Bonjour à tous,
Alors voilà, je me suis paramétrer un pare feu avec iptables. En IPv4, aucun soucis, tout se passe bien (et le pare feu est assez optionnel, vu les IP en 192.168.0.0/24 derrière une Box, la box en question routant uniquement certains ports vers la machine). Par contre en IPv6, pas moyen ! Le problème c’est que là c’est assez génant, dans le sens où avec mon IPv6 j’ai un accès direct à la machine depuis l’Internet. Par exemple n’importe qui (connaissant mon IPv6) pourrait se connecter sur CUPS, FTP, ou aux partage SAMBA… en gros je voudrais n’avoir QUE du SSH par IPv6.
Donc voici mes règles ip6tables :
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp anywhere anywhere tcp dpt:ssh
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination Mais quand je veux me connecter, je me tape un bon vieux “No route to host”.
Si je passe la politique d’entrée sur acceptation (ip6tables -P INPUT ACCEPT), bien entendu ça fonctionne.
Ce que je ne comprend pas, c’est que la même configuration en IPv4 le fais très bien (pare feu sur tous les ports sauf SSH par exemple)
Une idée ?
Pare contre, en prenant le problème à l’envers ça fonctionne : je laisse la politique sur ACCEPT et filtre les ports “géants” un par un, avec une ligne du genre “ip6tables -A INPUT -p tcp -i eth0 --dport 21 -j DROP”.
Ainsi, par exemple, le FTP n’est accessible qu’en IPv4…
EDIT :
J’ai trouvé de l’aide grâce à cette page : http://www.cyberciti.biz/faq/ip6tables-ipv6-firewall-for-linux/
J’espère que ça servira !