Pages: 1 ... 39 40 41 42 43 [44] 45 46 47 48 49 ... 71   En bas

Auteur Sujet: Actualités IPV6 Orange  (Lu 365461 fois)

0 Membres et 1 Invité sur ce sujet

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
Actualités IPV6 Orange
« Réponse #516 le: 26 février 2016 à 16:34:00 »
Citation de: alteadev le 26 février 2016 à 11:34:59
Plus de NAT, mais un pare-feu à configurer pour l'ipv6. (Voir la configuration Ouverture de port(s) dans le firewall IPv6)

Votre Livebox par défaut protège vos équipements locaux en entrée et laisse passer leur flux sortant.
Donc pas de panique ;-)
Citation de: alteadev le 26 février 2016 à 15:30:25
oui le pare-feu ipv6 de la Livebox bloque par défaut les connexions entrantes.
À moitié vrai/faux!
Attention, la LiveBox ouvre des ports par défaut en bidirectionnel.
J'ai fait de nombreux tests pour le démontrer (dont le test de neutralité de Vivien qui initie tous depuis l'ordi, donc en sortant normalement, mais avec des blocages si je n'ouvrais pas entièrement les pare-feu de la LiveBox).
Les ports ouverts par défauts sont les mêmes en IPv4 et IPv6.
Mais ce sont 2 pare-feu différents... avec 2 philos différentes:
- IPv4: on peut choisir la direction de l'ouverture (cool)
- IPv6, c'est de l'ouverture bidirectionnelle! (beurk)

J'ai marre de me répéter sur la liste par défaut des ports. Vous la trouverez facilement en mettant le pare-feu sur "personnaliser" (ou un truc du genre, je ne suis pas chez moi là, et pas avec une LiveBox durant ce temps ailleurs). Edit: astuce sur la partie IPv4.
IP archivée

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 103
  • Paris (75)
Actualités IPV6 Orange
« Réponse #517 le: 26 février 2016 à 16:39:44 »
Citation de: turold le 26 février 2016 à 16:34:00
À moitié vrai/faux!
Attention, la LiveBox ouvre des ports par défaut en bidirectionnel.
J'ai fait de nombreux tests pour le démontrer (dont le test de neutralité de Vivien qui initie tous depuis l'ordi, donc en sortant normalement, mais avec des blocages si je n'ouvrais pas entièrement les pare-feu de la LiveBox).
Les ports ouverts par défauts sont les mêmes en IPv4 et IPv6.
Mais ce sont 2 pare-feu différents... avec 2 philos différentes:
- IPv4: on peut choisir la direction de l'ouverture (cool)
- IPv6, c'est de l'ouverture bidirectionnelle! (beurk)

J'ai marre de me répéter sur la liste par défaut des ports. Vous la trouverez facilement en mettant le pare-feu sur "personnaliser" (ou un truc du genre, je ne suis pas chez moi là, et pas avec une LiveBox durant ce temps ailleurs).

Tu confond un peu l'ouverture de port et le 'tracking des connexions sortantes' (conntrack).

IP archivée

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
Actualités IPV6 Orange
« Réponse #518 le: 26 février 2016 à 16:43:41 »
Citation de: kgersen le 26 février 2016 à 16:39:44
Tu confond un peu l'ouverture de port et le 'tracking des connexions sortantes' (conntrack).
Alors explique!

L'outil de Vivien n'est pas un navigateur.
Seul le pare-feu de la LB bloquait, car en ouvrant tout dedans, pas de soucis dans son test...

Et le port 8080 est bloqué en sortie aussi, car sans rien ouvrir dans la LB, impossible de jouer à Aion. Son ouverture dans la LB règle ce souci!
IP archivée

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
Actualités IPV6 Orange
« Réponse #519 le: 26 février 2016 à 16:56:10 »
Et si je suis con, alors pourquoi la règle suivante, dans le pare-feu IPv4 de la LiveBox, règle tous les soucis de non-communication sur la plupart des ports qui ne sont pas par défaut dans le pare-feu, initié par l'ordi?

