Les nouveautés et innovations de la branche 1.2 sont :
- Support du filtrage de contenu, avec gestion de règles Layer7
- Enrichissement du modèle de données, et gestion affinée de l'ordre des ACL, en tenant compte de la topologie du réseau
- Nombreuses améliorations de l'ergonomie de l'interface
- Génération de règles au format iptables-restore pour de meilleures performances au chargement.
Nuface (pour la gestion de règles du pare-feu), comme Nulog (du coté du suivi des journaux d'un pare-feu), apportent de la valeur et de l'ergonomie au projet NuFW, et peuvent bien entendu être installés sur un pare-feu Netfilter "simple".
Aller plus loin
- Homepage de Nuface (8 clics)
- Site de démonstration (13 clics)
- Téléchargement (1 clic)
- Homepage du projet Nulog (5 clics)
- NuFW (7 clics)
- EdenWall : appliance intégrant Nuface (3 clics)
# règles L7
Posté par Jean . Évalué à 3.
Il semble que l'on ne puisse pas choisir le sens d'application d'une règle layer7 (intranet -> internet par ex)?
Ca fait plaisir de voir le produit évoluer :)
[^] # Re: règles L7
Posté par _gryzor_ . Évalué à 4.
Les règles layer7 sont "orthogonales" aux "autres" ACLs. En fait, il s'agit d'ACL à un autre niveau (lié au protocole). En effet, Netfilter/NuFW prend la décision sur le premier paquet (en TCP : SYN) d'une connexion, alors que layer7 a souvent besoin d'un certain nombre d'échanges sur la connexion établie pour pouvoir statuer.
Ainsi, une connexion peut être autorisée par Netfilter (donc par une ACL classique), puis après quelques échanges de datagrammes bloquée par Layer7.
Pour ce qui concerne la deuxième question, Nuface est beaucoup plus fin que cela : l'outil s'appuie sur la notion de marque interne à la couche réseau du noyau Linux. Il est donc possible par exemple de créer deux protocoles HTTP dans nuface (un lié à une vérification L7, l'autre non) et d'utiliser le protocole de son choix pour chaque ACL. La distinction entrée/sortie est donc faisable, mais en fait on a une distinction encore plus fine que cela : ACL par ACL.
Merci pour ton intérêt pour l'outil : il y a encore des fonctionnalités dans les cartons, à suivre dans les prochaines versions ;)
[^] # Re: règles L7
Posté par Sytoka Modon (site web personnel) . Évalué à 1.
Remarque, nuface n'est pas cité sur la page L7layer
http://l7-filter.sourceforge.net/
[^] # Re: règles L7
Posté par Sytoka Modon (site web personnel) . Évalué à 4.
En tout cas, la liste des protocoles reconnus par L7 est déjà impressionnante. Cette couche L7 est bien car elle va permette d'aller un peu plus loin que le désormais classique ouverture et fermeture de ports.
Pour ceux qui n'ont pas suivis, L7 permet suite a l'analyse de quelques paquets (dans les deux sens) d'une connection de déterminer le protocole (FTP, HTTP, H323, Skype...) et donc de définir de nouvelle règle (par exemple, arrêt du flux).
Comme de plus en plus de personne utilise le port 80 pour faire passer un peu tout et n'importe quoi, L7 va devenir a mon avis indispensable d'ici peu.
[^] # Re: règles L7
Posté par BAud (site web personnel) . Évalué à 3.
oula t'es un peu en retard sur l'actualité :)
L7 est devenu indispensable depuis quelques temps déjà...
cf. http://www.journaldufreenaute.fr/30/07/2006/free-adsl-demons(...)
cela permet notamment de faire de la QoS et d'éviter que le peering n'explose de trop...
[^] # Re: règles L7
Posté par Sytoka Modon (site web personnel) . Évalué à 1.
Je ne suis pas sur que beaucoup de personne ai mis des règles L7 sur son réseau.
Sondage : qui a mis des règles L7 et qui n'en a pas mis ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.