Le Wed, 21 Jul 2010 17:27:06 +0200 Eric Masson a écrit :
Yliur writes:
'Re,
> C'est-à-dire que le glandu moyen ne fait pas toujours exprès de > "mettre un service à disposition".
Vala, le glandu moyen aime le plug and play, certains vers aussi, et donc nat ou pas nat, dès lors qu'upnp est activé, la protection est complètement illusoire.
Si upnp n'est pas actif, le glandu moyen va faire des trucs intelligents comme activer la fonction "DMZ" de son routeur/box/whatever, suite aux conseils de son "pote qui s'y connait", et exposer ainsi sa machine à tous vents.
Le glandu moins moyen peut aussi tomber face à un outil prévu pour contourner les dispositifs nat ne filtrant pas sérieusement le traffic, comme celui-ci : http://www.bit-tech.net/news/hardware/2010/04/05/hacker-releases-nat-traversal-tool/1
Hum... Ça a l'air de nécessiter une installation du dispositif sur les deux machines qui doivent communiquer.
En bref, la nat seule n'est en aucun cas une protection sérieuse, le filtrage est une obligation si on veut une protection minimale.
Rien tout seul n'est une protection sérieuse.
Le Wed, 21 Jul 2010 17:27:06 +0200
Eric Masson <emss@free.fr> a écrit :
Yliur <yliur@free.fr> writes:
'Re,
> C'est-à-dire que le glandu moyen ne fait pas toujours exprès de
> "mettre un service à disposition".
Vala, le glandu moyen aime le plug and play, certains vers aussi, et
donc nat ou pas nat, dès lors qu'upnp est activé, la protection est
complètement illusoire.
Si upnp n'est pas actif, le glandu moyen va faire des trucs
intelligents comme activer la fonction "DMZ" de son
routeur/box/whatever, suite aux conseils de son "pote qui s'y
connait", et exposer ainsi sa machine à tous vents.
Le glandu moins moyen peut aussi tomber face à un outil prévu pour
contourner les dispositifs nat ne filtrant pas sérieusement le
traffic, comme celui-ci :
http://www.bit-tech.net/news/hardware/2010/04/05/hacker-releases-nat-traversal-tool/1
Hum... Ça a l'air de nécessiter une installation du dispositif sur les
deux machines qui doivent communiquer.
En bref, la nat seule n'est en aucun cas une protection sérieuse, le
filtrage est une obligation si on veut une protection minimale.
Le Wed, 21 Jul 2010 17:27:06 +0200 Eric Masson a écrit :
Yliur writes:
'Re,
> C'est-à-dire que le glandu moyen ne fait pas toujours exprès de > "mettre un service à disposition".
Vala, le glandu moyen aime le plug and play, certains vers aussi, et donc nat ou pas nat, dès lors qu'upnp est activé, la protection est complètement illusoire.
Si upnp n'est pas actif, le glandu moyen va faire des trucs intelligents comme activer la fonction "DMZ" de son routeur/box/whatever, suite aux conseils de son "pote qui s'y connait", et exposer ainsi sa machine à tous vents.
Le glandu moins moyen peut aussi tomber face à un outil prévu pour contourner les dispositifs nat ne filtrant pas sérieusement le traffic, comme celui-ci : http://www.bit-tech.net/news/hardware/2010/04/05/hacker-releases-nat-traversal-tool/1
Hum... Ça a l'air de nécessiter une installation du dispositif sur les deux machines qui doivent communiquer.
En bref, la nat seule n'est en aucun cas une protection sérieuse, le filtrage est une obligation si on veut une protection minimale.
Rien tout seul n'est une protection sérieuse.
Sergio
Le 21/07/2010 13:18, Kevin Denis a écrit :
Vu qu'aujourd'hui la majorité des failles sont des failles web, le NAT n'offre plus de protections. Tu surfes sur une page, tu es infecté, ton ordinateur va se connecter sur un canal de commande, et obéis aux ordres. Le NAT ne sert plus à grand chose comme méthode de protection.
Sans parler de l'IPV6, où le NAT ne protège plus rien...
