IPFilter

IPFilter (ou IPF) est un module logiciel qui fournit des fonctions de pare-feu à de nombreux systèmes d'exploitation Unix, Linux ou BSD.

Il peut être intégré au noyau Unix, ou être chargé dynamiquement comme module de celui-ci.

Son auteur et mainteneur est Darren Reed.

Particularités

• Deux configurations sont chargées en mémoire : une active et une inactive. Le basculement de l'une à l'autre est automatique. C’est-à-dire que l'on peut tester une nouvelle configuration, la tester pendant un certain temps puis revenir automatiquement en arrière à l'aide d'une simple ligne de commande : ipf -s ; sleep 10 ; ipf -s. Quasiment aucun pare-feu commercial n'implémente de solution de ce type ;

• Comme il fonctionne sur beaucoup de systèmes multiplate-formes de type UNIX, il n'y a pas beaucoup de matériel sur lequel on ne peut pas faire tourner IPFilter (Simple PC, Gros Serveur avec CPU RISC, PlayStation, Macintosh…)

• IPFilter est beaucoup utilisé et bien documenté. Il est facile d'obtenir de l'aide sur les forums ;

• Pour des raisons de sécurité, IPF fait le minimum d'inspection de service dans le noyau. En effet l'inspection de service étant complexe, tout bogue pourrait permettre la prise de contrôle de la machine. Seuls les protocoles très utilisés (comme FTP, H323 et IKE) sont inspectés dans le noyau. Pour inspecter tout autre service, il faut installer un proxy qui, lui, tourne en espace utilisateur ;

• Le fait que IPF (comme PF) fasse peu d'inspection de service, tout en imposant l'utilisation de proxy est gênant pour des raisons de performances, mais aussi quand il manque un proxy pour un protocole. Par exemple, il n'y a pas de proxy pour RPC ;

• Comme la plupart des pare-feu libres, IPF ne gère pas IPsec, les proxys, les IDS, les serveurs d'authentification ainsi que d'autres technologies que les pare-feux commerciaux ont l'habitude de gérer. Pour faire cela, il faut utiliser d'autres modules BSD qui se configurent à part ;

Systèmes d'exploitation

IPFilter est intégré à :

• FreeBSD depuis la v2.2 ;
• NetBSD depuis la v1.2 ;
• Solaris depuis la version 10.

Il était intégré dans les versions OpenBSD inférieures à 3.0, avant d'être remplacé par Packet Filter à cause d'un changement de licence (celui-ci étant lié à un conflit entre Reed et les développeurs OpenBSD).

Systèmes d'exploitation sur lesquels IPFilter fonctionne :

• 386BSD 1.1 à 4 ;
• FreeBSD 2.0.0 à 2.2.8 ;
• IRIX 6.2 et 6.5 ;
• HP-UX 11.00 (IPFilter 4.0alpha*) ;
• Linux 2.4 à 2.6 ;
• NetBSD 1.0 à 1.4 ;
• OpenBSD 2.0 à 3.5 ;
• QNX 6 port ;
• Solaris et Solaris-x86 2.3 à 10 ;
• SunOS 4.1.3 à 4.1.4 ;
• Tru64 5.1a.

Voir aussi

Les autres pare-feux libres

• Linux Netfilter, pare-feu libre des noyaux Linux 2.4 et 2.6.
• Linux Ipchains, pare-feu libre du noyau Linux 2.2.
• Packet Filter ou PF, pare-feu libre d'OpenBSD.
• Ipfirewall ou IPFW, pare-feu libre de FreeBSD.

Liens externes

• (en) Site officiel
• (en) Schéma explicatif du chemin des paquets
• (en) La FAQ IPFilter de Phil Dibowitz
• (en) Une documentation IPFilter
• (en) Licence IPFilter

• Portail de la sécurité informatique
• Portail des logiciels libres