Bonjour,
Pour des raisons personnelles, gestion d'un serveur "on the web", je me penche sur la question de la gestion ip6tables, entre autres ...
Relativement au
post , je viens de lire les recommandations du CERTA en 2006, à-propos de l'usage d'ICMPv6 :
http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-004/
Et, tout particulièrement le bloc suivant :
CERTA wrote:
A la différence d'ICMPv4, le choix draconien de bloquer tout trafic ICMPv6 pertubera plusieurs services du réseau. La plupart des options ne doivent être utilisées que dans un contexte local, et les règles de filtrage ICMPv6 doivent dépendre aussi bien du type d'adresse dans les paquets que les adresses elles-mêmes (source / destination). Le RFC 4890 reprend donc plusieurs scénarios afin de déterminer ce qu'il est nécessaire, facultatif ou déconseillé de filtrer. En voici un extrait.
En périphérie de réseau, et de manière concise, il est dit qu'il est fortement déconseillé de jeter les paquets suivants :
Type 1 : Destination Unreachable, pour tout code associé ;
Type 2 : Packet Too Big ;
Type 3 : Time Exceeded, pour le code 0
Type 4 : Parameter Problem, pour les codes 1 et 2 associés uniquement ;
Type 128 : Echo Request ;
Type 129 : Echo Response.
Dans un environnement local, il faut ajouter aux paquets précédents :
des paquets utiles à la configuration :
Types 133 et 134 : Router Solicitation / Advertisement ;
Types 135 et 136 : Neighbor Solicitation / Advertisement ;
Types 141 et 142 : Inverse Neighbor Discovery Solicitation / Advertisement.
des paquets liés au Multicast pour la liaison locale (Link-Local) :
Types 130, 131 et 132 : Listener Query / Report / Done ;
Type 143 : Listener Report v2.
des paquets nécessaires pour l'usage des certificats :
Types 148 et 149 : Certificate Path Solicitation / Advertisement.
des paquets pour le routage Multicast :
Types 151, 152 et 153 : Multicast Router Advertisement / Solicitation / Termination.
De fait, si je comprends bien le propos, les règles ip6tables proposées sont trop restrictives puisqu'elles rejettent certains des paquets nécessaires ... et n'acceptent pas certains nécessaires en LAN, n'est-ce pas ?!
Il me semble donc qu'il faudrait les réécrire, n'est-ce pas ?