je viens de découvrir qu'il existe un ip6tables dans /sbin chez moi, et un
doute me ronge : cela signifie-t-il qu'il faut définir séparément des
règles de filtrage pour l'IPv6, ou pas ? En clair, si j'ai des règles de
filtrage strictes établies par la commande iptables mais aucune autre,
suis-je vulnérable à un accès en IPv6 ?
En clair, si j'ai des règles de filtrage strictes établies par la commande iptables mais aucune autre, suis-je vulnérable à un accès en IPv6 ?
Absolument. C'est malheureusement trop peu connu...
oO c'est fou ça !
-- -uTb#`diablo PWed by GNU/Linux Debian on Diablo
Emmanuel Florac
Le Sat, 12 Jan 2008 22:54:36 +0100, mpg a écrit :
Donc la mauvaise nouvelle, c'est qu'il y a du boulot. La bonne, c'est que pendant que je bidouille ma table de filtrage IPv4 par ssh, si la connection est en IPv6, je risque pas de me foutre dehors par accident :)
Tout à fait :) Le fait est que les crackers connaissent bien cette lacune, donc méfiance.
-- A human being should be able to change a diaper, plan an invasion, butcher a hog, conn a ship, design a building, write a sonnet, balance accounts, build a wall, set a bone, comfort the dying, take orders, give orders, cooperate, act alone, solve equations, analyze a new problem, pitch manure, program a computer, cook a tasty meal, fight efficiently, die gallantly. Specialization is for insects. Robert A. Heinlein.
Le Sat, 12 Jan 2008 22:54:36 +0100, mpg a écrit :
Donc la mauvaise nouvelle, c'est qu'il y a du boulot. La bonne, c'est que
pendant que je bidouille ma table de filtrage IPv4 par ssh, si la
connection est en IPv6, je risque pas de me foutre dehors par accident :)
Tout à fait :) Le fait est que les crackers connaissent bien cette
lacune, donc méfiance.
--
A human being should be able to change a diaper, plan an invasion,
butcher a hog, conn a ship, design a building, write a sonnet, balance
accounts, build a wall, set a bone, comfort the dying, take orders, give
orders, cooperate, act alone, solve equations, analyze a new problem,
pitch manure, program a computer, cook a tasty meal, fight efficiently,
die gallantly. Specialization is for insects.
Robert A. Heinlein.
Donc la mauvaise nouvelle, c'est qu'il y a du boulot. La bonne, c'est que pendant que je bidouille ma table de filtrage IPv4 par ssh, si la connection est en IPv6, je risque pas de me foutre dehors par accident :)
Tout à fait :) Le fait est que les crackers connaissent bien cette lacune, donc méfiance.
-- A human being should be able to change a diaper, plan an invasion, butcher a hog, conn a ship, design a building, write a sonnet, balance accounts, build a wall, set a bone, comfort the dying, take orders, give orders, cooperate, act alone, solve equations, analyze a new problem, pitch manure, program a computer, cook a tasty meal, fight efficiently, die gallantly. Specialization is for insects. Robert A. Heinlein.
Emmanuel Florac
Le Sat, 12 Jan 2008 23:01:07 +0100, diablo a écrit :
oO c'est fou ça !
Faites gaffe si vous activez l'ip v6 sur vos freebox, pensez à installer ip6tables et à bien fermer les portes en sortant...
-- Mais monsieur, voudriez-vous que je me l'écorchasse? Barbey d'Aurevilly.
Le Sat, 12 Jan 2008 23:01:07 +0100, diablo a écrit :
oO c'est fou ça !
Faites gaffe si vous activez l'ip v6 sur vos freebox, pensez à installer
ip6tables et à bien fermer les portes en sortant...
--
Mais monsieur, voudriez-vous que je me l'écorchasse?
Barbey d'Aurevilly.
Le (on) dimanche 13 janvier 2008 23:41, Emmanuel Florac a écrit (wrote) :
Le Sat, 12 Jan 2008 23:01:07 +0100, diablo a écrit :
oO c'est fou ça !
Faites gaffe si vous activez l'ip v6 sur vos freebox, pensez à installer ip6tables et à bien fermer les portes en sortant...
Ouaip, comme je viens justement d'activer l'IPv6 et de faire deux
enregistrement AAAA dans le DNS de mon domaine, je suis vraiment très heureux d'avoir découvert ip6tables par hasard, mais au bon moment :)
Manuel.
Pascal Hambourg
Salut,
Ouaip, comme je viens justement d'activer l'IPv6 et de faire deux enregistrement AAAA dans le DNS de mon domaine, je suis vraiment très heureux d'avoir découvert ip6tables par hasard, mais au bon moment :)
Un conseil : si pas déjà fait documente-toi un peu sur le fonctionnement d'IPv6 avant de jouer avec ip6tables et évite de céder au réflexe reptilien commun consistant à bloquer tout les ICMP. En plus des fonctions héritées de son ancêtre v4, ICMPv6 remplace aussi ARP.
Salut,
Ouaip, comme je viens justement d'activer l'IPv6 et de faire deux
enregistrement AAAA dans le DNS de mon domaine, je suis vraiment très
heureux d'avoir découvert ip6tables par hasard, mais au bon moment :)
Un conseil : si pas déjà fait documente-toi un peu sur le fonctionnement
d'IPv6 avant de jouer avec ip6tables et évite de céder au réflexe
reptilien commun consistant à bloquer tout les ICMP. En plus des
fonctions héritées de son ancêtre v4, ICMPv6 remplace aussi ARP.
Ouaip, comme je viens justement d'activer l'IPv6 et de faire deux enregistrement AAAA dans le DNS de mon domaine, je suis vraiment très heureux d'avoir découvert ip6tables par hasard, mais au bon moment :)
Un conseil : si pas déjà fait documente-toi un peu sur le fonctionnement d'IPv6 avant de jouer avec ip6tables et évite de céder au réflexe reptilien commun consistant à bloquer tout les ICMP. En plus des fonctions héritées de son ancêtre v4, ICMPv6 remplace aussi ARP.
