giggz a écrit :Le 11/09/2010 00:21, Serge Cavailles a écrit :
La politique par _defaut_ s'applique en fin de chaîne aux paquets restants
(comprendre qui n'auront pas été acceptés par une règle).
Pas seulement acceptés. La politique par défaut est appliquée aux
paquets qui atteignent la fin de la chaîne sans avoir rencontré de cible
dite "terminale" : DROP, ACCEPT, REJECT, DNAT, SNAT, MASQUERADE...ah ok. j'avais pas saisi. Donc si je comprends bien, en mettant
:INPUT DROP au début je n'ai plus besoin d'avoir:
-A INPUT -j DROP juste avant le commit, non ?
En effet.Faut il mieux mettre la règle pour lo et RELATED,ESTABLISHED avant ou
après "anti-spoofing" ?
Pour lo, tu peux la mettre avant sauf si tu soupçonnes ta machine de
faire du spoofing lorsqu'elle se cause à elle-même (ce qui traduirait de
graves troubles de la personnalité).
Pour RELATED,ESTABLISHED, en toute rigueur il faudrait la mettre après.
En effet le suivi de connexion ne tient pas compte de l'interface
d'arrivée des paquets (après tout, le routage sur internet est
asymétrique par nature et une machine multihomée peut recevoir un paquet
légitime par n'importe quelle interface). On pourrait imaginer une
situation où la machine communique avec une machine A sur l'interface
interne, et une machine B extérieure profite de la connexion établie
pour injecter des paquets par l'interface externe en se faisant passer
pour A. Mais cette situation a autant sinon plus de chances de se
produire si la machine usurpée et la machine usurpatrice sont du même
côté, et là le filtrage anti-spoofing n'y peut rien.
ok . merci de tes explications. BOn en combinant vos 2 réponses. J'ai
pour l'instant:
[...]-A INPUT -i eth1 -s 240.0.0.0/4 -j DROP
[...]-A INPUT -i eth1 -s 240.0.0.0/4 -j DROP
Doublon.
Donc les points qui restent obscurent pour le moment ce sont:
- peut on mettre -A INPUT -eth0 -s 192.168.200.0/24 -j ACCEPT ?
Plutôt -i eth0.
ou alors -A INPUT -eth0:2 -s 192.168.200.0/24 -j ACCEPT ?
Encore moins, eth0:2 n'est pas une interface.- la ligne -A INPUT -j DROP est elle nécessaire ? si j'ai bien compris
la réponse de Serge, je suppose que je peux la supprimer.
En effet, puisque la politique par défaut de la chaîne est DROP.- si je veux permettre à mes noeuds d'avoir internet, il suffit que je
fasse :
iptables -t nat -A POSTROUTING --out-interface eth1 -j MASQUERADE -s
192.168.0.0/16
sysctl -w net.ipv4.ip_forward=1
non ?
Il faudra aussi des règles dans FORWARD pour accepter les connexions
routées arrivant par eth0 puisque la politique par défaut est DROP.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
A précéder par des règles anti-spoofing sur eth1 si tu y tiens. Elles
peuvent être factorisées dans une chaîne utilisateur appelée depuis
INPUT et FORWARD.
giggz a écrit :
Le 11/09/2010 00:21, Serge Cavailles a écrit :
La politique par _defaut_ s'applique en fin de chaîne aux paquets restants
(comprendre qui n'auront pas été acceptés par une règle).
Pas seulement acceptés. La politique par défaut est appliquée aux
paquets qui atteignent la fin de la chaîne sans avoir rencontré de cible
dite "terminale" : DROP, ACCEPT, REJECT, DNAT, SNAT, MASQUERADE...
ah ok. j'avais pas saisi. Donc si je comprends bien, en mettant
:INPUT DROP au début je n'ai plus besoin d'avoir:
-A INPUT -j DROP juste avant le commit, non ?
En effet.
Faut il mieux mettre la règle pour lo et RELATED,ESTABLISHED avant ou
après "anti-spoofing" ?
Pour lo, tu peux la mettre avant sauf si tu soupçonnes ta machine de
faire du spoofing lorsqu'elle se cause à elle-même (ce qui traduirait de
graves troubles de la personnalité).
