Bonjour à tous,
Free propose à présent l'IPv6, ça, tout le monde a compris. Et le geek moyen qui utilise un Linux mitonné aux petits oignons comme routeur, il utilise la technique de Sébastien Chaumontet [http://ip6.fr/free-broute/] pour en profiter.
Oui mais voilà, le geek particulier qui utilise des routeurs Linksys WRT54GL (au hasard) tournant sous OpenWRT WhiteRussian, il fait comment ? En deux temps, trois mouvements, en s'inspirant du tuto précédent :
* on installe ce qu'il faut : ipkg install ebtables (il faut aussi le paquet bridge mais normalement il est présent par défaut)
* on charge les modules nécessaires au démarrage :
(les deux derniers sont inutiles ici mais bon...)
* enfin, on met les règles qui vont bien pour ajouter l'interface WAN (vlan1) au bridge local (br0) et pour ne laisser entrer sur le bridge depuis le WAN que les paquets IPv6. Concrètement, ça fait deux lignes en plus à la fin de S40network :
* enfin, on n'oublie pas de désactiver radvd et les éventuels tunnels sixxs ou autres qu'on aurait pu mettre en place par le passé, sinon ça fout la zone.
Avantage : ça marche bien, tout seul, tout de suite. Même avec le wds activé (c'est mon cas).
Inconvénient : je me demande si la config en question ne laisse par fuiter quelques paquets du réseau local vers Internet (du moins vers la Freebox, qui doit les filtrer j'imagine). J'ai essayé de trouver un filtrage plus strict pour les paquets sortants, mais sans succès - si un gourou d'ebtables passe dans le coin, qu'il n'hésite pas.
Danger : si vous oubliez le "-i vlan1" dans la commande ci-dessus, j'espère pour vous que vous connaissez l'adresse IPv6 de votre routeur, parce que vous venez de vous couper la patte ;-) (ouaip, on sent le vécu) Alors prudence dans les essais...
Voilà, ce texte est dans le domaine public, passez-le à vos amis, tout ça, en espérant que ça puisse aider certains.
Free propose à présent l'IPv6, ça, tout le monde a compris. Et le geek moyen qui utilise un Linux mitonné aux petits oignons comme routeur, il utilise la technique de Sébastien Chaumontet [http://ip6.fr/free-broute/] pour en profiter.
Oui mais voilà, le geek particulier qui utilise des routeurs Linksys WRT54GL (au hasard) tournant sous OpenWRT WhiteRussian, il fait comment ? En deux temps, trois mouvements, en s'inspirant du tuto précédent :
* on installe ce qu'il faut : ipkg install ebtables (il faut aussi le paquet bridge mais normalement il est présent par défaut)
* on charge les modules nécessaires au démarrage :
root@OpenWrt:~# cat /etc/modules
ebtables
ebtable_broute
ebtable_nat
ebtable_filter
(les deux derniers sont inutiles ici mais bon...)
* enfin, on met les règles qui vont bien pour ajouter l'interface WAN (vlan1) au bridge local (br0) et pour ne laisser entrer sur le bridge depuis le WAN que les paquets IPv6. Concrètement, ça fait deux lignes en plus à la fin de S40network :
root@OpenWrt:~# cat /etc/init.d/S40network
#!/bin/sh
case "$1" in
start|restart)
# snip le blabla standard (...)
brctl addif br0 vlan1
ebtables -t broute -A BROUTING -i vlan1 -p ! ipv6 -j DROP
;;
esac
* enfin, on n'oublie pas de désactiver radvd et les éventuels tunnels sixxs ou autres qu'on aurait pu mettre en place par le passé, sinon ça fout la zone.
Avantage : ça marche bien, tout seul, tout de suite. Même avec le wds activé (c'est mon cas).
Inconvénient : je me demande si la config en question ne laisse par fuiter quelques paquets du réseau local vers Internet (du moins vers la Freebox, qui doit les filtrer j'imagine). J'ai essayé de trouver un filtrage plus strict pour les paquets sortants, mais sans succès - si un gourou d'ebtables passe dans le coin, qu'il n'hésite pas.
Danger : si vous oubliez le "-i vlan1" dans la commande ci-dessus, j'espère pour vous que vous connaissez l'adresse IPv6 de votre routeur, parce que vous venez de vous couper la patte ;-) (ouaip, on sent le vécu) Alors prudence dans les essais...
Voilà, ce texte est dans le domaine public, passez-le à vos amis, tout ça, en espérant que ça puisse aider certains.
> Lire le journal (17 commentaires, moyenne: 1,3).
Vous avez demandé le commentaire #890696.
Run by 
Cette page a été générée par Templeet en 0.0498s (dont 0.0048 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Marche pas sur les Linksys WRT54GS
En effet, pour avoir le wifi, il faut utiliser OpenWRT kamikaze avec le noyau 2.4.
Et là, pas de modules ebtables, notament le fameux ebtable_broute...
A moins que quelqu'un connaisse un portage ?
D'autre part, il y a déjà un bridge, hors une interface ne peut pas faire partie de deux bridges. Est-il judicieux de mettre toutes les interfaces dans le bridge ?
Vous allez dire oui, car la règle ebtables n'autorise que l'IPV6 entre l'interface Internet et l'interface interne.
Question subsidiaire :
Shorewall ne permet pas d'établir des règles pour IPV6, comment on fait pour ne pas resté ouvert au grand Ternet (simplement) ?
Oui oui, on contribue à shorewall...
[^]Re: Marche pas sur les Linksys WRT54GS
Pour faire de l'ipv6 avec shorewall, il faut utiliser le fork qui s'appelle 6wall. Je sais pas si c'est encore maintenu, mais quand je l'utilisais, ça tournait plutôt impec.
[^]Re: Marche pas sur les Linksys WRT54GS
C'est pas vraiment maintenu, mais je l'utilise et ça marche à peu près bien pour une configuration simple.
[^]Re: Marche pas sur les Linksys WRT54GS
De toute façon rien ne vaut les règles ip{,6}tables à la main.
En plus, le conntrack ipv6 a été ajouté relativement récemment (j'ai dit relativement) dans Linux 2.6, et faire un firewall sans, c'est un peu comme recopier l'intégrale de Kant avec un clavier de téléphone portable.
[^]Re: Marche pas sur les Linksys WRT54GS
Apparemment, il y a un problème de stabilité d'ebtables avec le noyau 2.4 : https://dev.openwrt.org/ticket/2482
Problème qui se pose peut-être aussi avec WhiteRussian ? En tout cas, chez moi ça a l'air de bien fonctionner. Cela dit, si tu t'en tiens à un noyau 2.4, pourquoi ne pas utiliser WhiteRussian (plus limitée, certes, mais déjà bien fournie) ?
Ouaip, c'est la question que je me suis posée. D'où mon inquiétude de laisser fuir certains paquets. Je n'ai pas vraiment de réponse ; c'est clair en tout cas que ça tient plus du hack dégueu que de la solution idéale.
On utilise ip6tables. Mais comme on veut le suivi de connexion, on a besoin d'un noyau 2.6.20 au minimum. Donc on utilise kamikaze. Ah oui, mais on n'a pas le driver binaire tout pourri pour faire fonctionner le wifi - et le driver libre pour 2.6 est instable. Monde proprio, monde de merde...
Mr Lapinot - Electrons prisonniers (blog)
[^]Re: Marche pas sur les Linksys WRT54GS
Hello,
Effectivement tjs pas de paquet kmod-ebtables, dans la dernière Kamikaze 7.09.
A croire qu'il vaut mieux rester sous WhiteRussian lol :-(