Préparation de l'atelier Netfilter 2005

Posté par  . Modéré par Jaimé Ragnagna.
Étiquettes :
0
2
sept.
2005
Sécurité
NFWS2005, le Netfilter Workshop aura lieu cette année du 3 au 8 octobre à Séville.

Cet événement comportera :
- L'atelier des développeurs avec un programme impressionnant : support IPv6, support de nouveaux protocoles (VoIP, H.323, PPTP), support de la Haute Disponibilité...
- Une conférence des utilisateurs : outils d'aide au déploiement, projets tiers (avec notamment une présentation de NuFW, le pare-feu authentifiant), et bien sûr quelques mots sur les violations récentes de la GPL par des fabricants de boîtes noires.
- Et deux jours supplémentaires de codage intensif.

Événement incontournable pour ceux qui s'intéressent de près au filtrage IP sous Linux, l'atelier Netfilter est avant tout un lieu de rencontre et de partage, qui permettra aux développeurs, comme les années précédentes, de faire connaissance avec les "nouveaux" et de définir les développements à venir.

Aller plus loin

  • # États pour IPv6

    Posté par  . Évalué à 9.

    Il faut noter que l'atelier des développeurs n'a pas pour vocation d'implémenter (en un temps si court !) les fonctionalités indiquées, mais plutôt d'en discuter.

    Un des sujets de discussion, pas indiqué dans la dépêche mais très important : « Connection tracking IPv6 support: nf_conntrack ». En gros, pour les anglophobes: support du suivi de connexions pour IPv6 via nf_conntrack. En effet Netfilter ne gère toujours pas le traffic IPv6 de façon statefull ("suivi des connexions avec états").

    Celà signifie qu'il est à ce jour beaucoup plus difficile d'obtenir un niveau de sécurité correct sous Linux en IPv6 qu'en IPv4, ce qui n'aide pas à la promotion de ce protocole. Et sur ce point Linux/Netfilter est très en retard par rapport aux autres firewall libres (en particulier dans le monde *BSD, les firewalls ipf et pf). Souhaitons que l'atelier Netfilter 2005 donne l'impulsion nécéssaire !
    • [^] # Re: États pour IPv6

      Posté par  (site web personnel) . Évalué à 1.

      IPv6 conntrack, c'est la première chose à laquelle j'ai pensé en lisant cette dépêche. Alors j'en profite pour demander si quelqu'un a une idée de la raison pour laquelle le suivi de connexion n'existe pas pour IPv6. C'est à cause de la taille des adresses dans les tables ? Parce qu'en dehors de ça, je ne vois pas de changement dans TCP qui imposerait une réécriture trop importante.

      Enfin bref, simple curiosité, si vous avez des infos là dessus...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.