iptables et IPv6

Le
mpg
Bonjour,

je viens de découvrir qu'il existe un ip6tables dans /sbin chez moi, et un
doute me ronge : cela signifie-t-il qu'il faut définir séparément des
règles de filtrage pour l'IPv6, ou pas ? En clair, si j'ai des règles de
filtrage strictes établies par la commande iptables mais aucune autre,
suis-je vulnérable à un accès en IPv6 ?

Manuel.
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Emmanuel Florac
Le #1918578
Le Sat, 12 Jan 2008 21:12:28 +0100, mpg a écrit :

En clair, si j'ai des règles de
filtrage strictes établies par la commande iptables mais aucune autre,
suis-je vulnérable à un accès en IPv6 ?


Absolument. C'est malheureusement trop peu connu...

--
Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando

mpg
Le #1918576
Le (on) samedi 12 janvier 2008 21:36, Emmanuel Florac a écrit (wrote) :

Le Sat, 12 Jan 2008 21:12:28 +0100, mpg a écrit :

En clair, si j'ai des règles de
filtrage strictes établies par la commande iptables mais aucune autre,
suis-je vulnérable à un accès en IPv6 ?


Absolument. C'est malheureusement trop peu connu...

Donc la mauvaise nouvelle, c'est qu'il y a du boulot. La bonne, c'est que

pendant que je bidouille ma table de filtrage IPv4 par ssh, si la
connection est en IPv6, je risque pas de me foutre dehors par accident :)

Manuel.


diablo
Le #1918574

En clair, si j'ai des règles de
filtrage strictes établies par la commande iptables mais aucune autre,
suis-je vulnérable à un accès en IPv6 ?


Absolument. C'est malheureusement trop peu connu...

oO c'est fou ça !


--
-uTb#`diablo PWed by GNU/Linux Debian on Diablo


Emmanuel Florac
Le #1918548
Le Sat, 12 Jan 2008 22:54:36 +0100, mpg a écrit :


Donc la mauvaise nouvelle, c'est qu'il y a du boulot. La bonne, c'est que
pendant que je bidouille ma table de filtrage IPv4 par ssh, si la
connection est en IPv6, je risque pas de me foutre dehors par accident :)


Tout à fait :) Le fait est que les crackers connaissent bien cette
lacune, donc méfiance.

--
A human being should be able to change a diaper, plan an invasion,
butcher a hog, conn a ship, design a building, write a sonnet, balance
accounts, build a wall, set a bone, comfort the dying, take orders, give
orders, cooperate, act alone, solve equations, analyze a new problem,
pitch manure, program a computer, cook a tasty meal, fight efficiently,
die gallantly. Specialization is for insects.
Robert A. Heinlein.

Emmanuel Florac
Le #1918547
Le Sat, 12 Jan 2008 23:01:07 +0100, diablo a écrit :

oO c'est fou ça !


Faites gaffe si vous activez l'ip v6 sur vos freebox, pensez à installer
ip6tables et à bien fermer les portes en sortant...

--
Mais monsieur, voudriez-vous que je me l'écorchasse?
Barbey d'Aurevilly.

mpg
Le #1918543
Le (on) dimanche 13 janvier 2008 23:41, Emmanuel Florac a écrit (wrote) :

Le Sat, 12 Jan 2008 23:01:07 +0100, diablo a écrit :

oO c'est fou ça !


Faites gaffe si vous activez l'ip v6 sur vos freebox, pensez à installer
ip6tables et à bien fermer les portes en sortant...

Ouaip, comme je viens justement d'activer l'IPv6 et de faire deux

enregistrement AAAA dans le DNS de mon domaine, je suis vraiment très
heureux d'avoir découvert ip6tables par hasard, mais au bon moment :)

Manuel.


Pascal Hambourg
Le #1918539
Salut,


Ouaip, comme je viens justement d'activer l'IPv6 et de faire deux
enregistrement AAAA dans le DNS de mon domaine, je suis vraiment très
heureux d'avoir découvert ip6tables par hasard, mais au bon moment :)


Un conseil : si pas déjà fait documente-toi un peu sur le fonctionnement
d'IPv6 avant de jouer avec ip6tables et évite de céder au réflexe
reptilien commun consistant à bloquer tout les ICMP. En plus des
fonctions héritées de son ancêtre v4, ICMPv6 remplace aussi ARP.

Publicité
Poster une réponse
Anonyme