donc je peux faire ça ?

rule 100 {
     action accept
     description webserver
     destination {
         address 2a01:cb19:8135:XX:XX:XX:XX:XX <- direct l'ip de la machine , pour éviter d'ouvrir les port de toutes les machines
         port 21,20,80,443,9090,40110-40210
     }
     log disable
     protocol tcp
 }

Je m'en doutais un peu. 

En fait apparemment on peut fixer le suffixe sous Linux (je viens de trouver cet article).

https://docs.fedoraproject.org/en-US/Fedora/21/html/Networking_Guide/sec-Configuring_IPv6_Tokenized_Interface_Identifiers.html

Une adresse IPv6, c'est 128 bits: AAAA:BBBB:CCCC:DDDD:EEEE:FFFF:GGGG:HHHH.

Les 64 derniers bits, c'est EEEE:FFFF:GGGG:HHHH, la partie qui ne changera pas même si le préfixe change.

Pour ce qui concerne le DNS, moi j'ai un script qui va modifier mes enregistrements IPv6 (mes zone DNS sont hébergés chez Cloudflare, principalement pour avoir du DNSSEC sans avoir à me faire chier...) quand mon préfixe change...

::20c:29ff:fe3e:eba7/::ffff:ffff:ffff:ffff

Je ne sais pas si tu peux avoir à la fois une liste et une plage de ports. Si le routeur rejette, alors il faudra créer une "rule" supplèmentaire.

Ok, donc en fait l'ERL ne répond pas aux requêtes NS (Neighbor Solicitation) de Windows alors qu'il devrait...

La question en suspend: Pourquoi il répond à celles de macOS et Linux 

J'ai avancé un peu sur ce problème, et il s'avère en pratique que le problème est que les Neighbor Solicitations envoyés en multicast par Windows n'obtiennent jamais de réponse du routeur. Linux & macOS envoient leurs NS en Unicast et là pas de problème.

Accessoirement, sur mon ERL, avec tcpdump, je ne vois même pas arriver les NS en multicast, alors que c'est bon pour les NS en unicast... Donc 2 possibilités:

• Ils sont filtrés en amont. J'ai un EdgeSwitch qui est un peu capricieux avec le multicast...
• Ils sont filtrés sur l'ERL avant d'arriver jusqu'à tcpdump (je ne sais pas si c'est possible)

Quoi qu'il en soit, pour l'instant je sèche... Si quelqu'un à une idée...

Le problème est le même pour les RS (Router Solicitation).

Edit: Les paquets ICMP6 en multicast sont bien visibles sur les autres ports du switch, ce qui semble l'innocenter... Je sens le bug de l'offload en IPv6 sur l'ERL...

Je ne pense pas. Si c'était le cas je ne verrais pas les paquets sur les autres ports du switchs. En fait il n'y a que sur l'ERL que je ne les vois pas, et c'est une preuve tangible qu'ils sont offloadés (le traffic offloadé n'est pas visible avec tcpdump). Ce qui est certain c'est qu'ils n'ont jamais de réponse...


Faudra que je désactive l'offload IPv6 pour voir si ça change quelque chose... Mais je suis quand même surpris de ne rien trouver de similaire sur le forum d'ubnt...