Harald Welte, développeur iptables

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
19
fév.
2002
Communauté
Le site brésilien Underlinux propose une entrevue avec Harald Welte, membre éminent de l'équipe du projet netfilter/iptables. Harald parle de sa carrière, des difficultés dans le projet iptables, du Libre au Brésil, de GNU/HURD et bien sur du nouvel iptables2 destiné aux noyaux 2.5.x/2.6.x.

Pour découvrir qui se cache derrière iptables.

Aller plus loin

  • # iptables2 !

    Posté par  . Évalué à 10.

    Génial, ils vont bosser sur l'export des connections en cours du firewall.
    On pourra synchoniser 2 firewall redondant et basculer de l'un a l'autre sans perdre l'etat des connections en cours ... comme sur les pix (cisco).
    Bref après cela, plus AUCUNE raison de ne pas utiliser linux comme firewall, sauf la frilosité des décideurs :-)
    • [^] # Re: iptables2 !

      Posté par  . Évalué à 10.

      Ca va encore être un gros boulot tout ca !!

      Customiser une solution qui intègre une interface pour modifier les règles à la volée, un ou plusieurs IDS, la sortie de rapports pour les décideurs préssés ...

      Je sens qu'on va pas chaumer !!
    • [^] # Re: iptables2 !

      Posté par  . Évalué à 1.

      > comme sur les pix (cisco)

      Checkpoint Firewall-1 le fait aussi (récupération de la table d'état des connexions entre 2 firewalls).
      • [^] # Re: iptables2 !

        Posté par  . Évalué à 3.

        j'aime moins FW-1 a cause de son interface clicodrome qui empeche de faire ce que l'on veut, du format des logs pas standard, ...
        enfin bon tout cela ca se discute, c'est vrai que j'aurai du citer les 2.

        Ce qui est top avec les pix (je trouve) c'est la gestion des 2 pix completement identique a la gestion d'un seul (autopropagation des modifs, des tables, ...en fait on gere un pix et l'autre on ne se connecte JAMAIS dessus, il déduis qu'il est le backup au sens de connection du cable spécial et hop il s'autoconfigure) et tout cela directement en ligne de commande en ssh sans s'en rendre compte. Le fait que les sauvegardes des regles soit le fichier de commandes tapées pour les installer c'est chouette aussi pour installer d'autres pix quasiement a l'identique (quelques modifs avec vi et hop on réinstalle ailleurs). De plus le pix dans son boitier rack 1U c'est beaucoup plus propre que FW-1 sur un PC industriel, surtout utilisé par dessus windows ... (dans un boitier nokia encore ca se discute de nouveau mais franchement un PC ca comporte beaucoup de pièces d'usure [disque dur ...] que ne possede pas le pix -> plus fiable).

        enfin tout ca c'est une histoire de gout.
        moi j'aimerai bien mettre des kernels linux pour faire firewall de partout :-))
        • [^] # Re: iptables2 !

          Posté par  . Évalué à 0.

          Je ne connais pas encore le pix en utilisation, mais le client FW1 a l'avantage de faire des choses sympas (visualisation graphique d'une règle par exemple), utile dans un environnement complexe. Pour les logs on peut les exporter en syslog.

          Comme tu le dis, le FW-1 peut (heureusement) être embarqué dans un boitier Nokia. C'est la deuxième génération, avec des OS spécialisés, en attendant les ASICs dédiés (existe avec Netscreen, mais ne fait pas -encore- de synchronisation de table d'état).
  • # vive lipiptable

    Posté par  (site web personnel) . Évalué à 10.

    > Pour découvrir qui se cache derrière iptables.
    De plus en plus de monde espèrons-le ;-)

    D'autant plus qu'au vu des prévisions de devel, il va y avoir pas mal d'améliorations. Je pense notamment à l'utilisation plus poussée de libiptable qui est déjà vraiment très interessante.
    Il est en effet déjà possible de faire passer des paquets en mode user puis d'emettre une décision (reject,accept) grâce à l'appel d'une fonction de libiptable ce qui peut être très pratique.
  • # Pas de changement de syntaxe iptables svp

    Posté par  . Évalué à 4.

    J'espere qu'il n'y aura pas de changement de syntaxe.
    Apres ipchains puis iptables, esperons qu'iptables2 ne modifie pas la syntaxe sauf pour des ameliorations en plus.

    Mine de rien, c'est du temps perdu a reinventer la roue alors que les principes ne changent pas.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.