Différences entre les versions de « Ip6tables »

De wiki jackbot
Aller à la navigation Aller à la recherche
m
Ligne 2 : Ligne 2 :
Il s'agit de la même chose que [https://wiki.jackbot.fr/index.php?title=Iptables iptables] pour le protocole IPv6.
Il s'agit de la même chose que [https://wiki.jackbot.fr/index.php?title=Iptables iptables] pour le protocole IPv6.


Comme d'habitude pour des raisons de sécurité, la première étape consiste à tout bloquer. Attention toute fois à ne pas se tirer une balle dans le pied en se coupant sa propre connexion !
'''Attention !!''' Le changement des règles de filtrage peut dans certains cas engendrer une coupure de connexion. Il est judicieux de ne pas les inclure tout de suite dans un script exécuté au démarrage, mais de les tester au moins une fois avant. Il ne faudrait pas se tirer une balle dans le pied en se coupant sa propre connexion !
 
Comme d'habitude pour des raisons de sécurité, la première étape consiste à tout bloquer.


  #purges de toutes les règles
  #purges de toutes les règles
Ligne 26 : Ligne 28 :
  ip6tables -P FORWARD DROP
  ip6tables -P FORWARD DROP
  ip6tables -P OUTPUT DROP
  ip6tables -P OUTPUT DROP
Les règles suivantes vont permettre de ne pas casser les connexions déjà établie et autoriser le loopback.
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -i lo -j ACCEPT # trafic local
ip6tables -A OUTPUT -o lo -j ACCEPT # trafic local
Maintenant, on jette les paquets qualifiés d'invalide :
ip6tables -A INPUT -m state --state INVALID -j DROP
ip6tables -A OUTPUT -m state --state INVALID -j DROP
ip6tables -A FORWARD -m state --state INVALID -j DROP
Le protocole ICMPv6 va se charger de découvrir ses voisins, il est donc nécessaire pour un routeur d'autoriser certaines entrées :
ip6tables -I INPUT -p icmpv6 --icmpv6-type 133/0 -j ACCEPT
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type 134/0 -j ACCEPT
'''Source''' : https://connect.ed-diamond.com/GNU-Linux-Magazine/GLMFHS-041/Netfilter-et-le-filtrage-du-protocole-IPv6

Version du 17 juin 2021 à 08:26

Il s'agit de la même chose que iptables pour le protocole IPv6.

Attention !! Le changement des règles de filtrage peut dans certains cas engendrer une coupure de connexion. Il est judicieux de ne pas les inclure tout de suite dans un script exécuté au démarrage, mais de les tester au moins une fois avant. Il ne faudrait pas se tirer une balle dans le pied en se coupant sa propre connexion !

Comme d'habitude pour des raisons de sécurité, la première étape consiste à tout bloquer.

#purges de toutes les règles
ip6tables -F INPUT
ip6tables -F FORWARD
ip6tables -F OUTPUT
ip6tables -F

#suppression des chaînes écrites par l'utilisateur
ip6tables -X INPUT
ip6tables -X FORWARD
ip6tables -X OUTPUT
ip6tables -X

#pareil pour la table nat et mangle
ip6tables -t nat -F
ip6tables -t nat -X
ip6tables -t mangle -F
ip6tables -t mangle -X

#changement de la politique des chaînes INPUT, FORWARD et OUTPUT, qui sera DROP par défaut
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT DROP

Les règles suivantes vont permettre de ne pas casser les connexions déjà établie et autoriser le loopback.

ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

ip6tables -A INPUT -i lo -j ACCEPT # trafic local
ip6tables -A OUTPUT -o lo -j ACCEPT # trafic local

Maintenant, on jette les paquets qualifiés d'invalide :

ip6tables -A INPUT -m state --state INVALID -j DROP
ip6tables -A OUTPUT -m state --state INVALID -j DROP
ip6tables -A FORWARD -m state --state INVALID -j DROP

Le protocole ICMPv6 va se charger de découvrir ses voisins, il est donc nécessaire pour un routeur d'autoriser certaines entrées :

ip6tables -I INPUT -p icmpv6 --icmpv6-type 133/0 -j ACCEPT
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type 134/0 -j ACCEPT


Source : https://connect.ed-diamond.com/GNU-Linux-Magazine/GLMFHS-041/Netfilter-et-le-filtrage-du-protocole-IPv6