Informations :
Dates
- Publish : : Saturdy 20 november 2010
- Modification : Friday 19 october 2012
- 8248 views
Share :
Prévoyance IPv6
ATTENTION : En activant la fonction IPv6 dans votre interface Free, il faut être conscient que chacun des postes connecté à la freebox seront directement accessible par InterNet et donc plus vulnérable. Nous prevoyons quelques lignes iptables
pour fermer les portes de l'Ipv6
Installation du bridge
Commençons par télécharger les outils indispensables
Script avec 1 ligne
001aptitude install bridge-utils ebtables
Ajoutons la règle (brouting) permettant d'utiliser le pont uniquement pour l'IPv6
Script avec 1 ligne
001ebtables -t broute -A BROUTING -p ! ipv6 -j DROP
Créer le pont virtuel
Script avec 2 lignes
001brctl addbr br0
002ifconfig br0 up
On intègre à ce pont les deux interfaces
Script avec 2 lignes
001brctl addif br0 eth0
002brctl addif br0 eth1
Voilà un joli pont special IPv6
Les requêtes IPv6 passeront par notre bridge et les requêtes IPv4 utiliseront toujours la passerelle NAT :/
Sécurité des postes IPv6
Chaque poste derrière le routeur connecté à l'interface eth0
devrait avoir un firewall.
Par ex :
Script ip6tables
Créer le fichier vim /etc/init.d/firewall-ipv6
et attribuer lui le droits en execution chmod u+x /etc/init.d/firewall-ipv6
Script avec 39 lignes
001#!/bin/bash
002#####-------------------------- FONCTIONS ----------------------------######
003function policy()
004{
005ip6tables -P INPUT
006ip6tables -P FORWARD
007ip6tables -P OUTPUT
008}
009function firewall_ipv6()
010{
011# firewall
012ip6tables -P INPUT DROP
013ip6tables -A INPUT -i lo -j ACCEPT
014ip6tables -A INPUT -p icmpv6 -j ACCEPT
015ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
016ip6tables -A INPUT -m limit --limit 2/s -j LOG --log-prefix 'filter[INPUT6]: '
017}
018#####-------------------------- FONCTIONS ----------------------------######
019#####-------------------------- START / STOP ----------------------------######
020case "" in
021start|restart)
022{content_text} stop
023echo "{content_text} Starting"
024policy DROP
025026
firewall_ipv6
027;;
028stop)
029echo "{content_text} Stop"
030ip6tables -F
031ip6tables -Z
032ip6tables -X
033policy ACCEPT
034;;
035*)
036echo "usage : {content_text} (start|stop|restart)"
037;;
038esac
039#####-------------------------- START / STOP ----------------------------######
ici on accepte le ping et on accepte tout ce qui sort. Utiliser la commande /etc/init.d/firewall-ipv6 start|stop|restart
pour utiliser le firewall IPv6
Lister ip6tables
pour voir la config
Script avec 1 ligne
001ip6tables -v -L
Voilà vous avez de l'IPv6 chez vous. Essayez de faire un ping6 -I eth0 -c1 www.zw3b.fr
d'un des clients cela devrait retourner une réponse ;)