Fonctionnement

Netfilter fonctionne au niveau du noyau Linux et s’insère dans la pile IP. Chaque paquet qui est émis, reçu ou qui transite par le serveur sera examiné par Netfilter. Ce dernier possède plusieurs points d’entrée en fonction du type et comportement du paquet et prend une décision quant à l’avenir du paquet en fonction de règles définies. Cette décision peut être l’acceptation, le refus (avec ou sans notification à l’émetteur) ou alors l’envoi dans une autre chaîne de règles (branchement).

En pratique, la grande souplesse de Netfilter en fait un filtre de paquets polyvalent, capable de renforcer la sécurité d’un serveur en restreignant les ports ouverts tout comme de gérer le point d’accès à Internet d’une entreprise, avec VPN, DMZ, NAT, …

Administration

D’une manière générale, la configuration de Netfilter prend la forme d’un script contenant toutes les règles de sécurité. Les règles sont des appels à la commande iptables qui se charge d’insérer ces dernières dans le noyau. Il est ainsi possible de simplifier la gestion de ses règles par la définition de variables, boucles, sauts conditionnels, etc.

Les administrateurs préférant une interface graphique peuvent se tourner vers FWbuilder, qui est une interface très réussie permettant de simplifier la gestion des règles de Netfilter.

Capture d’écran de FWbuilder

Le plus d’Alcôve

Alcôve possède une expertise très ancienne sur Netfilter puisque ses ingénieurs l’ont utilisé dès les premières versions (2000). Notre pratique de cet outil nous a permis de dégager des bonnes pratiques quant à l’organisation ou l’optimisation des règles (factorisation en sous-chaînes), l’intégration au système ou au réseau d’entreprise ou tout simplement la définition des matrices de flux.