Pour RELATED,ESTABLISHED, en toute rigueur il faudrait la mettre après.
En effet le suivi de connexion ne tient pas compte de l'interface
d'arrivée des paquets (après tout, le routage sur internet est
asymétrique par nature et une machine multihomée peut recevoir un paquet
légitime par n'importe quelle interface). On pourrait imaginer une
situation où la machine communique avec une machine A sur l'interface
interne, et une machine B extérieure profite de la connexion établie
pour injecter des paquets par l'interface externe en se faisant passer
pour A. Mais cette situation a autant sinon plus de chances de se
produire si la machine usurpée et la machine usurpatrice sont du même
côté, et là le filtrage anti-spoofing n'y peut rien.
ok . merci de tes explications. BOn en combinant vos 2 réponses. J'ai
pour l'instant:
[...]
-A INPUT -i eth1 -s 240.0.0.0/4 -j DROP
[...]
-A INPUT -i eth1 -s 240.0.0.0/4 -j DROP
Doublon.
Donc les points qui restent obscurent pour le moment ce sont:
- peut on mettre -A INPUT -eth0 -s 192.168.200.0/24 -j ACCEPT ?
Plutôt -i eth0.
ou alors -A INPUT -eth0:2 -s 192.168.200.0/24 -j ACCEPT ?
Encore moins, eth0:2 n'est pas une interface.
- la ligne -A INPUT -j DROP est elle nécessaire ? si j'ai bien compris
la réponse de Serge, je suppose que je peux la supprimer.
En effet, puisque la politique par défaut de la chaîne est DROP.
- si je veux permettre à mes noeuds d'avoir internet, il suffit que je
fasse :
iptables -t nat -A POSTROUTING --out-interface eth1 -j MASQUERADE -s
192.168.0.0/16
sysctl -w net.ipv4.ip_forward=1
non ?
Il faudra aussi des règles dans FORWARD pour accepter les connexions
routées arrivant par eth0 puisque la politique par défaut est DROP.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
A précéder par des règles anti-spoofing sur eth1 si tu y tiens. Elles
peuvent être factorisées dans une chaîne utilisateur appelée depuis
INPUT et FORWARD.
giggz a écrit :Le 11/09/2010 00:21, Serge Cavailles a écrit :
La politique par _defaut_ s'applique en fin de chaîne aux paquets restants
(comprendre qui n'auront pas été acceptés par une règle).
Pas seulement acceptés. La politique par défaut est appliquée aux
paquets qui atteignent la fin de la chaîne sans avoir rencontré de cible
dite "terminale" : DROP, ACCEPT, REJECT, DNAT, SNAT, MASQUERADE...ah ok. j'avais pas saisi. Donc si je comprends bien, en mettant
:INPUT DROP au début je n'ai plus besoin d'avoir:
-A INPUT -j DROP juste avant le commit, non ?
En effet.Faut il mieux mettre la règle pour lo et RELATED,ESTABLISHED avant ou
après "anti-spoofing" ?
Pour lo, tu peux la mettre avant sauf si tu soupçonnes ta machine de
faire du spoofing lorsqu'elle se cause à elle-même (ce qui traduirait de
graves troubles de la personnalité).
Pour RELATED,ESTABLISHED, en toute rigueur il faudrait la mettre après.
En effet le suivi de connexion ne tient pas compte de l'interface
d'arrivée des paquets (après tout, le routage sur internet est
asymétrique par nature et une machine multihomée peut recevoir un paquet
légitime par n'importe quelle interface). On pourrait imaginer une
situation où la machine communique avec une machine A sur l'interface
interne, et une machine B extérieure profite de la connexion établie
pour injecter des paquets par l'interface externe en se faisant passer
pour A. Mais cette situation a autant sinon plus de chances de se
produire si la machine usurpée et la machine usurpatrice sont du même
côté, et là le filtrage anti-spoofing n'y peut rien.
ok . merci de tes explications. BOn en combinant vos 2 réponses. J'ai
pour l'instant:
[...]-A INPUT -i eth1 -s 240.0.0.0/4 -j DROP
[...]-A INPUT -i eth1 -s 240.0.0.0/4 -j DROP
Doublon.
