Auteur Sujet: Comment filtrer le flux traduit par le NAT64 (Jool) ? (Lu 844 fois)

basilix · « **Réponse #12 le:** 29 mars 2024 à 18:03:51 »

@ppn_sd :

En sortie ? Rien.

Flux eth1 vers veth1 : trafic IPv4 du WAN vers Jool.
Flux eth0 vers veth1 : trafic IPv6 du LAN vers Jool.

ppn_sd · « **Réponse #13 le:** 29 mars 2024 à 18:06:34 »

Et tu filtres quoi là dedans ?

basilix · « **Réponse #14 le:** 29 mars 2024 à 18:29:07 »

Surveiller les connexions et essayer de détecter (capter) celles qui sont suspectes. On marque la séparation entre deux zones.

C'est fait différemment (NAT64 + NAT44 dans le même routeur). Mais sur le principe, c'est pareil que pour le trafic usuel (séparation WAN / LAN).

ppn_sd · « **Réponse #15 le:** 29 mars 2024 à 20:45:53 »

Tant pis pour ma curiosité

.

N'hésite pas à poster les suites de commandes quand tu seras parvenu à tes fins.

basilix · « **Réponse #16 le:** 30 mars 2024 à 08:36:42 »

@ppn_sd:

Je pourrais exposer comment mettre en œuvre Jool dans OpenWrt. Car on pourrait éventuellement améliorer son intégration.
Comme je l'ai déjà signifié, je pense qu'on est également dans une configuration standard au niveau du pare-feu.

HS

Normalement, le trafic du réseau local sera essentiellement en IPv6. Il faudrait que je sache quels services externes sont accessibles uniquement en IPv4.
Ainsi, j'espère pouvoir détecter les flux inhabituels pour éventuellement les bloquer. J'aurai vraisemblablement plusieurs niveaux de pare-feu. Mais je débute
et je ne sais pas encore quelle politique de filtrage appliquer suivant le pare-feu (routeur, station). Il faut penser la sécurité informatique dans son ensemble.
Certaines machines tournent encore sur MS Windows, d'autres sur GNU/Linux. Et certains appareils ne sont éventuellement pas renforcé e.g. l'imprimante.

Je ne préciserai pas la configuration de mon pare-feu en ligne (à quiconque). Avec les outils et techniques actuels, je pense que c'est trop dangereux. Par
exemple, les joueurs d'échecs professionnels étudient les ouvertures des parties de leur adversaire pour augmenter sensiblement leur chance de gagner.
Idem, en sécurité informatique. Il faut ralentir, de façon envisageable (rendre les choses difficiles), les personnes qui veillent sur les ouvertures et dans la
mesure du possible ne pas leur faciliter la mise. Je sais également qu'un pare-feu ne protège que partiellement. Mais je suis débutant et c'est une ligne de
défense parmi d'autres (sécurité en profondeur).

De façon générale, je fais aussi ces remarques car je prévois d'auto-héberger des services en ligne (les risques peuvent devenir accrus en étant branché
non stop) !

basilix · « **Réponse #17 le:** 30 mars 2024 à 15:40:33 »

J'ai fait des essais d'installation de Jool dans OpenWrt sous GNS3 pour m'exercer. Cela fonctionne !

basilix · « **Réponse #18 le:** 30 mars 2024 à 17:48:51 »

Code: (/etc/config/network) [Sélectionner]

config device
	option name 'veth1'
	option type 'veth'
	option peer_name 'veth2'
	option macaddr '2a:33:f4:07:ba:c4'
	option peer_macaddr '36:5d:06:b4:4d:21'

config interface 'jool'
	option device 'veth1'
	option proto 'static'
	option ip6addr 'fd00::1/64'
	option ipaddr '192.168.200.1/30'

On peut définir une interface réseau virtuelle avec UCI mais c'est réalisé partiellement. Le périphérique Ethernet virtuel veth2 apparaît dans le même espace de noms réseau que veth1.
Sinon, on aurait pu définir les interfaces dans la configuration UCI network. La configuration des espaces de noms disparaît après un redémarrage du routeur. Par conséquent, il faudrait
idéalement créer un script pour refaire automatiquement la configuration à chaque amorçage.

Certains paramètres peuvent également être spécifiés dans le fichier de configuration de Jool '/etc/jool/jool-nat64.conf.json'.

Code: [Sélectionner]

#opkg update && opkg install kmod-veth ip-full kmod-jool-netfilter jool-tools-netfilter

ip netns add joolns
ip link add veth1 type veth peer name veth2 netns jools

ip link set dev veth1 up
ip addr add 192.168.200.1/30 dev veth1
ip addr add fd00::1/64 dev veth1

ip netns exec joolns ip link set dev lo up
ip netns exec joolns ip link set dev veth2 up

ip netns exec joolns ip addr add dev veth2 192.168.200.2/30
ip netns exec joolns ip addr add fd00::2/64 dev veth2
ip netns exec joolns ip route add default via 192.168.200.1

ip netns exec joolns modprobe jool
ip netns exec joolns jool instance add --netfilter --pool6 64:ff9b::/96
ip netns exec joolns jool global update lowest-ipv6-mtu 1500
ip netns exec joolns jool pool4 add 192.168.200.2 33000-65535 --tcp
ip netns exec joolns jool pool4 add 192.168.200.2 33000-65535 --udp
ip netns exec joolns jool pool4 add 192.168.200.2 33000-65535 --icmp

On peut aussi définir la route vers 64:ff9b::/96 avec la configuration UCI.

Code: (/etc/config/network) [Sélectionner]

config route6 'nat64'
	option interface 'jool'
	option target '64:ff9b::/96'
	option gateway 'fd00::2'

Ou en ligne de commande.

Code: [Sélectionner]

ip -6 route add 64:ff9b::/96 via fd00::2 dev veth1

Enfin, pour finir, ce qui m'a bloqué : configurer le pare-feu en ajoutant par exemple l'interface 'jool' dans la zone LAN du pare-feu.

Code: [Sélectionner]

uci add_list firewall.@zone[0].network='jool'

Code: (/etc/config/firewall) [Sélectionner]

config zone
	option name 'lan'
	list network 'lan'
	list network 'jool'
	option input 'ACCEPT'
	option output 'ACCEPT'
	option forward 'ACCEPT'

basilix · « **Réponse #19 le:** 30 mars 2024 à 18:01:25 »

J'utilise un préfixe local (ULA prefix) au site administratif (ou campus) pour définir l'adresse de veth2. Dans la démo, c'est bien une adresse locale au lien (link-local address) qui est employée.
Mais je n'en connais pas la raison car je ne saisis pas très bien le principe d'emploi des adresses lien-local.

C'est sûrement la table de routage.