Auteur Sujet: IPv6: Le firewall doit il bloquer par défaut le trafic entrant ? (Lu 61752 fois)

Pegasus38 · « **Réponse #132 le:** 23 septembre 2025 à 21:31:01 »

Citation de: Fyr le 21 septembre 2025 à 22:29:06

cette config bloque bien les connexion IPv6 entrantes en mode bridge.

En mode non bridge, la freebox sortie de boite, n'a aucun pare feu ipv6 ? La majorité des gens n'en n'ont pas ?

fansat70 · « **Réponse #133 le:** 23 septembre 2025 à 21:57:54 »

Citation de: Pegasus38 le 23 septembre 2025 à 21:31:01

En mode non bridge, la freebox sortie de boite, n'a aucun pare feu ipv6 ? La majorité des gens n'en n'ont pas ?

Pour les personnes que j'assiste, plaçant systématiquement "ON" ce pare-feu (ces utilisateurs n'ayant pas de besoins genre serveur en IPV6), je ne saurais dire si récemment, la box sortie de boite est toujours en pare-feu IPV6 "OFF".
La mise en service de ce pare-feu IPV6 qui semble fonctionner en tout ou rien sur le préfixe "de base" est "à minima" paramétrable, en ce sens qu'il offre la possibilité de ne pas être activé sur l'ensemble des préfixes secondaires... Là, c'est à chaque "grand garçon" qui veut gérer des serveurs en IPV6 de les placer dans un de ces préfixes secondaires, et évidemment de gérer proprement le pare-feu de chacun de ses serveurs...

simon · « **Réponse #134 le:** 24 septembre 2025 à 09:58:09 »

Citation de: Pegasus38 le 23 septembre 2025 à 21:31:01

En mode non bridge, la freebox sortie de boite, n'a aucun pare feu ipv6 ? La majorité des gens n'en n'ont pas ?

Oui. C'est la politique de Free depuis le début et cela n'a, à priori, pas changé.
Ce n'est vraiment pas dramatique car, contrairement à ce qui se faisait un temps en IPv4, les machines clientes se protègent toutes par un firewall et/ou n'ont pas de ports ouverts par défaut.
Il n'y a que l'IoT douteux qui peut potentiellement poser problème, mais bon, si on installe cela chez soi, on s'expose à pas mal de souci dans tous les cas.

L'option pour activer un firewall stateful est là, ceux qui se sentent exposés peuvent l'activer. Pour l'écrasante majorité des clients, autoriser les connexions entrantes est bon, non pas pour des services hébergés qui ne concernent qu'une toute petite minorité, mais pour les visioconf, les transferts par WebRTC ou autre applications faisant usage d'échanges P2P.

Pegasus38 · « **Réponse #135 le:** 24 septembre 2025 à 10:08:31 »

Donc vous êtes en train de dire que le pare feu en ipv6 n'est pas obligatoire

Je vais tester sur l'UDM d'un ami, la délégation du premier prefix en auto voir ce que ça donne. Car c'est quand même propre et moins chiant que d'aller se connecter en ssh sur l'udm etc

simon · « **Réponse #136 le:** 24 septembre 2025 à 10:20:13 »

Citation de: Pegasus38 le 24 septembre 2025 à 10:08:31

Donc vous êtes en train de dire que le pare feu en ipv6 n'est pas obligatoire

Oui, clairement, pour moi, le firewall sur la box n'est pas nécessaire pour la grande majorité des utilisateurs. L'ère de Windows XP/7 dans les années 2000 est révolue, les machines se protègent d'elle-même.

J'ai récupéré une imprimante Ricoh sur leboncoin (un gros truc, trop gros pour moi, mais je voulais une laser couleur dont les cartouches ne sèchent pas au bout d'un mois de non-utilisation...). Elle supporte et est configurée pour IPv6 et je n'ai pas de firewall devant bloquant les connexions entrantes.
Dans sa conf, on peut définir des subnets ou un netmask autorisant les connexions clientes, ce que j'ai fait... mais même sans l'avoir fait, il faudrait que quelqu'un tombe dessus en scannant mon subnet ou par une autre méthode, qu'il scanne et/ou se décide à envoyer une énorme tache d'impression pendant les quelques minutes où elle est sous tension dans le mois, qu'il ait le mot de passe admin ou IPP pour... me consommer quelques feuilles.
Il y a toujours la possibilité d'une faille RCE qui lui fasse prendre part à un botnet, mais là encore, pour quelques dizaines de minutes par mois, j'ai peu de crainte.

Certains ne seront pas d'accord avec cette opinion qui est la mienne est c'est parfait : ils peuvent activer ou laisser activé le pare feu sur la box.

Optix · « **Réponse #137 le:** 24 septembre 2025 à 10:47:31 »

Citation de: simon le 24 septembre 2025 à 10:20:13

Oui, clairement, pour moi, le firewall sur la box n'est pas nécessaire pour la grande majorité des utilisateurs. L'ère de Windows XP/7 dans les années 2000 est révolue, les machines se protègent d'elle-même.

J'ai...

Pas d'accord.

