Règles ICMPv6
Utilisateur anonyme
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
IPv6 arrive, ou plutôt devrait arriver, ne manque plus qu’un coup de rein de la part des FAI.
Comme chacun sait, si filtrer ( bloquer ) ICMPv4 est possible, filtrer ICMPv6 est une erreur fatale, si on consulte « sudo iptables -L » on a ceci :
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
Ma question est : sont ce des règles valables pour ICMPv6, ICMPv4, ou les deux ?
Rien trouvé nulle part.
IPv6 arrive, ou plutôt devrait arriver, ne manque plus qu’un coup de rein de la part des FAI.
Comme chacun sait, si filtrer ( bloquer ) ICMPv4 est possible, filtrer ICMPv6 est une erreur fatale, si on consulte « sudo iptables -L » on a ceci :
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
Ma question est : sont ce des règles valables pour ICMPv6, ICMPv4, ou les deux ?
Rien trouvé nulle part.
A voir également:
- Règles ICMPv6
- Regles telephone - Guide
- Mon calendrier des règles - Télécharger - Santé & Bien-être
- Instagram votre compte ne respecte pas les règles de la communauté - Guide
- Tableau règles de ponctuation - Guide
- Règles excel - Guide
1 réponse
Bonjour.
Il me semble que iptables fait bien la différence entre icmp et icmpv6.
Ce qui me pousse à dire ça est la section
Le mieux étant de faire le test dans un réseau local avec des IPv6 bidons.
Il me semble que iptables fait bien la différence entre icmp et icmpv6.
Ce qui me pousse à dire ça est la section
-p, --protocol protocoldu man d'iptables disant ceci :
The protocol of the rule or of the packet to check. The speci‐ied protocol can be one of tcp, udp, udplite, icmp, icmpv6,esp,ah, sctp, mh or the special keyword "all", or it can be anumeric value, representing one of these protocols or a differ‐ent one. A protocol name from /etc/protocols is also allowed.
Le mieux étant de faire le test dans un réseau local avec des IPv6 bidons.
Merci pour la réponse.
J'ai activé le journal " full " de gufw, apparemment ça audite du flux entrant IPv6, donc ça peut filtrer :
[UFW AUDIT] IN=eth0 OUT= MAC=33:33:00:00:00:01:28:10:7b:b7:40:fe:86:dd SRC=fe80:0000:0000:0000:35fa:00bc:12c5:3af5 DST=ff02:0000:0000:0000:0000:0000:0000:0001 LEN=72 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=136 CODE=0
Il va falloir s'occuper de mettre un pare feu activé sur les PC sous Linux, avec la généralisation de l' IPv6 les box ne vont probablement plus faire de NAT, ça va saigner.
filtre les IPv4, filtre les IPv6... les règles présentes dans iptables sont donc normalement propre à l'IPv4.
Enfin, bien que les box ne feront peut être plus de NAT, le pare-feu peut toujours fonctionner au niveau de la box en soit, comme au niveau de opérateur, mais il est toujours recommandé d'avoir un pare-feu sur la machine, par sécurité.
" Enfin, bien que les box ne feront peut être plus de NAT, le pare-feu peut toujours fonctionner au niveau de la box en soit, "
Free pas de pare feu sur la freebox, un routeur...
Orange il y a un pare feu mais sans NAT ça va être du billard, surtout sur un système Windows où des services sont ouverts en permanence.
Comment font les prestataires comme OVH ou autre, par exemple? ;-)
Le pare-feu se place en chemin et intercepte, il peut donc très bien empêcher l'accès aux ports si il n'est pas autorisé sans que ça ne soit géré sur la machine. :-)
Par contre c'est un peu plus spécifique et se gère en amont.
C'est que j'ai actuellement avec mon opérateur fibre et l'ipv6, j'ai un vrai pare-feu en amont de ma machine qui sécurise l'ipv6, sans NAT.
ICMPv6 va être obligatoire et plus large qu'en IPv4, c'est déjà pas vraiment secure en ICMPv4, c'est un bon vecteur d'attaques, faudra voir de près les cas de spoof d'adresses IPv6...