Partie IPv4:
allsortieall (nom que je donne, mais c'est comme on veut ici)
les deux
192.168.1.0 (source)
255.255.255.0 (source)
(laisser vide pour les ports)
accepter

J'ouvre seulement les ports dans le sens LAN->Internet.
Pourquoi donner cette possibilité de direction, dans les règles de pare-feu IPv4 dans la LiveBox,  si tout est ouvert par défaut????
IP archivée

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 103
  • Paris (75)
Actualités IPV6 Orange
« Réponse #520 le: 26 février 2016 à 17:13:09 »
Citation de: turold le 26 février 2016 à 16:43:41
L'outil de Vivien n'est pas un navigateur.
Seul le pare-feu de la LB bloquait, car en ouvrant tout dedans, pas de soucis dans son test...
Et le port 8080 est bloqué en sortie aussi, car sans rien ouvrir dans la LB, impossible de jouer à Aion. Son ouverture dans la LB règle ce souci!

tu parles de ca : https://lafibre.info/tester-son-debit/test-neutralite/ ?
ca utilise curl donc c'est exactement comme si on utilisait un navigateur. y'a rien de plus.

en mode par défaut, firewall sur 'moyen', la livebox ne bloque que les ports 'dangereux' en sortie (partage de fichier windows).

voici les tables (extraites directement d'un livebox):

Code: [Sélectionner]

-A FORWARD_L_Low -p tcp -m tcp --dport 135 -j REJECT --reject-with tcp-reset
-A FORWARD_L_Low -p udp -m udp --dport 135 -j REJECT
-A FORWARD_L_Low -p tcp -m tcp --dport 137:139 -j REJECT --reject-with tcp-reset
-A FORWARD_L_Low -p udp -m udp --dport 137:139 -j REJECT
-A FORWARD_L_Low -p tcp -m tcp --dport 445 -j REJECT --reject-with tcp-reset
-A FORWARD_L_Low -p udp -m udp --dport 445 -j REJECT
-A FORWARD_L_Low -j ACCEPT

-A FORWARD_L_Medium -m state --state RELATED,ESTABLISHED -j ACCEPT

apre si t'es en mode 'élevé' c'est normal car t'es limité a ca en sortie:

Code: [Sélectionner]
-A FORWARD_L_High -p tcp -m tcp --dport 20 -j ACCEPT
-A FORWARD_L_High -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD_L_High -p udp -m udp --dport 20 -j ACCEPT
-A FORWARD_L_High -p udp -m udp --dport 21 -j ACCEPT
-A FORWARD_L_High -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD_L_High -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD_L_High -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD_L_High -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD_L_High -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD_L_High -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD_L_High -p tcp -m tcp --dport 119 -j ACCEPT
-A FORWARD_L_High -p udp -m udp --dport 123 -j ACCEPT
-A FORWARD_L_High -p tcp -m tcp --dport 143 -j ACCEPT
-A FORWARD_L_High -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD_L_High -p udp -m udp --dport 500 -j ACCEPT
-A FORWARD_L_High -p tcp -m tcp --dport 563 -j ACCEPT
-A FORWARD_L_High -p tcp -m tcp --dport 587 -j ACCEPT
-A FORWARD_L_High -p tcp -m tcp --dport 993 -j ACCEPT
-A FORWARD_L_High -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD_L_High -p udp -m udp --dport 3478 -j ACCEPT
-A FORWARD_L_High -p udp -m udp --dport 4500 -j ACCEPT
-A FORWARD_L_High -p tcp -m tcp --dport 30000 -j ACCEPT
-A FORWARD_L_High -p tcp -m tcp --dport 30100 -j ACCEPT
-A FORWARD_L_High -p tcp -m tcp --dport 6666 -j REJECT --reject-with tcp-reset
-A FORWARD_L_High -p tcp -m tcp --dport 6667 -j REJECT --reject-with tcp-reset
-A FORWARD_L_High -p icmp -j ACCEPT
IP archivée

claudomir

  • Abonné Free fibre
  • *
  • Messages: 7
  • Quimper (29000)
Actualités IPV6 Orange
« Réponse #521 le: 26 février 2016 à 17:23:24 »
Passage en IPV6 chez moi à Quimper aujourd'hui....
IP archivée

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
Actualités IPV6 Orange
« Réponse #522 le: 26 février 2016 à 17:37:23 »
Cette LB me donne des cheveux blancs!

Donc, quand on se met en mode "perso", le pare-feu se met en élevé dans le même temps?
Possible... car après on est censé mettre les règles que l'on veut.

D'ailleurs, dès qu'on a ce genre de souci, même pour un seul port, j'avais demandé de l'aide au 3900 au début. Réponse de leur part? "Mettez votre ordinateur en DMZ."
...
Dois-je en rire ou en pleurer?

