Forum Linux.général ip6tables, laisser passer radvd

Posté par .
Tags : aucun
1
26
oct.
2009
Salut,

Je cherche quelles règles ip6tables je dois ajouter à mon firewall pour que radvd puisse annoncer sur le réseau local mais je ne trouve pas d'infos sur le protocole/port utilisé.

Actuellement quand ip6tables est activé j'ai ça dans mes logs :
frost radvd[8544]: sendmsg: Operation not permitted

Pourtant je ne bloque rien en sortie :

# Default rules
v6and4 -A OUTPUT -o %iface% -m state --state NEW,ESTiABLISHED,RELATED -j ACCEPT
v6and4 -A INPUT -i %iface% -m state --state ESTABLISHED,RELATED -j ACCEPT
  • # tcpdump

    Posté par (page perso) . Évalué à 2.

    est ton ami
    tcpdump -i ip6

    Système - Réseau - Sécurité Open Source

    • [^] # Re: tcpdump

      Posté par . Évalué à 2.

      Merci, avec les infos récupérés par tcpdump j'ai trouvé ce script sur internet :


      # Allow router advertisements on local network segments
      for icmptype in 133 134 135 136 137
      do
      $IP6TABLES -A INPUT -p icmpv6 --icmpv6-type $icmptype -m hl --hl-eq 255 -j ACCEPT
      $IP6TABLES -A OUTPUT -p icmpv6 --icmpv6-type $icmptype -m hl --hl-eq 255 -j ACCEPT
      done


      Par contre je me demande comment ça se fait que ça ne marche pas sans la règle "OUTPUT" alors que je suis déjà sensé tout accepter en sortie oO.
      • [^] # Re: tcpdump

        Posté par (page perso) . Évalué à 3.

        Il faudrait loguer les paquets avant de les dropper pour le savoir.

        J'imagine que ce ne sont pas les seules règles dans le firewall, la liste pourrait etre utile...
        + les appels en clair à ip6tables
        ip6tables -L -nv

        Système - Réseau - Sécurité Open Source

        • [^] # Re: tcpdump

          Posté par . Évalué à 2.

          A pars ça je n'ai que des ouvertures de ports.


          Chain INPUT (policy DROP 0 packets, 0 bytes)
          pkts bytes target prot opt in out source destination
          0 0 ACCEPT all lo * ::/0 ::/0
          307 256K ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED
          0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:21 state NEW,RELATED,ESTABLISHED
          0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:22 state NEW,RELATED,ESTABLISHED
          0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpts:26881:26891 state NEW,RELATED,ESTABLISHED
          0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:26662 state NEW,RELATED,ESTABLISHED
          0 0 ACCEPT udp * * ::/0 ::/0 udp dpt:26672 state NEW,RELATED,ESTABLISHED
          0 0 ACCEPT udp * * ::/0 ::/0 udp dpt:40382 state NEW,RELATED,ESTABLISHED
          0 0 ACCEPT udp * * ::/0 ::/0 udp dpt:6570 state NEW,RELATED,ESTABLISHED

          Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
          pkts bytes target prot opt in out source destination

          Chain OUTPUT (policy DROP 0 packets, 0 bytes)
          pkts bytes target prot opt in out source destination
          0 0 ACCEPT all * lo ::/0 ::/0
          256 20527 ACCEPT all * * ::/0 ::/0 state NEW,RELATED,ESTABLISHED


          Je vais logger pour voir ce qui se passe.
      • [^] # Re: tcpdump

        Posté par (page perso) . Évalué à 2.

        je suis déjà sensé tout accepter en sortie oO.

        Faute de frappe dans la règle peut-être ?

        v6and4 -A OUTPUT -o %iface% -m state --state NEW,ESTiABLISHED,RELATED -j ACCEPT
        • [^] # Re: tcpdump

          Posté par . Évalué à 2.

          Nan ça c'est une petite fausse manip avec vim vite détecté à l'exécution du script.
      • [^] # Re: tcpdump

        Posté par (page perso) . Évalué à 3.

        Tu laisses passer tcp et udp seulement...
        pas l'icmpv6

        Le passage d'ipv4 à ipv6 ne se fait pas seulement en appelant les mêmes régles d'en ipv4.
        Il est necessaire de prendre en compte icmpv6...

        Système - Réseau - Sécurité Open Source

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.