Donc les points qui restent obscurent pour le moment ce sont:
- peut on mettre -A INPUT -eth0 -s 192.168.200.0/24 -j ACCEPT ?
Plutôt -i eth0.
ou alors -A INPUT -eth0:2 -s 192.168.200.0/24 -j ACCEPT ?
Encore moins, eth0:2 n'est pas une interface.- la ligne -A INPUT -j DROP est elle nécessaire ? si j'ai bien compris
la réponse de Serge, je suppose que je peux la supprimer.
En effet, puisque la politique par défaut de la chaîne est DROP.- si je veux permettre à mes noeuds d'avoir internet, il suffit que je
fasse :
iptables -t nat -A POSTROUTING --out-interface eth1 -j MASQUERADE -s
192.168.0.0/16
sysctl -w net.ipv4.ip_forward=1
non ?
Il faudra aussi des règles dans FORWARD pour accepter les connexions
routées arrivant par eth0 puisque la politique par défaut est DROP.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
A précéder par des règles anti-spoofing sur eth1 si tu y tiens. Elles
peuvent être factorisées dans une chaîne utilisateur appelée depuis
INPUT et FORWARD.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
bon ben l'internet sur les noeuds marche!
en gros j'ajoute ces lignes qd je veux avoir internet sur les noeuds.
sinon je les vire.
bon pour ip6tables j'ai mis ça :
c'est pas exactement la même chose...mais ça devrait suffire pour
l'instant.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
bon ben l'internet sur les noeuds marche!
en gros j'ajoute ces lignes qd je veux avoir internet sur les noeuds.
sinon je les vire.
bon pour ip6tables j'ai mis ça :
c'est pas exactement la même chose...mais ça devrait suffire pour
l'instant.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
bon ben l'internet sur les noeuds marche!
en gros j'ajoute ces lignes qd je veux avoir internet sur les noeuds.
sinon je les vire.
bon pour ip6tables j'ai mis ça :
c'est pas exactement la même chose...mais ça devrait suffire pour
l'instant.
giggz a écrit :
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
bon ben l'internet sur les noeuds marche!
en gros j'ajoute ces lignes qd je veux avoir internet sur les noeuds.
sinon je les vire.
Tu peux aussi laisser la première et ne supprimer que la seconde. Ainsi
les connexions en cours pourront continuer jusqu'à ce qu'elles se
terminent et les nouvelles connexion seront bloquées.
bon pour ip6tables j'ai mis ça :
[...]c'est pas exactement la même chose...mais ça devrait suffire pour
l'instant.
Oui, même si le traitement d'ICMPv6 pourrait être affiné un poil.
giggz a écrit :
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
bon ben l'internet sur les noeuds marche!
en gros j'ajoute ces lignes qd je veux avoir internet sur les noeuds.
sinon je les vire.
Tu peux aussi laisser la première et ne supprimer que la seconde. Ainsi
les connexions en cours pourront continuer jusqu'à ce qu'elles se
terminent et les nouvelles connexion seront bloquées.
bon pour ip6tables j'ai mis ça :
[...]
c'est pas exactement la même chose...mais ça devrait suffire pour
l'instant.
Oui, même si le traitement d'ICMPv6 pourrait être affiné un poil.
giggz a écrit :
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
bon ben l'internet sur les noeuds marche!
en gros j'ajoute ces lignes qd je veux avoir internet sur les noeuds.
sinon je les vire.
Tu peux aussi laisser la première et ne supprimer que la seconde. Ainsi
les connexions en cours pourront continuer jusqu'à ce qu'elles se
terminent et les nouvelles connexion seront bloquées.
bon pour ip6tables j'ai mis ça :
[...]c'est pas exactement la même chose...mais ça devrait suffire pour
l'instant.
Oui, même si le traitement d'ICMPv6 pourrait être affiné un poil.
Le 11/09/2010 12:48, Pascal Hambourg a écrit :[...]
Oui, même si le traitement d'ICMPv6 pourrait être affiné un poil.
ok. j'ai mis ça:
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
Bon j'ai lu encore un peu de doc sur iptables. On peut paufiner les
règles avec "--match limit". Je suppose qu'il faut que j'attende un peu
avant de me lancer dedans non ?
