On Fri, Apr 13, 2012 at 05:04:15PM +0200, Stephane Bortzmeyer wrote:
> > 3. les basiques: tout fermer, ouvrir ping6 pour peu de machines, le
> > DNS serveur pour 2 autres, les DNS client pour 1 ou 2
> Ouvrir ICMP avant tout. Sinon, plus de PMTU. C'est l'erreur numéro un
> des administrateurs de pare-feux.
+1. Plus précisément il est indispensable que ICMP6_PACKET_TOO_BIG passe.
Je l'ai mentionné (en parlant des problèmes MTU) dans ma présentation
de mercredi, et de même B. Cama de Gitoyen/FDN en a également parlé,
effectivement c'est _le_ point important quand on parle de filtrage v6.
Note qu'ICMPv6 contenant également l'équivalent d'ARP en v4, il
n'est de toute façon pas possible de le filtrer à 100% sur un réseau
local, sinon plus rien ne marchera.
Pour répondre plus directement à E. Porteneuve, il existe souvent
un ensemble de règles "basiques" prédéfinies dans les configurations
de filtrage des Unix libres. Sous FreeBSD c'est /etc/rc.firewall
qui contient aussi bien du v4 que du v6.
# Allow ICMPv6 destination unreach
${fwcmd} add pass ipv6-icmp from any to any icmp6types 1
# Allow NS/NA/toobig (don't filter it out)
${fwcmd} add pass ipv6-icmp from any to any icmp6types 2,135,136
1=ICMP6_DST_UNREACH
2=ICMP6_PACKET_TOO_BIG
135=ND_NEIGHBOR_SOLICIT
136=ND_NEIGHBOR_ADVERT
--
Sent from my FreeBSD server
Pierre Beyssac [email protected]
_______________________________________________
G6 -- Association Francophone pour la promotion d'IPv6 (http://www.g6.asso.fr)
Liste IPv6tech [email protected]
Info : http://mail.g6.asso.fr/mailman/listinfo/ipv6tech