Ici nous sommes un public averti, donc déjà le "j'ai" est biaisé car les manipulations que vous faites, le grand public ne le fera jamais.

Quant aux "machines qui se protègent elles-mêmes", OK pour les PC & cie, mais jamais de la vie pour les IOT, caméras et autres petits équipements dont quasi personne ne change les accès par défaut. Combien de caméras se font poutrer, combien de stations météo et autres conneries se font poutrer.

Et vous voulez laisser ces équipements le cul à l'air sur Internet ? Vous êtes pas bien !

Moi je suis côté FAI, on gère du grand public, j'en reçois des requêtes "abuse" et je vous le dis tout net : les gens ne savent pas se protéger.
Donc les protections doivent être activées par défaut, c'est juste du bon sens.
Même l'ARCEP va dans ce sens !

Pegasus38 · « **Réponse #138 le:** 24 septembre 2025 à 10:52:32 »

Pourtant Free par défaut livre des box avec aucun pare feu ipv6, d'où mon étonnement

Freejulo · « **Réponse #139 le:** 24 septembre 2025 à 11:04:09 »

Une demande rapide à Gemini me retourne cela :

Citer

Free a été un pionnier du déploiement de l'IPv6 en France.

Déploiement initial sans pare-feu : Lorsque Free a massivement déployé l'IPv6, la fonction de pare-feu n'existait pas encore dans Freebox OS. Les appareils étaient donc directement exposés, conformément à la logique "pure" de l'IPv6 où la sécurité est censée être gérée par chaque appareil individuel.

Ajout tardif de la fonction : Le pare-feu a été ajouté en 2019 suite à la demande de la communauté, qui souhaitait une protection simple au niveau de la box. En l'ajoutant comme une option désactivée par défaut, Free a satisfait cette demande sans changer la configuration de ceux qui maîtrisaient déjà leur sécurité ou qui ne voulaient pas de blocage.

En résumé, la non-activation par défaut du pare-feu IPv6 sur la Freebox est un choix délibéré qui privilégie la flexibilité et la liberté des utilisateurs avancés, au détriment d'une sécurité maximale "clés en main" pour les débutants.

C'est pourquoi il est crucial pour la majorité des utilisateurs de se connecter à leur interface Freebox OS (mafreebox.freebox.fr), d'aller dans Paramètres de la Freebox > Mode avancé > Configuration IPv6 et de cocher la case "Activer le firewall IPv6" pour protéger tous les appareils de leur réseau local.

Cela explique peut être pourquoi ce n'est pas activé par défaut.

Pegasus38 · « **Réponse #140 le:** 24 septembre 2025 à 11:06:10 »

Quasi certain que 99,9% des abonnés l'ont pas fait

simon · « **Réponse #141 le:** 24 septembre 2025 à 11:28:10 »

Clairement. Et Free ne croule pas sous les abuse requests. Ou les ignore, je ne sais pas.

Ceci dit je comprends le point de vue d'Optix. J'ai aussi été derrière une boite abuse@ dans ma vie, mais pas dans le même contexte... pour moi, c'était des sysadmins qui ne mettaient jamais à jour leurs serveurs.
Je pense simplement que le risque n'est pas aussi important. Combien d'IoT supportent IPv6 ET écoutent sur des ports ? La très grande majorité ne fait que se connecter aux serveurs du constructeur (pendant les 2 ans où ce serveur existe, mais c'est un autre sujet).

kgersen · « **Réponse #142 le:** 24 septembre 2025 à 12:35:17 »

J'ai changé plusieurs fois d'avis sur la question du firewall en IPv6 des box grand public.

De nos jours, ce n'est plus trop utile pour protéger les IoT ou autres (un device qui écoute sur une IPv6 en public sans protection n'a que ce qu'il mérite...) mais plus l'utilisateur de lui-meme.

Je ne pense pas que ca devrait le choix de Free mais plutôt celui de l'ANSSI d'imposer une recommendation minimale de façon a ce que tout les FAI soient pareils a ce niveau. Ce n'est pas très sain cette différence entre FAI sur ces aspects firewall. Et le bon sens voudrait qu'on protege par défaut la grande majorité des utilisateurs plutôt que satisfaire les utilisateurs avancés (qui eux sauront aller changer le réglage).

Apres si trop d'IPv6 Free étaient utilisées par des botnets a cause de ce réglage par défaut, ils seraient au courant et l'aurait changé (tout abus d'une IPv6 est remonté a l'ANSSI qui le remonte au FAI concerné).

MaxLebled · « **Réponse #143 le:** 24 septembre 2025 à 14:28:27 »

Je pense également que ça devrait être activé par défaut.

Le seul reproche que je puisse vraiment imputer à Free, c'est qu'il ne soit pas possible de désactiver le pare-feu ipv6 appareil par appareil. Ce serait logique de le désactiver pour son smartphone et son PC de bureau mis à jour, et de le garder activé pour tout le reste.

Dans la pratique, je l'ai laissé activé depuis le début et je n'ai jamais constaté de problème à l'usage... les applications ayant besoin de l'outrepasser savent déjà prendre ce cas de figure en compte, tout comme elles savent déjà passer à travers le NAT ipv4