giggz a écrit : > > pour l'instant j'ai ça: > -A INPUT -i eth1 -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT > -A INPUT -i eth1 -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT > -A INPUT -i eth1 -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT > -A INPUT -i eth1 -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
Les paquets de ces types (types d'erreurs) sont normalement classés dans l'état RELATED lorsqu'ils sont liés à une connexion existante et INVALID dans le cas contraire, donc pas besoin de les traiter spécifiquement. > -A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-request -j ACCEPT Ok pour autoriser le ping en entrée. > -A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-reply -j ACCEPT Normalement classé ESTABLISHED si correspond à une requête émise et INVALID sinon, donc pas besoin de traiter spécifiquement. > -A INPUT -i eth1 -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT Utile pour une interface d'hôte en autoconf, mais pas pour un routeur. > -A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT Utile pour un routeur seulement. > -A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT Ok. Il faut aussi accepter le type neighbour-solicitation. > mais sur un site j'ai vu des règles plus "fines": [...] > # Allow some other types in the INPUT chain, but rate limit. > ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -m limit --limit > 600/min -j ACCEPT Ça se défend, notamment dans le cas d'une liaison à débits asymétriques de type ADSL. > ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-reply -m limit --limit > 600/min -j ACCEPT Là par contre, je ne vois pas l'intérêt. Si on reçoit des réponses, c'est normalement qu'on a envoyé les requêtes et donc qu'on attend ces réponses. La correspondance avec l'état ESTABLISHED me semble plus pertinente pour vérifier que ce sont bien des réponses attendues. > # Allow others ICMPv6 types but only if the hop limit field is 255. > > ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -m hl > --hl-eq 255 -j ACCEPT > ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -m hl > --hl-eq 255 -j ACCEPT > ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl > --hl-eq 255 -j ACCEPT > ip6tables -A INPUT -p icmpv6 --icmpv6-type redirect -m hl > --hl-eq 255 -j ACCEPT La vérification du champ HL (hop limit, équivalent au TTL d'IPv4) à 255 pour les types NDP de portée limitée au lien est une bonne mesure pour vérifier que ces messages viennent bien d'un voisin du réseau local et pas de plus loin, même si tout routeur bien constitué ne devrait jamais retransmettre ces messages. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers [email protected] En cas de soucis, contactez EN ANGLAIS [email protected] Archive: http://lists.debian.org/[email protected]
