• # approche différente ...

    Posté par (site web personnel) . En réponse à la dépêche Pare-feu avec authentification. Évalué à 2.

    Donc, en fait, si j'ai bien compris le principe de la chose, on se logge sur la machine firewall via ssh (donc nécessite un compte système) sur un compte ayant pour shell cette commande particulière qui va modifier les règles du firewall suivant le fichier de config contenu dans le homedir du compte.

    Ce qui veut dire que si, a posteriori, je veux analyser les règles firewall d'une machine avec ce système, il faut que je regarde la config globale de pf, puis que je fasse attention à tous les comptes utilisateurs ayant ce shell pour lire les règles associées, fichier par fichier ... Bof, quoi ...

    Je trouve un peu dommage cette approche de ce problème simple.

    Pour rappel, ipfilter (oh, le concurrent de pf!) supporte normalement une règle qui n'est ni "pass" ou "block", mais "auth". Donc en gros, le packet va être passé via une interface particulière à un programme (en userland) qui dire si le packet sera passé/refusé/whatever. Malheureusement, je ne crois pas qu'il y ait de daemon opensource pour gérer ce genre de choses. Pourtant le fonctionnement me semblait plus simple et plus sain.

    Oh, et puis, ça veut dire que ça devient franchement incompatible entre pf/ipfilter, c'est cool, un avantage de moins pour les deux, alors qu'avant on pouvait "facilement" transposer le second sur du (net|free|open)bsd ou sur du solaris ou autre ...

    'fin bref ...


    seb.