > iptables > ipf > pf (enfin je me comprend, peut etre pas au niveau features... parce que pf il fait plein de choses cool comme les scrub in all et scrub out all )
  
  en gros on va dire que ca tient mieu la charge, a oui tant qu'à faire on peut voir qu'il vaut mieu mettre des cartes gigabit au lieu des 100/10 meme pour des reseaux en 100, cf: http://openbsd.bug.it/faq/pf/fr/perf.html(...)
  
  dans le 1er pdf on voit aussi ke les Xeon c'est mal ^-^, j'en profite pour dire que j'aime pas intel... ;-) , mais c'est pas les meme plateforme non plus...
  
  ps: merci brice
  - [^] # Re: nf-HiPAC
    
    Posté par Eric Leblond (site web personnel) le 04 octobre 2005 à 11:19. Évalué à 2.
    
    La conférence de kadlec sur ipset (http://nfws.inl.fr/en/?p=6)(...) était vraiment très interessante. Cet outil permet de gérer de manière plus intelligentes et efficaces des groupes d'objets, mais il faut tout de même noter que les deux projets (ipset et nf hipac) ne sont pas dans la même catégorie :
    - avec ipset, c'est l'admin qui réalise l'optimisation (script obligatoire d'ailleurs)
    - avec nf_hipac : l'optimisation est automatique, la gestion des règles par l'admin reste inchangée par rapport à iptables.
    
    Ce n'est pas tout à fait la même chose (surtout sur un jeu de règles conséquent) ;-)
    - [^] # Re: nf-HiPAC
      
      Posté par un_brice (site web personnel) le 04 octobre 2005 à 18:55. Évalué à 2.
      
      avec ipset, c'est l'admin qui réalise l'optimisation (script obligatoire d'ailleurs)
      
      En même temps Ipset a l'air moins intrusif et probablement plus facile à maintenir. Et puis c'est pas vraiment de l'optimisation à la main, c'est juste déclarer des blocs nommés d'IPs et de ports, au lieu de disséminer le classement dans plusieurs règles.
      Si j'ai bien suivit on pourrait parfaitement imaginer un outil userspace qui convertirais les scripts iptables longs en version abregées par ipset (et la version ipset risque d'être plus explicite que l'originale).
      - [^] # Re: nf-HiPAC
        
        Posté par Eric Leblond (site web personnel) le 04 octobre 2005 à 19:32. Évalué à 2.
        
        > En même temps Ipset a l'air moins intrusif et probablement plus facile à maintenir.
        
        Tout à fait d'accord sur le côté moins intrusif mais nf-hipac permet d'avoir un jeu de règles linéaires et s'occupe lui-même de l'optimisation.
        
        > Si j'ai bien suivit on pourrait parfaitement imaginer un outil userspace qui convertirais les scripts iptables
        
        Pour ça autant utiliser nf-hipac
        
        Il vaut mieux revoir le script de génération pour être plus meta. Un outil gérant des ensembles comme nuface (http://www.inl.fr/nuface.html) par exemple pourrait générer des règles ipset au lieu de règles iptables standards et profiter de l'optimisation apporté par ipset.
  - [^] # Re: nf-HiPAC
    
    Posté par herodiade le 04 octobre 2005 à 17:31. Évalué à 2.
    
    Les courbes du papier d'Hartmeier ne sont plus d'actualité:
    le papier a été rédigé il y a 3 ans: à l'époque pf n'avait même pas un an, et les devs OpenBSD travaillaient surtout à le rendre le plus robuste et complet possible.
    
    Depuis, un énorme travail a été fait sur les perfs.
- [^] # Re: nf-HiPAC
  
  Posté par Eric Leblond (site web personnel) le 06 octobre 2005 à 16:42. Évalué à 1.
  
  L'inclusion de nf-hipac dans le core de Netfilter vient d'être décidée. devrait arriver dans les bacs avec le kernel 2.6.16.
# Question bête....

Posté par Damien Metzler le 04 octobre 2005 à 11:45. Évalué à 3.

J'ai une question bête : pourquoi ya la photo d'un ZX Spectrum sur toutes les pages du workshop ?

C'était mon premier ordinateur et ça fait tout bizarre d'en revoir un !
- [^] # Re: Question bête....
  
  Posté par Eric Leblond (site web personnel) le 04 octobre 2005 à 14:48. Évalué à 2.
  
  > C'était mon premier ordinateur et ça fait tout bizarre d'en revoir un !
  
  Pablo Neira, organisateur du Workshop, s'est dit la même chose lorsqu'il a vu cette photo. Aucune autre raison donc qu'un souvenir des débuts en informatique de l'organisateur.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.