Bonjour,
Depuis que j'ai installé ufw sur cette Debian, je note un délai de plusieurs secondes lorsque je me connecte depuis Windows en SSH. Dois-je ajouter quelque chose dans la config ?
Merci.
~# ufw status
Status: active
To Action From
-- ------ ----
Anywhere ALLOW 192.168.0.0/24
Nginx Full ALLOW Anywhere
Anywhere (v6) ALLOW fe80::/64
Nginx Full (v6) ALLOW Anywhere (v6)
~# journalctl | less
...
Apr 09 11:49:13 debian-dell kernel: [UFW BLOCK] IN=enp4s0 OUT= MAC=00:80:64:fd:7a:c6:00:e0:4c:45:e5:f2:86:dd SRC=2a0
1:WINDOWS:2947 DST=2a01:DEBIAN:7ac6 LEN=72 TC=0 HOPLIMIT=64 FLOWLBL=579356 PROTO=TCP SPT=5232 DPT=22 WINDOW=64800 RES=0x00 SYN URGP=0
Apr 09 11:49:14 debian-dell kernel: [UFW BLOCK] IN=enp4s0 OUT= MAC=00:80:64:fd:7a:c6:00:e0:4c:45:e5:f2:86:dd SRC=2a0
1:WINDOWS:2947 DST=2a01:DEBIAN:7ac6 LEN=72 TC=0 HOPLIMIT=64 FLOWLBL=579356 PROTO=TCP SPT=5232 DPT=22 WINDOW=64800 RES=0x00 SYN URGP=0
Apr 09 11:49:16 debian-dell kernel: [UFW BLOCK] IN=enp4s0 OUT= MAC=00:80:64:fd:7a:c6:00:e0:4c:45:e5:f2:86:dd SRC=2a0
1:WINDOWS:2947 DST=2a01:DEBIAN:7ac6 LEN=72 TC=0 HOPLIMIT=64 FLOWLBL=579356 PROTO=TCP SPT=5232 DPT=22 WINDOW=64800 RES=0x00 SYN URGP=0
Apr 09 11:49:20 debian-dell kernel: [UFW BLOCK] IN=enp4s0 OUT= MAC=00:80:64:fd:7a:c6:00:e0:4c:45:e5:f2:86:dd SRC=2a0
1:WINDOWS:2947 DST=2a01:DEBIAN:7ac6 LEN=72 TC=0 HOPLIMIT=64 FLOWLBL=579356 PROTO=TCP SPT=5232 DPT=22 WINDOW=64800 RES=0x00 SYN URGP=0
Apr 09 11:49:28 debian-dell kernel: [UFW BLOCK] IN=enp4s0 OUT= MAC=00:80:64:fd:7a:c6:00:e0:4c:45:e5:f2:86:dd SRC=2a0
1:WINDOWS:2947 DST=2a01:DEBIAN:7ac6 LEN=72 TC=0 HOPLIMIT=64 FLOWLBL=579356 PROTO=TCP SPT=5232 DPT=22 WINDOW=64800 RES=0x00 SYN URGP=0
Apr 09 11:49:34 debian-dell sshd[43516]: Accepted publickey for root from 192.168.0.16 port 5233 ssh2: RSA SHA256:y833/s0ImfBLAHFG/A04
# Tentative de connexion en IPv6
Posté par Voltairine . Évalué à 3 (+1/-0).
Sur une machine où IPv6 et Ipv4 sont configurés, IPV6 est toujours privilégié.
Si je lis bien, tes logs montrent des tentatives de connexion SSH en IPv6 qui sont bloqués par UFW car non autorisées.
Finalement la connexion est acceptée en IPv4.
Je ne connais pas UFW mais il faut autoriser toutes les connexion IPv6 provenant de ton préfixe vers le port 22.
[^] # Re: Tentative de connexion en IPv6
Posté par ralphtheman . Évalué à 2 (+1/-0).
Merci pour l'idée.
Aucun changement avec ça :
[^] # Re: Tentative de connexion en IPv6
Posté par ralphtheman . Évalué à 2 (+1/-0).
Ajouter spécifiquement l'adresse du client résout le problème… mais pourquoi l'IPv6 locale ("ufw allow from fe80::/64") ne fait-elle pas le boulot ?
[^] # Re: Tentative de connexion en IPv6
Posté par ralphtheman . Évalué à 2 (+1/-0). Dernière modification le 09 avril 2026 à 21:13.
Mieux que de devoir indiquer une adresse spécifique, mais dommage de ne pas pouvoir utiliser l'adresse locale "fe80::/64"
~# ufw status numberedStatus: active
To Action From
-- ------ ----
[ 1] Anywhere ALLOW IN 192.168.0.0/24
[ 2] Nginx Full ALLOW IN Anywhere
[ 3] Anywhere (v6) ALLOW IN fe80::/64
[ 4] Nginx Full (v6) ALLOW IN Anywhere (v6)
[ 5] Anywhere (v6) ALLOW IN 2a01:MYNET::/64
[^] # Re: Tentative de connexion en IPv6
Posté par Thibault (site web personnel) . Évalué à 3 (+2/-0).
Parce que les paquets qui sortent de la machine Windows ont comme IP source une adresse unicast globale (GUA, entre 2000:[…] et 3fff:[…]).
Si les paquets qui sortent de la machine Windows ont une GUA comme IP, c'est probablement car tu attaques le serveur via sa GUA (2a01:[…]) d'après les logs (DST)
Pour que les paquets passent par le filtre qui autorise la connexion depuis une LUA (fe80::/64), il faut attaquer le serveur via sa LUA (si le serveur et le Windows sont sur le même sous-réseau).
Une petite spécificité sur les LUA, en particulier s'il y a plusieurs interfaces réseaux sur la machine, comme chaque interface réseau possède sa LUA, il faudra sans doute spécifier l'interface de sortie (ssh […] fe80:[…]%eth0 si l'interface qui voit le serveur est eth0) sinon le noyau ne saura pas sur quelle interface sortir.
Une autre solution pour que ça fonctionne en utilisant la GUA est de faire un filtre sur le préfixe donné par le FAI (2a01:[…]:[…]:[…]::/64 si le FAI a alloué un /64), mais si le préfixe change alors les GUA du réseau changeront et le filtre ne sera plus effectif.
[^] # Re: Tentative de connexion en IPv6
Posté par ralphtheman . Évalué à 1 (+0/-0).
Tout s'explique
J'ai supposé, à tort, que les machines utilisaient les LUA pour les connexions locales.
[^] # Re: Tentative de connexion en IPv6
Posté par Voltairine . Évalué à 5 (+3/-0). Dernière modification le 10 avril 2026 à 07:05.
Parce que c'est ton adresse IPv6 publique qui est utilisée et non celle du lien local (fe80::/10).
Il faut autoriser le préfixe attribué par ton FAI : 2a01:*::***::/64
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.