On Tue, Nov 13, 2001 at 11:31:47AM +0100, Daniel Cordey wrote:
> Apr�s avoir lu pas mal de docs sur ipchains (qui me semble tr�s bien),
> j'apprends aussi l'existence de iptables. Je vois bien quelques diff�rences
> mais elles ne me paraissent pas fondamentales. Qu'en est-il dans la pratique ?
Si si elle sont assez fondamentales.
> Quelqu'un a-t-il un peu d'exp�rience avec l'un ou/et l'autre ?
Les deux principaux avantages que je vois avec netfilter sont la
dispositions des diff�rentes chains la "statefulness".
Pour le premier point un exemple tout simple, sur un routeur tu aimerais
bloquer l'acc�s � telnet. Avec ipchains tu ne peux pas simplement
rajouter un DENY dans INPUT car sinon _tout_ le traffic destin� au port
23 sur toutes les machines derri�re le routeur sera bloqu�. Ceci car les
trois chains sont "en ligne".
interface +-------+ +---------+ +--------+ interface
d'entr�e | INPUT | ---- | FORWARD | ---- | OUTPUT | de sortie
+-------+ +---------+ +--------+
Par contre avec netfilter �a fonctionne comme �a.
interface non +---------+
d'entre� ---- Paquet pour moi ? ----- | FORWARD | -----
| +---------+ |
| oui |--- interface
| | de sortie
+-------+ +--------+ |
| INPUT | ---- | OUTPUT | ------------
+-------+ +--------+
Quand au fait que netfilter soit stateful cela permet de simplifier
grandement la config d'un firewall qui laisse passer des trucs comme FTP
actif (m�me si c'est pas forc�ment une bonne id�e...).
Ce ne sont que le deux points qui j'ai pr�f�r�, il y a pas d'autres
trucs (comme les r�gles bas�es sur le uid du process qui envoie des
donn�es !). En plus les fameux Unreliable Guides de Rusty sont vraiment
bien faits.
--
Francois Deppierraz <[EMAIL PROTECTED]>
Nimag Networks S�rl - www.nimag.net
PGP Key ID: 9D283BC9
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question. Ouais, pour se d�sabonner aussi.
