La brique pare-feu Linux (Netfilter) n'est plus à présenter. Le framework IPset est relativement méconnu bien qu’utilisable conjointement avec Netfilter. Nous proposons dans cet article de présenter le mode de fonctionnement et l'utilisation de ce framework intégré au noyau Linux ainsi que ses principaux avantages pour gérer certains cas de filtrage réseau avec Netfilter.
IPset est un framework de gestion de listes d’informations embarqué en standard dans le noyau Linux à partir de 2.6.39 et pouvant être administré par l'utilitaire ipset. IPset propose de stocker différents types d'informations sous forme de listes, comme des adresses IP, des adresses MAC, des numéros de port TCP/UDP, des noms d'interface réseau et toute autre combinaison entre ces derniers. Le premier avantage venant à l'esprit est la flexibilité de l'utilisation de ce framework, puisqu'il sera aisé de mettre à jour ces listes qui pourront alors être utilisées par Netfilter sans avoir à changer de règle. Le deuxième avantage étant plus lié au mode de construction des listes IPset puisqu'en reposant sur des tables de hachage, le parcours d'une information comme une adresse IP sera extrêmement plus rapide que ce qui est classiquement réalisé par Netfilter lors de nombreuses règles successives pour contrôler des listes d'adresses IP.
IPset a été...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première