[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS] Help pour débuter avec iptables

Pascal Hambourg a écrit :
> giggz a écrit :
>> Le 11/09/2010 12:48, Pascal Hambourg a écrit :
>>> [...]
>>> Oui, même si le traitement d'ICMPv6 pourrait être affiné un poil.
>> ok. j'ai mis ça:
>> -A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
> 
> Euh, là ça devient un peu trop restrictif. Je pensais plutôt à autoriser
> les types ICMPv6 impliqués dans le protocole Neighbour Discovery (NDP) :
> neighbour-solicitation, neighbour-advertisement (équivalents d'ARP
> request et reply) et, pour les interfaces en auto-configuration sans
> état, router-advertisement ou au contraire router-solicitation pour une
> machine fonctionnant en routeur IPv6 avec radvd dessus. Les paquets de
> type redirect sont normalement classés RELATED donc pas besoin de s'en
> occuper spécifiquement.
> 

ok. j'ai lu un peu de doc:
pour l'instant j'ai ça:
-A INPUT -i eth1 -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-request -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
-A INPUT -i eth1 -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT


mais sur un site j'ai vu des règles plus "fines":

# Allow some ICMPv6 types in the INPUT chain
# Using ICMPv6 type names to be clear.

ip6tables -A INPUT -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT

# Allow some other types in the INPUT chain, but rate limit.
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -m limit --limit
600/min -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-reply -m limit --limit
600/min -j ACCEPT

# Allow others ICMPv6 types but only if the hop limit field is 255.

ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement   -m hl
--hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation  -m hl
--hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl
--hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type redirect               -m hl
--hl-eq 255 -j ACCEPT


qu'en penses tu ?

Pour répondre à ta question: est ce qu'on utilise ipv6 ? je crois bien
que non en ce moment. mais bon un jour ou l'autre ça va nous tomber
dessus. donc je prépare un peu le terrain ;)

>> Bon j'ai lu encore un peu de doc sur iptables. On peut paufiner les
>> règles avec "--match limit". Je suppose qu'il faut que j'attende un peu
>> avant de me lancer dedans non ?
> 
> Comme la correspondance "recent", c'est à manier avec précaution et il
> faut regarder si c'est vraiment utile.
> 

ok. pour l'instant je me renseigne juste sur la chose.

merci!
Reply to: