[Résolu] besoin de conseils sur ip6tables

madko · 23 sept. 2012

Le premier script ne laisse peut être pas passer les RA. Qu'appelles tu te connecté à ipv6? C'est pas automatique?
Sinon je sais pas d'où vient cette mani (de la doc je sais) de faire des scripts pour iptables alors que tout est déjà là, qu'il suffit de remplir /etc/sysconfig/ip*tables

Ppiolet · 24 sept. 2012

bonjour
avec iptables -L -n -v vous pouvez voir où vont les paquets
il suffit de regarde les compteurs

philippe_PMA · 24 sept. 2012

sanzo1.2 wrote:A partir de la documentation sur Iptables, je voulais configurer Ip6tables pour me connecté en IPv6 sur ma boxe (SFR) ...

La formulation de ta question me fait douter sur ta compréhension de ce à qui sert ip[6]tables. Mais je me trompe peut-être.
ip[6]tables est un firewall il en te permet donc pas de te connecter en IPv6 sur ta box ...

Par contre, il risque de t'empêcher s'il n'est pas configuré comme il faut.

La première étape serait de le désactiver pour voir si cela fonctionne mieux :

systemctl disable ip6tables
reboot

Puis tu nous dis si ça va mieux ou pas.

Evidemment, il faudra la réactiver tout de suite après :

systemctl enable ip6tables
systemctl start ip6tables

Ssanzo1.2 · 24 sept. 2012

La connection à l'Ipv6 est automatique mais en appliquant le 1er script je suis automatiquement basculé entièrement sur ipv4(alors qu'avec les règles Ip6tables "d'origine" ou le second script, tout fonctionne nickel). Apparemment, lors de la connection, il n'arrive pas à déterminer l'adresse ip,dns primaire,etc,.. Bref, j'en déduis que le NDP(Neighbor Discovery Protocol) qui doit coincé. Alors j'ai rajouté tous les icmpv6 correspondant, mais ip6tables m'empêche toujours de me connecter en ipv6(ou soit je m'y prend comme un manche)...
Là apparemment, j'ai trop la tête dans le guidon... Je vais éssayer de revoir sa plus tard...

madko · 24 sept. 2012

conneXion, en français. Mais vérifie toujours les règles réellement appliquées avec la commande

ip6tables -L -v

. Renseigne toi côté Router Advertisement (RA) c'est comme ça normalement que ton Linux s'autoconfigure derrière ta box SFR. Au pire même en tâtonnant tu trouveras bien la règle qui bloque ça.

Ssanzo1.2 · 24 sept. 2012

Oups! Il m'arrive parfois de confondre les mots anglais et français...
Je prendrai le temps de me renseigner coté Router Alert.
Tout de façon en attendant, je continuerai de rester sous ipv4. La transition complète vers ipv6, c'est pas pour aujourd'hui, tout de façon...

madko · 24 sept. 2012

Mais le script par défaut ne te va pas? il est très bien, il n'autorise que le SSH par défaut.

Ssanzo1.2 · 24 sept. 2012

Le script par défaut suffit pour moi... Mais avec une famille, non... Chez moi, les enfants téléchargent tous et n'importe comment. Depuis que le torrent est "interdit", ils ont d'autres "alternatives" mais dont certains utilisent des ports différent du ports 80 ou 443, comme par exemple, le port 182. Qui sont pour moi des ports "douteux". Sous Windows, ces ports "douteux" étaient/sont utilisés par des cheval de Troie ou autres, par exemple... Je sais que sous "linux", il y a moins de risque mais j'ai pas envie de prendre des risque quand même...
On peut pas tout interdire aux enfants mais juste limiter la casse...

madko · 24 sept. 2012

je comprend mieux, en fait tu cherches plutôt à limiter ce qui sort de chez toi? Y compris en ipv6.
Le filtrage en sortie est le plus long (pour pas dire autre chose) à faire, d'autres pistes peuvent être intéressante:
- Proxy web obligatoire
- DNS filtrant (OpenDNS de tête, mais il y en a peut être d'autres, où tu peux faire des profils de surf, du coup les sites un peu limite ne sont pas résolus etc).

