ma table ip6tables -L -- un petit check pour me dire si j'ai oublié ..

root@rkn · 06-02-2019 18:24:29

ma table ip6tables -L -- un petit check pour me dire si j'ai oublié quelque chose, merci.

ip6tables -L

Chain INPUT (policy DROP)

target     prot opt source               destination

ACCEPT     all      anywhere             anywhere

ACCEPT     all      anywhere             anywhere             state RELATED,ESTABLISHED

ACCEPT     all      anywhere             anywhere

ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmp echo-request

ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmp neighbour-solicitation HL match HL == 255

ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmp neighbour-advertisement HL match HL == 255

ACCEPT     tcp      anywhere             anywhere             tcp dpt:ftp

ACCEPT     tcp      anywhere             anywhere             tcp dpt:ssh

ACCEPT     tcp      anywhere             anywhere             tcp dpt:smtp

ACCEPT     tcp      anywhere             anywhere             tcp dpt:domain

ACCEPT     udp      anywhere             anywhere             udp dpt:domain

ACCEPT     tcp      anywhere             anywhere             tcp dpt:http

ACCEPT     tcp      anywhere             anywhere             tcp dpt:pop3

ACCEPT     tcp      anywhere             anywhere             tcp dpt:https

ACCEPT     all      anywhere             anywhere             state RELATED,ESTABLISHED

ACCEPT     all      anywhere             anywhere

ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmp echo-request

ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmp neighbour-solicitation HL match HL == 255

ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmp neighbour-advertisement HL match HL == 255

ACCEPT     tcp      anywhere             anywhere             tcp dpt:ftp

ACCEPT     tcp      anywhere             anywhere             tcp dpt:ssh

ACCEPT     tcp      anywhere             anywhere             tcp dpt:smtp

ACCEPT     tcp      anywhere             anywhere             tcp dpt:domain

ACCEPT     udp      anywhere             anywhere             udp dpt:domain

ACCEPT     tcp      anywhere             anywhere             tcp dpt:http

ACCEPT     tcp      anywhere             anywhere             tcp dpt:pop3

ACCEPT     tcp      anywhere             anywhere             tcp dpt:https

ACCEPT     tcp      anywhere             anywhere             tcp dpt:rsync

Chain FORWARD (policy DROP)

target     prot opt source               destination

Chain OUTPUT (policy DROP)

target     prot opt source               destination

ACCEPT     all      anywhere             anywhere

ACCEPT     all      anywhere             anywhere             state RELATED,ESTABLISHED

ACCEPT     all      anywhere             anywhere

ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmp echo-request

ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmp echo-reply

ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmp neighbour-solicitation

ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmp neighbour-advertisement

ACCEPT     tcp      anywhere             anywhere             tcp dpt:ftp

ACCEPT     tcp      anywhere             anywhere             tcp dpt:ssh

ACCEPT     tcp      anywhere             anywhere             tcp dpt:smtp

ACCEPT     tcp      anywhere             anywhere             tcp dpt:domain

ACCEPT     udp      anywhere             anywhere             udp dpt:domain

ACCEPT     tcp      anywhere             anywhere             tcp dpt:http

ACCEPT     tcp      anywhere             anywhere             tcp dpt:pop3

ACCEPT     tcp      anywhere             anywhere             tcp dpt:https

ACCEPT     all      anywhere             anywhere             state RELATED,ESTABLISHED

ACCEPT     all      anywhere             anywhere

ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmp echo-request

ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmp echo-reply

ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmp neighbour-solicitation

ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmp neighbour-advertisement

ACCEPT     tcp      anywhere             anywhere             tcp dpt:ftp

ACCEPT     tcp      anywhere             anywhere             tcp dpt:ssh

ACCEPT     tcp      anywhere             anywhere             tcp dpt:smtp

ACCEPT     tcp      anywhere             anywhere             tcp dpt:domain

ACCEPT     udp      anywhere             anywhere             udp dpt:domain

ACCEPT     tcp      anywhere             anywhere             tcp dpt:http

ACCEPT     tcp      anywhere             anywhere             tcp dpt:pop3

ACCEPT     tcp      anywhere             anywhere             tcp dpt:https

ACCEPT     tcp      anywhere             anywhere             tcp dpt:rsync

Edit à toto : Modif faite - Utilisation du BBCode du forum avec la Commande root.

raleur · 07-02-2019 09:43:03

Poste plutôt la sortie d'ip6tables-save, plus complète et lisible.

