Préparation de l'atelier Netfilter 2005

Posté par _gryzor_ le 02 septembre 2005 à 20:25. Modéré par Jaimé Ragnagna.

Étiquettes :

sept.

2005

NFWS2005, le Netfilter Workshop aura lieu cette année du 3 au 8 octobre à Séville.

Cet événement comportera :
- L'atelier des développeurs avec un programme impressionnant : support IPv6, support de nouveaux protocoles (VoIP, H.323, PPTP), support de la Haute Disponibilité...
- Une conférence des utilisateurs : outils d'aide au déploiement, projets tiers (avec notamment une présentation de NuFW, le pare-feu authentifiant), et bien sûr quelques mots sur les violations récentes de la GPL par des fabricants de boîtes noires.
- Et deux jours supplémentaires de codage intensif.

Événement incontournable pour ceux qui s'intéressent de près au filtrage IP sous Linux, l'atelier Netfilter est avant tout un lieu de rencontre et de partage, qui permettra aux développeurs, comme les années précédentes, de faire connaissance avec les "nouveaux" et de définir les développements à venir.

Aller plus loin

Site de l'atelier Netfilter (2 clics)
Site principal de Netfilter (2 clics)
Les sponsors de l'évenement (1 clic)
L'email d'annonce sur la Mailing List de Netfilter (1 clic)
Violation de la GPL par fortinet (1 clic)

# États pour IPv6

Posté par herodiade le 03 septembre 2005 à 12:07. Évalué à 9.

Il faut noter que l'atelier des développeurs n'a pas pour vocation d'implémenter (en un temps si court !) les fonctionalités indiquées, mais plutôt d'en discuter.

Un des sujets de discussion, pas indiqué dans la dépêche mais très important : « Connection tracking IPv6 support: nf_conntrack ». En gros, pour les anglophobes: support du suivi de connexions pour IPv6 via nf_conntrack. En effet Netfilter ne gère toujours pas le traffic IPv6 de façon statefull ("suivi des connexions avec états").

Celà signifie qu'il est à ce jour beaucoup plus difficile d'obtenir un niveau de sécurité correct sous Linux en IPv6 qu'en IPv4, ce qui n'aide pas à la promotion de ce protocole. Et sur ce point Linux/Netfilter est très en retard par rapport aux autres firewall libres (en particulier dans le monde *BSD, les firewalls ipf et pf). Souhaitons que l'atelier Netfilter 2005 donne l'impulsion nécéssaire !
- [^] # Re: États pour IPv6
  
  Posté par Jonathan ILIAS-PILLET (site web personnel) le 06 septembre 2005 à 08:49. Évalué à 1.
  
  IPv6 conntrack, c'est la première chose à laquelle j'ai pensé en lisant cette dépêche. Alors j'en profite pour demander si quelqu'un a une idée de la raison pour laquelle le suivi de connexion n'existe pas pour IPv6. C'est à cause de la taille des adresses dans les tables ? Parce qu'en dehors de ça, je ne vois pas de changement dans TCP qui imposerait une réécriture trop importante.
  
  Enfin bref, simple curiosité, si vous avez des infos là dessus...
  - [^] # Re: États pour IPv6
    
    Posté par Jonathan ILIAS-PILLET (site web personnel) le 06 septembre 2005 à 08:57. Évalué à 3.
    
    Bon, après une petite recherche, il semblerait que ce soit parce que le code actuel de suivi de connexion manque de généricité :
    http://www.linuxarkivet.se/mlists/netfilter-devel/0207/msg00169.htm(...)
    
    Finalement, j'ai posé la question un peu vite, m'enfin si d'autre curieux passent par là... ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.

Aller plus loin

# États pour IPv6

[^] # Re: États pour IPv6

[^] # Re: États pour IPv6