algorithmes d'application des régles de IPcop

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

algorithmes d'application des régles de IPcop

Messagepar ben ali tarek » 12 Juin 2009 19:48

bonjour,
Je voudrai étudier de plus près les algorithmes d'application des règles de IPcop en guise d'optimisation en terme de temps de filtrage et d'application des règles.Est ce que vous pouvez me lancer sur le sujet,merci d'avance
ben ali tarek
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 11 Juin 2009 19:20

Messagepar ccnet » 12 Juin 2009 20:02

Je ne comprend pas vraiment ce que vous demandez.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar loberty » 13 Juin 2009 16:36

Bonjour,

Tu définis une politique par défaut puis les règles d'interdiction ou d'autorisation.
Par exemple, tu indiques :
. par défaut la politique est de tout interdire
. puis tu définis chaque règle qui autorise tel ou tel protocole, adresse, etc ...
Ou alors :
. par défaut la politique est de tout autoriser
. puis tu définis chaque règle qui interdit tel ou tel protocole, adresse, etc ...
A la 1ere règle rencontrée et valide, le fiultrage s'arrête et on suite ce qui est indiqué dans la règle (autoriser ou interdire)
Si aucun règle ne correspond, c'est la politique par défaut qui est appliquée
Exemple :
. par défaut interdire
. autoriser les flux sortants vers TCP/80
. autoriser les flux sortants vers TCP/443
. autoriser tout flux sortant provennt de 192.168.0.10
=> si un flux sortant de 192.168.0.11 vers UDP/53 apparaît, il sera interdit car il ne correspond à aucune règle, on donc applique la politique par défaut
=> si un flux sortant de 192.168.0.10 vers UDP/53 apparaît, il sera autoriser car il répond à la règle 3

A+
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne

Messagepar jdh » 13 Juin 2009 17:21

On peut éventuellement poser la question de l'optimisation les règles iptables. (Je suppose que la question se pose avec BOT car je connais mal Ipcop et je suppose qu'un IPCOP sans BOT ne sait faire "de base" que des renvois de trafics, merci de me contredire si besoin.)


Point liminaire :
Cela n'a de sens de poser cette question QUE s'il y a quelques centaines ou milliers de règles.

Dès lors qu'il y a moins de 20 règles, l'optimisation parait largement superflue ...

De même, cela n'a de sens QUE si la pile IP est considérée comme optimale !

De même, cela n'a de sens QUE si IPCOP est utilisé seul : pas de proxy http, smtp, ou autre dessus.

De même, cela n'a de sens QUE si le tuyau Internet est de taille énorme : avec un ADSL 8M et 20-30 règles, on peut raisonnablement penser que n'importe quel proc à 2Ghz et des cartes 100M correctes (type Intel PRO par exemple). (Question subsidaire : utilise t-on IPCOP sur un lien 34M ?)


1er point :
L'interface (de BOT) génère une partie des règles iptables. Cette génération est-elle optimale ?

On peut penser que les règles sont écrites dans l'ordre de saisie. Donc le bon sens de l'administrateur doit jouer.

2ème point :
Il faut regarder les travaux de la Netfilter CoreTeam pour savoir si les conditions réelles sont susceptibles d'amélioration selon la version de Netfilter/iptables.



Bref, en l'absence de TOUT élément concret, AMHA la question ne se pose pas vraiment.



NB : Je cite souvent Shorewall comme générateur de script iptables (approximativement). C'est parce qu'en regardant le script produit (par iptables -vn -L), on note la lisibilité du code produit et, partant, la qualité et très sûrement l'efficacité. Mais encore, je n'ai jamais testé un firewall en bout de capacité : la taille du lien est par trop limitante avant tout limite du firewall.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ben ali tarek » 14 Juin 2009 19:57

merci beaucoup pour vos éclaircissements,je comprends mieux le mécanisme appliqué à chaque filtrage.En fait,je cherche à optimiser en matière de temps de réponse et de traitement des paquets
ben ali tarek
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 11 Juin 2009 19:20

Messagepar ben ali tarek » 14 Juin 2009 20:03

tout à fait d'accord avec toi jdh,je vise une échelle plus grande qu'un petit réseau local avec quelques règles ce qui fait qu'avec des centaines ou des milliers de règles le bon sens de l'administrateur ne tient pas debout faudra chercher à optimiser le filtrage par exemple:choix des règles applicables aux paquets filtrés,je ne sais pas si ma proposition tiens debout??
ben ali tarek
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 11 Juin 2009 19:20

Messagepar ben ali tarek » 14 Juin 2009 20:09

concernant IPcop et BOT,cela dependra du contenu du script rc.firewall par défaut ce script autorise tout le flux sortant et interdit tout flux entrant ce qui inclus la nécessité d'avoir un addon comme BOT pour filtrer le flux sortant,cependant es ce qu'on peux pas modifier rc.firewall en incluant des régles sur le flux sortant pouvant ainsi éliminer le besoin d'avoir BOT?
ben ali tarek
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 11 Juin 2009 19:20

Messagepar ccnet » 14 Juin 2009 20:48

ben ali tarek a écrit:tout à fait d'accord avec toi jdh,je vise une échelle plus grande qu'un petit réseau local avec quelques règles ce qui fait qu'avec des centaines ou des milliers de règles le bon sens de l'administrateur ne tient pas debout faudra chercher à optimiser le filtrage par exemple:choix des règles applicables aux paquets filtrés,je ne sais pas si ma proposition tiens debout??


Des milliers de règles ... cela me rappelle quelque chose ... enfin bref. Si vous en arrivez là, ipcop n'est sans doute pas l'outil nécessaire. On ne gère probablement pas la sécurité réseau sur une infrastructure qui réclame des milliers de règles (lesquelles ?) avec ipcop.
En fait,je cherche à optimiser en matière de temps de réponse et de traitement des paquets

Il y a bien d'autres facteurs limitant avant de commencer à s'inquiéter de l'optimisation des règles sur le firewall.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar ben ali tarek » 14 Juin 2009 20:59

quels sont ces facteurs?pouvez vous nous apporter plus de précision svp
ben ali tarek
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 11 Juin 2009 19:20

Messagepar ccnet » 14 Juin 2009 21:09

A commencer par le débit réseau, la vitesse de commutation de vos équipements. Par exemple.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron