bonjour
avec iptables -L -n -v vous pouvez voir où vont les paquets
il suffit de regarde les compteurs
avec iptables -L -n -v vous pouvez voir où vont les paquets
il suffit de regarde les compteurs
[Résolu] besoin de conseils sur ip6tables
La formulation de ta question me fait douter sur ta compréhension de ce à qui sert ip[6]tables. Mais je me trompe peut-être.sanzo1.2 wrote:A partir de la documentation sur Iptables, je voulais configurer Ip6tables pour me connecté en IPv6 sur ma boxe (SFR) ...
ip[6]tables est un firewall il en te permet donc pas de te connecter en IPv6 sur ta box ...
Par contre, il risque de t'empêcher s'il n'est pas configuré comme il faut.
La première étape serait de le désactiver pour voir si cela fonctionne mieux :
systemctl disable ip6tables
reboot
Evidemment, il faudra la réactiver tout de suite après :
systemctl enable ip6tables
systemctl start ip6tables
La connection à l'Ipv6 est automatique mais en appliquant le 1er script je suis automatiquement basculé entièrement sur ipv4(alors qu'avec les règles Ip6tables "d'origine" ou le second script, tout fonctionne nickel). Apparemment, lors de la connection, il n'arrive pas à déterminer l'adresse ip,dns primaire,etc,.. Bref, j'en déduis que le NDP(Neighbor Discovery Protocol) qui doit coincé. Alors j'ai rajouté tous les icmpv6 correspondant, mais ip6tables m'empêche toujours de me connecter en ipv6(ou soit je m'y prend comme un manche)...
Là apparemment, j'ai trop la tête dans le guidon... Je vais éssayer de revoir sa plus tard...
Là apparemment, j'ai trop la tête dans le guidon... Je vais éssayer de revoir sa plus tard...
- Modifié
conneXion, en français. Mais vérifie toujours les règles réellement appliquées avec la commande
ip6tables -L -vOups! Il m'arrive parfois de confondre les mots anglais et français...
Je prendrai le temps de me renseigner coté Router Alert.
Tout de façon en attendant, je continuerai de rester sous ipv4. La transition complète vers ipv6, c'est pas pour aujourd'hui, tout de façon...
Je prendrai le temps de me renseigner coté Router Alert.
Tout de façon en attendant, je continuerai de rester sous ipv4. La transition complète vers ipv6, c'est pas pour aujourd'hui, tout de façon...
Mais le script par défaut ne te va pas? il est très bien, il n'autorise que le SSH par défaut.
Le script par défaut suffit pour moi... Mais avec une famille, non... Chez moi, les enfants téléchargent tous et n'importe comment. Depuis que le torrent est "interdit", ils ont d'autres "alternatives" mais dont certains utilisent des ports différent du ports 80 ou 443, comme par exemple, le port 182. Qui sont pour moi des ports "douteux". Sous Windows, ces ports "douteux" étaient/sont utilisés par des cheval de Troie ou autres, par exemple... Je sais que sous "linux", il y a moins de risque mais j'ai pas envie de prendre des risque quand même...
On peut pas tout interdire aux enfants mais juste limiter la casse...
On peut pas tout interdire aux enfants mais juste limiter la casse...
je comprend mieux, en fait tu cherches plutôt à limiter ce qui sort de chez toi? Y compris en ipv6.
Le filtrage en sortie est le plus long (pour pas dire autre chose) à faire, d'autres pistes peuvent être intéressante:
- Proxy web obligatoire
- DNS filtrant (OpenDNS de tête, mais il y en a peut être d'autres, où tu peux faire des profils de surf, du coup les sites un peu limite ne sont pas résolus etc).
Pour l'ipv6 tant que tu n'as pas regardé ça, il faut le désactiver complétement au niveau de la box, sinon n'importe quelle machine sur OS récent sur ton réseau domestique aura une ipv6 publique... pas top (t'es surement déjà au courant, je préfère le répéter quand même on sait jamais).
Le filtrage en sortie est le plus long (pour pas dire autre chose) à faire, d'autres pistes peuvent être intéressante:
- Proxy web obligatoire
- DNS filtrant (OpenDNS de tête, mais il y en a peut être d'autres, où tu peux faire des profils de surf, du coup les sites un peu limite ne sont pas résolus etc).
Pour l'ipv6 tant que tu n'as pas regardé ça, il faut le désactiver complétement au niveau de la box, sinon n'importe quelle machine sur OS récent sur ton réseau domestique aura une ipv6 publique... pas top (t'es surement déjà au courant, je préfère le répéter quand même on sait jamais).
Du coup, au vu des tes dernières explications je fais bis ci-dessus (j'ai quand même remplacé iptables par ip6tables).piolet wrote:bonjour
avec ip6tables -L -n -v vous pouvez voir où vont les paquets
il suffit de regarde les compteurs
@madko: C'est vrai qu'il faut toujours le rappelé.
@philippe_PMA: Les compteurs m'affiche zéro pour tout(pour ip6tables -L -n -v). Apparemment, aucun paquet circule(pour le 1er script en tout cas)
@philippe_PMA: Les compteurs m'affiche zéro pour tout(pour ip6tables -L -n -v). Apparemment, aucun paquet circule(pour le 1er script en tout cas)
Je pense que ça veut dire que tes paquets passe par une cible DROP par défaut :sanzo1.2 wrote: ...
@philippe_PMA: Les compteurs m'affiche zéro pour tout(pour ip6tables -L -n -v). Apparemment, aucun paquet circule(pour le 1er script en tout cas)
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
Mais pour moi il te manque au moins une règle ACCEPT. Maintenant, il faut trouver laquelle (ou lesquelles ...).
Pour moi, le première étape est de rajouter des logs pour voir ce qui arrive en input et en output et de mettre des règles DROP explicites avec une log avant le DROP. Ainsi pour pourra te convaincre que les paquets arrivent et qu'ils ne sont pas acceptés.
A partir de là, je suis quasi-sûr que le problème s'éclaircira ...
😉
il y a un compteur pour le default policy. il ne devait pas y avoir zéro.philippe_PMA wrote: Je pense que ça veut dire que tes paquets passe par une cible DROP par défaut
a mon avis si les compteurs sont à zéro c'est qu'il n'y a pas de paquets IPV6
Donc, c'est qu'il n'y avait pas que des zéros, ou alors qu'il ne nous a pas tout dis de ses manipulations ...piolet wrote:il y a un compteur pour le default policy. il ne devait pas y avoir zéro.philippe_PMA wrote: Je pense que ça veut dire que tes paquets passe par une cible DROP par défaut
a mon avis si les compteurs sont à zéro c'est qu'il n'y a pas de paquets IPV6
@sanzo1.2 peux-tu nous donner le résultat de la commande :
ip6tables -L -n -v
Oups, désolé, je me suis trompé pour le retour de "ip6tables -L -n -v" avec le 1er script...
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all lo * ::/0 ::/0
0 0 DROP all * * ::/0 ::/0 state INVALID
0 0 INPUT_TCP tcp * * ::/0 ::/0
0 0 INPUT_UDP udp * * ::/0 ::/0
0 0 INPUT_ICMP icmp * * ::/0 ::/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy DROP 7 packets, 460 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all * lo ::/0 ::/0
0 0 OUTPUT_TCP tcp * * ::/0 ::/0
0 0 OUTPUT_UDP udp * * ::/0 ::/0
0 0 OUTPUT_ICMP icmp * * ::/0 ::/0
Chain CHECK_BAD_TCP (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP tcp * * ::/0 ::/0 state NEW,RELATED tcpflags:! 0x3F/0x02
0 0 DROP tcp * * ::/0 ::/0 tcpflags: 0x3F/0x00
0 0 DROP tcp * * ::/0 ::/0 tcpflags: 0x3F/0x3F
0 0 DROP tcp * * ::/0 ::/0 tcpflags: 0x3F/0x29
0 0 DROP tcp * * ::/0 ::/0 tcpflags: 0x3F/0x37
0 0 DROP tcp * * ::/0 ::/0 tcpflags: 0x06/0x06
0 0 DROP tcp * * ::/0 ::/0 tcpflags: 0x03/0x03
0 0 RETURN all * * ::/0 ::/0
Chain INPUT_ICMP (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 129 state ESTABLISHED
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 1 state RELATED
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 3 state RELATED
Chain INPUT_TCP (1 references)
pkts bytes target prot opt in out source destination
0 0 CHECK_BAD_TCP all * * ::/0 ::/0
0 0 ACCEPT tcp * * ::/0 ::/0 tcpflags:! 0x17/0x02 state ESTABLISHED
0 0 ACCEPT tcp * * ::/0 ::/0 tcp spt:20 state RELATED
Chain INPUT_UDP (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp * * ::/0 ::/0 multiport sports 53,123 state ESTABLISHED
0 0 ACCEPT udp * * ::/0 ::/0 udp spt:67 dpt:68 state ESTABLISHED
Chain OUTPUT_ICMP (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 128 state NEW
Chain OUTPUT_TCP (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP tcp * * ::/0 ::/0 state NEW,RELATED tcpflags:! 0x3F/0x02
0 0 ACCEPT tcp * * ::/0 ::/0 state RELATED
0 0 ACCEPT tcp * * ::/0 ::/0 tcpflags:! 0x17/0x02 state ESTABLISHED
0 0 ACCEPT tcp * * ::/0 ::/0 tcp spts:1024:65535 multiport dports 21,80,443,995,587,465,5222,1863 state NEW
Chain OUTPUT_UDP (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp * * ::/0 ::/0 state ESTABLISHED
0 0 ACCEPT udp * * ::/0 ::/0 udp spt:68 dpt:67
0 0 ACCEPT udp * * ::/0 ::/0 udp dpt:123
0 0 ACCEPT udp * * ::/0 ::/0 udp dpt:53
[mathieu@sanzo ~]$ su -c 'ip6tables -L -n -v'
Mot de passe :
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all lo * ::/0 ::/0
0 0 DROP all * * ::/0 ::/0 state INVALID
0 0 INPUT_TCP tcp * * ::/0 ::/0
0 0 INPUT_UDP udp * * ::/0 ::/0
0 0 INPUT_ICMP icmp * * ::/0 ::/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy DROP 7 packets, 460 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all * lo ::/0 ::/0
0 0 OUTPUT_TCP tcp * * ::/0 ::/0
0 0 OUTPUT_UDP udp * * ::/0 ::/0
0 0 OUTPUT_ICMP icmp * * ::/0 ::/0
Chain CHECK_BAD_TCP (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP tcp * * ::/0 ::/0 state NEW,RELATED tcpflags:! 0x3F/0x02
0 0 DROP tcp * * ::/0 ::/0 tcpflags: 0x3F/0x00
0 0 DROP tcp * * ::/0 ::/0 tcpflags: 0x3F/0x3F
0 0 DROP tcp * * ::/0 ::/0 tcpflags: 0x3F/0x29
0 0 DROP tcp * * ::/0 ::/0 tcpflags: 0x3F/0x37
0 0 DROP tcp * * ::/0 ::/0 tcpflags: 0x06/0x06
0 0 DROP tcp * * ::/0 ::/0 tcpflags: 0x03/0x03
0 0 RETURN all * * ::/0 ::/0
Chain INPUT_ICMP (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 129 state ESTABLISHED
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 1 state RELATED
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 3 state RELATED
Chain INPUT_TCP (1 references)
pkts bytes target prot opt in out source destination
0 0 CHECK_BAD_TCP all * * ::/0 ::/0
0 0 ACCEPT tcp * * ::/0 ::/0 tcpflags:! 0x17/0x02 state ESTABLISHED
0 0 ACCEPT tcp * * ::/0 ::/0 tcp spt:20 state RELATED
Chain INPUT_UDP (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp * * ::/0 ::/0 multiport sports 53,123 state ESTABLISHED
0 0 ACCEPT udp * * ::/0 ::/0 udp spt:67 dpt:68 state ESTABLISHED
Chain OUTPUT_ICMP (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 128 state NEW
Chain OUTPUT_TCP (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP tcp * * ::/0 ::/0 state NEW,RELATED tcpflags:! 0x3F/0x02
0 0 ACCEPT tcp * * ::/0 ::/0 state RELATED
0 0 ACCEPT tcp * * ::/0 ::/0 tcpflags:! 0x17/0x02 state ESTABLISHED
0 0 ACCEPT tcp * * ::/0 ::/0 tcp spts:1024:65535 multiport dports 21,80,443,995,587,465,5222,1863 state NEW
Chain OUTPUT_UDP (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp * * ::/0 ::/0 state ESTABLISHED
0 0 ACCEPT udp * * ::/0 ::/0 udp spt:68 dpt:67
0 0 ACCEPT udp * * ::/0 ::/0 udp dpt:123
0 0 ACCEPT udp * * ::/0 ::/0 udp dpt:53
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
31 23308 ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED
0 0 ACCEPT all lo * ::/0 ::/0
0 0 DROP all * * ::/0 ::/0 state INVALID
1 136 ACCEPT icmpv6 * * fe80::/64 ::/0 ipv6-icmptype 134 code 0
0 0 DROP !icmpv6 * * ::/0 ::/0 state INVALID
3 216 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 135 code 0
2 136 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 136 code 0
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 128 code 0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED
0 0 DROP all * * ::/0 ::/0 state INVALID
0 0 DROP !icmpv6 * * ::/0 ::/0 state INVALID
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 128 code 0
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
28 2733 ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED
0 0 ACCEPT all * lo ::/0 ::/0
0 0 DROP all * * ::/0 ::/0 state INVALID
1 56 ACCEPT icmpv6 * * ::/0 ff02::/16 ipv6-icmptype 133 code 0
0 0 DROP !icmpv6 * * ::/0 ::/0 state INVALID
5 400 ACCEPT icmpv6 * * ::/0 ff02::/16 ipv6-icmptype 143 code 0
5 336 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 135 code 0
3 192 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 136 code 0
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 128 code 0
6 464 ACCEPT udp * * ::/0 2000::/3 udp spts:1024:65535 dpt:53 state NEW
0 0 ACCEPT tcp * * ::/0 2000::/3 tcp spts:1024:65535 dpt:53flags: 0x17/0x02 state NEW
2 160 ACCEPT tcp * * ::/0 2000::/3 tcp spts:1024:65535 dpt:80flags: 0x17/0x02 state NEW
0 0 ACCEPT tcp * * ::/0 2000::/3 tcp spts:1024:65535 dpt:443flags: 0x17/0x02 state NEW
[mathieu@sanzo ~]$ su -c 'ip6tables -L -n -v'
Mot de passe :
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
33 23466 ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED
0 0 ACCEPT all lo * ::/0 ::/0
0 0 DROP all * * ::/0 ::/0 state INVALID
1 136 ACCEPT icmpv6 * * fe80::/64 ::/0 ipv6-icmptype 134 code 0
0 0 DROP !icmpv6 * * ::/0 ::/0 state INVALID
5 360 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 135 code 0
4 264 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 136 code 0
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 128 code 0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED
0 0 DROP all * * ::/0 ::/0 state INVALID
0 0 DROP !icmpv6 * * ::/0 ::/0 state INVALID
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 128 code 0
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
28 2733 ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED
0 0 ACCEPT all * lo ::/0 ::/0
0 0 DROP all * * ::/0 ::/0 state INVALID
1 56 ACCEPT icmpv6 * * ::/0 ff02::/16 ipv6-icmptype 133 code 0
0 0 DROP !icmpv6 * * ::/0 ::/0 state INVALID
5 400 ACCEPT icmpv6 * * ::/0 ff02::/16 ipv6-icmptype 143 code 0
7 480 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 135 code 0
5 320 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 136 code 0
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 128 code 0
8 606 ACCEPT udp * * ::/0 2000::/3 udp spts:1024:65535 dpt:53 state NEW
0 0 ACCEPT tcp * * ::/0 2000::/3 tcp spts:1024:65535 dpt:53flags: 0x17/0x02 state NEW
2 160 ACCEPT tcp * * ::/0 2000::/3 tcp spts:1024:65535 dpt:80flags: 0x17/0x02 state NEW
0 0 ACCEPT tcp * * ::/0 2000::/3 tcp spts:1024:65535 dpt:443flags: 0x17/0x02 state NEW
- Modifié
Et donc quand tu fais la commande
Ce qui est etonnant c'est que la sortie de ton iptables pour le 2e script montre qu'il y a bien du traffic ipv6 qui passe, alors que pour ton 1er script tous les compteurs sont à 0.
Pour savoir si c'est l'autoconf qui est bloqué, ou quelque chose plus haut niveau empêchant le surf en ipv6 (dns, flux http etc). Si tu fais un
ip aCe qui est etonnant c'est que la sortie de ton iptables pour le 2e script montre qu'il y a bien du traffic ipv6 qui passe, alors que pour ton 1er script tous les compteurs sont à 0.
Pour savoir si c'est l'autoconf qui est bloqué, ou quelque chose plus haut niveau empêchant le surf en ipv6 (dns, flux http etc). Si tu fais un
ping6 www.google.frIl y a bien des drop en output pour le 1ier script :madko wrote: ...
Ce qui est etonnant c'est que la sortie de ton iptables pour le 2e script montre qu'il y a bien du traffic ipv6 qui passe, alors que pour ton 1er script tous les compteurs sont à 0.
...
Chain OUTPUT (policy DROP 7 packets, 460 bytes)
Je pense que si tu mets ça (ou quelque chose de ce genre) à la fin de ton premier script ça devrai le faire :
ip6tables -A OUTPUT_UDP -j LOG --log-prefix "DROP OUT UDP"
ip6tables -A OUTPUT_TCP -j LOG --log-prefix "DROP OUT TCP"
ip6tables -A OUTPUT_ICMP -j LOG --log-prefix "DROP OUT ICMP"
ip6tables -A OUTPUT -j LOG --log-prefix "DROP OUT
Résultat pour
Résultats:
Par contre, je viens de tester en modifiant encore le script, cette fois j'ai simplement supprimé les boucles icmpv6 (OUTPUT_ICMP et INPUT_ICMP) et écrit les icmpv6 simplement.
Résultat: ipv6 fonctionel!!!!!
Re-teste, cette fois en gardant la boucle icmpv6 entrant et écrivant les icmpv6 sortant implement (sans la boucle OUTPUT_ICMP). Résultat: ipv6 non fonctionnel mais cette fois les compteur ne sont pas à zéro pour ip6tables -L -n -v.
En conclusion pour ma part, pour le moment, éviter les chaînes pour les protocoles icmpv6 pour avoir accès à l'IPv6!
C'est quand même bizare, que les protocoles icmpv6 ne fonctionnent pas correctement avec les chaînes... Je me suis mal pris pour faire les chaînes?
ping6 www.google.frping6 www.google.fr
connect: Network is unreachable
ping6 www.google.fr
PING www.google.fr(par08s09-in-x1f.1e100.net) 56 data bytes
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=1 ttl=54 time=61.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=2 ttl=54 time=62.1 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=3 ttl=54 time=68.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=4 ttl=54 time=69.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=5 ttl=54 time=67.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=6 ttl=54 time=65.1 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=7 ttl=54 time=64.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=8 ttl=54 time=62.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=9 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=10 ttl=54 time=62.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=11 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=12 ttl=54 time=62.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=13 ttl=54 time=61.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=14 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=15 ttl=54 time=66.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=16 ttl=54 time=63.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=17 ttl=54 time=67.3 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=18 ttl=54 time=61.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=19 ttl=54 time=64.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=20 ttl=54 time=62.6 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=21 ttl=54 time=60.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=22 ttl=54 time=62.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=23 ttl=54 time=61.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=24 ttl=54 time=62.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=25 ttl=54 time=64.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=26 ttl=54 time=112 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=27 ttl=54 time=168 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=28 ttl=54 time=63.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=29 ttl=54 time=61.3 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=30 ttl=54 time=63.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=31 ttl=54 time=61.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=32 ttl=54 time=62.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=33 ttl=54 time=61.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=34 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=35 ttl=54 time=62.6 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=36 ttl=54 time=61.0 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=37 ttl=54 time=63.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=38 ttl=54 time=61.6 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=39 ttl=54 time=68.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=40 ttl=54 time=62.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=41 ttl=54 time=61.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=42 ttl=54 time=61.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=43 ttl=54 time=61.3 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=44 ttl=54 time=61.3 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=46 ttl=54 time=61.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=47 ttl=54 time=61.3 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=48 ttl=54 time=61.1 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=49 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=50 ttl=54 time=61.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=51 ttl=54 time=61.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=52 ttl=54 time=61.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=53 ttl=54 time=65.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=54 ttl=54 time=61.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=55 ttl=54 time=62.0 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=56 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=57 ttl=54 time=61.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=58 ttl=54 time=62.6 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=59 ttl=54 time=60.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=60 ttl=54 time=60.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=61 ttl=54 time=62.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=62 ttl=54 time=61.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=63 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=64 ttl=54 time=60.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=65 ttl=54 time=64.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=66 ttl=54 time=62.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=67 ttl=54 time=60.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=68 ttl=54 time=61.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=69 ttl=54 time=64.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=70 ttl=54 time=61.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=71 ttl=54 time=61.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=72 ttl=54 time=62.0 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=73 ttl=54 time=63.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=74 ttl=54 time=61.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=75 ttl=54 time=61.0 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=76 ttl=54 time=62.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=77 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=78 ttl=54 time=60.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=79 ttl=54 time=61.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=80 ttl=54 time=62.1 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=81 ttl=54 time=61.6 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=82 ttl=54 time=61.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=83 ttl=54 time=62.1 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=84 ttl=54 time=64.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=85 ttl=54 time=61.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=86 ttl=54 time=62.3 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=87 ttl=54 time=68.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=88 ttl=54 time=62.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=89 ttl=54 time=78.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=90 ttl=54 time=139 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=91 ttl=54 time=62.3 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=92 ttl=54 time=61.9 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=93 ttl=54 time=60.8 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=94 ttl=54 time=61.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=95 ttl=54 time=62.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=96 ttl=54 time=61.6 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=97 ttl=54 time=62.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=98 ttl=54 time=61.5 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=99 ttl=54 time=62.0 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=100 ttl=54 time=62.1 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=101 ttl=54 time=62.4 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=102 ttl=54 time=61.2 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=103 ttl=54 time=62.7 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=104 ttl=54 time=64.1 ms
64 bytes from par08s09-in-x1f.1e100.net: icmp_seq=105 ttl=54 time=62.0 ms
^C
--- www.google.fr ping statistics ---
106 packets transmitted, 104 received, 1% packet loss, time 105064ms
rtt min/avg/max/mdev = 60.810/65.022/168.347/13.735 ms
Résultats:
kernel: [ 6334.320074] DROPoutIN= OUT=wlan0 SRC=0000:0000:0000:0000:0000:0000:0000:0000 DST=ff02:0000:0000:0000:0000:0000:0000:0016 LEN=76 TC=0 HOPLIMIT=1 FLOWLBL=0 PROTO=ICMPv6 TYPE=143 CODE=0
kernel: [ 6334.359084] DROPoutIN= OUT=wlan0 SRC=0000:0000:0000:0000:0000:0000:0000:0000 DST=ff02:0000:0000:0000:0000:0000:0000:0016 LEN=76 TC=0 HOPLIMIT=1 FLOWLBL=0 PROTO=ICMPv6 TYPE=143 CODE=0
kernel: [ 6334.576146] DROPoutIN= OUT=wlan0 SRC=0000:0000:0000:0000:0000:0000:0000:0000 DST=ff02:0000:0000:0000:0000:0001:ff59:ddec LEN=64 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=135 CODE=0
kernel: [ 6335.578167] DROPoutIN= OUT=wlan0 SRC=fe80:0000:0000:0000:0219:7dff:fe59:ddec DST=ff02:0000:0000:0000:0000:0000:0000:0002 LEN=56 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=133 CODE=0
kernel: [ 6336.100119] DROPoutIN= OUT=wlan0 SRC=fe80:0000:0000:0000:0219:7dff:fe59:ddec DST=ff02:0000:0000:0000:0000:0000:0000:0016 LEN=76 TC=0 HOPLIMIT=1 FLOWLBL=0 PROTO=ICMPv6 TYPE=143 CODE=0
kernel: [ 6339.584122] DROPoutIN= OUT=wlan0 SRC=fe80:0000:0000:0000:0219:7dff:fe59:ddec DST=ff02:0000:0000:0000:0000:0000:0000:0002 LEN=56 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=133 CODE=0
kernel: [ 6343.592121] DROPoutIN= OUT=wlan0 SRC=fe80:0000:0000:0000:0219:7dff:fe59:ddec DST=ff02:0000:0000:0000:0000:0000:0000:0002 LEN=56 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=133 CODE=0
Par contre, je viens de tester en modifiant encore le script, cette fois j'ai simplement supprimé les boucles icmpv6 (OUTPUT_ICMP et INPUT_ICMP) et écrit les icmpv6 simplement.
Résultat: ipv6 fonctionel!!!!!
Re-teste, cette fois en gardant la boucle icmpv6 entrant et écrivant les icmpv6 sortant implement (sans la boucle OUTPUT_ICMP). Résultat: ipv6 non fonctionnel mais cette fois les compteur ne sont pas à zéro pour ip6tables -L -n -v.
En conclusion pour ma part, pour le moment, éviter les chaînes pour les protocoles icmpv6 pour avoir accès à l'IPv6!
C'est quand même bizare, que les protocoles icmpv6 ne fonctionnent pas correctement avec les chaînes... Je me suis mal pris pour faire les chaînes?
- Modifié
Redonne ton script avec les chaines qui bloque icmp, mais au vu des premiers scripts je pense que tu concidère icmpv6 comme étant la meme chose que icmp, alors que c'est pour ipv6 quelque chose de primordiale. Avant en ipv4 on bloquait presque tout et on autorisait par ex que les ping/traceroute. Avec icmpv6 tu as d'autres messages importants qui permettent à ipv6 de s'autoconfigurer (RA, RS, NDP etc). En gros il faudrait que tu autorises en entrée et sortie les type 133, 134, 135, 136, cf ce site pour les code types:
http://www.iana.org/assignments/icmpv6-parameters/icmpv6-parameters.xml
Peut être qu'il en faudrait d'autres, mais ceux là me semblent déjà important à avoir.
Mais normalement pour que ça fonctionne ipv6 derrière ta box, les étapes sont les suivantes:
1) obtention de l'ipv6 (ip -6 a pour le vérifier)
2) obtention de la route (ip -6 r)
3) eventuellement des dns dans /etc/resolv.conf
Et tout ça en autoconf ipv6 passe par icmpv6.
http://www.iana.org/assignments/icmpv6-parameters/icmpv6-parameters.xml
Peut être qu'il en faudrait d'autres, mais ceux là me semblent déjà important à avoir.
Mais normalement pour que ça fonctionne ipv6 derrière ta box, les étapes sont les suivantes:
1) obtention de l'ipv6 (ip -6 a pour le vérifier)
2) obtention de la route (ip -6 r)
3) eventuellement des dns dans /etc/resolv.conf
Et tout ça en autoconf ipv6 passe par icmpv6.
Bonjour, désolé de poster que maintenant mais j'ai été pas mal occupé hier...
Il est vrai que j'ai sous-estimé l'importance de l'icmpv6 pour l'ipv6...
.....
Pendant que je postais le script, je me suis rendu compte d'une erreur lamentable!!!!! Pour mes chaînes, j'ai écrit icmp au lieu icmpv6!!! Et comme j'ai toujours repris le 1er script(l'erreur est toujours restait)... Je vais d'abord le corrigé... Je repasse après...
Il est vrai que j'ai sous-estimé l'importance de l'icmpv6 pour l'ipv6...
.....
Pendant que je postais le script, je me suis rendu compte d'une erreur lamentable!!!!! Pour mes chaînes, j'ai écrit icmp au lieu icmpv6!!! Et comme j'ai toujours repris le 1er script(l'erreur est toujours restait)... Je vais d'abord le corrigé... Je repasse après...
- Modifié
Erreur corrigée! Et maintenant, tout fonctionne nickel! C'est fou comme quoi une petite erreur peut tout faire planter...
J'ai écrit
C'est une erreur lamentable... Désolé...
Je poste mon nouveau script tout de même!
Je le classe en résolu, vu que le principal problème est réglé. Mais si vous avez des avis améloirer le script, je suis preneur!
J'ai écrit
ip6tables -A OUTPUT -p icmp -j OUTPUT_ICMPip6tables -A OUTPUT -p icmpv6 -j OUTPUT_ICMPC'est une erreur lamentable... Désolé...
Je poste mon nouveau script tout de même!
start() {
#-----------------#
# Initialisations #
#-----------------#
# Vidage et suppression des règles existantes :
ip6tables -F
ip6tables -X
# Modifications des politiques par défaut :
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
#--------------------------------#
# Traitements interfaces locales #
#--------------------------------#
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A OUTPUT -o lo -j ACCEPT
#---------------------------------------------#
# Vérification des indicateurs des trames tcp #
#---------------------------------------------#
ip6tables -N CHECK_BAD_TCP
ip6tables -A CHECK_BAD_TCP -p tcp -m state --state NEW,RELATED ! --tcp-flags ALL SYN -j DROP
ip6tables -A CHECK_BAD_TCP -p tcp --tcp-flags ALL NONE -j DROP
ip6tables -A CHECK_BAD_TCP -p tcp --tcp-flags ALL ALL -j DROP
ip6tables -A CHECK_BAD_TCP -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
ip6tables -A CHECK_BAD_TCP -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
ip6tables -A CHECK_BAD_TCP -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
ip6tables -A CHECK_BAD_TCP -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
ip6tables -A CHECK_BAD_TCP -j RETURN
#-------------------------------------#
# Traitement des trames tcp en entrée #
#-------------------------------------#
ip6tables -N INPUT_TCP
ip6tables -A INPUT_TCP -j CHECK_BAD_TCP
ip6tables -A INPUT_TCP -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
ip6tables -A INPUT_TCP -p tcp --sport ftp-data -m state --state RELATED -j ACCEPT
#############################################
# A COMPLETER AVEC VOS REGLES TCP en entrée #
#############################################
#-------------------------------------#