-- Serge http://leserged.online.fr/ Mon blog: http://cahierdesergio.free.fr/ Soutenez le libre: http://www.framasoft.org
Le 21/07/2010 13:18, Kevin Denis a écrit :
Vu qu'aujourd'hui la majorité des failles sont des failles web, le NAT
n'offre plus de protections. Tu surfes sur une page, tu es infecté, ton
ordinateur va se connecter sur un canal de commande, et obéis aux
ordres. Le NAT ne sert plus à grand chose comme méthode de protection.
Sans parler de l'IPV6, où le NAT ne protège plus rien...
--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Vu qu'aujourd'hui la majorité des failles sont des failles web, le NAT n'offre plus de protections. Tu surfes sur une page, tu es infecté, ton ordinateur va se connecter sur un canal de commande, et obéis aux ordres. Le NAT ne sert plus à grand chose comme méthode de protection.
Sans parler de l'IPV6, où le NAT ne protège plus rien...
-- Serge http://leserged.online.fr/ Mon blog: http://cahierdesergio.free.fr/ Soutenez le libre: http://www.framasoft.org
Eric Masson
Yliur writes:
'Re,
Rien tout seul n'est une protection sérieuse.
Filtrer est en tous cas largement plus sérieux que de reposer sur un effet de bord d'un hack prévu pour parer à la pénurie d'adresses publiques.
--
Désolé.
Ta gueule. -+- LC in : Guide du Neuneu Usenet - Neuneu exaspère le dino -+-
Yliur <yliur@free.fr> writes:
'Re,
Rien tout seul n'est une protection sérieuse.
Filtrer est en tous cas largement plus sérieux que de reposer sur un
effet de bord d'un hack prévu pour parer à la pénurie d'adresses
publiques.
--
Désolé.
Ta gueule.
-+- LC in : Guide du Neuneu Usenet - Neuneu exaspère le dino -+-
Filtrer est en tous cas largement plus sérieux que de reposer sur un effet de bord d'un hack prévu pour parer à la pénurie d'adresses publiques.
--
Désolé.
Ta gueule. -+- LC in : Guide du Neuneu Usenet - Neuneu exaspère le dino -+-
Erwann Thoraval
Sergio a écrit :
Sans parler de l'IPV6, où le NAT ne protège plus rien...
Vivement IPv6 qu'on se débarrasse de cette ignominie qu'est le NAT. Les firewalls fonctionnent aussi en IPv6, ça ne sera pas plus dangereux qu'actuellement.
-- Erwann
Sergio a écrit :
Sans parler de l'IPV6, où le NAT ne protège plus rien...
Vivement IPv6 qu'on se débarrasse de cette ignominie qu'est le NAT. Les
firewalls fonctionnent aussi en IPv6, ça ne sera pas plus dangereux
qu'actuellement.
Sans parler de l'IPV6, où le NAT ne protège plus rien...
Vivement IPv6 qu'on se débarrasse de cette ignominie qu'est le NAT. Les firewalls fonctionnent aussi en IPv6, ça ne sera pas plus dangereux qu'actuellement.
-- Erwann
Pascal Hambourg
Salut,
Erwann Thoraval a écrit :
Sergio a écrit :
Sans parler de l'IPV6, où le NAT ne protège plus rien...
Vivement IPv6 qu'on se débarrasse de cette ignominie qu'est le NAT. Les firewalls fonctionnent aussi en IPv6, ça ne sera pas plus dangereux qu'actuellement.
Oui, l'effet de bord de filtrage du NAT peut être obtenu avec un simple filtrage à état avec suivi de connexion, disponible dans le noyau Linux depuis la série 2.4 pour IPv4 et la version 2.6.15 (mais pas forcément activé dans les noyaux précompilés des distributions avant la version 2.6.20) pour IPv6, sans l'inconvénient de la réécriture d'adresse et/ou de port. Le NAT source (masquerading) peut être remplacé par l'autorisation des connexions sortantes et le NAT destination (redirection) par l'autorisation sélective des connexions entrantes. Néanmoins je n'ai pas été, disons, convaincu par la gestion du filtrage IPv6 par le pare-feu intégré d'une distribution les dernières fois que j'ai essayé (c'était avec Mandriva 2008 et 2009).
