Packet Filter
Packet Filter est le pare-feu logiciel et officiel d'OpenBSD, rédigé à l'origine par Daniel Hartmeier. C'est un logiciel libre gratuit.
Recherche sur Google Images :
Source image : bebas.vlsm.org Cette image est un résultat de recherche de Google Image. Elle est peut-être réduite par rapport à l'originale et/ou protégée par des droits d'auteur. |
Page(s) en rapport avec ce sujet :
- Packet Filter, couramment nommé «PF» est le pare - feu d'OpenBSD.... pfctl -e Activer pfctl -d Désactiver pfctl -F all -f /etc/ pf. conf Annule l'ensemble des ... (source : diablotins)
Packet Filter (ou PF) est le pare-feu logiciel et officiel d'OpenBSD, rédigé à l'origine par Daniel Hartmeier. C'est un logiciel libre gratuit.
Il remplace IPFilter de Darren Reed depuis la version 3.0 d'OpenBSD, suite à des problèmes de licence, mais également des refus systématiques de Reed d'incorporer des modifications de code venant de développeurs OpenBSD.
Il a été porté sur DragonflyBSD 1.2 et NetBSD 3.0 ; il est apporté en standard sur FreeBSD (version 5.3 et ultérieures).
Un port gratuit de PF a aussi été réalisé pour les dispositifs d'exploitation Windows 2000 et XP par la communauté Core FORCE. Ce port n'est cependant qu'un pare-feu personnel : il n'implémente pas les fonctions de PF servant à faire du NAT ou d'utiliser ALTQ
Gestion de La Bande Passante
Depuis OpenBSD 3.0, la Mise en queue alternée ALTQ est membre du dispositif de base.
Depuis OpenBSD 3.3, ALTQ a été intégrée dans PF.
L'implémentation de ALTQ dans OpenBSD supporte les algorithmes de Mise en Queue par classes (CBQ) et de Mise en Queue par priorité (PRIQ), mais également la Détection Aléatoire Anticipée (RED) et la Notification de Congestion Explicite (ECN).
L'intégration de ALTQ dans PF permet entre autres de définir la priorité d'un trafic dans le filtre qui l'autorise.
Voir : PF : Gestion de La Bande Passante
Ceci permet par exemple :
- de rendre HTTP prioritaire comparé à SMTP si vous voulez rendre le surf sur internet prioritaire à l'envoi de mails ;
- de rendre les petits paquets d'acquittements prioritaires sur les autres paquets, ce qui est particulièrement pratique pour les accès à Internet asymétriques (ADSL…) ;
- de réserver des bandes passantes minimums pour des applications temps réels comme la VoIP.
Particularités
- Le chargement de la configuration est atomique : si une erreur de syntaxe ou de cohérence est trouvée dans le fichier configuration lors de la lecture des règle, alors le pare-feu n'est pas modifié. Presque aucun pare-feu commercial n'implémente de solution de ce type ;
- Grâce à la Gestion de La Bande Passante et l'intégration de ALTQ, Packet Filter offre un contrôle souple des flux et des performances réseau ;
- Pour des raisons de sécurité, PF ne fait pas d'inspection de service (comme FTP, RPC) dans le noyau. En effet l'inspection de service étant complexe, tout bogue pourrait permettre la prise de contrôle de la machine. Pour faire de l'inspection de service, il faut installer un proxy qui lui tourne dans l'espace utilisateur ;
- Les développeurs ont apporté un effort important pour rendre la syntaxe lisible, souple et claire (les erreurs de configuration représentant un danger majeur pour la sécurité d'un pare-feu) ;
- Grâce à l'utilisation combinée de pfsync et CARP, PF peut utiliser de la redondance pour assurer de la haute disponibilité ;
- Le fait que PF (comme IPF) ne fasse pas d'inspection de service, mais impose l'utilisation de proxy est gênant lorsqu'il manque un proxy pour un protocole. A titre d'exemple, il n'y a pas de proxy pour les protocoles basés sur RPC, ni pour le protocole UPnP (Universal Plug and Play) ;
- Comme la majorité des pare-feu libres, PF ne gère pas IPsec, les proxys, les IDS, les serveurs d'authentification et plein d'autres technologies que les pare-feu commerciaux ont l'habitude de gérer. Pour faire cela, il faut utiliser d'autres modules BSD qui se configurent à part ;
- Les IDS et logiciels antivirus conçus pour une intégration étroite avec les logiciels pare-feu supportent rarement PF (et d'une façon plus générale, les pare-feu des dispositifs BSD) ;
Commandes et paramètres
Quelques exemples d'utilisation de pfctl, l'outil d'administration en ligne de commande des pare-feu utilisant PF :
- pfctl -e -> active pf ;
- pfctl -d -> désactive pf ;
- pfctl -f
-> charge les règles décrites par le fichier dans PF. Si une seule erreur de syntaxe est trouvée dans le fichier, rien n'est changé ; - pfctl -sn -> affiche les règles de NAT activées ;
- pfctl -sr -> affiche les règles de filtrage activées.
Exemple de configuration
Explications élémentaires sur la syntaxe :
- les valeurs des macros sont automatiquement substituées lors de l'évaluation de la configuration ;
- la syntaxe interface :network se voit automatiquement substituer l'adresse du réseau attachée à interface ;
- le mot clef «egress» est automatiquement remplacé par le nom de l'interface à laquelle est attachée la route par défaut, et «(egress)» par son IP. Ces valeurs sont mises à jour dynamiquement en cas de changement.
# Macros int_if="rl0" ports_ouverts_pourt_tous="{ http https }" ports_ouverts_pour_lequipe="{ ssh 21 60000:60100 }" # Tables table <ip_de_lequipe> { XXX.XXX.XXX.XXX, XXX.XXX.XXX.XXX, XXX.XXX.XXX.XXX } # Normalisation du trafic scrub in no-df # NAT nat on egress -> (egress) # Règles de filtrage block in pass out keep state pass in on egress proto tcp from <ip_de_lequipe> to port $ports_ouverts_pour_lequipe pass in on egress proto tcp to port $ports_ouverts_pourt_tous block in quick on $int_if proto tcp from $int_if:network to port 4662 pass quick on !egress
- Linux Netfilter, pare-feu libre des noyaux Linux 2.4 et 2.6.
- Linux Ipchains, pare-feu libre du noyau Linux 2.2.
- IPFilter ou IPF, pare-feu libre de BSD et Solaris 10.
- Ipfirewall ou IPFW, pare-feu libre de FreeBSD.
Liens externes
- (en) La FAQ PF Officielle
- (fr) La FAQ PF Officielle
- (en) La page de manuel de pf. conf (le format de configuration)
- (en) La page de manuel de pfctl (la commande principale de pf)
- (en) La page de manuel de brconfig (Pont filtrant)
- (en) PF : Haute-disponibilité des pare-feu avec CARP et pfsync
- (fr) PF : Haute-disponibilité des pare-feu avec CARP et pfsync
- (en) Le site de la CoreForce
- (en) Projet de dæmon UPnP pilotant PF
Recherche sur Amazone (livres) : |
Voir la liste des contributeurs.
La version présentée ici à été extraite depuis cette source le 23/03/2009.
Ce texte est disponible sous les termes de la licence de documentation libre GNU (GFDL).
La liste des définitions proposées en tête de page est une sélection parmi les résultats obtenus à l'aide de la commande "define:" de Google.
Cette page fait partie du projet Wikibis.