Informations
Dates
- Publication : Samedi 20 novembre 2010
- Modification : Vendredi 19 octobre 2012
Partager
Traduire la page
Prévoyance IPv6
ATTENTION : En activant la fonction IPv6 dans votre interface Free, il faut être conscient que chacun des postes connecté à la freebox seront directement accessible par InterNet et donc plus vulnérable. Nous prevoyons quelques lignes iptables pour fermer les portes de l'Ipv6
Installation du bridge
Commençons par télécharger les outils indispensables
001 aptitude install bridge-utils ebtables
Ajoutons la règle (brouting) permettant d'utiliser le pont uniquement pour l'IPv6
001 ebtables -t broute -A BROUTING -p ! ipv6 -j DROP
Créer le pont virtuel
001 brctl addbr br0 002 ifconfig br0 up
On intègre à ce pont les deux interfaces
001 brctl addif br0 eth0 002 brctl addif br0 eth1
Voilà un joli pont special IPv6
Les requêtes IPv6 passeront par notre bridge et les requêtes IPv4 utiliseront toujours la passerelle NAT :/
Sécurité des postes IPv6
Chaque poste derrière le routeur connecté à l'interface eth0 devrait avoir un firewall.
Par ex :
Script ip6tables
Créer le fichier vim /etc/init.d/firewall-ipv6 et attribuer lui le droits en execution chmod u+x /etc/init.d/firewall-ipv6
001 #!/bin/bash 002 #####-------------------------- FONCTIONS ----------------------------###### 003 function policy() 004 { 005 ip6tables -P INPUT $1 006 ip6tables -P FORWARD $1 007 ip6tables -P OUTPUT $1 008 } 009 function firewall_ipv6() 010 { 011 # firewall 012 ip6tables -P INPUT DROP 013 ip6tables -A INPUT -i lo -j ACCEPT 014 ip6tables -A INPUT -p icmpv6 -j ACCEPT 015 ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 016 ip6tables -A INPUT -m limit --limit 2/s -j LOG --log-prefix 'filter[INPUT6]: ' 017 } 018 #####-------------------------- FONCTIONS ----------------------------###### 019 #####-------------------------- START / STOP ----------------------------###### 020 case "$1" in 021 start|restart) 022 $0 stop 023 echo "$0 Starting" 024 policy DROP 025 026 firewall_ipv6 027 ;; 028 stop) 029 echo "$0 Stop" 030 ip6tables -F 031 ip6tables -Z 032 ip6tables -X 033 policy ACCEPT 034 ;; 035 *) 036 echo "usage : $0 (start|stop|restart)" 037 ;; 038 esac 039 #####-------------------------- START / STOP ----------------------------######
ici on accepte le ping et on accepte tout ce qui sort. Utiliser la commande /etc/init.d/firewall-ipv6 start|stop|restart pour utiliser le firewall IPv6
Lister ip6tables pour voir la config
001 002 ip6tables -v -L
Voilà vous avez de l'IPv6 chez vous. Essayez de faire un ping6 -I eth0 -c1 www.zw3b.fr d'un des clients cela devrait retourner une réponse ;)
Liens IPv6
- Source de l'article : Routeur Linux et IPv6 Free : une solution
- Project Kame.net - La tortue danse ;) si vous êtes connecté en IPv6
- HOWTO IPv6 Linux (fr) - IPv6 Théorie et Pratique
- Manuel de sécurisation de Debian - Configuration d'un pare-feu pont
- WIDE DHCPv6 (KAME) : DHCPv6 functions and options
- Léa - Configurer l'IPv6 Natif
- Guide Gentoo du routeur IPv6
- Linux-France : TCP/IP - Le protocole IPv6
- Manual:IPv6/ND
- Proxy NDP IPv6
Liens Firewall IPv6 : Internet Protocol V6
- Netfilter :
ip6tables - IANA - Protocols : Internet Control Message Protocol version 6 (ICMPv6) Parameters
- Sixxs : IPv6_Firewalling
- Stéphane Huc : Firewall ICMPv6
- Debian-FR : Pare-feu IPv4/IPv6, versions bureau et serveur
Liens ZW3B.IPv6 : Internet Protocol V6
- How'to - GNU/Linux - Réseaux - C'est l'heure de l'IPv6 !
- How'to - GNU/Linux - Réseaux - Howto IPv6 - Proxmox - OVH
- How'to - GNU/Linux - Réseaux - Howto IPv6 - Proxmox - ONLINE.Net
- How'to - GNU/Linux - Réseaux - IPv6 derrière une Freebox + routeur Linux
- How'to - Windows - Réseaux - IPv4 vs IPv6 priorité
- How'to - Windows - Sécurité - DéActiver l'IPv6 et tunnels 6to4, Teredo, ISATAP
- How'to - FAI - Activer et NAViguer en réseau IPv6 depuis le FAI SFR
- How'to - GNU/Linux - Réseaux - Implanter multi sous-réseaux IPv6 sur plusieurs machines
- How'to - GNU/Linux - Réseaux - Comment-faire un réseau IPv6 ?
les réactions des ZW3B.Nautes (0 note)