Salut,
Erwann Thoraval a écrit :
Sergio a écrit :
Sans parler de l'IPV6, où le NAT ne protège plus rien...
Vivement IPv6 qu'on se débarrasse de cette ignominie qu'est le NAT. Les
firewalls fonctionnent aussi en IPv6, ça ne sera pas plus dangereux
qu'actuellement.
Oui, l'effet de bord de filtrage du NAT peut être obtenu avec un simple
filtrage à état avec suivi de connexion, disponible dans le noyau Linux
depuis la série 2.4 pour IPv4 et la version 2.6.15 (mais pas forcément
activé dans les noyaux précompilés des distributions avant la version
2.6.20) pour IPv6, sans l'inconvénient de la réécriture d'adresse et/ou
de port. Le NAT source (masquerading) peut être remplacé par
l'autorisation des connexions sortantes et le NAT destination
(redirection) par l'autorisation sélective des connexions entrantes.
Néanmoins je n'ai pas été, disons, convaincu par la gestion du filtrage
IPv6 par le pare-feu intégré d'une distribution les dernières fois que
j'ai essayé (c'était avec Mandriva 2008 et 2009).
Sans parler de l'IPV6, où le NAT ne protège plus rien...
Vivement IPv6 qu'on se débarrasse de cette ignominie qu'est le NAT. Les firewalls fonctionnent aussi en IPv6, ça ne sera pas plus dangereux qu'actuellement.
Oui, l'effet de bord de filtrage du NAT peut être obtenu avec un simple filtrage à état avec suivi de connexion, disponible dans le noyau Linux depuis la série 2.4 pour IPv4 et la version 2.6.15 (mais pas forcément activé dans les noyaux précompilés des distributions avant la version 2.6.20) pour IPv6, sans l'inconvénient de la réécriture d'adresse et/ou de port. Le NAT source (masquerading) peut être remplacé par l'autorisation des connexions sortantes et le NAT destination (redirection) par l'autorisation sélective des connexions entrantes. Néanmoins je n'ai pas été, disons, convaincu par la gestion du filtrage IPv6 par le pare-feu intégré d'une distribution les dernières fois que j'ai essayé (c'était avec Mandriva 2008 et 2009).
Kevin Denis
Le 22-07-2010, Pascal Hambourg a écrit :
Néanmoins je n'ai pas été, disons, convaincu par la gestion du filtrage IPv6 par le pare-feu intégré d'une distribution les dernières fois que j'ai essayé (c'était avec Mandriva 2008 et 2009).
Ca m'intéresse. Quels problèmes ont été rencontrés? (je laisse la redirection libre; fcs? fcri?) -- Kevin
Le 22-07-2010, Pascal Hambourg <boite-a-spam@plouf.fr.eu.org> a écrit :
Néanmoins je n'ai pas été, disons, convaincu par la gestion du filtrage
IPv6 par le pare-feu intégré d'une distribution les dernières fois que
j'ai essayé (c'était avec Mandriva 2008 et 2009).
Ca m'intéresse. Quels problèmes ont été rencontrés?
(je laisse la redirection libre; fcs? fcri?)
--
Kevin
Néanmoins je n'ai pas été, disons, convaincu par la gestion du filtrage IPv6 par le pare-feu intégré d'une distribution les dernières fois que j'ai essayé (c'était avec Mandriva 2008 et 2009).
Ca m'intéresse. Quels problèmes ont été rencontrés? (je laisse la redirection libre; fcs? fcri?) -- Kevin
Baton Rouge
On 22 Jul 2010 09:51:56 GMT, Kevin Denis wrote:
Le 22-07-2010, Pascal Hambourg a écrit :
Néanmoins je n'ai pas été, disons, convaincu par la gestion du filtrage IPv6 par le pare-feu intégré d'une distribution les dernières fois que j'ai essayé (c'était avec Mandriva 2008 et 2009).
Ca m'intéresse. Quels problèmes ont été rencontrés? (je laisse la redirection libre; fcs? fcri?)
Ca m'interesse aussi. Je debute en matiere d'IPv6 et comme tot ou tard on doit tous y passer, autant anticiper.
