Pages: [1]   En bas

Auteur Sujet: SFR NB6 : mise en place d'une DMZ IPV6  (Lu 714 fois)

0 Membres et 1 Invité sur ce sujet

tinybo

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 1
SFR NB6 : mise en place d'une DMZ IPV6
« le: 30 janvier 2024 à 22:23:33 »
Bonjour,

La box SFR NB6 est réputée pour être buggée concernant la mise en place d'une DMZ en IPV6 derrière un routeur interne (on en trouve quelques traces dans ce forum). J’ai trouvé un contournement qui permet bien de déployer une telle architecture. Voici comment:

Le contexte

Box SFR NB6VAC, version firmware NB6VAC-MAIN-R4.0.45d,  fonction DMZ uniquement proposée en IPV6.

Le menu de configuration de la Box:

-> voir pièce jointe 1


Une configuration logique dans laquelle on donne une adresse IP interne d'une passerelle (le routeur) vers la DMZ ne fonctionne pas : la box ne transmet pas les paquets entrants à la passerelle.

La solution

En revanche, cela fonctionne si l’on indique une adresse IP de passerelle qui appartient au réseau DMZ (très illogique, cela fait surement partie du bug général autour de cette fonction). L‘adresse de la box à utiliser sur la passerelle est alors PREFIXDMZ::1

Ci dessous un schéma pour exemple de ce que j’ai fait pour m’adapter au comportement singulier de la box:

-> voir pièce jointe 2


A noter qu’il faut refaire la manip de configuration de DMZ sur la box en cas de redémarrage de cette dernière.

Considérations de sécurité

J’ai également testé ce que faisait une activation de DMZ sans l’option passerelle (possibilité offerte dans le menu DMZ de la box). Dans ce cas, la box monte une interface PREFIXDMZ::1/64 sur le réseau Ethernet interne. Je déconseille vivement cette option :
- qui entraine une forte porosité entre la DMZ et les réseaux internes (IPV4 et IPV6) car tout ce beau monde se retrouve sur un même LAN Ethernet.
- qui nécessite de mettre un Firewall sur chaque machine de la DMZ, la box ne faisant pas de filtrage sur les adresses du sous réseau DMZ.
Dans ce cas, il est préférable d’utiliser la fonction Firewall de la Box sur adresse interne. Cela évite de monter un Firewall sur chaque machine cible et rend le risque pris plus explicite (je le rappelle quand même: l’ouverture d’un service sur une machine interne induit que si la machine est compromise, tout le réseau interne est exposé par rebond).
Le mieux reste bien de mettre en place une DMZ avec passerelle, étant entendu que la passerelle héberge un Firewall qui filtre les flux entrants et sortants.
IP archivée

xp25

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 5 954
SFR NB6 : mise en place d'une DMZ IPV6
« Réponse #1 le: 31 janvier 2024 à 06:29:23 »
C'est beau l'IPv6 ;D ::)

Merci pour le tuto cependant ;)
IP archivée
Pages: [1]   En haut