[Nufw-Announces] NuFW perspectives from Netfilter Workshop 2005

[nufw-announces]

==============English version, en français ci-dessous=================
The Netfilter Workshop (NFWS) 2005 has been quite a good source of
interesting decisions concerning the upcoming developments of the
Netfilter project.

Several of these developments will have a very positive impact on the
behaviour of NuFW, and this is in the near future.

>From version 2.6.14 of the Linux kernel on, dialog between conntrack and
userspace will be made available, with an event-driven behaviour, thanks to
inclusion of nfnetlink to the kernel. This is absolutely great news for
the NuFW project, regarding the updates of the SQL database : we used to
need several heavy and complex Netfilter rules setup in order to keep
state of connexions in the SQL database (for the record, for TCP we had to
deal with SYN, ACk and FIN packets and for other protocols it was even
more complex, if not impossible). From now on we will be able to just use
one rule : a daemon, living next to the nufw daemon, will handle events
that will be notified by the conntrack, and will directly deal with the
SQL updates.

As far as filtering rules design is concerned, this is nothing but an 
excellent news : building consistent NuFW filtering rules will be greatly
simplified. In terms of performance, NuFW firewalls will also gain a lot
from this, as we will be able to set a conventionnal behaviour (just a
plain ACCEPT rules on packets in state ESTABLISHED), which was painful and
frustrating that we couldn't apply until now.

The NuFW development team has already started on the daemon that will deal
with those events. Depending on integration of those features in the
official kernel, these functionnalities should get into a testable state
in a matter of few weeks.

Since a good news never comes alone, here is a second one... Dialog with the
conntrack will be in both directions, so userspace will now be able to
modify conntrack entries. This means for instance that we will be able to
cut connexions open for "too long", this criteria will of course depend on
each admin. This functionnality goes towards a time-depending rules
firewall, which we know is awaited by some NuFW users.

And here comes a third news : The NF Hipac contribution has been accepted
by the Netfilter core team during the Seville workshop. This contribution
makes the conntrack behaviour quite better in terms of performances (at
the price of using more memory), and will let one deal with more rules on
a firewall, and faster operations. This contribution should make it into
2.6.16, which we will be awaiting with much impatience. This news is also
a great one, and this is not only for NuFW users : all Netfilter users
will benefit from it.

The NuFW team is proud to bring their contribution to Netfilter
development, and is very happy that the Netfilter project is going into
these directions.

Happy User filtering, and stay tuned!


==============Version française===================
L'Atelier Netfilter (NFWS - Netfilter Workshop) 2005 a été fructueux en
décisions intéressantes pour les orientations des développement à venir de
Netfilter.

Plusieurs de ces développements vont avoir un impact positif sur le
fonctionnement de NuFW, dans un futur proche.

À partir de la version 2.6.14 du noyau Linux, le dialogue avec le
conntrack sera rendu possible à partir de l'espace utilisateur, avec un
fonctionnement
évenementiel (Event-driven), grâce à l'intégration de Nfnetlink dans le
noyau. C'est une très grande nouvelle pour le projet NuFW et le suivi des
connexions dans la base SQL : là où jusqu'ici nous devions positionner
plusieurs règles Netfilter très complexes pour suivre les connexions dans
la table SQL (pour mémoire, nous devions récupérer les paquets TCP SYN,
ACK, et FIN de chaque connexion authentifiée, et c'était même pire, voire
impossible, pour les autres protocoles), nous allons désormais pouvoir
nous contenter d'une seule règle : un démon, vivant à coté du démon nufw,
va se charger de récupérer ces évenements qui lui seront notifiés
directement par le Conntrack du noyau.

En termes de conception des règles de filtrage, il s'agit d'une excellente
nouvelle : les règles d'un parefeu NuFW vont se trouver conséquement
simplifiées. En termes de performances, les parefeu NuFW y gagneront
également beaucoup, puisque nous pourrons utiliser un fonctionnement
conventionnel (règle ACCEPT sur les paquets ESTABLISHED), qu'il était
pénible de ne pas pouvoir utiliser jusqu'ici.

L'équipe de développement de NuFW a d'ores et déja commencé à travailler
sur le démon qui gérera ces évenements. Selon les intégrations des
éléments dans le noyau, ces fonctionnalités deviendront testables sous
quelques semaines.

Une bonne nouvelle ne venant jamais seule, voici la deuxième... Le
dialogue avec le conntrack va être bidirectionnel, nous pourrons également
le modifier. Ceci signifie que nous pourrons, par exemple, couper les
connexions jugées ouvertes depuis trop longtemps. Il s'agit d'une
fonctionnalité qui va de pair avec les règles de filtrage évoluant avec le
temps, et qui était donc attendue avec impatience par certains
utilisateurs de NuFW.

Et voici la troisième nouvelle : la contribution NF Hipac a été acceptée
par le projet Netfilter lors de l'Atelier de Séville. Cette contribution
améliore de façon conséquente les performances du conntrack (au prix d'une
occupation mémoire plus importante), et va permettre de gérer des parefeu
avec un plus grand nombre de règles, et ceci avec des performances
accrues. Cette contribution devrait entrer dans le noyau 2.6.16, qui sera
donc attendu avec grande impatience. Cette nouvelle est également
excellente, et pas seulement pour NuFW ; tous les utilisateurs de
Netfilter en bénéficieront.

L'équipe de NuFW est fière d'apporter sa contribution au développement de
Netfilter, et est très heureuse que le projet Netfilter ait pris ces
orientations.

Bon filtrage d'utilisateurs, et à bientôt!