Informations :
Dates
- Publish : : Saturdy 20 november 2010
- Modification : Friday 19 october 2012
Share :
Prévoyance IPv6
ATTENTION : En activant la fonction IPv6 dans votre interface Free, il faut être conscient que chacun des postes connecté à la freebox seront directement accessible par InterNet et donc plus vulnérable. Nous prevoyons quelques lignes iptables
pour fermer les portes de l'Ipv6
Installation du bridge
Commençons par télécharger les outils indispensables
aptitude install bridge-utils ebtables
Ajoutons la règle (brouting) permettant d'utiliser le pont uniquement pour l'IPv6
ebtables -t broute -A BROUTING -p ! ipv6 -j DROP
Créer le pont virtuel
brctl addbr br0 ifconfig br0 up
On intègre à ce pont les deux interfaces
brctl addif br0 eth0 brctl addif br0 eth1
Voilà un joli pont special IPv6
Les requêtes IPv6 passeront par notre bridge et les requêtes IPv4 utiliseront toujours la passerelle NAT :/
Sécurité des postes IPv6
Chaque poste derrière le routeur connecté à l'interface eth0
devrait avoir un firewall.
Par ex :
Script ip6tables
Créer le fichier vim /etc/init.d/firewall-ipv6
et attribuer lui le droits en execution chmod u+x /etc/init.d/firewall-ipv6
#!/bin/bash #####-------------------------- FONCTIONS ----------------------------###### function policy() { ip6tables -P INPUT ip6tables -P FORWARD ip6tables -P OUTPUT } function firewall_ipv6() { # firewall ip6tables -P INPUT DROP ip6tables -A INPUT -i lo -j ACCEPT ip6tables -A INPUT -p icmpv6 -j ACCEPT ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ip6tables -A INPUT -m limit --limit 2/s -j LOG --log-prefix 'filter[INPUT6]: ' } #####-------------------------- FONCTIONS ----------------------------###### #####-------------------------- START / STOP ----------------------------###### case "" in start|restart) {content_text} stop echo "{content_text} Starting" policy DROP firewall_ipv6 ;; stop) echo "{content_text} Stop" ip6tables -F ip6tables -Z ip6tables -X policy ACCEPT ;; *) echo "usage : {content_text} (start|stop|restart)" ;; esac #####-------------------------- START / STOP ----------------------------######
ici on accepte le ping et on accepte tout ce qui sort. Utiliser la commande /etc/init.d/firewall-ipv6 start|stop|restart
pour utiliser le firewall IPv6
Lister ip6tables
pour voir la config
ip6tables -v -L
Voilà vous avez de l'IPv6 chez vous. Essayez de faire un ping6 -I eth0 -c1 www.zw3b.fr
d'un des clients cela devrait retourner une réponse ;)