deja netfilter fait de la couche 4 (tu peux jouer sur les ports tcp et udp)
faire du niveau 7 permet d éviter que qqun profite que le port 80 est ouvert pour passer autre chose dedans. par exemple si je mets un serveur ssh sur ma machine chez moi, je la mets en ecoute sur tcp/80 au lieu de tcp/22. depuis ma boite (qui ne laisse sortir que du tcp/80) je peux me connecter à mon serveur ssh en faisant du ssh sur le port 80.
cette fonctionnalité permet d aller vérifier que ce qui passe au niveau 7 est bien de l http et rien d autre.
les fonctionnalités qui manquent à netfilter par rapport au gros FW commerciaux (checkpoint) :
- analyse applicative (layer 7)
- stateful failover (mirroring des tables de connexions entre deux FW actif/passif)
- fonctionnement en "cluster" (il y a des solutions mais bon)
packet filter (noyau bsd) inclut le staeful failover par exemple
[^] # Re: Partagez votre sciences...
Posté par PedroLane . En réponse au journal iptables, un futur firewall applicatif ?. Évalué à 7.
faire du niveau 7 permet d éviter que qqun profite que le port 80 est ouvert pour passer autre chose dedans. par exemple si je mets un serveur ssh sur ma machine chez moi, je la mets en ecoute sur tcp/80 au lieu de tcp/22. depuis ma boite (qui ne laisse sortir que du tcp/80) je peux me connecter à mon serveur ssh en faisant du ssh sur le port 80.
cette fonctionnalité permet d aller vérifier que ce qui passe au niveau 7 est bien de l http et rien d autre.
les fonctionnalités qui manquent à netfilter par rapport au gros FW commerciaux (checkpoint) :
- analyse applicative (layer 7)
- stateful failover (mirroring des tables de connexions entre deux FW actif/passif)
- fonctionnement en "cluster" (il y a des solutions mais bon)
packet filter (noyau bsd) inclut le staeful failover par exemple
c est donc un très bon point pour linux
Pedro