IPFilter

IPFilter (ou IPF) est un module logiciel qui apporte des fonctions de pare-feu à de nombreux dispositifs d'exploitation Unix, Linux ou BSD.

Il peut être intégré au noyau UNIX, ou être chargé dynamiquement comme module de ce dernier. Son auteur et mainteneur est Darren Reed.

Particularités

• Deux configurations sont chargées en mémoire : une active et une inactive. Le basculement de l'une à l'autre est automatique. C'est-à-dire qu'on peut tester une nouvelle configuration, la tester pendant un certain temps puis revenir automatiquement en arrière avec une simple ligne de commande : ipf -s ; sleep 10 ; ipf -s. Presque aucun pare-feu commercial n'implémente de solution de ce type ;

• Comme il fonctionne sur énormément de dispositifs multiplate-formes de type UNIX, il n'y a pas énormément de matériel sur lequel on ne peut pas faire tourner IPFilter (Simple PC, Gros Serveur avec CPU RISC, PlayStation, Macintosh…)

• IPFilter est énormément utilisé et bien documenté. Il est facile d'obtenir de l'aide sur les forums ;

• Pour des raisons de sécurité, IPF fait le minimum d'inspection de service dans le noyau. En effet l'inspection de service étant complexe, tout bogue pourrait permettre la prise de contrôle de la machine. Seuls les protocoles particulièrement utilisés (comme FTP, H323 et IKE) sont inspectés dans le noyau. Pour inspecter tout autre service, il faut installer un proxy qui, lui, tourne en espace utilisateur ;

• Le fait que IPF (comme PF) fasse peu d'inspection de service, tout en imposant l'utilisation de proxy est gênant pour des raison de performances, mais également lorsqu'il manque un proxy pour un protocole. A titre d'exemple, il n'y a pas de proxy pour RPC ;

• Comme la majorité des pare-feux libres, IPF ne gère pas IPsec, les proxys, les IDS, les serveurs d'authentification mais aussi d'autres technologies que les pare-feux commerciaux ont l'habitude de gérer. Pour faire cela, il faut utiliser d'autres modules BSD qui se configurent à part ;

Dispositifs d'exploitation

IPFilter est intégré à :

• FreeBSD depuis la v2.2 ;
• NetBSD depuis la v1.2 ;
• Solaris depuis la version 10.

Il était intégré dans les versions OpenBSD inférieures à 3.0, avant d'être remplacé par Packet Filter à cause d'un changement de licence (ce dernier étant lié à un conflit entre Reed et les développeurs OpenBSD).

Dispositifs d'exploitation sur lesquels IPFilter fonctionne :

386BSD 1.1 à 4 ; FreeBSD 2.0.0 à 2.2.8 ; IRIX 6.2 et 6.5 ; HP-UX 11.00 (IPFilter 4.0alpha*)  ; Linux 2.4 à 2.6 ;

NetBSD 1.0 à 1.4 ; OpenBSD 2.0 à 3.5 ; QNX 6 port ; Solaris et Solaris-x86 2.3 à 10 ; SunOS 4.1.3 à 4.1.4 ; Tru64 5.1a.

Les autres pare-feux libres

• Linux Netfilter, pare-feu libre des noyaux Linux 2.4 et 2.6.
• Linux Ipchains, pare-feu libre du noyau Linux 2.2.
• Packet Filter ou PF, pare-feu libre d'OpenBSD.
• Ipfirewall ou IPFW, pare-feu libre de FreeBSD.

Liens externes

• (en) Site officiel
• (en) Schéma explicatif du chemin des paquets
• (en) La FAQ IPFilter de Phil Dibowitz
• (en) Une documentation IPFilter
• (en) Licence IPFilter

Ce texte est issu de l'encyclopédie Wikipedia. Vous pouvez consulter sa version originale dans cette encyclopédie à l'adresse http://fr.wikipedia.org/wiki/IPFilter.
Voir la liste des contributeurs.
La version présentée ici à été extraite depuis cette source le 23/03/2009.
Ce texte est disponible sous les termes de la licence de documentation libre GNU (GFDL).
La liste des définitions proposées en tête de page est une sélection parmi les résultats obtenus à l'aide de la commande "define:" de Google.
Cette page fait partie du projet Wikibis.