Bonjour à tous,
J'utilise une machine sous Debian Lenny comme endpoint de mon tunnel SixXS, et accessoirement comme routeur IPv6 pour le reste de mon réseau.
J'ai donc configuré ip6tables dessus. Or, je rencontre une bizarrerie.
Tout d'abord, voici mes règles ip6tables :
######
#IPv6#
######
##On réinitialise les règles
ip6tables -F
##On accepte les pings
ip6tables -A INPUT -p icmp -j ACCEPT
##On accepte les connexions loopback
ip6tables -t filter -A OUTPUT -o lo -j ACCEPT
ip6tables -t filter -A INPUT -i lo -j ACCEPT
##Mes serveurs persos (extérieurs)
ip6tables -A INPUT -p tcp --dport ssh -j ACCEPT ##SSH
ip6tables -A INPUT -p tcp --dport www -j ACCEPT ##HTTP
ip6tables -A INPUT -p tcp --dport 53 -j ACCEPT ##DNS
ip6tables -A INPUT -p udp --dport 53 -j ACCEPT ##DNS
ip6tables -A INPUT -p tcp --dport 443 -j ACCEPT ##HTTPS
#ip6tables -A INPUT -p tcp --dport 8080 -j ACCEPT ##HTTP alternatif
#ip6tables -A INPUT -p udp --dport 27960 -j ACCEPT ##UrT
##On accepte les connexions sortantes
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
##On refuse le reste
ip6tables -P INPUT DROP
##On accepte les sorties
ip6tables -P OUTPUT ACCEPT
##On accepte les forwards
ip6tables -P FORWARD ACCEPT
Or, avec cette config, si je tente d'accéder aux services autorisés depuis l'extérieur, pas de soucis. En revanche, cela bloque le routage, bien que le forward soit normalement autorisé sans restrictions ! Les autres machines de mon LAN sont privées d'IPv6.
Mais dès que je met la INPUT en policy accept, le routage fonctionne de nouveau (mais cela rend juste mon pare-feu inefficace ;) ). Pourtant, selon mes souvenirs, le forward ne passe pas par INPUT ni OUTPUT normalement...
Bref, qu'est-ce qui ne va pas dans mes règles ? Quelqu'un peut m'éclairer ?
Merci d'avance !
Forum Linux.debian/ubuntu ip6tables et routage
2
oct.
2009
# Effectivement c'est étrange...
Posté par nodens . Évalué à 2.
Il faut que tu autorise le protocole SIT (-p 41) (ou peut-être GRE) en entrée. Par contre j'aurais dit que ça serait plutôt avec iptables, puisque c'est par définition de l'ipv4... Après je ne maîtrise pas bien le couple iptables / ip6table :)
[^] # Re: Effectivement c'est étrange...
Posté par nodens . Évalué à 2.
[^] # Re: Effectivement c'est étrange...
Posté par kankan_01 . Évalué à 1.
Sinon, si je rajoute la ligne suivante juste avant de dropper les paquets entrants :
ip6tables -A INPUT -j LOG --log-prefix="DropV6"
J'ai les messages suivants qui apparaissent dans /var/log/messages (pour un ping sur un host v6 extérieur à mon réseau depuis une machine interne à mon réseau) :
Oct 1 23:06:14 Bartimeus kernel: [36902.160510] DropV6IN=wlan0 OUT= MAC=00:08:d3:3a:43:f6:00:21:5d:0a:4f:6c:86:dd SRC=2a01:0240:fe4f:000a:0221:5dff:fe0a:4f6c DST=fe80:0000:0000:0000:0208:d3ff:fe3a:43f6 LEN=64 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=136 CODE=0
Ce que je trouve bizarre, c'est que l'adresse de destination est une adresse lien-local...
[^] # Re: Effectivement c'est étrange...
Posté par nodens . Évalué à 4.
Quand j'ai lu ton post pour la première fois, je me suis dit "ah c'est un coup d'ICMP, puisque ça remplace arp en ipv6". Et en relisant j'ai vu que tu autorisais bien icmp, donc je me suis dit que ce n'était pas ça. Sauf qu'il faut autoriser icmpv6, en fait... C'est assez logique ;-)
[^] # Re: Effectivement c'est étrange...
Posté par kankan_01 . Évalué à 1.
Voilà ce qui arrive quand on adapte trop vite ses règles de v4 à v6.
[^] # Re: Effectivement c'est étrange...
Posté par nono14 (site web personnel) . Évalué à 1.
Système - Réseau - Sécurité Open Source
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.