Forum Linux.général ip6tables

Posté par  .
Étiquettes : aucune
-2
20
mai
2012

bonjour

voilà le tuto d'ovh sur iptables:
http://guide.ovh.com/FireWall

est il possible d'adapter pour /sbin/ipv6tables le script proposé pour /sbin/iptables pour les serveurs internets ?

IPT=/sbin/iptables

$IPT -F INPUT
$IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 10000 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 21 --source xx.xx.xx.xx -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 22 --source xx.xx.xx.xx -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source proxy.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source proxy.p19.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source proxy.rbx2.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source xxx.xxx.xxx.251 -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source xxx.xxx.xxx.250 -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --source 192.168.0.0/16 -j ACCEPT
$IPT -A INPUT -i eth0 -p udp --source 192.168.0.0/16 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 79 -j ACCEPT
$IPT -A INPUT -i eth0 -j REJECT

  • # changer tout ce qui touche ipv4 en ipv6

    Posté par  . Évalué à 1.

    1°) utiliser iptables6 ou ip6tables (je ne sais plus) au lieu de iptables

    2°) changer les IPv4 :
    xx.xx.xx.xx et 192.168.0.0/16 en IPv6

    • [^] # Re: changer tout ce qui touche ipv4 en ipv6

      Posté par  . Évalué à -9.

      pour le firewall ipv4:

      root@ks27442:~# iptables -L
      Chain INPUT (policy ACCEPT)
      target prot opt source destination
      fail2ban-dovecot-pop3imap tcp—anywhere anywhere multiport dports pop3,pop3s,imap2,imaps
      fail2ban-pureftpd tcp—anywhere anywhere multiport dports ftp
      fail2ban-ssh tcp—anywhere anywhere multiport dports ssh

      Chain FORWARD (policy ACCEPT)
      target prot opt source destination

      Chain OUTPUT (policy ACCEPT)
      target prot opt source destination

      Chain fail2ban-dovecot-pop3imap (1 references)
      target prot opt source destination
      RETURN all—anywhere anywhere

      Chain fail2ban-pureftpd (1 references)
      target prot opt source destination

      Chain fail2ban-ssh (1 references)
      target prot opt source destination
      RETURN all—anywhere anywhere

      pour le firewall ipv6:

      root@ks27442:~# ip6tables -L
      Chain INPUT (policy ACCEPT)
      target prot opt source destination

      Chain FORWARD (policy ACCEPT)
      target prot opt source destination

      Chain OUTPUT (policy ACCEPT)
      target prot opt source destination

      il semble donc que rien ne passe par défaut en ipv6
      j'ai constaté que le parefeu bastille est installé
      je me demande si il faut aussi en modifier la configuration pour ipv6

      ipv6 ready qu'il disait
      je constate ici http://guide.ovh.com/FireWall que chaque distribution possède sa propre configuration pour la carte réseau,quel bazar !

      • [^] # Re: changer tout ce qui touche ipv4 en ipv6

        Posté par  . Évalué à 2.

        je ne vois pas ou la page http://guide.ovh.com/FireWall indique que chaque distrib possede sa propre config de carte reseau.

        dans la page, il ne parle que de iptables, ils te disent juste de mettre tes regles dans un scripts que tu lanceras apres ta carte reseau.

        chacun utilise l'outil qu'il veut, la base etant commune en dessous (ip filter)

        tu peux ecrire directement du code iptables, tu peux aussi faire une configuration shorewall qui va lire son fichier et generer les regles iptables qui vont bien, etc, etc

        tu peux lancer ton script au demarrage en runlevel (c'est l'exemple donné pour redhat)
        tu peux aussi, et c'est mieux, le mettre en post-up de la carte reseau (pour l'activer quand la carte est up)

      • [^] # Re: changer tout ce qui touche ipv4 en ipv6

        Posté par  . Évalué à -9. Dernière modification le 20 mai 2012 à 16:05.

        sur mon ordi ceci ne filtre rien par défault

        root@ordi1:/home/rob# ip6tables -L
        Chain INPUT (policy ACCEPT)
        target prot opt source destination

        Chain FORWARD (policy ACCEPT)
        target prot opt source destination

        Chain OUTPUT (policy ACCEPT)
        target prot opt source destination

        voilà une bonne doc à ce sujet:
        http://formation-debian.via.ecp.fr/firewall.html

  • # Exemple de script iptables avec IPv4 et IPv6

    Posté par  . Évalué à 5.

    Je te recopie juste les morceaux pertinents :

    #!/bin/bash
ipt4="/sbin/iptables"
ipt6="/sbin/ip6tables"
INTERNET="ppp0"
LAN="eth0"


function accept_server {
$ipt4 -t filter -A INPUT -i $INTERNET -p $1 -m $1 --dport $2 -j ACCEPT
$ipt6 -t filter -A INPUT -i $INTERNET -p $1 -m $1 --dport $2 -j ACCEPT
}



#DNS
accept_server tcp 53
accept_server udp 53
#Gobby
accept_server tcp 8081
# SSH
accept_server tcp 22
# Web
accept_server tcp 80

    Autrement dit : factoriser au maximum ce qui est commun à IPv4 et IPv6.

    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

  • # iptables-restore

    Posté par  (site web personnel) . Évalué à 2.

    Appeler quarante douze mille fois la commande iptables, c'est mal, il vaut mieux faire un fichier de restauration de configuration et le charger avec iptables-restore.

    http://tanguy.ortolo.eu/blog/article12/iptables-restore

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.