On 13/04/2012 15:06, Elisabeth Porteneuve wrote: > Donc il faut un firewall IPv6, un minimal, mais une rolls-royce de > confiance (donc en provenance de bonne source qui a validé), juste pour > commencer, en vrai. > > Existe-t-il un exemple d'un tel filtre IPv6 bâti avec ip6tables ? > > Partie de la page IPv6 du projet plume CNRS > https://www.projet-plume.org/fr/ressource/information-pour-installer-ipv6-dans-un-laboratoire-ou-une-universite > > j'ai potassé plein de documents (aussi du G6!), y compris les documents > assez fantastiques du NIST, qui disent point par point quoi faire (sans > exemples, mais en concepts): > http://csrc.nist.gov/publications/nistpubs/800-119/sp800-119.pdf > http://www.antd.nist.gov/usgv6/usgv6-v1.pdf > J'ai aussi potassé http://www.sixxs.net/wiki/IPv6_Firewalling > > Ce que j'aurais aimé de voir est un exemple de filtre ip6tables adapté à > nos contextes: > 1. préfixe obtenu PREFIX:/48 > 2. créer un ilot de test IPv6 dans un :/52 (ou :/60) > 3. les basiques: tout fermer, ouvrir ping6 pour peu de machines, le DNS > serveur pour 2 autres, les DNS client pour 1 ou 2 > 4. caser le tout dans un vlan-IPv6 ? > 5. mettre cela dans un Linux-devil (ou autre), pour lancer ceci, pour > arrêter cela > 6. tester ping6 en local et le DNS IPv6 en local > 7. ne pas faire ci ou cela (grosses erreurs que l'on peut faire par > mimétisme d'IPv4) > 8. à ce stade ouvrit IPv6 / router vers votre point de collecte régional > ou universitaire; vous ne craignez rien, car le filtre ip6tables protège > bien > 9. passez zonecheck seulement en IPv6, se corriger pour que cela fonctionne > 10. tester intrusion de l'extérieur avec ci ou cela > 11. arrêter ou non IPv6 (cf. point 5) > > Cela parait très simpliste ?
Bonjour, Je ne connais pas de solution prête à l'emploi de firewall IPv6. En revanche voici un script d'exemple pour iptables. Celui ci: - est prévu pour fonctionner sur un hôte et non sur un routeur (cela peut s'adapter assez facilement; me faire signe au besoin). - laisse tout passer en sortie. - laisse passer tout l'icmpv6 et le DNS en entrée. - laisse passer les paquets correspondants à des flux déjà établis en entrée (statefull). - utilise une fonction pour avoir des règles dupliquées en IPv6 et IPv4 lorsque cela est possible (certains choses demeurent spécifiques, typiquement ICMP vs ICMPv6) - est ouvert aux commentaires et autres retours :) Si vous souhaitez filtrer l'ICMPv6, il peut être bon de jeter un oeil à http://www.ietf.org/rfc/rfc4890.txt . Vous pouvez utiliser l'option --icmpv6-type $nbr d'iptables pour appliquer des filtres à certains types ICMPv6 uniquement. -- Mathieu Goessens IRISA, Campus de Beaulieu, 35042 Rennes cedex, France Tel: +33 (0) 2 99 84 71 00, Fax: +33 (0) 2 99 84 71 71
iptables.sh
Description: Bourne shell script
signature.asc
Description: OpenPGP digital signature
_______________________________________________ G6 -- Association Francophone pour la promotion d'IPv6 (http://www.g6.asso.fr) Liste IPv6tech [email protected] Info : http://mail.g6.asso.fr/mailman/listinfo/ipv6tech
