iptables et IPv6

Le
Rakotomandimby (R12y) Mihamina
[ article supersedes ]

Bonjour,

Comment est censé se comporter iptables quand on DROP tout par défaut,
et que toutes les règles ne concernent que les paquets en IPv4?

En fait c'est suite à mon post sur les "XMLSocket & Java".

J'ai autorisé les INPUT sur le port 18000 mais avec iptable, est-ce que
je dois passer un coup de ip6tables maintenant?

Est ce que les paquets v6 seront DROPPéS?

Merci d'avance.


--
Miroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nicolas George
Le #1437449
R12y wrote in message
Comment est censé se comporter iptables quand on DROP tout par défaut,
et que toutes les règles ne concernent que les paquets en IPv4?


Les règles iptables sont totalement indépendantes entre IPv6 et IPv4.
D'ailleurs, il y a un paquet de règles qui sont possibles en IPv4 mais pas
implémentées en IPv6, et ça fait groumpfer.

Julien Salgado
Le #1437440
Rakotomandimby (R12y) Mihamina a écrit :
[ article supersedes ]

Bonjour,



Salut,

Comment est censé se comporter iptables quand on DROP tout par défaut,
et que toutes les règles ne concernent que les paquets en IPv4?


iptables est juste un outil qui permet de configurer les tables
Netfilter de la couche IPv4. Donc, quand on DROP tout iptables ce
comporte bien ;))) Par contre, si tu DROP tout tu peux avoir de gros
problème sur le comportement de ta couche IPv4. De plus, cela ne
concerne que IPv4, les autres protocoles de niveau 3 (IPv6, X25, DecNET,
IPX, ARP, Appletalk,...) ne sont pas affectés et modifiés.

En fait c'est suite à mon post sur les "XMLSocket & Java".

J'ai autorisé les INPUT sur le port 18000 mais avec iptable, est-ce que
je dois passer un coup de ip6tables maintenant?


Si ton programmes fait un bind en IPv4 et IPv6, si tu veux qu'il réponde
en ipv6 il faut qu'il soit autorisé

Est ce que les paquets v6 seront DROPPéS?


Non, si tu veux qu'il le soit il faut le faire explicitement.
De plus, pour info il n'y a pas (encore) de suivi session en IPv6. donc
les règles sont beaucoup moins précises.


Merci d'avance.





--
Julien

Rakotomandimby (R12y) Mihamina
Le #1437435
Nicolas George
il y a un paquet de règles qui sont possibles en IPv4 mais
pas implémentées en IPv6



Chez moi, c'est pire:

# modprobe ip6_tables
# ip6tables-save
# ip6tables -L
ip6tables v1.2.11: can't initialize ip6tables table `filter':
Table does not exist (do you need to insmod?)

Et j'ai le même message d'erreur quelque soit la règle que je veux
"appender". Même un flush me retourne le même message.

Là, j'avoue que j'ai l'impression que pour l'instant ils n'ont rédigé
qu'un seul message d'erreur qu'ils balancent à chaque coup ;-P

Parceque si j'avais un message différent avec une tentative différente,
je pourrait essayer de déduire.... mais avec un seul message,...

Quelqu'un a une piste?

J'ai un noyau 2.6.8-2 packagé de chez Debian on peut dire que c'est une
Sarge (parceque je n'ai pas upgradé depuis la sortie de Sarge, et je suis
en "testing" dans mon sources.list)

--
Miroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)

Publicité
Poster une réponse
Anonyme