Cette section couvre les questions générales sur Netfilter (ou pas) que nous avons rencontrées sur la liste.
Netfilter et IPtables sont intégrés dans les noyaux de la série 2.4.x. Veuillez télécharger un noyau récent à partir de http://www.kernel.org/ ou l'un de ses miroirs.
L'outil en userspace `iptables' est disponible sur l'un des sites de Netfilter : http://www.netfilter.org/, http://www.iptables.org/, http://netfilter.samba.org/, http://netfilter.gnumonks.org/ or http://netfilter.filewatcher.org/.
Non, il n'y en a pas pour le moment. Mais si quelqu'un veut commencer, ça ne devrait pas être trop dur grâce à l'interface propre de la pile de protocoles réseaux.
Dites nous si vous commencez à travailler la dessus.
Si vous êtes habitués au masquerading sous Linux 2.2, vous avez toujours utilisé le module `ip_masq_icq' pour que les connexions client-à-client fonctionnent avec ICQ.
Personne n'a ré-implementé ce module pour Netfilter, parce que le protocole ICQ n'est pas beau :) Mais je pense que c'est juste une question de temps avant qu'un tel module soit disponible.
Rusty a dit une fois que seuls les protocoles, disposant d'au moins un client et un serveur libres, seront intégrés dans la distribution principale de netfilter. Pour ce qui est de ICQ, il y a seulement des clients libres, et donc il ne correspond pas aux critères. (`free' comme dans liberté, et pas comme bière gratuite), c'est-à-dire la définition de Stallmann).
Quelques-uns d'entre eux ne sont pas nécessaires, et quelques-uns n'ont pas été encore portés pour netfilter. Netfilter implémente un suivi de connexions complet, y compris en UDP, et a une politique visant à modifier les paquets le moins possible, et donc, de temps en temps, ça marche tout simplement.
Les noyaux 2.4.x sont des versions stables, donc on ne peut pas soumettre nos versions de développement directement dans la branche principale. Tout notre code est développé et testé dans patch-o-matic d'abord. Si vous voulez utiliser une des fonctionnalités dernier cri, vous aurez à appliquer un ou plusieurs patches à partir de patch-o-matic. Vous trouverez patch-o-matic dans le dernier package iptables (ou biensûr dans le CVS), à télécharger à partir du site netfilter.
Maintenant patch-o-matic a trois différentes options:
La première option est juste là pour s'assurer que tous les patches les plus importants, qui ont déjà été envoyés aux mainteneurs du noyau de toutes façons, sont appliqués à votre noyau.
La seconde, `most-of-pom', vous propose aussi chaque nouvelle fonctionnalité qui peux être appliquée sans conflit.
La troisième option, `patch-o-matic' est pour les experts qui veulent avoir accès à tous les patches, mais faites attention, il y aura certainement des conflits dans ce mode.
patch-o-matic a une interface utilisateur agréable. Entrez simplement:
make most-of-pom
ou, si les sources de votre noyau ne sont pas dans /usr/src/linux
,
alors utilisez:
make KERNEL_DIR={votre_repertoire_noyau} most-of-pom
dans le répertoire principal du package iptables. Pour chaque patch, patch-o-matic vérifie que celui-ci pourrait s'appliquer sans erreur. Si le patch peut s'appliquer, alors vous verrez apparaître un petit prompt où vous pourrez demander plus d'informations, appliquer le patch, passer au suivant, etc...
Pour plus d'informations à propos de patch-o-matic, allez voir le Netfilter Extensions HOWTO, que vous pourrez trouver sur http://www.netfilter.org/documentation/index.html#HOWTO
`ipnatctl' était utilisé pour configurer les règles de NAT à partir du userspace dans les révisions de développement au début des noyaux 2.3.x. On en n'a plus besoin et il n'est donc plus disponible. Toutes ses fonctions sont maintenant remplies par netfilter. Allez regarder le `NAT HOWTO' sur le site de Netfilter.