Bonjour,
On me demande sur quelles couches OSI agit le pare-feu iptables/netfilter. J'ai cherché sur internet mais je n'arrive pas à trouver des explications clairs. Si quelqu'un pouvais m'expliquer clairement, notamment le rapport entre le pare-feu et le modèle OSI
Merci d'avance ?
Bonjour,
Ce qui est sûr, c'est que netfilter travaille sur les couches 3 et 4 (réseau et transport). Je doute qu'il puisse travailler plus haut (à confirmer).
Dans le cas où on pourrait filtrer des URL, alors, il fonctionnerait en couche 7, mais ça, c'est plus le travail d'un proxy, pas d'un pare feu. Je doute que netfilter sache faire ça.
Il gère peut être la couche 2 (il me semble qu'il est possible de filtrer des adresses MAC, dans ce cas, il gère la couche 2)
Travail en couche 3 :
adresses IP : filtrage d'adresses sources/destination etc
protocole IP/ICMP ...
Travail en couche 4 :
filtrage ports sources/destination
protocoles tcp/udp/gre...
voir aussi la table nat (iptables -t nat ..........)
OSI :
7 : Application : Quel langage (protocole) utiliser pour communiquer ? http par exemple (GET, POST). Je ne pense pas que netfilter travaille ici
6 : Présentation (je ne peut pas donner de détails) le cryptage est peut être géré ici.
5 : Session (je ne peut pas donner de détails)
4 : Transport : A quel service sur la machine veut-on parler ? (Service différencié par les numéros de port) netfilter travaille à ce niveau (tcp, udp, gre), ports, les flags aussi : SYN, ACK, SYN,ACK, RST,ACK...
3 : Réseau : A quelle machine veut-on parler ? Protocole IP: netfilter travaille à ce niveau IP, ICMP, protocoles routables
2 : Liaison : A quelle carte réseau veut-on parler ? A ce niveau : Adresses MAC, s'il peut filtrer des adresses MAC, alors il fonctionne à ce niveau
1 : Physique : Support pour transporter l'information(cuivre, radio, fibre) netfilter ne travaille pas ici
Il faut voir ça comme des poupées qui s'emboitent
On prend l'exemple d'un message étant émis d'un PC vers un autre. Ce qu'il se passe coté récepteur :
Sur le câble(1), on fait passer des bits
La carte réseau sait que c'est elle qui est concernée car elle en est destinatrice MAC destination(couche 2)
On désencapsule, ce qui intervient est l'adresse IP. Le système sait que c'est pour lui IP destination(couche 3)
On désencapsule, ce qui intervient est le port (tcp, udp) ainsi, selon le port de destination, cela s'adresse au service correspondant si TCP/21->FTP, si TCP/80->HTTP si UDP/68 -> DHCP ...(couche 4)
Après, il est plus difficile de différencier les couches 5,6,7, on les voie plutôt comme un tout, d'où le modèle DOD qui regroupe ces trois couches en une seule
Voilà,
J'espère t'avoir aidé
Maximator c'est comme Actimel : ça agit à l'intérieur et ça se voit à l'extérieur
netfilter travaille sur les couches 2, 3, 4 et applicatives (niveau socket).
