Iptables et ipv6

Max33 · Octobre 23, 2019, 10:56pm

Bonjour,
Débutant en IPv6 je l’ai activer sur sur un VPS en configuration IP static. , après avoir fait quelques règles il me manquait ces règles pour que ça fonctionne, mais je n’aime pas mettre des règles sans comprendre la totalité des chauses.

Ces règles autorise l’ICMPv6 de type neighbour-advertisement et neighbour-solicitation, mais plusieurs questions :
Ces type d’ICMPv6 peuvent il circuler sur l’internet V6 en 2000::/3 ? ou est elle limité au IPv6 de lien local ?
Dans ce 2emm cas pour éviter tout problèmes avec d’autres serveur qui pourait être sur le même lien local peut on ajouter l’IPv6 de la passerelle (lien local).

Encore une question, quel est l’utilité, ou a quoi sert ce paramètre : -m hl --hl-eq 255, pourquoi le mettre que sur les règles INPUT ?

Mes questions sont peut-être idiote mais j’ai beaucoup de mal a mettre des règles que je ne comprend pas complettement.

Merci

Albert · Octobre 24, 2019, 8:30am

Bonjour,
Je pense qu’il faut passer le plus rapidement possible à NFtables, pour se familiariser avec.
https://wiki.debian.org/nftables

PascalHambourg · Octobre 24, 2019, 12:50pm

Les types ICMPv6 du NDP sont limités au lien local et ne sont pas routables.
Ils doivent être émis avec un champ “Hop Limit” (équivalent du TTL en IPv4) à 255, la valeur maximum ; ainsi on peut vérifier à la réception que cette valeur n’a pas été décrémentée, ce qui indiquerait que le paquet est passé à travers un routeur. C’est ce que fait la correspondance hl des règles ip6tables ci-dessus.

Eviter quel genre de problèmes ?
Ajouter l’adresse IPv6 de la passerelle à quoi ?

Max33 · Octobre 24, 2019, 5:09pm

Bonjour,

Merci Albert pour votre suggestion, qui me parait être une bonne idée, il y aura de la syntax a rapprendre je vais m’y atteler prochainement.

Merci PascalHambourg pour votre réponse, j’ai grasse a vous bien compris que le paquet est normalement non routable mais aussi le -m hl --hl-eq 255 qui permet de ne laisser passer que les paquets qui sont a 255 et donc si un de ces paquets était routé il aurait la valeur 254 ou inférieur…

Les problèmes du genre une autre machine sur le lien local envoi ce genre de paquet, du coup je pourrais faire une règle comme ça :

sudo ip6tables -t filter -A INPUT -s fe80:xxxx:xxxx::yyyy -i eth0 -p icmpv6 --icmpv6-type neighbour-solicitation -m hl --hl-eq 255 -j ACCEPT
sudo ip6tables -t filter -A INPUT -s fe80:xxxx:xxxx::yyyy -i eth0 -p icmpv6 --icmpv6-type neighbour-advertisement -m hl --hl-eq 255 -j ACCEPT

fe80:xxxx:xxxx::yyyy est l’IPv6 du routeur sur le lien local

J’ai pas l’impression qu’une communication avec les IPv6 de liens local soit possible avec les autres machines si il y en a. c’est un VPS certainnement isolé des autres.

Seul le routeur a répondu au ping :
ping6 -I eth0 ff02:

PascalHambourg · Octobre 24, 2019, 6:49pm

En quoi est-ce un problème ? Si le serveur reçoit des paquets NDP qui ne lui sont pas destinés, il les ignorera.
NDP est l’équivalent pour IPv6 de ce qu’est ARP pour IPv4. T’es-tu préoccupé de filtrer ARP ?

Je n’ai pas lu en détail la spécification de NDP mais j’éviterais de faire ça, car j’ai déjà vu des paquets NDP émis non pas avec une adresse link local mais une adresse globale. D’autre part il n’est pas garanti que l’adresse link local du routeur ne change jamais.

Dans ce cas pourquoi se préoccuper de filtrer le trafic NDP à ce point ?

Cette adresse est invalide.

Max33 · Octobre 24, 2019, 8:08pm

Merci,
Effectivement je ne filtre pas l’ARP !
Ca m’a bien aider a comprendre.
Pour le ping, c’était avec ff02::1 !
Merci

PascalHambourg · Octobre 25, 2019, 7:56am

Normalement ta machine aurait aussi dû répondre à ce ping. En tout cas c’est ce que j’observe quand j’envoie un ping vers ff02::1 (all hosts).