IPFilter

IPFilter

Informations
Dernière version 1.0 ()[1]
5.1.0
4.1.30 ()[1]
4.1.35
5.1.2
3.4 ()[1]
2.8 ()[1]
3.4.31
4.1.33 ()[1]
2.0 ()[1]
2.8.2 ()[1]
3.0 ()[1]
4.1 ()[1]Voir et modifier les données sur Wikidata
Dépôt [cvs://anonymous@ipfilter.cvs.sourceforge.net:/cvsroot/ipfilter cvs://anonymous@ipfilter.cvs.sourceforge.net:/cvsroot/ipfilter]Voir et modifier les données sur Wikidata
Écrit en CVoir et modifier les données sur Wikidata
Système d'exploitation Type UnixVoir et modifier les données sur Wikidata
Type Pare-feu à étatsVoir et modifier les données sur Wikidata
Licence Licence publique générale GNU et licence BSDVoir et modifier les données sur Wikidata

IPFilter (ou IPF) est un module logiciel qui fournit des fonctions de pare-feu à de nombreux systèmes d'exploitation Unix, Linux ou BSD.

Il peut être intégré au noyau Unix, ou être chargé dynamiquement comme module de celui-ci.

Son auteur et mainteneur est Darren Reed.

Particularités

[modifier | modifier le code]
  • Deux configurations sont chargées en mémoire : une active et une inactive. Le basculement de l'une à l'autre est automatique. C’est-à-dire que l'on peut tester une nouvelle configuration, la tester pendant un certain temps puis revenir automatiquement en arrière à l'aide d'une simple ligne de commande : ipf -s ; sleep 10 ; ipf -s. Quasiment aucun pare-feu commercial n'implémente de solution de ce type ;
  • Comme il fonctionne sur beaucoup de systèmes multiplate-formes de type UNIX, il n'y a pas beaucoup de matériel sur lequel on ne peut pas faire tourner IPFilter (Simple PC, Gros Serveur avec CPU RISC, PlayStation, Macintosh…)
  • IPFilter est très utilisé et bien documenté. Il est facile d'obtenir de l'aide sur les forums ;
  • Pour des raisons de sécurité, IPF fait le minimum d'inspection de service dans le noyau. En effet l'inspection de service étant complexe, tout bogue pourrait permettre la prise de contrôle de la machine. Seuls les protocoles très utilisés (comme FTP, H323 et IKE) sont inspectés dans le noyau. Pour inspecter tout autre service, il faut installer un proxy qui, lui, tourne en espace utilisateur ;
  • Le fait que IPF (comme PF) fasse peu d'inspection de service, tout en imposant l'utilisation de proxy est gênant pour des raisons de performances, mais aussi quand il manque un proxy pour un protocole. Par exemple, il n'y a pas de proxy pour RPC ;
  • Comme la plupart des pare-feu libres, IPF ne gère pas IPsec, les proxys, les IDS, les serveurs d'authentification ainsi que d'autres technologies que les pare-feux commerciaux ont l'habitude de gérer. Pour faire cela, il faut utiliser d'autres modules BSD qui se configurent à part ;

Systèmes d'exploitation

[modifier | modifier le code]

IPFilter est intégré à :

Il était intégré dans les versions OpenBSD inférieures à 3.0, avant d'être remplacé par Packet Filter à cause d'un changement de licence (celui-ci étant lié à un conflit entre Reed et les développeurs OpenBSD).

Systèmes d'exploitation sur lesquels IPFilter fonctionne :

Les autres pare-feux libres

[modifier | modifier le code]

Liens externes

[modifier | modifier le code]