Dernière modification par raleur (07-02-2019 09:43:29)

root@rkn · 08-02-2019 01:31:35

voici

# Generated by ip6tables-save v1.6.0 on Fri Feb  8 01:30:17 2019

*filter

:INPUT DROP [381:53022]

:FORWARD DROP [0:0]

:OUTPUT DROP [10:631]

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT

-A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type 135 -m hl --hl-eq 255 -j ACCEPT

-A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type 136 -m hl --hl-eq 255 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT

-A INPUT -p udp -m udp --dport 53 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT

-A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type 135 -m hl --hl-eq 255 -j ACCEPT

-A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type 136 -m hl --hl-eq 255 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT

-A INPUT -p udp -m udp --dport 53 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 873 -j ACCEPT

-A OUTPUT -o lo -j ACCEPT

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -o lo -j ACCEPT

-A OUTPUT -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT

-A OUTPUT -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j ACCEPT

-A OUTPUT -p ipv6-icmp -m icmp6 --icmpv6-type 135 -j ACCEPT

-A OUTPUT -p ipv6-icmp -m icmp6 --icmpv6-type 136 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT

-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 110 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -o lo -j ACCEPT

-A OUTPUT -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT

-A OUTPUT -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j ACCEPT

-A OUTPUT -p ipv6-icmp -m icmp6 --icmpv6-type 135 -j ACCEPT

-A OUTPUT -p ipv6-icmp -m icmp6 --icmpv6-type 136 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT

-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 110 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 873 -j ACCEPT

COMMIT

# Completed on Fri Feb  8 01:30:17 2019

raleur · 08-02-2019 13:54:25

Il y a des règles en doublon.
L'autoconfiguration sans état ne fonctionne pas car les types ICMPv6 router-advertisement et router-solicitation ne sont pas acceptés.
La règle autorisant le type ICMPv6 echo-request en sortie n'est utile que pour le ping anycast ou multicast car les paquets de réponses au ping unicast sont déjà acceptés par la règle ESTABLISHED.
La machine fait vraiment tourner tous les services pour lesquels des ports sont acceptés en entrée ? Apparemment les règles en entrée et en sortie sont identiques.
Le protocole FTP nécessite d'autres ports que le 21.

root@rkn · 09-02-2019 15:17:50

je me suis rendue compte que j'avions largement merdoyé dans un script.

J'ai donc flushé et reco a zero à la mimine.

Par exemple, j'avais oublié

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

j'y retourne ...

raleur · 09-02-2019 21:30:50

root@rkn a écrit :

Par exemple, j'avais oublié

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
qui est déjà présente (deux fois !) fait exactement la même chose.

Debian-facile

#1 06-02-2019 18:24:29

ma table ip6tables -L -- un petit check pour me dire si j'ai oublié ..

#2 07-02-2019 09:43:03

Re : ma table ip6tables -L -- un petit check pour me dire si j'ai oublié ..

#3 08-02-2019 01:31:35

Re : ma table ip6tables -L -- un petit check pour me dire si j'ai oublié ..

#4 08-02-2019 13:54:25

Re : ma table ip6tables -L -- un petit check pour me dire si j'ai oublié ..

#5 09-02-2019 15:17:50

Re : ma table ip6tables -L -- un petit check pour me dire si j'ai oublié ..

#6 09-02-2019 21:30:50

Re : ma table ip6tables -L -- un petit check pour me dire si j'ai oublié ..

Pied de page des forums