bonjour,
Je voudrai étudier de plus près les algorithmes d'application des règles de IPcop en guise d'optimisation en terme de temps de filtrage et d'application des règles.Est ce que vous pouvez me lancer sur le sujet,merci d'avance
algorithmes d'application des régles de IPcop
Modérateur: modos Ixus
10 messages
• Page 1 sur 1
algorithmes d'application des régles de IPcop
par ben ali tarek » 12 Juin 2009 19:48
- ben ali tarek
- Quartier Maître
- Messages: 13
- Inscrit le: 11 Juin 2009 19:20
par loberty » 13 Juin 2009 16:36
Bonjour,
Tu définis une politique par défaut puis les règles d'interdiction ou d'autorisation.
Par exemple, tu indiques :
. par défaut la politique est de tout interdire
. puis tu définis chaque règle qui autorise tel ou tel protocole, adresse, etc ...
Ou alors :
. par défaut la politique est de tout autoriser
. puis tu définis chaque règle qui interdit tel ou tel protocole, adresse, etc ...
A la 1ere règle rencontrée et valide, le fiultrage s'arrête et on suite ce qui est indiqué dans la règle (autoriser ou interdire)
Si aucun règle ne correspond, c'est la politique par défaut qui est appliquée
Exemple :
. par défaut interdire
. autoriser les flux sortants vers TCP/80
. autoriser les flux sortants vers TCP/443
. autoriser tout flux sortant provennt de 192.168.0.10
=> si un flux sortant de 192.168.0.11 vers UDP/53 apparaît, il sera interdit car il ne correspond à aucune règle, on donc applique la politique par défaut
=> si un flux sortant de 192.168.0.10 vers UDP/53 apparaît, il sera autoriser car il répond à la règle 3
A+
Tu définis une politique par défaut puis les règles d'interdiction ou d'autorisation.
Par exemple, tu indiques :
. par défaut la politique est de tout interdire
. puis tu définis chaque règle qui autorise tel ou tel protocole, adresse, etc ...
Ou alors :
. par défaut la politique est de tout autoriser
. puis tu définis chaque règle qui interdit tel ou tel protocole, adresse, etc ...
A la 1ere règle rencontrée et valide, le fiultrage s'arrête et on suite ce qui est indiqué dans la règle (autoriser ou interdire)
Si aucun règle ne correspond, c'est la politique par défaut qui est appliquée
Exemple :
. par défaut interdire
. autoriser les flux sortants vers TCP/80
. autoriser les flux sortants vers TCP/443
. autoriser tout flux sortant provennt de 192.168.0.10
=> si un flux sortant de 192.168.0.11 vers UDP/53 apparaît, il sera interdit car il ne correspond à aucune règle, on donc applique la politique par défaut
=> si un flux sortant de 192.168.0.10 vers UDP/53 apparaît, il sera autoriser car il répond à la règle 3
A+
-
loberty - Contre-Amiral
- Messages: 411
- Inscrit le: 25 Mai 2004 13:47
- Localisation: Val de marne
par jdh » 13 Juin 2009 17:21
On peut éventuellement poser la question de l'optimisation les règles iptables. (Je suppose que la question se pose avec BOT car je connais mal Ipcop et je suppose qu'un IPCOP sans BOT ne sait faire "de base" que des renvois de trafics, merci de me contredire si besoin.)
Point liminaire :
Cela n'a de sens de poser cette question QUE s'il y a quelques centaines ou milliers de règles.
Dès lors qu'il y a moins de 20 règles, l'optimisation parait largement superflue ...
De même, cela n'a de sens QUE si la pile IP est considérée comme optimale !
De même, cela n'a de sens QUE si IPCOP est utilisé seul : pas de proxy http, smtp, ou autre dessus.
De même, cela n'a de sens QUE si le tuyau Internet est de taille énorme : avec un ADSL 8M et 20-30 règles, on peut raisonnablement penser que n'importe quel proc à 2Ghz et des cartes 100M correctes (type Intel PRO par exemple). (Question subsidaire : utilise t-on IPCOP sur un lien 34M ?)
1er point :
L'interface (de BOT) génère une partie des règles iptables. Cette génération est-elle optimale ?
On peut penser que les règles sont écrites dans l'ordre de saisie. Donc le bon sens de l'administrateur doit jouer.
2ème point :
Il faut regarder les travaux de la Netfilter CoreTeam pour savoir si les conditions réelles sont susceptibles d'amélioration selon la version de Netfilter/iptables.
Bref, en l'absence de TOUT élément concret, AMHA la question ne se pose pas vraiment.
