Bref les proxy en sortie de réseau ont des beaux jours devant eux 
surtout pour les machines Windows … 
Et je parles même pas des encapsulations diverses et (a)variées 
Je ne vois pas le rapport…
Ok j’explique mon post du dessus
Autant sous Linux et assimilés, nous disposons ainsi que tu l’as souligné de ip6tables pour protéger nos machines favorites, autant sous Windows XP/7 cela n’existe pas vraiment.
De plus, malgré nos souhaits les plus chers, mes (nos) très chers utilisateurs restent travailler sur ce genre de produit et cela ne changera pas facilement.
Alors autant je me vois bien créer un script iptable pour mes serveurs et cela avec confiance ; autant je vois mal les machines windows accessibles d’internet correctement protéger par le système standard de MS.
Donc je sous entendais l’installation de proxy filtrant (iptable / squid etc) pour protéger le réseau interne de chez mes clients
Maintenant je peux avoir tout tout faux, mais dans ce cas, ça va devenir la vrai galère pour beaucoup de monde, virus etc…
C’est fou ce que l’on apprend dans PC ! de plus il y a un grand effort de vulgarisation des interlocuteurs 
Bravo messieurs … et dames (s’il y a des tuxettes !). Bon, j’ai un onglet ouvert sur wikipédia pour ne pas être trop largué 
PS : le ton est bon enfant, on voit que c’est férié demain 
[quote=“PascalHambourg”]On ne passe pas d’IPv4 à IPv6, on active seulement IPv6 en plus d’IPv4.
Pour cela, il suffit d’activer l’option correspondante de la freebox. Depuis squeeze les noyaux Linux Debian ont l’IPv6 activé en dur, tout devrait s’autoconfigurer tout seul.
En cas de problème, il suffit de désactiver l’option de la freebox pour revenir en arrière.[/quote]
Concrètement :
J’active IPV6 dans ma FreeBox
Mon IP n’est pas modifiée
Je ne touche pas à mon routeur
Je ne touche pas à mes réglages chez OVH pour mon serveur
Je ne touche pas à mes règles Iptables
Je n’ai rien à modifier dans ‘network’
Je n’ai rien à faire concernant Postfix sur mon serveur
Super
@mephisto2207 >
[ul]
[li]le NAT n’est pas une sécurité en soit. C’est surtout un gouffre de consommation de puissance.[/li]
[li]Windows possède un firewall, peut être moins flexible par défaut, mais qui fonctionne très bien pour des choses simples comme on le fait avec nos machines de bureaux. La plupart des utilisateur de Windows ont des firewall qui filtrent par applications.[/li]
[li]une attaque venant de l’extérieur ne peut se faire que si on a des processus qui écoutent les ports.[/li]
[li]les boxs ont des firewalls.[/li][/ul]
Salut MisterFreeze
Autant je t’accorde que le NAT est un gouffre de consommation de puissance, mais comme il est déporté sur les routeurs, m’en fiche un peu
Autant concernant le firewall de Windows, à l’époque c’était surtout du pain bénie pour les hackers, même si ainsi que tu le disais il convient d’avoir des ports ouverts. Rappelles toi certains virus de l’époque qui s’auto-installaient dans Windows via des failles de MS
Maintenant, concernant les box ont des firewalls, si l’ont rétablie la connexion de bout en bout en IPv6 sans NAT au milieu, le firewalling ne sera fera plus que sur la machine finale, non ???
Et enfin, j’ai pas encore vu de firewall IPv6 sur les différentes boxes avec lesquelles il m’arrive de m’amuser (suis impatient, d’ailleurs)
Bon lundi à tous, suis tombé du lit, moi 
Si si ce seras toujours possible le NAT et le parfeu sont deux choses différentes.
[quote=“ricardo”]Vive la France 
http://www.universfreebox.com/article14373.html?mailingliste=1[/quote]
Ou comment montrer en 4 mots qu’on ne sait pas trop de quoi on parle (ou qu’on a vraiment du mal à s’exprimer). L’IPv6 de prochaine génération sous-entend un IPv6 de génération actuelle voir précédente et dans IP il y a déjà Internet.
Mais ce qu’il dit est toute fois vrai. Dans les prochains moi j’espère devenir un IPv6-naute, mais probablement plus grâce à FDN.