-- Travailler plus pour gagner plus pour quoi faire ? Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
On 22 Jul 2010 09:51:56 GMT, Kevin Denis <kevin@nowhere.invalid>
wrote:
Le 22-07-2010, Pascal Hambourg <boite-a-spam@plouf.fr.eu.org> a écrit :
Néanmoins je n'ai pas été, disons, convaincu par la gestion du filtrage
IPv6 par le pare-feu intégré d'une distribution les dernières fois que
j'ai essayé (c'était avec Mandriva 2008 et 2009).
Ca m'intéresse. Quels problèmes ont été rencontrés?
(je laisse la redirection libre; fcs? fcri?)
Ca m'interesse aussi. Je debute en matiere d'IPv6 et comme tot ou tard
on doit tous y passer, autant anticiper.
--
Travailler plus pour gagner plus pour quoi faire ?
Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
Néanmoins je n'ai pas été, disons, convaincu par la gestion du filtrage IPv6 par le pare-feu intégré d'une distribution les dernières fois que j'ai essayé (c'était avec Mandriva 2008 et 2009).
Ca m'intéresse. Quels problèmes ont été rencontrés? (je laisse la redirection libre; fcs? fcri?)
Ca m'interesse aussi. Je debute en matiere d'IPv6 et comme tot ou tard on doit tous y passer, autant anticiper.
-- Travailler plus pour gagner plus pour quoi faire ? Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
Sergio
Le 22/07/2010 09:55, Pascal Hambourg a écrit :
Vivement IPv6 qu'on se débarrasse de cette ignominie qu'est le NAT. Les firewalls fonctionnent aussi en IPv6, ça ne sera pas plus dangereux qu'actuellement.
Oui, l'effet de bord de filtrage du NAT peut être obtenu avec un simple filtrage à état avec suivi de connexion, disponible dans le noyau Linux depuis la série 2.4 pour IPv4 et la version 2.6.15 (mais pas forcément activé dans les noyaux précompilés des distributions avant la version 2.6.20) pour IPv6, sans l'inconvénient de la réécriture d'adresse et/ou de port. Le NAT source (masquerading) peut être remplacé par l'autorisation des connexions sortantes et le NAT destination (redirection) par l'autorisation sélective des connexions entrantes. Néanmoins je n'ai pas été, disons, convaincu par la gestion du filtrage IPv6 par le pare-feu intégré d'une distribution les dernières fois que j'ai essayé (c'était avec Mandriva 2008 et 2009).
En pratique : Actuellement, en IPV4, mes PC sont derrière le NAT (une box en fait), avec des partages de fichiers sans mot de passe (inutile, y'a que moi et ma famille qui s'en servent). Les mots de passe de login sont triviaux (à quoi bon ?).
En IPV6, comment je fais pour que mes partages soient inaccessibles de l'extérieur ?
-- Serge http://leserged.online.fr/ Mon blog: http://cahierdesergio.free.fr/ Soutenez le libre: http://www.framasoft.org
Le 22/07/2010 09:55, Pascal Hambourg a écrit :
Vivement IPv6 qu'on se débarrasse de cette ignominie qu'est le NAT. Les
firewalls fonctionnent aussi en IPv6, ça ne sera pas plus dangereux
qu'actuellement.
Oui, l'effet de bord de filtrage du NAT peut être obtenu avec un simple
filtrage à état avec suivi de connexion, disponible dans le noyau Linux
depuis la série 2.4 pour IPv4 et la version 2.6.15 (mais pas forcément
activé dans les noyaux précompilés des distributions avant la version
2.6.20) pour IPv6, sans l'inconvénient de la réécriture d'adresse et/ou
de port. Le NAT source (masquerading) peut être remplacé par
l'autorisation des connexions sortantes et le NAT destination
(redirection) par l'autorisation sélective des connexions entrantes.
Néanmoins je n'ai pas été, disons, convaincu par la gestion du filtrage
IPv6 par le pare-feu intégré d'une distribution les dernières fois que
j'ai essayé (c'était avec Mandriva 2008 et 2009).
En pratique :
Actuellement, en IPV4, mes PC sont derrière le NAT (une box en fait), avec des partages de fichiers sans mot de passe (inutile, y'a
que moi et ma famille qui s'en servent). Les mots de passe de login sont triviaux (à quoi bon ?).