Pour l'ipv6 tant que tu n'as pas regardé ça, il faut le désactiver complétement au niveau de la box, sinon n'importe quelle machine sur OS récent sur ton réseau domestique aura une ipv6 publique... pas top (t'es surement déjà au courant, je préfère le répéter quand même on sait jamais).

philippe_PMA · 24 sept. 2012

piolet wrote:bonjour
avec ip6tables -L -n -v vous pouvez voir où vont les paquets
il suffit de regarde les compteurs

Du coup, au vu des tes dernières explications je fais bis ci-dessus (j'ai quand même remplacé iptables par ip6tables).

Ssanzo1.2 · 24 sept. 2012

@madko: C'est vrai qu'il faut toujours le rappelé.

@philippe_PMA: Les compteurs m'affiche zéro pour tout(pour ip6tables -L -n -v). Apparemment, aucun paquet circule(pour le 1er script en tout cas)

philippe_PMA · 25 sept. 2012

sanzo1.2 wrote: ...
@philippe_PMA: Les compteurs m'affiche zéro pour tout(pour ip6tables -L -n -v). Apparemment, aucun paquet circule(pour le 1er script en tout cas)

Je pense que ça veut dire que tes paquets passe par une cible DROP par défaut :

ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP

Je n'ai trop de temps pour décortiquer ton script.
Mais pour moi il te manque au moins une règle ACCEPT. Maintenant, il faut trouver laquelle (ou lesquelles ...).

Pour moi, le première étape est de rajouter des logs pour voir ce qui arrive en input et en output et de mettre des règles DROP explicites avec une log avant le DROP. Ainsi pour pourra te convaincre que les paquets arrivent et qu'ils ne sont pas acceptés.
A partir de là, je suis quasi-sûr que le problème s'éclaircira ...

😉

Ppiolet · 25 sept. 2012

philippe_PMA wrote: Je pense que ça veut dire que tes paquets passe par une cible DROP par défaut

il y a un compteur pour le default policy. il ne devait pas y avoir zéro.
a mon avis si les compteurs sont à zéro c'est qu'il n'y a pas de paquets IPV6

philippe_PMA · 25 sept. 2012

piolet wrote:
philippe_PMA wrote: Je pense que ça veut dire que tes paquets passe par une cible DROP par défaut
il y a un compteur pour le default policy. il ne devait pas y avoir zéro.
a mon avis si les compteurs sont à zéro c'est qu'il n'y a pas de paquets IPV6

Donc, c'est qu'il n'y avait pas que des zéros, ou alors qu'il ne nous a pas tout dis de ses manipulations ...

@sanzo1.2 peux-tu nous donner le résultat de la commande :

ip6tables -L -n -v

Ssanzo1.2 · 25 sept. 2012

Oups, désolé, je me suis trompé pour le retour de "ip6tables -L -n -v" avec le 1er script...

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all      lo     *       ::/0                 ::/0                
    0     0 DROP       all      *      *       ::/0                 ::/0                 state INVALID
    0     0 INPUT_TCP  tcp      *      *       ::/0                 ::/0                
    0     0 INPUT_UDP  udp      *      *       ::/0                 ::/0                
    0     0 INPUT_ICMP  icmp     *      *       ::/0                 ::/0                

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 7 packets, 460 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all      *      lo      ::/0                 ::/0                
    0     0 OUTPUT_TCP  tcp      *      *       ::/0                 ::/0                
    0     0 OUTPUT_UDP  udp      *      *       ::/0                 ::/0                
    0     0 OUTPUT_ICMP  icmp     *      *       ::/0                 ::/0                

Chain CHECK_BAD_TCP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 state NEW,RELATED tcpflags:! 0x3F/0x02
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcpflags: 0x3F/0x00
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcpflags: 0x3F/0x3F
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcpflags: 0x3F/0x29
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcpflags: 0x3F/0x37
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcpflags: 0x06/0x06
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcpflags: 0x03/0x03
    0     0 RETURN     all      *      *       ::/0                 ::/0                

Chain INPUT_ICMP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 129 state ESTABLISHED
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 1 state RELATED
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 3 state RELATED

Chain INPUT_TCP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 CHECK_BAD_TCP  all      *      *       ::/0                 ::/0                
    0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 tcpflags:! 0x17/0x02 state ESTABLISHED
    0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 tcp spt:20 state RELATED

Chain INPUT_UDP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp      *      *       ::/0                 ::/0                 multiport sports 53,123 state ESTABLISHED
    0     0 ACCEPT     udp      *      *       ::/0                 ::/0                 udp spt:67 dpt:68 state ESTABLISHED

Chain OUTPUT_ICMP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 128 state NEW

Chain OUTPUT_TCP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 state NEW,RELATED tcpflags:! 0x3F/0x02
    0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 state RELATED
    0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 tcpflags:! 0x17/0x02 state ESTABLISHED
    0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 tcp spts:1024:65535 multiport dports 21,80,443,995,587,465,5222,1863 state NEW

Chain OUTPUT_UDP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp      *      *       ::/0                 ::/0                 state ESTABLISHED
    0     0 ACCEPT     udp      *      *       ::/0                 ::/0                 udp spt:68 dpt:67
    0     0 ACCEPT     udp      *      *       ::/0                 ::/0                 udp dpt:123
    0     0 ACCEPT     udp      *      *       ::/0                 ::/0                 udp dpt:53
[mathieu@sanzo ~]$ su -c 'ip6tables -L -n -v'
Mot de passe : 
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all      lo     *       ::/0                 ::/0                
    0     0 DROP       all      *      *       ::/0                 ::/0                 state INVALID
    0     0 INPUT_TCP  tcp      *      *       ::/0                 ::/0                
    0     0 INPUT_UDP  udp      *      *       ::/0                 ::/0                
    0     0 INPUT_ICMP  icmp     *      *       ::/0                 ::/0                

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 7 packets, 460 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all      *      lo      ::/0                 ::/0                
    0     0 OUTPUT_TCP  tcp      *      *       ::/0                 ::/0                
    0     0 OUTPUT_UDP  udp      *      *       ::/0                 ::/0                
    0     0 OUTPUT_ICMP  icmp     *      *       ::/0                 ::/0                

Chain CHECK_BAD_TCP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 state NEW,RELATED tcpflags:! 0x3F/0x02
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcpflags: 0x3F/0x00
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcpflags: 0x3F/0x3F
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcpflags: 0x3F/0x29
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcpflags: 0x3F/0x37
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcpflags: 0x06/0x06
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcpflags: 0x03/0x03
    0     0 RETURN     all      *      *       ::/0                 ::/0                

Chain INPUT_ICMP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 129 state ESTABLISHED
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 1 state RELATED
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 3 state RELATED

Chain INPUT_TCP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 CHECK_BAD_TCP  all      *      *       ::/0                 ::/0                
    0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 tcpflags:! 0x17/0x02 state ESTABLISHED
    0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 tcp spt:20 state RELATED

Chain INPUT_UDP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp      *      *       ::/0                 ::/0                 multiport sports 53,123 state ESTABLISHED
    0     0 ACCEPT     udp      *      *       ::/0                 ::/0                 udp spt:67 dpt:68 state ESTABLISHED

Chain OUTPUT_ICMP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 128 state NEW

Chain OUTPUT_TCP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 state NEW,RELATED tcpflags:! 0x3F/0x02
    0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 state RELATED
    0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 tcpflags:! 0x17/0x02 state ESTABLISHED
    0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 tcp spts:1024:65535 multiport dports 21,80,443,995,587,465,5222,1863 state NEW

Chain OUTPUT_UDP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp      *      *       ::/0                 ::/0                 state ESTABLISHED
    0     0 ACCEPT     udp      *      *       ::/0                 ::/0                 udp spt:68 dpt:67
    0     0 ACCEPT     udp      *      *       ::/0                 ::/0                 udp dpt:123
    0     0 ACCEPT     udp      *      *       ::/0                 ::/0                 udp dpt:53

Je poste aussi pour le 2nd script:

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   31 23308 ACCEPT     all      *      *       ::/0                 ::/0                 state RELATED,ESTABLISHED
    0     0 ACCEPT     all      lo     *       ::/0                 ::/0                
    0     0 DROP       all      *      *       ::/0                 ::/0                 state INVALID
    1   136 ACCEPT     icmpv6    *      *       fe80::/64            ::/0                 ipv6-icmptype 134 code 0
    0     0 DROP      !icmpv6    *      *       ::/0                 ::/0                 state INVALID
    3   216 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 135 code 0
    2   136 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 136 code 0
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 128 code 0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all      *      *       ::/0                 ::/0                 state RELATED,ESTABLISHED
    0     0 DROP       all      *      *       ::/0                 ::/0                 state INVALID
    0     0 DROP      !icmpv6    *      *       ::/0                 ::/0                 state INVALID
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 128 code 0

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   28  2733 ACCEPT     all      *      *       ::/0                 ::/0                 state RELATED,ESTABLISHED
    0     0 ACCEPT     all      *      lo      ::/0                 ::/0                
    0     0 DROP       all      *      *       ::/0                 ::/0                 state INVALID
    1    56 ACCEPT     icmpv6    *      *       ::/0                 ff02::/16            ipv6-icmptype 133 code 0
    0     0 DROP      !icmpv6    *      *       ::/0                 ::/0                 state INVALID
    5   400 ACCEPT     icmpv6    *      *       ::/0                 ff02::/16            ipv6-icmptype 143 code 0
    5   336 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 135 code 0
    3   192 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 136 code 0
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 128 code 0
    6   464 ACCEPT     udp      *      *       ::/0                 2000::/3             udp spts:1024:65535 dpt:53 state NEW
    0     0 ACCEPT     tcp      *      *       ::/0                 2000::/3             tcp spts:1024:65535 dpt:53flags: 0x17/0x02 state NEW
    2   160 ACCEPT     tcp      *      *       ::/0                 2000::/3             tcp spts:1024:65535 dpt:80flags: 0x17/0x02 state NEW
    0     0 ACCEPT     tcp      *      *       ::/0                 2000::/3             tcp spts:1024:65535 dpt:443flags: 0x17/0x02 state NEW
[mathieu@sanzo ~]$ su -c 'ip6tables -L -n -v'
Mot de passe : 
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   33 23466 ACCEPT     all      *      *       ::/0                 ::/0                 state RELATED,ESTABLISHED
    0     0 ACCEPT     all      lo     *       ::/0                 ::/0                
    0     0 DROP       all      *      *       ::/0                 ::/0                 state INVALID
    1   136 ACCEPT     icmpv6    *      *       fe80::/64            ::/0                 ipv6-icmptype 134 code 0
    0     0 DROP      !icmpv6    *      *       ::/0                 ::/0                 state INVALID
    5   360 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 135 code 0
    4   264 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 136 code 0
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 128 code 0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all      *      *       ::/0                 ::/0                 state RELATED,ESTABLISHED
    0     0 DROP       all      *      *       ::/0                 ::/0                 state INVALID
    0     0 DROP      !icmpv6    *      *       ::/0                 ::/0                 state INVALID
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 128 code 0

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   28  2733 ACCEPT     all      *      *       ::/0                 ::/0                 state RELATED,ESTABLISHED
    0     0 ACCEPT     all      *      lo      ::/0                 ::/0                
    0     0 DROP       all      *      *       ::/0                 ::/0                 state INVALID
    1    56 ACCEPT     icmpv6    *      *       ::/0                 ff02::/16            ipv6-icmptype 133 code 0
    0     0 DROP      !icmpv6    *      *       ::/0                 ::/0                 state INVALID
    5   400 ACCEPT     icmpv6    *      *       ::/0                 ff02::/16            ipv6-icmptype 143 code 0
    7   480 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 135 code 0
    5   320 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 136 code 0
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 128 code 0
    8   606 ACCEPT     udp      *      *       ::/0                 2000::/3             udp spts:1024:65535 dpt:53 state NEW
    0     0 ACCEPT     tcp      *      *       ::/0                 2000::/3             tcp spts:1024:65535 dpt:53flags: 0x17/0x02 state NEW
    2   160 ACCEPT     tcp      *      *       ::/0                 2000::/3             tcp spts:1024:65535 dpt:80flags: 0x17/0x02 state NEW
    0     0 ACCEPT     tcp      *      *       ::/0                 2000::/3             tcp spts:1024:65535 dpt:443flags: 0x17/0x02 state NEW

Désolé de repondre que maintenant...

madko · 26 sept. 2012

Et donc quand tu fais la commande

ip a

après le 1er script tu vois une adresse ipv6 (type inet6 commancant par 2a02 ou qqchose dans le style?), mais tu ne vois pas ça après le 2e script?

Ce qui est etonnant c'est que la sortie de ton iptables pour le 2e script montre qu'il y a bien du traffic ipv6 qui passe, alors que pour ton 1er script tous les compteurs sont à 0.

Pour savoir si c'est l'autoconf qui est bloqué, ou quelque chose plus haut niveau empêchant le surf en ipv6 (dns, flux http etc). Si tu fais un

ping6 www.google.fr

ça donne quoi dans les 2 cas?

philippe_PMA · 26 sept. 2012

madko wrote: ...
Ce qui est etonnant c'est que la sortie de ton iptables pour le 2e script montre qu'il y a bien du traffic ipv6 qui passe, alors que pour ton 1er script tous les compteurs sont à 0.
...

Il y a bien des drop en output pour le 1ier script :

Chain OUTPUT (policy DROP 7 packets, 460 bytes)

@sanzo1.2, a mon avis, le mieux est que tu ajoutes un log pour voir ce qui est "droppé" après tu regardes dans /var/log/messages ce qui est droppé et tu le mets ici.

Je pense que si tu mets ça (ou quelque chose de ce genre) à la fin de ton premier script ça devrai le faire :

ip6tables -A OUTPUT_UDP -j LOG --log-prefix "DROP OUT UDP"
ip6tables -A OUTPUT_TCP -j LOG --log-prefix "DROP OUT TCP"
ip6tables -A OUTPUT_ICMP -j LOG --log-prefix "DROP OUT ICMP"
ip6tables -A OUTPUT -j LOG --log-prefix "DROP OUT

Ssanzo1.2 · 26 sept. 2012

Résultat pour

ping6 www.google.fr

dans le 1er cas:

ping6 www.google.fr
connect: Network is unreachable

Dans le 2nd cas:

ping6 www.google.fr
PING www.google.fr(par08s09-in-x1f.1e100.net) 56 data bytes
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=1 ttl=54 time=61.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=2 ttl=54 time=62.1 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=3 ttl=54 time=68.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=4 ttl=54 time=69.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=5 ttl=54 time=67.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=6 ttl=54 time=65.1 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=7 ttl=54 time=64.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=8 ttl=54 time=62.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=9 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=10 ttl=54 time=62.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=11 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=12 ttl=54 time=62.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=13 ttl=54 time=61.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=14 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=15 ttl=54 time=66.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=16 ttl=54 time=63.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=17 ttl=54 time=67.3 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=18 ttl=54 time=61.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=19 ttl=54 time=64.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=20 ttl=54 time=62.6 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=21 ttl=54 time=60.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=22 ttl=54 time=62.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=23 ttl=54 time=61.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=24 ttl=54 time=62.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=25 ttl=54 time=64.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=26 ttl=54 time=112 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=27 ttl=54 time=168 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=28 ttl=54 time=63.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=29 ttl=54 time=61.3 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=30 ttl=54 time=63.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=31 ttl=54 time=61.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=32 ttl=54 time=62.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=33 ttl=54 time=61.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=34 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=35 ttl=54 time=62.6 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=36 ttl=54 time=61.0 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=37 ttl=54 time=63.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=38 ttl=54 time=61.6 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=39 ttl=54 time=68.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=40 ttl=54 time=62.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=41 ttl=54 time=61.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=42 ttl=54 time=61.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=43 ttl=54 time=61.3 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=44 ttl=54 time=61.3 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=46 ttl=54 time=61.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=47 ttl=54 time=61.3 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=48 ttl=54 time=61.1 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=49 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=50 ttl=54 time=61.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=51 ttl=54 time=61.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=52 ttl=54 time=61.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=53 ttl=54 time=65.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=54 ttl=54 time=61.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=55 ttl=54 time=62.0 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=56 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=57 ttl=54 time=61.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=58 ttl=54 time=62.6 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=59 ttl=54 time=60.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=60 ttl=54 time=60.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=61 ttl=54 time=62.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=62 ttl=54 time=61.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=63 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=64 ttl=54 time=60.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=65 ttl=54 time=64.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=66 ttl=54 time=62.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=67 ttl=54 time=60.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=68 ttl=54 time=61.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=69 ttl=54 time=64.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=70 ttl=54 time=61.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=71 ttl=54 time=61.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=72 ttl=54 time=62.0 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=73 ttl=54 time=63.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=74 ttl=54 time=61.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=75 ttl=54 time=61.0 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=76 ttl=54 time=62.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=77 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=78 ttl=54 time=60.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=79 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=80 ttl=54 time=62.1 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=81 ttl=54 time=61.6 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=82 ttl=54 time=61.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=83 ttl=54 time=62.1 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=84 ttl=54 time=64.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=85 ttl=54 time=61.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=86 ttl=54 time=62.3 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=87 ttl=54 time=68.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=88 ttl=54 time=62.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=89 ttl=54 time=78.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=90 ttl=54 time=139 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=91 ttl=54 time=62.3 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=92 ttl=54 time=61.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=93 ttl=54 time=60.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=94 ttl=54 time=61.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=95 ttl=54 time=62.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=96 ttl=54 time=61.6 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=97 ttl=54 time=62.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=98 ttl=54 time=61.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=99 ttl=54 time=62.0 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=100 ttl=54 time=62.1 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=101 ttl=54 time=62.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=102 ttl=54 time=61.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=103 ttl=54 time=62.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=104 ttl=54 time=64.1 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=105 ttl=54 time=62.0 ms
^C
--- www.google.fr ping statistics ---
106 packets transmitted, 104 received, 1% packet loss, time 105064ms
rtt min/avg/max/mdev = 60.810/65.022/168.347/13.735 ms

Maintenant, pour les logs, j'ai modifié "DROP OUT" par "DROPout", "DROP OUT UDP" par "DROPUDP", "DROP OUT TCP" par "DROPTCP" et "DROP OUT ICMP" par "DROPICMP".
Résultats:

kernel: [ 6334.320074] DROPoutIN= OUT=wlan0 SRC=0000:0000:0000:0000:0000:0000:0000:0000 DST=ff02:0000:0000:0000:0000:0000:0000:0016 LEN=76 TC=0 HOPLIMIT=1 FLOWLBL=0 PROTO=ICMPv6 TYPE=143 CODE=0

kernel: [ 6334.359084] DROPoutIN= OUT=wlan0 SRC=0000:0000:0000:0000:0000:0000:0000:0000 DST=ff02:0000:0000:0000:0000:0000:0000:0016 LEN=76 TC=0 HOPLIMIT=1 FLOWLBL=0 PROTO=ICMPv6 TYPE=143 CODE=0

kernel: [ 6334.576146] DROPoutIN= OUT=wlan0 SRC=0000:0000:0000:0000:0000:0000:0000:0000 DST=ff02:0000:0000:0000:0000:0001:ff59:ddec LEN=64 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=135 CODE=0

kernel: [ 6335.578167] DROPoutIN= OUT=wlan0 SRC=fe80:0000:0000:0000:0219:7dff:fe59:ddec DST=ff02:0000:0000:0000:0000:0000:0000:0002 LEN=56 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=133 CODE=0

kernel: [ 6336.100119] DROPoutIN= OUT=wlan0 SRC=fe80:0000:0000:0000:0219:7dff:fe59:ddec DST=ff02:0000:0000:0000:0000:0000:0000:0016 LEN=76 TC=0 HOPLIMIT=1 FLOWLBL=0 PROTO=ICMPv6 TYPE=143 CODE=0

kernel: [ 6339.584122] DROPoutIN= OUT=wlan0 SRC=fe80:0000:0000:0000:0219:7dff:fe59:ddec DST=ff02:0000:0000:0000:0000:0000:0000:0002 LEN=56 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=133 CODE=0 

kernel: [ 6343.592121] DROPoutIN= OUT=wlan0 SRC=fe80:0000:0000:0000:0219:7dff:fe59:ddec DST=ff02:0000:0000:0000:0000:0000:0000:0002 LEN=56 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=133 CODE=0

Apparemment, ce sont les protocoles icmpv6... En rajoutant ces icmpv6 en sortie, ne donne absolument rien..
Par contre, je viens de tester en modifiant encore le script, cette fois j'ai simplement supprimé les boucles icmpv6 (OUTPUT_ICMP et INPUT_ICMP) et écrit les icmpv6 simplement.
Résultat: ipv6 fonctionel!!!!!
Re-teste, cette fois en gardant la boucle icmpv6 entrant et écrivant les icmpv6 sortant implement (sans la boucle OUTPUT_ICMP). Résultat: ipv6 non fonctionnel mais cette fois les compteur ne sont pas à zéro pour ip6tables -L -n -v.
En conclusion pour ma part, pour le moment, éviter les chaînes pour les protocoles icmpv6 pour avoir accès à l'IPv6!

C'est quand même bizare, que les protocoles icmpv6 ne fonctionnent pas correctement avec les chaînes... Je me suis mal pris pour faire les chaînes?

madko · 27 sept. 2012

Redonne ton script avec les chaines qui bloque icmp, mais au vu des premiers scripts je pense que tu concidère icmpv6 comme étant la meme chose que icmp, alors que c'est pour ipv6 quelque chose de primordiale. Avant en ipv4 on bloquait presque tout et on autorisait par ex que les ping/traceroute. Avec icmpv6 tu as d'autres messages importants qui permettent à ipv6 de s'autoconfigurer (RA, RS, NDP etc). En gros il faudrait que tu autorises en entrée et sortie les type 133, 134, 135, 136, cf ce site pour les code types:

http://www.iana.org/assignments/icmpv6-parameters/icmpv6-parameters.xml

Peut être qu'il en faudrait d'autres, mais ceux là me semblent déjà important à avoir.

Mais normalement pour que ça fonctionne ipv6 derrière ta box, les étapes sont les suivantes:
1) obtention de l'ipv6 (ip -6 a pour le vérifier)
2) obtention de la route (ip -6 r)
3) eventuellement des dns dans /etc/resolv.conf

Et tout ça en autoconf ipv6 passe par icmpv6.

Ssanzo1.2 · 28 sept. 2012

Bonjour, désolé de poster que maintenant mais j'ai été pas mal occupé hier...
Il est vrai que j'ai sous-estimé l'importance de l'icmpv6 pour l'ipv6...
.....
Pendant que je postais le script, je me suis rendu compte d'une erreur lamentable!!!!! Pour mes chaînes, j'ai écrit icmp au lieu icmpv6!!! Et comme j'ai toujours repris le 1er script(l'erreur est toujours restait)... Je vais d'abord le corrigé... Je repasse après...