Pas de problème, je vais supprimer.

Mais je constate que j'ai d'autres trucs pas cleans du tout en revoyant les règles....

Par exemple ça, je pense que ça fait parti des règles de base que je n'ai pas supprimées.

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'
Après je ne pense pas que ça match vu que j'ai vérifié et "wan" est bien une zone IPv4 only.

Dans le tuto, je remarque que les interfaces s'appellent "wan4" et "wan6" mais les zones c'est "wan" et "wan6", c'est voulu ?

Est- ce que les rules du tuto sont les rules à mettre et en supprimant ce qui est par défaut ?

Voilà ce que j'ai actuellement donc je vais nettoyer les règles incohérentes :


Enfin, je retire source et dest sur la rule :
config rule
        option name 'Allow-DHCPv6'
        option proto 'udp'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'
        option src 'wan6'


Dans le tuto, je remarque que les interfaces s'appellent "wan4" et "wan6" mais les zones c'est "wan" et "wan6", c'est voulu ?

Regarde le fichier fw importé depuis le github, quand tu créés une zone firewall, tu associes l'interface (ligne "list network" ci-dessous), fichier firewall complet ici : https://github.com/ubune/openwrt-livebox/blob/master/22-03/etc%20-%20wan%20name%20interface%20%3D%20eth0/config/firewall
Dans le tuto, la zone wan est associée à à l'interface wan4, et la zone wan6 est associée à l'interface wan6.
Il faut en effet supprimer les règles de base, ou alors simplement remplacer la zone wan par wan6 dans la règle par defaut.

Zone Wan

Code: [Sélectionner]

config zone
option name 'wan'
option output 'ACCEPT'
option family 'ipv4' ## Zone ipv4 only pour ne pas mélanger les règles sur les deux mondes
list network 'wan4'
option forward 'DROP'
option masq '1' ## On remplace l'ip source "privée" des flux sortant sur internet par l'ip publique reçu sur le wan4.
option input 'DROP'
Zone Wan6

Code: [Sélectionner]

config zone
option name 'wan6'
option input 'DROP'
option output 'ACCEPT'
option forward 'DROP'
option family 'ipv6' ## Zone ipv6 only pour ne pas mélanger les règles sur les deux mondes
list network 'wan6'
list device 'eth0.832'


IPv6 PD à nouveau perdu au bout de 7 jours.

Avec ces lignes retirées:
list src_ip 'fc00::/6'
list dest_ip 'fc00::/6'
Voilà les captures du traffic sur le firewall :

@ubune: Pour tester une perte de connexion (c.f. le script checkinternet.sh), il me semble qu'on utiliser Hotplug. Mais je ne sais pas encore comment procéder.

La règle de redirection du trafic WAN6 --> LAN dans le pare-feu est trop permissive.

! Adding the following forwarding rule below will expose ALL IPv6 ports behind a v6 host on the LAN, which is potentially very dangerous. Instead, you should selectively define allow IPv6 firewall rules to avoid this.
The documentation was previously worded in a way that stated this forwarding rule was needed to allow IPv6 traffic to flow properly. This is not true. You do not need to allow wan6 → lan to everything.

Sinon, à propos du changement de CoS, je partage l'opinion de Aize147. Je suis d'avis que tc filter est plus adapté. Idem, je ne sais pas encore comment procéder.

@ubune : Le concept c'est d'appliquer des filtres sur les paquets. Un principe de base en sécurité informatique est d'ajouter diverses protections.
C'est de la défense par obscurité quand on ne cherche pas à exercer un contrôle sur les flux. Ce qui me pose problème c'est que les gens mal
intentionné eux recherchent les failles. Que cela soit difficile ou non en principe, eux, dans la pratique, ils le feront si c'est possible. D'autant plus,
si personne n'y pense, pour que cela devienne imparable ou imperceptible. En tout cas, c'est ma conviction, même si je n'y connais rien.

@ubune : Le concept c'est d'appliquer des filtres sur les paquets. Un principe de base en sécurité informatique est d'ajouter diverses protections.
C'est de la défense par obscurité quand on ne cherche pas à exercer un contrôle sur les flux. Ce qui me pose problème c'est que les gens mal
intentionné eux recherchent les failles. Que cela soit difficile ou non en principe, eux, dans la pratique, ils le feront si c'est possible. D'autant plus,
si personne n'y pense, pour que cela devienne imparable ou imperceptible. En tout cas, c'est ma conviction, même si je n'y connais rien.

@ubune : Le concept c'est d'appliquer des filtres sur les paquets. Un principe de base en sécurité informatique est d'ajouter diverses protections.
C'est de la défense par obscurité quand on ne cherche pas à exercer un contrôle sur les flux. Ce qui me pose problème c'est que les gens mal
intentionné eux recherchent les failles. Que cela soit difficile ou non en principe, eux, dans la pratique, ils le feront si c'est possible. D'autant plus,
si personne n'y pense, pour que cela devienne imparable ou imperceptible. En tout cas, c'est ma conviction, même si je n'y connais rien.

"Le concept c'est d'appliquer des filtres sur les paquets"
Non, le concept du réseau c'est de distribuer des paquets, de permettre la communication entre differents hotes.
Le concept de filtre est un concept de sécurité, il n'apporte rien de plus que de la sécurité.
Le réseau apporte un service.

Tu lances le débat, mais tu sais qu'en contexte pro, je passe mon temps à générer et appliquer des matrices de flux.
Et pourtant, pour avoir vécu différentes attaques/exploitation, je reste convaincu que le plus important c'est de sécuriser le host, pas le chemin.

Donc comme tu dis, le mieux est de faire les deux, c'est ce que je fais au quotidien.

Mais de la à dire, qu'en ipv6, autoriser les flux entrant sur ta box à la maison est "vraiment dangereux" je ne suis pas d'accord.
Le "vraiment dangereux", je le valide sur une machine/serveur ou tu n'appliques pas de politique de fw et/ou que tu ne durcis pas l'accès.