En IPV6, comment je fais pour que mes partages soient inaccessibles de l'extérieur ?
--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Vivement IPv6 qu'on se débarrasse de cette ignominie qu'est le NAT. Les firewalls fonctionnent aussi en IPv6, ça ne sera pas plus dangereux qu'actuellement.
Oui, l'effet de bord de filtrage du NAT peut être obtenu avec un simple filtrage à état avec suivi de connexion, disponible dans le noyau Linux depuis la série 2.4 pour IPv4 et la version 2.6.15 (mais pas forcément activé dans les noyaux précompilés des distributions avant la version 2.6.20) pour IPv6, sans l'inconvénient de la réécriture d'adresse et/ou de port. Le NAT source (masquerading) peut être remplacé par l'autorisation des connexions sortantes et le NAT destination (redirection) par l'autorisation sélective des connexions entrantes. Néanmoins je n'ai pas été, disons, convaincu par la gestion du filtrage IPv6 par le pare-feu intégré d'une distribution les dernières fois que j'ai essayé (c'était avec Mandriva 2008 et 2009).
En pratique : Actuellement, en IPV4, mes PC sont derrière le NAT (une box en fait), avec des partages de fichiers sans mot de passe (inutile, y'a que moi et ma famille qui s'en servent). Les mots de passe de login sont triviaux (à quoi bon ?).
En IPV6, comment je fais pour que mes partages soient inaccessibles de l'extérieur ?
-- Serge http://leserged.online.fr/ Mon blog: http://cahierdesergio.free.fr/ Soutenez le libre: http://www.framasoft.org
Erwan David
Pascal Hambourg écrivait :
Salut,
Erwann Thoraval a écrit :
Sergio a écrit :
Sans parler de l'IPV6, où le NAT ne protège plus rien...
Vivement IPv6 qu'on se débarrasse de cette ignominie qu'est le NAT. Les firewalls fonctionnent aussi en IPv6, ça ne sera pas plus dangereux qu'actuellement.
Oui, l'effet de bord de filtrage du NAT peut être obtenu avec un simple filtrage à état avec suivi de connexion, disponible dans le noyau Linux depuis la série 2.4 pour IPv4 et la version 2.6.15 (mais pas forcément activé dans les noyaux précompilés des distributions avant la version 2.6.20) pour IPv6, sans l'inconvénient de la réécriture d'adresse et/ou de port. Le NAT source (masquerading) peut être remplacé par l'autorisation des connexions sortantes et le NAT destination (redirection) par l'autorisation sélective des connexions entrantes. Néanmoins je n'ai pas été, disons, convaincu par la gestion du filtrage IPv6 par le pare-feu intégré d'une distribution les dernières fois que j'ai essayé (c'était avec Mandriva 2008 et 2009).
Je gère ça avec shorewall6, ça marche bien.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Sans parler de l'IPV6, où le NAT ne protège plus rien...
Vivement IPv6 qu'on se débarrasse de cette ignominie qu'est le NAT. Les
firewalls fonctionnent aussi en IPv6, ça ne sera pas plus dangereux
qu'actuellement.
Oui, l'effet de bord de filtrage du NAT peut être obtenu avec un
simple filtrage à état avec suivi de connexion, disponible dans le
noyau Linux depuis la série 2.4 pour IPv4 et la version 2.6.15 (mais
pas forcément activé dans les noyaux précompilés des distributions
avant la version 2.6.20) pour IPv6, sans l'inconvénient de la
réécriture d'adresse et/ou de port. Le NAT source (masquerading) peut
être remplacé par l'autorisation des connexions sortantes et le NAT
destination (redirection) par l'autorisation sélective des connexions
entrantes. Néanmoins je n'ai pas été, disons, convaincu par la gestion
du filtrage IPv6 par le pare-feu intégré d'une distribution les
dernières fois que j'ai essayé (c'était avec Mandriva 2008 et 2009).
Je gère ça avec shorewall6, ça marche bien.
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Sans parler de l'IPV6, où le NAT ne protège plus rien...
Vivement IPv6 qu'on se débarrasse de cette ignominie qu'est le NAT. Les firewalls fonctionnent aussi en IPv6, ça ne sera pas plus dangereux qu'actuellement.
