Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 11-01-2019 22:38:29

laurent1
Membre
Distrib. : Debian 7.6
Noyau : Linux 3.2.0-0-686-pae
Inscription : 22-11-2014

ip6table et ipv6

Bonsoir,

Les commandes ip6tables pour sécuriser un serveur en ligne sont-elles les mêmes que les commandes iptables ou bien existerait-il quelque subtilité ?

Cordialement.

Dernière modification par laurent1 (15-01-2019 09:36:16)


Pc sous debian 7.6 => noyau Linux 3.2.0

Serveur debian 7.6 => Linux 3.2.0

Hors ligne

#2 06-02-2019 19:15:46

root@rkn
Adhérent(e)
Lieu : Grenoble
Distrib. : Debian Strech Apache2 HTTPS HTTP/2 BROTLI REDIS et
Noyau : PROD: 4.9.88-1+deb9u1
(G)UI : headless - aucun
Inscription : 24-02-2018
Site Web

Re : ip6table et ipv6

presque les memes, juste un 6 en plus:

#! /bin/sh

ip6tables -t filter -P INPUT DROP
ip6tables -t filter -P OUTPUT DROP
ip6tables -t filter -P FORWARD DROP

ip6tables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
ip6tables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

ip6tables -t filter -A INPUT -i lo -j ACCEPT
ip6tables -t filter -A OUTPUT -o lo -j ACCEPT


ip6tables -t filter -A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT



ip6tables -t filter -A OUTPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
ip6tables -t filter -A OUTPUT -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
 

Dernière modification par root@rkn (06-02-2019 19:22:49)


- If it works, dont update it.
- You don't know how, just do it, you will learn.
- Test, re-stest, test again, and maybe it will work.
- https://nextcloud.rkn.ovh/index.php/s/3yp93A7oNMPexcp

Hors ligne

#3 07-02-2019 10:39:42

raleur
Membre
Inscription : 03-10-2014

Re : ip6table et ipv6

Dans les grandes lignes oui, mais il y a quelques subtilités.

1) Le protocole ICMP est remplacé par ICPMv6. Les noms des types et codes communs sont identiques (destination-unreachable, time-exceeded...) mais les numéros sont différents donc mieux vaut utiliser les noms. Le code fragmentation-needed du type destination-unreachable devient un type séparé packet-too-big.

2) Les requêtes et réponses ARP sont remplacées par un sous-ensemble de types ICMPv6 qui sont donc filtrés par ip6tables (alors que iptables ne filtre pas les paquets ARP, protocole distinct d'IPv4) :
- neighbor-solicitation
- neighbor-advertisement
- router-solicitation
- router-advertisement

Bloquer ces messages peut empêcher toute connectivité IPv6. Ils ne sont pas gérés par le suivi d'état de connexion (conntrack) et ont l'état UNTRACKED.

3) La gestion de la fragmentation est différente en ICMPv6 car un routeur ne doit pas fragmenter un paquet ICMPv6 trop gros mais renvoyer systématiquement un message ICMPv6 packet-too-big. Mais la gestion des fragments et du réassemblage dans netfilter a changé au fil des versions du noyau. Attention donc, dans certaines chaînes ip6tables peut voir les fragments et dans d'autres le paquet reassemble, ce qui peut avoir un impact sur les règles de filtrage (seul le premier fragment contient les ports source et destination).

Hors ligne

#4 07-02-2019 12:16:20

smolski
admin quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : ip6table et ipv6

Petit ajout depuis ces posts dans le wiki sur iptable : https://debian-facile.org/doc:reseau:iptables#ip6table

Que des pétales de rose tapissent votre chemin libriste... love.gif

"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

Pied de page des forums