ZeroShell    Forum
   Feed RSS Feed
EnglishEnglish     ItalianoItaliano     French     Spanish                Facebook      Twitter

Valid HTML 4.01 Transitional


      Qu'est ce que c'est?
      Screenshots
      Licence
      Annonces
      Liste de diffusion
      Forum
      Documentation  
      FAQ
      Hardware
      Download
      On-line Updates
      Kerberos Tutorial  
      Conditions d'utilisation
      Contactez-moi


  Dans plus de détails:
      Performances
      Net Balancer
      UMTS Routeur
      Proxy avec Antivirus
      Point d'accès WiFi
      OpenVPN Client
      OpenVPN Server
      QoS
      OpenDNS
      Kerberos 5
      NIS et LDAP
      Certificats X.509
      RADIUS
      Captive Portal
      VPN
      Firewall


Pare-feu SPI (Stateful Packet Inspection) et Packet Filter

Zeroshell, en utilisant le Netfilter et Iptables Linux, peut être configuré pour agir comme un pare-feu protégeant le réseau local contre les attaques et les scans de ports à partir du WAN. Zeroshell peut fonctionner à la fois comme un filtre de paquets, à savoir le filtrage basé sur les conditions (règles) situé sur les en-têtes de paquets, et en tant que Stateful Packet Inspection (SPI), à savoir le filtrage des paquets en fonction de leur corrélation avec les connexions déjà ouvert ou d'autres paquets déjà transité.

Les règles sont collectés dans des listes appelées CHAIN. Les chaînes préréglées comprennent la chaîne INPUT dont les règles s'appliquent à l'entrée des paquets dans la routeur Zeroshell et dirigé à son processus locaux, la chaîne OUTPUT, dont les règles sont appliquées à la sortie des paquets par le routeur et générées par des processus locaux, la chaîne FORWARD qui est appliqué à des paquets en transit dans la zone et donc destiné à subir de routage ou de pontage. Il convient d'observer que, dans ce dernier cas, il est possible de déterminer si la règle ne doit être appliqué à des paquets de routage, uniquement pour les paquets de transition ou d'indifférence à l'un et l'autre. Afin de rendre la programmation des règles de pare-feu plus modulaire, de nouvelles listes (chaînes définies par l'utilisateur) peuvent être créés qui peuvent être la cible de ceux prédéfinis ou autres définies par l'administrateur.

possible targets, c'est à dire les actions à effectuer sur un paquet où il répond aux critères définis dans les règles, notamment:

  • ACCEPT: le paquet passe le pare-feu et continue en direction de sa destination;
  • DROP: le paquet est abandonné et n'a donc jamais atteint sa destination. L'expéditeur n'est pas envoyé un message indiquant un défaut de livraison;
  • REJECT: comme DROP, que l'expéditeur recevra un message ICMP sélectionnés par l'avertissement administrateur du défaut de livraison;
  • CHAIN: dans ce cas une chaîne définie par l'utilisateur est spécifié qui prendra le contrôle. Si le paquet ne répond pas aux critères d'une règle, le contrôle revient à la chaîne de l'appelant;
  • RETURN: le contrôle revient à la chaîne d'appel ou si le retour est invoquée par une chaîne préréglée, le paquet suit la politique par défaut.

Pour les chaînes préréglées la soi-disant stratégie par défaut est ce qui peut être ACCEPT ou DROP et est appliqué à des paquets qui ne satisfont à aucune règle.

Le paquet critères type de filtre suivants:

  • Input: représente l'interface réseau à partir duquel le paquet entre dans le pare-feu. Il peut être une interface Ethernet, VPN, point à point, un bridge, un bond ou un VLAN 802.1Q appliquée à l'une des interfaces précédentes;
  • Output: représente l'interface réseau à partir duquel le paquet quitte le pare-feu. Il peut être une interface Ethernet, VPN, point à point, un pont, une liaison ou un VLAN 802.1Q appliquée à l'une des interfaces précédentes;
  • Source IP: représente l'adresse IP source du paquet. Il peut être exprimé sous la forme de la seule adresse IP, sous-réseau ou de l'intervalle;
  • Destination IP: représente l'adresse IP de destination du paquet. Il peut être exprimé sous la forme de la seule adresse IP, sous-réseau ou de l'intervalle;
  • Fragments: indique qu'il s'agit du deuxième fragment ou ultérieure d'un paquet IP;
  • Source MAC: indique l'adresse MAC source du paquet;
  • Protocol Matching: ce sont des filtres sur la couche 4 (transport) et en fonction du protocole sélectionné. En particulier dans le cas de TCP, ils comprennent: le port source, port de destination, les options et les options de connexion (SYN, ACK, FIN, RST, URG, PSH);
  • Time matching: représente le temps et le jour de la semaine dans laquelle le filtre est appliqué.

Stateful Packet Inspection des critères suivants:

  • NEW: il s'agit d'un paquet appartenant à une nouvelle connexion dans la couche 4;
  • ESTABLISHED: il s'agit d'un paquet appartenant à une connexion déjà établie;
  • RELATED: c'est un paquet corrélée à une connexion déjà établie; Généralement, il est un message ICMP;
  • INVALID: il s'agit d'un paquet mal formé;

Il convient d'observer que chaque critère peut être niée et que les critères de filtrage de paquets peuvent fonctionner en même temps que les critères SPI, ce qui rend les règles de pare-feu très souple.




    Copyright (C) 2005-2012 by Fulvio Ricciardi