Le 11/09/2010 12:48, Pascal Hambourg a écrit :
[...]
Oui, même si le traitement d'ICMPv6 pourrait être affiné un poil.
ok. j'ai mis ça:
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
Bon j'ai lu encore un peu de doc sur iptables. On peut paufiner les
règles avec "--match limit". Je suppose qu'il faut que j'attende un peu
avant de me lancer dedans non ?
Le 11/09/2010 12:48, Pascal Hambourg a écrit :[...]
Oui, même si le traitement d'ICMPv6 pourrait être affiné un poil.
ok. j'ai mis ça:
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
Bon j'ai lu encore un peu de doc sur iptables. On peut paufiner les
règles avec "--match limit". Je suppose qu'il faut que j'attende un peu
avant de me lancer dedans non ?
ok. j'ai mis ça:
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
bon apparemment ça l'air de bien fonctionner avec les règles que vous
m'avez donné. merci bcp!
ok. j'ai mis ça:
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
bon apparemment ça l'air de bien fonctionner avec les règles que vous
m'avez donné. merci bcp!
ok. j'ai mis ça:
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
bon apparemment ça l'air de bien fonctionner avec les règles que vous
m'avez donné. merci bcp!
giggz a écrit :ok. j'ai mis ça:
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
[...]bon apparemment ça l'air de bien fonctionner avec les règles que vous
m'avez donné. merci bcp!
Même en IPv6 ? Si les types ICMPv6 NDP sont bloqués, j'ai un doute.
giggz a écrit :
ok. j'ai mis ça:
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
[...]
bon apparemment ça l'air de bien fonctionner avec les règles que vous
m'avez donné. merci bcp!
Même en IPv6 ? Si les types ICMPv6 NDP sont bloqués, j'ai un doute.
giggz a écrit :ok. j'ai mis ça:
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
[...]bon apparemment ça l'air de bien fonctionner avec les règles que vous
m'avez donné. merci bcp!
Même en IPv6 ? Si les types ICMPv6 NDP sont bloqués, j'ai un doute.
entre temps j'ai un doute sur un autre point. Pour limiter les ip qui se
connectent sur le port 80, je tente de restreindre au max: tous nos
ordinateurs ont des ip commençant par 139.11.215.* . comme on est par
énormément j'ai mis:
139.11.215.0/24
ça a l'air de marcher mais j'ai un doute sur le /24. C'est trop restrictif ?
PS je suis en train de regarder pour l'icmpv6...ça prend du temps.
entre temps j'ai un doute sur un autre point. Pour limiter les ip qui se
connectent sur le port 80, je tente de restreindre au max: tous nos
ordinateurs ont des ip commençant par 139.11.215.* . comme on est par
énormément j'ai mis:
139.11.215.0/24
ça a l'air de marcher mais j'ai un doute sur le /24. C'est trop restrictif ?
PS je suis en train de regarder pour l'icmpv6...ça prend du temps.
entre temps j'ai un doute sur un autre point. Pour limiter les ip qui se
connectent sur le port 80, je tente de restreindre au max: tous nos
ordinateurs ont des ip commençant par 139.11.215.* . comme on est par
énormément j'ai mis:
139.11.215.0/24
ça a l'air de marcher mais j'ai un doute sur le /24. C'est trop restrictif ?
PS je suis en train de regarder pour l'icmpv6...ça prend du temps.
giggz a écrit :Le 11/09/2010 12:48, Pascal Hambourg a écrit :[...]
Oui, même si le traitement d'ICMPv6 pourrait être affiné un poil.
ok. j'ai mis ça:
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
Euh, là ça devient un peu trop restrictif. Je pensais plutôt à autoriser
les types ICMPv6 impliqués dans le protocole Neighbour Discovery (NDP) :
neighbour-solicitation, neighbour-advertisement (équivalents d'ARP
request et reply) et, pour les interfaces en auto-configuration sans
état, router-advertisement ou au contraire router-solicitation pour une
machine fonctionnant en routeur IPv6 avec radvd dessus. Les paquets de
type redirect sont normalement classés RELATED donc pas besoin de s'en
occuper spécifiquement.