NB : Je cite souvent Shorewall comme générateur de script iptables (approximativement). C'est parce qu'en regardant le script produit (par iptables -vn -L), on note la lisibilité du code produit et, partant, la qualité et très sûrement l'efficacité. Mais encore, je n'ai jamais testé un firewall en bout de capacité : la taille du lien est par trop limitante avant tout limite du firewall.
Point liminaire :
Cela n'a de sens de poser cette question QUE s'il y a quelques centaines ou milliers de règles.
Dès lors qu'il y a moins de 20 règles, l'optimisation parait largement superflue ...
De même, cela n'a de sens QUE si la pile IP est considérée comme optimale !
De même, cela n'a de sens QUE si IPCOP est utilisé seul : pas de proxy http, smtp, ou autre dessus.
De même, cela n'a de sens QUE si le tuyau Internet est de taille énorme : avec un ADSL 8M et 20-30 règles, on peut raisonnablement penser que n'importe quel proc à 2Ghz et des cartes 100M correctes (type Intel PRO par exemple). (Question subsidaire : utilise t-on IPCOP sur un lien 34M ?)
1er point :
L'interface (de BOT) génère une partie des règles iptables. Cette génération est-elle optimale ?
On peut penser que les règles sont écrites dans l'ordre de saisie. Donc le bon sens de l'administrateur doit jouer.
2ème point :
Il faut regarder les travaux de la Netfilter CoreTeam pour savoir si les conditions réelles sont susceptibles d'amélioration selon la version de Netfilter/iptables.
Bref, en l'absence de TOUT élément concret, AMHA la question ne se pose pas vraiment.
NB : Je cite souvent Shorewall comme générateur de script iptables (approximativement). C'est parce qu'en regardant le script produit (par iptables -vn -L), on note la lisibilité du code produit et, partant, la qualité et très sûrement l'efficacité. Mais encore, je n'ai jamais testé un firewall en bout de capacité : la taille du lien est par trop limitante avant tout limite du firewall.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par ben ali tarek » 14 Juin 2009 19:57
merci beaucoup pour vos éclaircissements,je comprends mieux le mécanisme appliqué à chaque filtrage.En fait,je cherche à optimiser en matière de temps de réponse et de traitement des paquets
- ben ali tarek
- Quartier Maître
- Messages: 13
- Inscrit le: 11 Juin 2009 19:20
par ben ali tarek » 14 Juin 2009 20:03
tout à fait d'accord avec toi jdh,je vise une échelle plus grande qu'un petit réseau local avec quelques règles ce qui fait qu'avec des centaines ou des milliers de règles le bon sens de l'administrateur ne tient pas debout faudra chercher à optimiser le filtrage par exemple:choix des règles applicables aux paquets filtrés,je ne sais pas si ma proposition tiens debout??
- ben ali tarek
- Quartier Maître
- Messages: 13
- Inscrit le: 11 Juin 2009 19:20
par ben ali tarek » 14 Juin 2009 20:09
concernant IPcop et BOT,cela dependra du contenu du script rc.firewall par défaut ce script autorise tout le flux sortant et interdit tout flux entrant ce qui inclus la nécessité d'avoir un addon comme BOT pour filtrer le flux sortant,cependant es ce qu'on peux pas modifier rc.firewall en incluant des régles sur le flux sortant pouvant ainsi éliminer le besoin d'avoir BOT?
- ben ali tarek
- Quartier Maître
- Messages: 13
- Inscrit le: 11 Juin 2009 19:20
par ccnet » 14 Juin 2009 20:48
ben ali tarek a écrit:tout à fait d'accord avec toi jdh,je vise une échelle plus grande qu'un petit réseau local avec quelques règles ce qui fait qu'avec des centaines ou des milliers de règles le bon sens de l'administrateur ne tient pas debout faudra chercher à optimiser le filtrage par exemple:choix des règles applicables aux paquets filtrés,je ne sais pas si ma proposition tiens debout??
Des milliers de règles ... cela me rappelle quelque chose ... enfin bref. Si vous en arrivez là, ipcop n'est sans doute pas l'outil nécessaire. On ne gère probablement pas la sécurité réseau sur une infrastructure qui réclame des milliers de règles (lesquelles ?) avec ipcop.
En fait,je cherche à optimiser en matière de temps de réponse et de traitement des paquets
Il y a bien d'autres facteurs limitant avant de commencer à s'inquiéter de l'optimisation des règles sur le firewall.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par ben ali tarek » 14 Juin 2009 20:59
quels sont ces facteurs?pouvez vous nous apporter plus de précision svp
- ben ali tarek
- Quartier Maître
- Messages: 13
- Inscrit le: 11 Juin 2009 19:20
10 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité