Erreur corrigée! Et maintenant, tout fonctionne nickel! C'est fou comme quoi une petite erreur peut tout faire planter...
J'ai écrit
ip6tables -A OUTPUT -p icmp -j OUTPUT_ICMP
au lieu de
ip6tables -A OUTPUT -p icmpv6 -j OUTPUT_ICMP
De même en INPUT... Voilà pourquoi mes chaînes ne fonctionnaient pas... Ces 2 erreurs étaient depuis le début dans le 1er script que j'ai posté...
C'est une erreur lamentable... Désolé...
Je poste mon nouveau script tout de même!
start() {
#-----------------#
# Initialisations #
#-----------------#
# Vidage et suppression des règles existantes :
ip6tables -F
ip6tables -X
# Modifications des politiques par défaut :
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
#--------------------------------#
# Traitements interfaces locales #
#--------------------------------#
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A OUTPUT -o lo -j ACCEPT
#---------------------------------------------#
# Vérification des indicateurs des trames tcp #
#---------------------------------------------#
ip6tables -N CHECK_BAD_TCP
ip6tables -A CHECK_BAD_TCP -p tcp -m state --state NEW,RELATED ! --tcp-flags ALL SYN -j DROP
ip6tables -A CHECK_BAD_TCP -p tcp --tcp-flags ALL NONE -j DROP
ip6tables -A CHECK_BAD_TCP -p tcp --tcp-flags ALL ALL -j DROP
ip6tables -A CHECK_BAD_TCP -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
ip6tables -A CHECK_BAD_TCP -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
ip6tables -A CHECK_BAD_TCP -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
ip6tables -A CHECK_BAD_TCP -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
ip6tables -A CHECK_BAD_TCP -j RETURN
#-------------------------------------#
# Traitement des trames tcp en entrée #
#-------------------------------------#
ip6tables -N INPUT_TCP
ip6tables -A INPUT_TCP -j CHECK_BAD_TCP
ip6tables -A INPUT_TCP -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
ip6tables -A INPUT_TCP -p tcp --sport ftp-data -m state --state RELATED -j ACCEPT
#############################################
# A COMPLETER AVEC VOS REGLES TCP en entrée #
#############################################
#-------------------------------------#
# Traitement des trames udp en entrée #
#-------------------------------------#
ip6tables -N INPUT_UDP
ip6tables -A INPUT_UDP -p udp -m multiport --sport domain,ntp -m state --state ESTABLISHED -j ACCEPT
ip6tables -A INPUT_UDP -p udp --sport bootps --dport bootpc -m state --state ESTABLISHED -j ACCEPT
#############################################
# A COMPLETER AVEC VOS REGLES UDP en entrée #
#############################################
#--------------------------------------#
# Traitement des trames icmp en entrée #
#--------------------------------------#
ip6tables -N INPUT_ICMP
ip6tables -A INPUT_ICMP -p icmpv6 --icmpv6-type echo-reply -m state --state ESTABLISHED -j ACCEPT
ip6tables -A INPUT_ICMP -p icmpv6 --icmpv6-type destination-unreachable -m state --state RELATED -j ACCEPT
ip6tables -A INPUT_ICMP -p icmpv6 --icmpv6-type time-exceeded -m state --state RELATED -j ACCEPT
ip6tables -A INPUT_ICMP -s fe80::/64 -p icmpv6 --icmpv6-type 134/0 -j ACCEPT
ip6tables -A INPUT_ICMP ! -p icmpv6 -m state --state INVALID -j DROP
ip6tables -A INPUT_ICMP -p icmpv6 --icmpv6-type 135/0 -j ACCEPT
ip6tables -A INPUT_ICMP -p icmpv6 --icmpv6-type 136/0 -j ACCEPT
ip6tables -A INPUT_ICMP -p icmpv6 --icmpv6-type 128/0 -j ACCEPT
#-----------------------------------------------------------------#
# Filtrage des appels entrants avec appel des règles utilisateurs #
#-----------------------------------------------------------------#
ip6tables -A INPUT -m state --state INVALID -j DROP
ip6tables -A INPUT -p tcp -j INPUT_TCP
ip6tables -A INPUT -p udp -j INPUT_UDP
ip6tables -A INPUT -p icmpv6 -j INPUT_ICMP
#-------------------------------------#
# Traitement des trames tcp en sortie #
#-------------------------------------#
ip6tables -N OUTPUT_TCP
ip6tables -A OUTPUT_TCP -p tcp -m state --state NEW,RELATED ! --tcp-flags ALL SYN -j DROP
ip6tables -A OUTPUT_TCP -p tcp -m state --state RELATED -j ACCEPT
ip6tables -A OUTPUT_TCP -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
ip6tables -A OUTPUT_TCP -p tcp --sport 1024:65535 -m multiport --dports 21,80,443,995,587,465,5222,1863 -m state --state NEW -j ACCEPT
#############################################
# A COMPLETER AVEC VOS REGLES TCP en sortie #
#############################################
#-------------------------------------#
# Traitement des trames udp en sortie #
#-------------------------------------#
ip6tables -N OUTPUT_UDP
ip6tables -A OUTPUT_UDP -p udp -m state --state ESTABLISHED -j ACCEPT
ip6tables -A OUTPUT_UDP -p udp --sport bootpc --dport bootps -j ACCEPT
ip6tables -A OUTPUT_UDP -p udp --dport ntp -j ACCEPT
ip6tables -A OUTPUT_UDP -p udp --dport domain -j ACCEPT
#############################################
# A COMPLETER AVEC VOS REGLES UDP en sortie #
#############################################
#--------------------------------------#
# Traitement des trames icmp en sortie #
#--------------------------------------#
ip6tables -N OUTPUT_ICMP
ip6tables -A OUTPUT_ICMP -d ff02::/16 -p icmpv6 --icmpv6-type 133/0 -j ACCEPT
ip6tables -A OUTPUT_ICMP ! -p icmpv6 -m state --state INVALID -j DROP
ip6tables -A OUTPUT_ICMP -d ff02::/16 -p icmpv6 --icmpv6-type 143/0 -j ACCEPT
ip6tables -A OUTPUT_ICMP -p icmpv6 --icmpv6-type 135/0 -j ACCEPT
ip6tables -A OUTPUT_ICMP -p icmpv6 --icmpv6-type 136/0 -j ACCEPT
ip6tables -A OUTPUT_ICMP -p icmpv6 --icmpv6-type 128/0 -j ACCEPT
#------------------------------#
# Filtrage des appels sortants #
#------------------------------#
ip6tables -A OUTPUT -p tcp -j OUTPUT_TCP
ip6tables -A OUTPUT -p udp -j OUTPUT_UDP
ip6tables -A OUTPUT -p icmpv6 -j OUTPUT_ICMP
}
Merci d'avoir pris le temps de m'aider! Je pense que si j'avais pas posté mon problème sur ip6tables, je n'aurais pas réussi à le réssoudre aussi vite sans votre aide!
Je le classe en résolu, vu que le principal problème est réglé. Mais si vous avez des avis améloirer le script, je suis preneur!
