Salut kgersen.
tu fais comment les tests de 'marche/marche pas' ?
Je teste depuis mon ordinateur windows qui est connecté au travers de mon routeur/raspberry.
1) je teste l'accès en ipv4 et en ipv6 (ping) sur un site, google par exemple.
2) je teste les accès au dns (nslookup). J'ai trois niveaux : la raspberry, ma box et internet.
3) j'ai le nom "RaspberryPi" que je teste pour accèder en ssh à la raspberry.
Il contient 192.168.52.1, 192.168.53.1, 2001:470:c974:520::1, 2001:470:c974:530::1.
Si je suis en ssid:MyWapOne, je ne dois pas pouvoir accéder à 192.168.53.1 et 2001:470:c974:530::1.
Si je suis en ssid:MyWapTwo, je ne dois pas pouvoir accéder à 192.168.52.1 et 2001:470:c974:520::1.
4) je teste "
https://ipv6-test.com/" afin d'avoir 20/20 pour l'accès ipv6.
Dans "IPv6 connectivity", ICMP est FILTERED, ce qui n'est pas bon.
Le problème ne vient pas de Windows car quand j'avais l'IPv6 dans ma box/sfr, j'avais 20/20.
5) les accès au web en http/https. A cause du FORWARD, je n'ai pas de problème.
En dehors de ce routeur/raspberry, j'avais déjà créé un "firewall" juste pour augmenter la sécurité quand je travaille dans ma raspberry.
Comment je m'y suis pris ?
J'ai interdit tous les accès :
$iptv4 -P INPUT DROP
$iptv4 -P OUTPUT DROP
$iptv4 -P FORWARD DROP
$iptv6 -P INPUT DROP
$iptv6 -P OUTPUT DROP
$iptv6 -P FORWARD DROP
Et dans ce service firewall, j'ai placé ces règles-ci :
# --- #
# LOG #
# --- #
$IPTv4 -A INPUT -j LOG --LOG-PREFIX 'IN4: '
$IPTv4 -A OUTPUT -j LOG --LOG-PREFIX 'OUT4: '
$IPTv4 -A FORWARD -j LOG --LOG-PREFIX 'FOR4: '
$IPTv6 -A INPUT -j LOG --LOG-PREFIX 'IN6: '
$IPTv6 -A OUTPUT -j LOG --LOG-PREFIX 'OUT6: '
$IPTv6 -A FORWARD -j LOG --LOG-PREFIX 'FOR6: '
Cela me permettait d'identifier le flux qui était bloqué et de l'ajouter dans le service.
Je ne sais pas si c'était la bonne méthode mais cela fonctionnait au moins pour ce qui était simple.
HTTP/https (port 80, 443, 8080), SSH (port 22), outlook (ports 25,143,465,587,993), DNS (port 53) ...
Je n'avais pas de difficulté à comprendre INPUT (ce qui vient de eth0), OUTPUT (ce qui retourne vers eth0) et FORWARD (ou routage pour les règles NAT).
Pour l'essentiel, je l'avais fait que pour l'IPv4. A l'époque, j'avais l'ipv6 de SFR mais je n'arrivais pas à formuler correctement les règles.
Puis j'ai laissé tombé car mon firewall ralentissait énormement ma raspberry.
Bien sûr, je n'ai pas recopié bêtement les règles que je trouvais sur le net.
Je m'en servais pour comprendre comment créer mes règles. J'ai aussi compris que l'ordre des règles à de l'importance.
Dans mon routeur/raspberry, je n'arrive pas à comprendre qui est qui, avec trois interface eth0, wla0 et wlan1 et avec l'IPv4 et l'IPv6 (6in4).
En fait, j'ai d'autre interfaces, comme lo, he-ipv6, et sit0.
Je n'utilise pas pour l'instant de service, car j'ai ajouté le script "iptables.sh" à la fin de "/etc/rc.local".
Dans ton exemple (le schema coloré), j'ai d'un coté "Network interface" et de l'autre "local process".
Si j'ai une seule interface et ipv4, disons eth0, je n'ai pas de problème. Mais si j'ai plusieurs interfaces avec en plus l'Ipv6, là je suis complètement perdu.
Comment autoriser l'Ipv6, si je mets "$iptv6 -P INPUT DROP" ?
D'une part, il est encapsulé dans l'IPv4 et d'autre part, ne récupérer que ce que est pour les branches "2001:470:c974:520::" et "2001:470:c974:530::".
@+