Si tu as un routeur entre la freebox et le reste du réseau, alors tes machines derrière le routeur n’auront pas l’IPv6. En effet la freebox ne fournit l’IPv6 qu’aux machines directement connectées à son réseau local, avec l’unique préfixe /64 qu’elle sait router. Si le routeur tourne sous Linux il existe néanmoins une bidouille qui permet de faire passer l’IPv6 à travers : il se comporte alors toujours comme un routeur pour l’IPv4 mais comme un pont pour l’IPv6.
J’ai vu qu’OVH fournit une connectivité IPv6 au moins avec certaines de ses offres, mais je ne sais pas si c’est activé par défaut, si c’est en autoconfiguration ou en configuration statique.
Mais de toute façon tu n’est pas obligé d’activer l’IPv6 partout. Tu peux commencer progressivement en l’activant juste pour pouvoir utiliser les services disponibles en IPv6, avant de fournir tes propres services en IPv6.
Les règles iptables ne filtrent que le trafic IPv4. Sans règles ip6tables tu n’auras pas de filtrage du trafic IPv6, mais pour l’instant ce n’est pas catastrophique, le risque d’attaque en IPv6 pour un particulier reste marginal.
[quote=“MisterFreez”]# une attaque venant de l’extérieur ne peut se faire que si on a des processus qui écoutent les ports.
les boxs ont des firewalls.[/quote]
- Une attaque peut viser directement une faille de la pile IP, sans qu’il y ait de port ouvert. Cf. le fameux “ping de la mort”.
- Les box n’ont pas toujours de firewall. En IPv6, la freebox ne filtre rien. Trop coûteux en charge CPU, soi-disant. La bonne blague AMA, ça ne coûterait pas plus cher que le NAT IPv4.
@mephisto2207 :
Les vertus que tu attribues au NAT sont en fait celles du filtrage à état (on laisse passer les connexions sortantes et les connexion entrantes autorisées), qui peut être mis en place aussi bien sur les stations et serveurs que sur les routeurs, en IPv4 et en IPv6. Le NAT en tant que transformation d’adresses n’apporte aucune sécurité.
Tu a le même discours que ces intoxiqués du NAT et des adresses privées qui vivent avec depuis si longtemps, voire depuis toujours, qu’ils le trouvent NATurel et n’imaginent même pas un internet sans NAT, ni un réseau local sans adresses privées. Et pourtant c’était le cas de l’internet du début, lorsqu’il y avait encore assez d’adresses IP “publiques” (on ne disait pas “publiques” puisque les adresses privées n’existaient pas encore) pour toutes les machines. L’IPv6 sans NAT n’est donc qu’un retour aux sources.
vous avez l’air d’avoir de solide connaissances du routage, j’ai ouvert une page de sur le Wiki à ce sujet.
J’avoue, à mon grand regret, que j’ai encore du mal avec le routage (Newbie inside)
Si une âme charitable, avait l’extrême amabilité, de bien vouloir pencher un regard fraternel sur la question :
ou me donner quelque commentaire ici, toute critique étant constructives, n’hésitez pas
Merci
[quote=“PascalHambourg”][quote=“MisterFreez”]# une attaque venant de l’extérieur ne peut se faire que si on a des processus qui écoutent les ports.
les boxs ont des firewalls.[/quote]
- Une attaque peut viser directement une faille de la pile IP, sans qu’il y ait de port ouvert. Cf. le fameux “ping de la mort”.
- Les box n’ont pas toujours de firewall. En IPv6, la freebox ne filtre rien. Trop coûteux en charge CPU, soi-disant. La bonne blague AMA, ça ne coûterait pas plus cher que le NAT IPv4.[/quote]
Pour le premier type d’attaque c’est quelque chose d’extrêmement spécifique qui peut disparaître d’une sous-version à l’autre du noyau. De plus tu as potentiellement le même genre de faille dans les par-feus.
Pour les box ça pourrait se régler avec une mise à jour logiciel. Tu peux par exemple voir ceci :
linuxfr.org/news/le-firmware-ob … t-et-ajout
Qui doit pouvoir faire du firewalling IPv6. Bien sûr pour le grand publique, il faut que ce soit les FAI qui le proposent.
Salut,
Je me demandais… personne n’est volontaire pour adapter ce script: debian-fr.org/installation-p … tml#p12172 à IPV6.
Je me suis lancé, mais je cale un peu…
Le script n’a pas de modification à avoir il me semble (remplacement iptables par ip6tables mis à part).
La question est surtout de savoir quoi autoriser.
Salut,
Ben, y’a quand même des chose qui me chiffonnent…
Erreur à l’initialisation de la table NAT. Il n’y en a plus ?
Dans les différents exemple que j’ai pu trouver sur le net, rien sur raw non plus.
Bref… Je suis un peu paumé.
Quand je pense au temps qu’il m’a fallut pour commencer à apercevoir le début de la compréhension d’iptables. 
raw je en sais pas ce que c’est, mais pour le nat l’intérêt d’IPv6 c’est de n’avoir plus à faire de NAT.
Re,
Bon en attendant confirmation, j’ai fait ça…
[code]#!/bin/sh
BEGIN INIT INFO
Provides: ip6tables
Required-Start:
Should-Start:
Required-Stop:
Should-Stop:
Default-Start: 2 3 4 5
Default-Stop: 0 1 6
Short-description: ip6tables
Description: Firewall v6
END INIT INFO
chargement/déchargement d’iptables v6
case “$1” in
‘start’)
/sbin/ip6tables-restore < /etc/parefeuv6
RETVAL=$?
;;
‘stop’)
/sbin/ip6tables-save > /etc/parefeuv6
RETVAL=$?
;;
‘clean’)
clean le parefeu pendant que la machine tourne
ça peut être une faille de sécurite si on l’exécute lors de l’extinction avant l’arrêt des interfaces
pensez à refaire un start après sinon la sauvegarde se fera automatiquement à l’extinction
/sbin/ip6tables -F
/sbin/ip6tables -X
/sbin/ip6tables -t mangle -F
/sbin/ip6tables -t mangle -X
/sbin/ip6tables -t filter -P INPUT ACCEPT
/sbin/ip6tables -t filter -P OUTPUT ACCEPT
/sbin/ip6tables -t filter -P FORWARD ACCEPT
/sbin/ip6tables -t mangle -P PREROUTING ACCEPT
/sbin/ip6tables -t mangle -P OUTPUT ACCEPT
/sbin/ip6tables -t mangle -P POSTROUTING ACCEPT
/sbin/ip6tables -t mangle -P FORWARD ACCEPT
/sbin/ip6tables -t mangle -P INPUT ACCEPT
/sbin/ip6tables -t raw -P OUTPUT ACCEPT
/sbin/ip6tables -t raw -P PREROUTING ACCEPT
RETVAL=$?
;;
‘restart’)
$0 stop && $0 start
RETVAL=$?
;;
*)
echo “Usage: $0 { start | stop | restart | clean }”
RETVAL=1
;;
esac
exit $RETVAL
[/code]
Et le fichier /etc/parefeuv6 contenant quelques règles basiques:
[code]# Generated by ip6tables-save v1.4.12 on Tue Dec 6 14:34:18 2011
*raw
:PREROUTING ACCEPT [1:130]
:OUTPUT ACCEPT [0:0]
COMMIT
Completed on Tue Dec 6 14:34:18 2011
Generated by ip6tables-save v1.4.12 on Tue Dec 6 14:34:18 2011
*mangle
:PREROUTING ACCEPT [1:130]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
Completed on Tue Dec 6 14:34:18 2011
Generated by ip6tables-save v1.4.12 on Tue Dec 6 14:34:18 2011
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p ipv6-icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p ipv6-icmp -j ACCEPT
COMMIT
Completed on Tue Dec 6 14:34:18 2011[/code]
Ce qui me donne:
# ip6tables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p ipv6-icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p ipv6-icmp -j ACCEPT
Ça me semble cohérent…
Tiens, je n’avais pas remarqué qu’il n’y avait pas de table raw pour ip6tables. Il faudra que je regarde ça.
Quant au NAT, les développeurs de netfilter avaient juré qu’ils ne l’implémenteraient pas en IPv6 mais finalement devant la pression des besoins il y a des chances que le NAT fasse aussi son apparition aussi pour IPv6. Pas sous forme de NAT “stateful” (flux par flux) comme en IPv4 mais plutôt comme NAT de préfixe (remplacer le préfixe de l’adresse par un autre), ce qui permettrait notamment d’utiliser un préfixe ULA (adresses locales uniques) sur le réseau local, et/ou plusieurs connexions internet avec des FAI distincts et des préfixes globaux distincts. Mais comme il s’agirait d’un NAT “stateless”, il ne serait pas forcément effectué par netfilter, à l’image du NAT stateless IPv4 nouvelle formule géré par tc.
[quote]# Generated by ip6tables-save v1.4.12 on Tue Dec 6 14:34:18 2011
*raw
REROUTING ACCEPT [1:130]
:OUTPUT ACCEPT [0:0]
COMMIT[/quote]
Un truc m’échappe…