Auteur Sujet: configuration iptables ipv6  (Lu 279 fois)

0 Membres et 1 Invité sur ce sujet

proap

  • Client K-Net
  • *
  • Messages: 298
configuration iptables ipv6
« le: 07 mai 2021 à 13:46:12 »
Bonjour à tous,

Je suis en train de basculer mon infra à la maison en full ipv6 (merci à MilkyWAN pour le tunnel GRE parce que je ne suis pas près d'avoir de l'ipv6 avec mon OI/FAI  ;D Bon, en même temps, on ne m'a pas forcé une migration à CGNAT non plus!)

Je me demande quelle est la meilleure pratique pour ouvrir un port vers un équipement donné. Comme chaque équipement a une ou plusieurs GUA, on facilement le faire au niveau de la table 'FORWARD' en faisant un filtre les bon protocole + ports + interfaces.

Ca marche bien sauf que, en filtrant par interface, quand on ouvre un port, on l'ouvre donc pour tous les clients dans cette interface ce qui n'est pas l'idéal d'un point de vue sécuritaire.
Je pourrais aussi configurer l'IP manuellement mais avec les préfixes qui peuvent changer, la maintenance devient plus compliquée.

Est-ce qu'il y a un consensus sur la meilleure façon d'exposer des services ipv6 sur le WAN ? Un filtrage par DST MAC, peut-être?

merci!

zoc

  • Client Orange Fibre
  • *
  • Messages: 3 446
  • Antibes (06)
configuration iptables ipv6
« Réponse #1 le: 07 mai 2021 à 14:30:11 »
Alors en ce qui me concerne (mes serveurs sont tous sous linux), je fixe les 64 bits de poids faible de mes serveurs (ip token set), et pour le préfixe je laisse mon routeur annoncer (SLAAC) un /64 sur chaque interface (V)LAN de mon routeur (issu du /56 fourni par Orange). Mes serveurs ont donc une "IPv6 fixe" hors éventuel changement de préfixe.

Et coté firewall, je filtre l'adresse destination sur le suffixe:
ip6tables [...] -d ::00XX:1234:5678:9ABC:DEF0/::ff:ffff:ffff:ffff:ffff [...]
En pratique, cette règle ne donne l'accès qu'à une seule machine et "survit" au changement du préfixe. C'est d'ailleurs très pratique parce que j'annonce aussi un préfixe ULA sur mon réseau et du coup cette règle matche à la fois l'adresse GUA et l'adresse ULA.

proap

  • Client K-Net
  • *
  • Messages: 298
configuration iptables ipv6
« Réponse #2 le: 07 mai 2021 à 15:15:43 »
Alors en ce qui me concerne (mes serveurs sont tous sous linux), je fixe les 64 bits de poids faible de mes serveurs (ip token set), et pour le préfixe je laisse mon routeur annoncer (SLAAC) un /64 sur chaque interface (V)LAN de mon routeur (issu du /56 fourni par Orange). Mes serveurs ont donc une "IPv6 fixe" hors éventuel changement de préfixe.

Et coté firewall, je filtre l'adresse destination sur le suffixe:
ip6tables [...] -d ::00XX:1234:5678:9ABC:DEF0/::ff:ffff:ffff:ffff:ffff [...]
En pratique, cette règle ne donne l'accès qu'à une seule machine et "survit" au changement du préfixe. C'est d'ailleurs très pratique parce que j'annonce aussi un préfixe ULA sur mon réseau et du coup cette règle matche à la fois l'adresse GUA et l'adresse ULA.

merci beaucoup zoc, c'est exactement ce que je cherchais  :)
Avec le bonus pour l'ULA que j'utilise également dans mon réseau!!

proap

  • Client K-Net
  • *
  • Messages: 298
configuration iptables ipv6
« Réponse #3 le: 07 mai 2021 à 23:15:53 »
grosse déception: routerOS ne permet pas de mettre des masques en version longue...  :-\