Bon j'ai lu encore un peu de doc sur iptables. On peut paufiner les
règles avec "--match limit". Je suppose qu'il faut que j'attende un peu
avant de me lancer dedans non ?
Comme la correspondance "recent", c'est à manier avec précaution et il
faut regarder si c'est vraiment utile.
giggz a écrit :
Le 11/09/2010 12:48, Pascal Hambourg a écrit :
[...]
Oui, même si le traitement d'ICMPv6 pourrait être affiné un poil.
ok. j'ai mis ça:
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
Euh, là ça devient un peu trop restrictif. Je pensais plutôt à autoriser
les types ICMPv6 impliqués dans le protocole Neighbour Discovery (NDP) :
neighbour-solicitation, neighbour-advertisement (équivalents d'ARP
request et reply) et, pour les interfaces en auto-configuration sans
état, router-advertisement ou au contraire router-solicitation pour une
machine fonctionnant en routeur IPv6 avec radvd dessus. Les paquets de
type redirect sont normalement classés RELATED donc pas besoin de s'en
occuper spécifiquement.
Bon j'ai lu encore un peu de doc sur iptables. On peut paufiner les
règles avec "--match limit". Je suppose qu'il faut que j'attende un peu
avant de me lancer dedans non ?
Comme la correspondance "recent", c'est à manier avec précaution et il
faut regarder si c'est vraiment utile.
giggz a écrit :Le 11/09/2010 12:48, Pascal Hambourg a écrit :[...]
Oui, même si le traitement d'ICMPv6 pourrait être affiné un poil.
ok. j'ai mis ça:
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
Euh, là ça devient un peu trop restrictif. Je pensais plutôt à autoriser
les types ICMPv6 impliqués dans le protocole Neighbour Discovery (NDP) :
neighbour-solicitation, neighbour-advertisement (équivalents d'ARP
request et reply) et, pour les interfaces en auto-configuration sans
état, router-advertisement ou au contraire router-solicitation pour une
machine fonctionnant en routeur IPv6 avec radvd dessus. Les paquets de
type redirect sont normalement classés RELATED donc pas besoin de s'en
occuper spécifiquement.
Bon j'ai lu encore un peu de doc sur iptables. On peut paufiner les
règles avec "--match limit". Je suppose qu'il faut que j'attende un peu
avant de me lancer dedans non ?
Comme la correspondance "recent", c'est à manier avec précaution et il
faut regarder si c'est vraiment utile.
pour l'instant j'ai ça:
-A INPUT -i eth1 -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-request -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
mais sur un site j'ai vu des règles plus "fines":
# Allow some other types in the INPUT chain, but rate limit.
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -m limit --limit
600/min -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-reply -m limit --limit
600/min -j ACCEPT
# Allow others ICMPv6 types but only if the hop limit field is 255.
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -m hl
--hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -m hl
--hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl
--hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type redirect -m hl
--hl-eq 255 -j ACCEPT
pour l'instant j'ai ça:
-A INPUT -i eth1 -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-request -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
mais sur un site j'ai vu des règles plus "fines":
# Allow some other types in the INPUT chain, but rate limit.
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -m limit --limit
600/min -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-reply -m limit --limit
600/min -j ACCEPT
# Allow others ICMPv6 types but only if the hop limit field is 255.
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -m hl
--hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -m hl
--hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl
--hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type redirect -m hl
--hl-eq 255 -j ACCEPT
pour l'instant j'ai ça:
-A INPUT -i eth1 -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-request -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
mais sur un site j'ai vu des règles plus "fines":
# Allow some other types in the INPUT chain, but rate limit.
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -m limit --limit
600/min -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-reply -m limit --limit
600/min -j ACCEPT
# Allow others ICMPv6 types but only if the hop limit field is 255.
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -m hl
--hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -m hl
--hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl
--hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type redirect -m hl
--hl-eq 255 -j ACCEPT
giggz a écrit :-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
Utile pour un routeur seulement.
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
Ok. Il faut aussi accepter le type neighbour-solicitation.
giggz a écrit :
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
Utile pour un routeur seulement.
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
Ok. Il faut aussi accepter le type neighbour-solicitation.
giggz a écrit :-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
Utile pour un routeur seulement.
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
Ok. Il faut aussi accepter le type neighbour-solicitation.
