next up previous contents Next: Mécanisme d'ipchains. Up: D'ipfwadm à ipchains. Previous: D'ipfwadm à ipchains.   Table des matières  

42.2.1.1 Mécanisme d'ipfwadm.

Toutes les fonctionnalités des pare-feux filtrants sont mises en oeuvre dans le noyau Linux. Jusqu'à la version 2.1.102, il s'agit d'ipfwadm. A partir de la version 2.1.102, ipchains est utilisé (éventuellement avec une compatibilité ipfwadm). Depuis le noyau 2.4, nous disposons en plus d'iptables (avec éventuellement une compatibilité avec ipchains et ipfwadm). Le lecteur se référera au Firewall-HOWTO pour davantage d'information sur l'élaboration d'un pare-feu. Lorsque le filtrage se fait sans suivi de connexion, le pare-feu est dit ``stateless''; s'il y a suivi de connexions (conntrack), le pare-feu est ``statefull''. Ces pare-feu travaillent au niveau de la couche de transport en analysant les sockets c'est-à-dire les couples d'adresses IP $\leftrightarrow$ ports.

Si, par ailleurs, un filtrage applicatif est souhaité, il est nécessaire d'installer un serveur proxy (ou mandataire) qui permet de faire des requêtes au nom d'une machine se trouvant derrière le pare-feu (squid en est un exemple). Le lecteur peut se référer au Squid-HOWTO à l'adresse http://www.squid-cache. N'allez cependant pas croire qu'un réseau protégé par un indispensable pare-feu est devenu inviolable (voir le chapitre 45).

Comme indiqué dans la figure 12 , le principe d'ipfwadm (un paquet réécrit à partir du logiciel ipfw de BSD) est le suivant:


Figure 12:
Schéma de fonctionnement d'ipfwadm.
\includegraphics[%
scale=0.5]{ipfwadm.eps}


next up previous contents Next: Mécanisme d'ipchains. Up: D'ipfwadm à ipchains. Previous: D'ipfwadm à ipchains.   Table des matières  
1-01-2006