How To, GNU/Linux, Réseaux

Prévoyance IPv6

ATTENTION : En activant la fonction IPv6 dans votre interface Free, il faut être conscient que chacun des postes connecté à la freebox seront directement accessible par InterNet et donc plus vulnérable. Nous prevoyons quelques lignes iptables pour fermer les portes de l'Ipv6

Installation du bridge

Commençons par télécharger les outils indispensables

aptitude install bridge-utils ebtables

Ajoutons la règle (brouting) permettant d'utiliser le pont uniquement pour l'IPv6

ebtables -t broute -A BROUTING -p ! ipv6 -j DROP

Créer le pont virtuel

brctl addbr br0
ifconfig br0 up

On intègre à ce pont les deux interfaces

brctl addif br0 eth0
brctl addif br0 eth1

Voilà un joli pont special IPv6

Les requêtes IPv6 passeront par notre bridge et les requêtes IPv4 utiliseront toujours la passerelle NAT :/

Sécurité des postes IPv6

Chaque poste derrière le routeur connecté à l'interface eth0 devrait avoir un firewall.
Par ex :

Script ip6tables

Créer le fichier vim /etc/init.d/firewall-ipv6 et attribuer lui le droits en execution chmod u+x /etc/init.d/firewall-ipv6

#!/bin/bash
#####-------------------------- FONCTIONS ----------------------------######
function policy()
{
	ip6tables -P INPUT 
	ip6tables -P FORWARD 
	ip6tables -P OUTPUT 
}
function firewall_ipv6()
{
	# firewall
	ip6tables -P INPUT DROP
	ip6tables -A INPUT -i lo -j ACCEPT
	ip6tables -A INPUT -p icmpv6 -j ACCEPT
	ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
	ip6tables -A INPUT -m limit --limit 2/s -j LOG --log-prefix 'filter[INPUT6]: '
}
#####-------------------------- FONCTIONS ----------------------------######
#####-------------------------- START / STOP ----------------------------######
case "" in
start|restart)
	{content_text} stop
	echo "{content_text} Starting"
	policy DROP
	
	firewall_ipv6
;;
stop)
	echo "{content_text} Stop"
	ip6tables -F
	ip6tables -Z
	ip6tables -X
	policy ACCEPT
;;
*)
echo "usage : {content_text} (start|stop|restart)"
;;
esac
#####-------------------------- START / STOP ----------------------------######

ici on accepte le ping et on accepte tout ce qui sort. Utiliser la commande /etc/init.d/firewall-ipv6 start|stop|restart pour utiliser le firewall IPv6

Lister ip6tables pour voir la config

ip6tables -v -L

Voilà vous avez de l'IPv6 chez vous. Essayez de faire un ping6 -I eth0 -c1 www.zw3b.fr d'un des clients cela devrait retourner une réponse ;)

<< InterNet Protocol v6 : déploiement IPs

IPv4 vs IPv6 priorité >>

Liens IPv6

• Source de l'article : Routeur Linux et IPv6 Free : une solution

• Project Kame.net - La tortue danse ;) si vous êtes connecté en IPv6
  • IPv6 DNS Server Discovery by DHCPv6
• HOWTO IPv6 Linux (fr) - IPv6 Théorie et Pratique
• Manuel de sécurisation de Debian - Configuration d'un pare-feu pont
• WIDE DHCPv6 (KAME) : DHCPv6 functions and options
  • WIDE DHCPv6 Debian package
• Léa - Configurer l'IPv6 Natif
• Guide Gentoo du routeur IPv6
• Linux-France : TCP/IP - Le protocole IPv6
• Manual:IPv6/ND
• Proxy NDP IPv6

Liens Firewall IPv6 : Internet Protocol V6

• Netfilter : ip6tables
• IANA - Protocols : Internet Control Message Protocol version 6 (ICMPv6) Parameters
  
  
• Sixxs : IPv6_Firewalling
• Stéphane Huc : Firewall ICMPv6
• Debian-FR : Pare-feu IPv4/IPv6, versions bureau et serveur

Liens ZW3B.IPv6 : Internet Protocol V6

• How'to - GNU/Linux - Réseaux - C'est l'heure de l'IPv6 !
• How'to - GNU/Linux - Réseaux - Howto IPv6 - Proxmox - OVH
• How'to - GNU/Linux - Réseaux - Howto IPv6 - Proxmox - ONLINE.Net
• How'to - GNU/Linux - Réseaux - IPv6 derrière une Freebox + routeur Linux
• How'to - Windows - Réseaux - IPv4 vs IPv6 priorité
• How'to - Windows - Sécurité - DéActiver l'IPv6 et tunnels 6to4, Teredo, ISATAP
• How'to - FAI - Activer et NAViguer en réseau IPv6 depuis le FAI SFR
• How'to - GNU/Linux - Réseaux - Implanter multi sous-réseaux IPv6 sur plusieurs machines
• How'to - GNU/Linux - Réseaux - Comment-faire un réseau IPv6 ?