Pour les ports dangereux, je verrais du coup si je mets des règles de rejet en sortie, en gardant l'autre. Je crois que la priorité est comme cela (de la plus haute à la plus basse), à vérifier:
- rejet perso
- autorisation perso
- règle par défaut visible en mode perso (uniquement dans ce mode, et apparemet aussi en élevé)
- règle par défaut non-visible

J'avais testé les choses suivantes, mais, rien changeait:
- appliquer d'abord le mode faible, puis se mettre en mode perso
- appliquer d'abord le mode moyen, puis se mettre en mode perso
- appliquer d'abord le mode élevé, puis se mettre en mode perso*

Et vu ta 2ème liste, Kgersen, je pense que la LiveBox fait automatiquement comme *ceci pour le mode perso. Heureusement que j'ai trouvé l'astuce pour tout autorisé en sortie, du LAN entier, en une seule règle.^^

Du coup, désormais, quand je continuerai à répéter cette histoire de ports en sortie, faut que j'ajoute que c'est uniquement dans les modes élevé et perso.
IP archivée

vivien

  • Administrateur
  • *
  • Messages: 47 283
    • Twitter LaFibre.info
Actualités IPV6 Orange
« Réponse #523 le: 26 février 2016 à 19:25:27 »
L'option IPv6 est maintenant activée par défaut ou il faut toujours que le client active IPv6 dans sa livebox ?

(Pour une utilisation massive, il faudrait une activation par défaut)
IP archivée

nscheffer

  • Abonné Orange Fibre
  • *
  • Messages: 432
  • Chavenay (78)
Actualités IPV6 Orange
« Réponse #524 le: 26 février 2016 à 19:27:31 »
Dans mon cas au Chesnay 78, activation cette semaine et par défaut.
IP archivée

toshopp

  • Abonné Orange Fibre
  • *
  • Messages: 196
  • FTTH Sosh 300/300 - St Cloud (92)
Actualités IPV6 Orange
« Réponse #525 le: 26 février 2016 à 19:28:13 »
L'activation est par défaut!  ;)
IP archivée

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
Actualités IPV6 Orange
« Réponse #526 le: 26 février 2016 à 19:32:51 »
Citation de: vivien le 26 février 2016 à 19:25:27
L'option IPv6 est maintenant activée par défaut

Sûrement, vu le trafic important qui se dégage des plages FBN v6 (tout est dans 2a01:cb* / *.ipv6.abo.wanadoo.fr) par rapport aux plages v4 (LFbn-*.abo.wanadoo.fr) vu de sources publiques telles que les contributions Wikipédia, et ce dès les heures qui suivent l'activation d'une zone.
IP archivée

alteadev

  • Abonné Orange Fibre
  • *
  • Messages: 6
  • Le Chesnay 78
Actualités IPV6 Orange
« Réponse #527 le: 26 février 2016 à 19:36:16 »
Citation de: turold le 26 février 2016 à 16:34:00
À moitié vrai/faux!
Attention, la LiveBox ouvre des ports par défaut en bidirectionnel.
J'ai fait de nombreux tests pour le démontrer (dont le test de neutralité de Vivien qui initie tous depuis l'ordi, donc en sortant normalement, mais avec des blocages si je n'ouvrais pas entièrement les pare-feu de la LiveBox).
Les ports ouverts par défauts sont les mêmes en IPv4 et IPv6.
Mais ce sont 2 pare-feu différents... avec 2 philos différentes:
- IPv4: on peut choisir la direction de l'ouverture (cool)
- IPv6, c'est de l'ouverture bidirectionnelle! (beurk)

J'ai marre de me répéter sur la liste par défaut des ports. Vous la trouverez facilement en mettant le pare-feu sur "personnaliser" (ou un truc du genre, je ne suis pas chez moi là, et pas avec une LiveBox durant ce temps ailleurs). Edit: astuce sur la partie IPv4.

Je ne remets pas en cause vos affirmations mais dans ma configuration :

OS X 10.11 - plein de ports ouverts sur mon Mac (UDP ou TCP ...) ( sudo lsof -i -nP pour avoir la liste par processus )

j'ai effectué un nmap -6 TCP/UDP sur les 65535 ports de mon adresse ipv6, pare-feu ipv6 de ma Livebox actif, à partir d'un serveur dédié sous Ubuntu :

aucun port ouvert détecté

Le même scan en ipv4 découvre les ports que j'ai ouverts volontairement (NAT ipv4)

J'ai donc confiance dans le pare-feu ipv6 de ma livebox et de toute façon il n'y a pas de virus sur Mac ;-)
IP archivée
Pages: 1 ... 39 40 41 42 43 [44] 45 46 47 48 49 ... 71   En haut