# Traitement des trames udp en entrée #
#-------------------------------------#
ip6tables -N INPUT_UDP
ip6tables -A INPUT_UDP -p udp -m multiport --sport domain,ntp -m state --state ESTABLISHED -j ACCEPT
ip6tables -A INPUT_UDP -p udp --sport bootps --dport bootpc -m state --state ESTABLISHED -j ACCEPT
#############################################
# A COMPLETER AVEC VOS REGLES UDP en entrée #
#############################################
#--------------------------------------#
# Traitement des trames icmp en entrée #
#--------------------------------------#
ip6tables -N INPUT_ICMP
ip6tables -A INPUT_ICMP -p icmpv6 --icmpv6-type echo-reply -m state --state ESTABLISHED -j ACCEPT
ip6tables -A INPUT_ICMP -p icmpv6 --icmpv6-type destination-unreachable -m state --state RELATED -j ACCEPT
ip6tables -A INPUT_ICMP -p icmpv6 --icmpv6-type time-exceeded -m state --state RELATED -j ACCEPT
ip6tables -A INPUT_ICMP -s fe80::/64 -p icmpv6 --icmpv6-type 134/0 -j ACCEPT
ip6tables -A INPUT_ICMP ! -p icmpv6 -m state --state INVALID -j DROP
ip6tables -A INPUT_ICMP -p icmpv6 --icmpv6-type 135/0 -j ACCEPT
ip6tables -A INPUT_ICMP -p icmpv6 --icmpv6-type 136/0 -j ACCEPT
ip6tables -A INPUT_ICMP -p icmpv6 --icmpv6-type 128/0 -j ACCEPT
#-----------------------------------------------------------------#
# Filtrage des appels entrants avec appel des règles utilisateurs #
#-----------------------------------------------------------------#
ip6tables -A INPUT -m state --state INVALID -j DROP
ip6tables -A INPUT -p tcp -j INPUT_TCP
ip6tables -A INPUT -p udp -j INPUT_UDP
ip6tables -A INPUT -p icmpv6 -j INPUT_ICMP
#-------------------------------------#
# Traitement des trames tcp en sortie #
#-------------------------------------#
ip6tables -N OUTPUT_TCP
ip6tables -A OUTPUT_TCP -p tcp -m state --state NEW,RELATED ! --tcp-flags ALL SYN -j DROP
ip6tables -A OUTPUT_TCP -p tcp -m state --state RELATED -j ACCEPT
ip6tables -A OUTPUT_TCP -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
ip6tables -A OUTPUT_TCP -p tcp --sport 1024:65535 -m multiport --dports 21,80,443,995,587,465,5222,1863 -m state --state NEW -j ACCEPT
#############################################
# A COMPLETER AVEC VOS REGLES TCP en sortie #
#############################################
#-------------------------------------#
# Traitement des trames udp en sortie #
#-------------------------------------#
ip6tables -N OUTPUT_UDP
ip6tables -A OUTPUT_UDP -p udp -m state --state ESTABLISHED -j ACCEPT
ip6tables -A OUTPUT_UDP -p udp --sport bootpc --dport bootps -j ACCEPT
ip6tables -A OUTPUT_UDP -p udp --dport ntp -j ACCEPT
ip6tables -A OUTPUT_UDP -p udp --dport domain -j ACCEPT
#############################################
# A COMPLETER AVEC VOS REGLES UDP en sortie #
#############################################
#--------------------------------------#
# Traitement des trames icmp en sortie #
#--------------------------------------#
ip6tables -N OUTPUT_ICMP
ip6tables -A OUTPUT_ICMP -d ff02::/16 -p icmpv6 --icmpv6-type 133/0 -j ACCEPT
ip6tables -A OUTPUT_ICMP ! -p icmpv6 -m state --state INVALID -j DROP
ip6tables -A OUTPUT_ICMP -d ff02::/16 -p icmpv6 --icmpv6-type 143/0 -j ACCEPT
ip6tables -A OUTPUT_ICMP -p icmpv6 --icmpv6-type 135/0 -j ACCEPT
ip6tables -A OUTPUT_ICMP -p icmpv6 --icmpv6-type 136/0 -j ACCEPT
ip6tables -A OUTPUT_ICMP -p icmpv6 --icmpv6-type 128/0 -j ACCEPT
#------------------------------#
# Filtrage des appels sortants #
#------------------------------#
ip6tables -A OUTPUT -p tcp -j OUTPUT_TCP
ip6tables -A OUTPUT -p udp -j OUTPUT_UDP
ip6tables -A OUTPUT -p icmpv6 -j OUTPUT_ICMP
}
Je le classe en résolu, vu que le principal problème est réglé. Mais si vous avez des avis améloirer le script, je suis preneur!