Oui, l'effet de bord de filtrage du NAT peut être obtenu avec un simple filtrage à état avec suivi de connexion, disponible dans le noyau Linux depuis la série 2.4 pour IPv4 et la version 2.6.15 (mais pas forcément activé dans les noyaux précompilés des distributions avant la version 2.6.20) pour IPv6, sans l'inconvénient de la réécriture d'adresse et/ou de port. Le NAT source (masquerading) peut être remplacé par l'autorisation des connexions sortantes et le NAT destination (redirection) par l'autorisation sélective des connexions entrantes. Néanmoins je n'ai pas été, disons, convaincu par la gestion du filtrage IPv6 par le pare-feu intégré d'une distribution les dernières fois que j'ai essayé (c'était avec Mandriva 2008 et 2009).
Je gère ça avec shorewall6, ça marche bien.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Pascal Hambourg
Kevin Denis a écrit :
Le 22-07-2010, Pascal Hambourg a écrit :
Néanmoins je n'ai pas été, disons, convaincu par la gestion du filtrage IPv6 par le pare-feu intégré d'une distribution les dernières fois que j'ai essayé (c'était avec Mandriva 2008 et 2009).
Je précise que j'utilise Mandriva exclusivement avec les outils de configuration en clickodrome. Après tout, c'est censé être prévu pour ça.
Ca m'intéresse. Quels problèmes ont été rencontrés?
Je ne me rappelle plus les détails exacts, et je n'ai pas les machines sous la main pour vérifier, je le ferai à l'occasion. De mémoire, pêle-mêle en mélangeant les deux versions : - ip6tables séparé d'iptables et non installé par défaut, quand on l'installe et qu'on l'active dans les services tout IPv6 est bloqué par défaut (2008 a priori) - l'interface de configuration du pare-feu a juste une option binaire activé/désactivé pour l'IPv6, et les ouvertures de ports ne s'appliquent qu'à IPv4 (a priori 2009).
(je laisse la redirection libre; fcs? fcri?)
Pas besoin de redirection, c'est du Linux.
Kevin Denis a écrit :
Le 22-07-2010, Pascal Hambourg <boite-a-spam@plouf.fr.eu.org> a écrit :
Néanmoins je n'ai pas été, disons, convaincu par la gestion du filtrage
IPv6 par le pare-feu intégré d'une distribution les dernières fois que
j'ai essayé (c'était avec Mandriva 2008 et 2009).
Je précise que j'utilise Mandriva exclusivement avec les outils de
configuration en clickodrome. Après tout, c'est censé être prévu pour ça.
Ca m'intéresse. Quels problèmes ont été rencontrés?
Je ne me rappelle plus les détails exacts, et je n'ai pas les machines
sous la main pour vérifier, je le ferai à l'occasion. De mémoire,
pêle-mêle en mélangeant les deux versions :
- ip6tables séparé d'iptables et non installé par défaut, quand on
l'installe et qu'on l'active dans les services tout IPv6 est bloqué par
défaut (2008 a priori)
- l'interface de configuration du pare-feu a juste une option binaire
activé/désactivé pour l'IPv6, et les ouvertures de ports ne s'appliquent
qu'à IPv4 (a priori 2009).
Néanmoins je n'ai pas été, disons, convaincu par la gestion du filtrage IPv6 par le pare-feu intégré d'une distribution les dernières fois que j'ai essayé (c'était avec Mandriva 2008 et 2009).
Je précise que j'utilise Mandriva exclusivement avec les outils de configuration en clickodrome. Après tout, c'est censé être prévu pour ça.
Ca m'intéresse. Quels problèmes ont été rencontrés?
Je ne me rappelle plus les détails exacts, et je n'ai pas les machines sous la main pour vérifier, je le ferai à l'occasion. De mémoire, pêle-mêle en mélangeant les deux versions : - ip6tables séparé d'iptables et non installé par défaut, quand on l'installe et qu'on l'active dans les services tout IPv6 est bloqué par défaut (2008 a priori) - l'interface de configuration du pare-feu a juste une option binaire activé/désactivé pour l'IPv6, et les ouvertures de ports ne s'appliquent qu'à IPv4 (a priori 2009).
