Pascal Hambourg a écrit : > giggz a écrit : >> Le 11/09/2010 12:48, Pascal Hambourg a écrit : >>> [...] >>> Oui, même si le traitement d'ICMPv6 pourrait être affiné un poil. >> ok. j'ai mis ça: >> -A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT > > Euh, là ça devient un peu trop restrictif. Je pensais plutôt à autoriser > les types ICMPv6 impliqués dans le protocole Neighbour Discovery (NDP) : > neighbour-solicitation, neighbour-advertisement (équivalents d'ARP > request et reply) et, pour les interfaces en auto-configuration sans > état, router-advertisement ou au contraire router-solicitation pour une > machine fonctionnant en routeur IPv6 avec radvd dessus. Les paquets de > type redirect sont normalement classés RELATED donc pas besoin de s'en > occuper spécifiquement. >
ok. j'ai lu un peu de doc: pour l'instant j'ai ça: -A INPUT -i eth1 -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT -A INPUT -i eth1 -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT -A INPUT -i eth1 -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT -A INPUT -i eth1 -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT -A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-request -j ACCEPT -A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-reply -j ACCEPT -A INPUT -i eth1 -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT -A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT -A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT mais sur un site j'ai vu des règles plus "fines": # Allow some ICMPv6 types in the INPUT chain # Using ICMPv6 type names to be clear. ip6tables -A INPUT -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT # Allow some other types in the INPUT chain, but rate limit. ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -m limit --limit 600/min -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-reply -m limit --limit 600/min -j ACCEPT # Allow others ICMPv6 types but only if the hop limit field is 255. ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -m hl --hl-eq 255 -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -m hl --hl-eq 255 -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl --hl-eq 255 -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type redirect -m hl --hl-eq 255 -j ACCEPT qu'en penses tu ? Pour répondre à ta question: est ce qu'on utilise ipv6 ? je crois bien que non en ce moment. mais bon un jour ou l'autre ça va nous tomber dessus. donc je prépare un peu le terrain ;) >> Bon j'ai lu encore un peu de doc sur iptables. On peut paufiner les >> règles avec "--match limit". Je suppose qu'il faut que j'attende un peu >> avant de me lancer dedans non ? > > Comme la correspondance "recent", c'est à manier avec précaution et il > faut regarder si c'est vraiment utile. > ok. pour l'instant je me renseigne juste sur la chose. merci! -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/i6nfjs$le...@dough.gmane.org