[Abstract] [Copyright Notice]

Firewalling sous Linux - Chapitre 4
Les différents outils disponibles pour Linux


4.1 Les outils "natifs"

On peut considérer ces outils comme "natifs" puisqu'ils sont livrés en standard avec tous les noyaux sur lesquels ils fonctionnent. En effet, ils ont intégré l'archive officielle principale du noyau Linux et constituent à ce titre une référence.

Ils ont généralement des qualités certaines. En effet :


4.1.1 Ipfwadm

Cet outil est disponible sous Linux 2.0. C'est le premier outil de firewalling digne de ce nom sous Linux. Il est directement inspiré du système de firewalling de BSD de l'époque.

Cet outil a été rendu obsolète par ipchains.


4.1.2 Ipchains

Disponible pour Linux 2.2, ipchains est une évolution de ipfwadm, réalisée au vu de l'expérience acquise et des limitations de ce dernier.

Il introduit la notion de chaînes, ce qui permet de rendre les règles plus lisibles et leur parcours plus rapide.


4.1.3 Netfilter

Netfilter est le successeur d'ipchains, dont il reprend bon nombre de concepts, tout en s'affranchissant des limitations structurelles de ce dernier.

Disponible pour Linux 2.3 et 2.4, il est actuellement en développement.


4.2 Les outils non "natifs"

Par outils non "natifs", il faut entendre les logiciels de firewalling qui n'ont pas été intégrés dans l'archive principale officielle du noyau Linux. Malgré tout, des patchs sont disponibles pour telle ou telle version du noyau.


4.2.1 IPFilter

IPFilter est l'outil de firewalling des systèmes BSDs libres. Il est cependant disponible pour d'autres architectures, telles que Solaris, ou encore Irix.

Relativement simple, mais assez puissant, il est un outil tout-à-fait agréable et complet. Son seul défaut, mais qui est malheureusement de taille, est qu'il ne soit disponible que pour Linux 2.0, et non Linux 2.2. En effet, l'auteur n'ayant pas réussi à faire accepter aux développeurs du noyau les changements qu'il désirait pour réaliser ce portage (qui n'est pas si aisé qu'il pourrait y paraître), il a tout simplement laissé de côté cette idée, ce qui est bien dommage.

Tout ceci fait qu'il est au total d'un intérêt tout-à-fait relatif pour les systèmes Linux actuels.


4.2.2 Sinus Firewall

Sinus Firewall est un outil de firewalling assez complet. Il est le seul à posséder une interface graphique. Certes, celle-ci est peu élégante, mais elle a au moins le mérite d'exister.

Cependant, il n'est disponible que pour Linux 2.0. Pour Linux 2.2.x, il n'existe qu'une version de développement. L'équipe de développement semble d'ailleurs assez peu active, et on peut s'interroger sur l'opportunité de confier une partie de la sécurité de son à un outil qui n'est pas utilisé et testé autant que d'autres le sont.


4.3 Le choix

Le seul outil de firewalling robuste, éprouvé et puissant existant actuellement sous Linux 2.2 est incontestablement ipchains. Tous les autres outils sont obsolètes, mal (ou pas) maintenus, et peu utilisés car peu sûrs et réciproquement.

Seul netfilter tire son épingle du jeu. Son seul défaut est de ne pas être disponible pour Linux 2.2, car il est actuellement en développement et fonctionne sur les noyaux 2.3 et les pré-versions du noyau 2.4. La sortie officielle de ce dernier noyau est imminente, et netfilter constituera alors le système de firewalling Linux le plus abouti et très vraisemblablement le plus utilisé, à juste titre. Il serait donc bien dommage de ne pas le présenter ici.

Aussi non attacherons-nous à les détailler les fonctionnalités d'ipchains et de netfilter, son successeur.


[Abstract] [Copyright Notice]

Firewalling sous Linux
Hervé Eychenne herve.eychenne@alcove.fr