Y a-t-il filtrages (ACL) dans IPv6

Démarré par emmanuel@desvigne.org, 15 Février 2021 à 20:27:03

« précédent - suivant »

0 Membres et 3 Invités sur ce sujet

Bonjour,

J'ai activé IPv6 sur mon routeur K-Net (offre Klassik => Netgear N300). Derrière, j'ai un PC sous linux avec un serveur web (http port 80), qui a son IP v6 routable globalement 2a03:4980:100:bb00:x:x:x:x.

Toutes les machines IPv6 de mon réseau local à la maison arrivent à :

  • faire un "ping 2a03:4980:100:bb00:x:x:x:x" depuis leur IPv6 globale,
  • faire un "telnet 2a03:4980:100:bb00:x:x:x:x 80" => le serveur web est bien accessible.

Par contre, j'ai un VPS sur Internet, qui a lui aussi une adresse IP v6 globale routable. Depuis cette machine, j'arrive bien à :

  • faire un "ping 2a03:4980:100:bb00:x:x:x:x" ==> ça prouve qu'il n'y a aucun problème de routage

Mais par contre, un "telnet 2a03:4980:100:bb00:x:x:x:x 80" échoue !!! Le port 80 ne semble pas ouvert.

D'où ma question : est-ce que K-Net a mis en place des règle de filtrage (type ACL) pour éviter d'exposer nos machines en IPv6 ? Sinon, avez-vous une autre explication ?

Merci++,

E. D.

Bonsoir,

Une box ou routeur ne laissera rien entrer par défaut que ce soit du v4 ou v6, donc la réponse à ta question se trouve dans les ACLs de ton Netgear.

F.

Citation de: Drywan le 15 Février 2021 à 20:43:09
[...]Une box ou routeur ne laissera rien entrer par défaut que ce soit du v4 ou v6, donc la réponse à ta question se trouve dans les ACLs de ton Netgear.

Merci @Drywan, mais alors là, on a un problème : en effet, autant dans l'interfacer de paramétrage K-Net du Netgear, il y a bien un endroit pour paramétrer le "mappage" des ports entrant pour IPv4.
Mais par contre, j'ai fait le tour de tous les menus, il n'y a rien pour permettre le réglage des flux IPv6...

Y a-t-il une solution ? Est-ce un "oubli" dans le firmware K-Net ?

Très cordialement,

E. D.

Pour le netgear, je ne sais pas mais pour l'icotéra, il y a bien un réglage du firewall IPV6.
Offre Pulse, Réseau Covage74, Kbox V2b i4850_1.16.3, routeurs Asus AC52U pour AP et secours, PC Zotac Zbox PI223 et VLC sur K-net en secours.
Up-down : http://uptime.stef.cloudns.cl/
Ping : https://prtg.stef.cloudns.cl/public/mapshow.htm?id=2444&mapid=B942004D-735D-4AE6-BF48-70F7DC5EF8A8

Citation de: Steph le 16 Février 2021 à 12:14:24
Pour le netgear, je ne sais pas mais pour l'icotéra, il y a bien un réglage du firewall IPV6.
Et bien je confirme que dans le Netgear, rien, nada, nothing... Le panel actuel (version 5.6) n'a pas eu de mise à jours depuis le... 11/04/2019.
Et si je remonte le temps, je vois que "Version 5.3, 29/11/2018 : (feature) Le firewall v6 est activé par défaut sur les Icotera."
Ouin sur kes Icotera, mais rien sur les Netgear... :-(

Quoi qu'il en soit, merci++ d'avoir confirmé mon intuition. Très cordialement,

E. D.


Par curiosité, vous pourriez m'envoyer l'adresse IPv6 en question ?

Citation de: emmanuel@desvigne.org le 16 Février 2021 à 13:26:29
Citation de: Steph le 16 Février 2021 à 12:14:24
Pour le netgear, je ne sais pas mais pour l'icotéra, il y a bien un réglage du firewall IPV6.
Et bien je confirme que dans le Netgear, rien, nada, nothing... Le panel actuel (version 5.6) n'a pas eu de mise à jours depuis le... 11/04/2019.
Et si je remonte le temps, je vois que "Version 5.3, 29/11/2018 : (feature) Le firewall v6 est activé par défaut sur les Icotera."
Ouin sur kes Icotera, mais rien sur les Netgear... :-(

Quoi qu'il en soit, merci++ d'avoir confirmé mon intuition. Très cordialement,

E. D.

Sur les Netgears, il est possible de modifier les règles de routage et de pare-feu IPv6 (ip6tables, ip -6, etc...), mais il faut le faire en ligne de commande (activer l'accès telnet)
Cela dit, le routeur risque de remettre à zéro ses règles de temps en temps, donc un firmware du genre Voxel est recommandé (on peut éditer un script qui modifie les règles à chaque fois que le pare-feu est relancé, permettant de toujours avoir ce qu'on veut).

J'ai donc mes propres règles de routage, filtrage, etc... en IPv4 et IPv6.
Abonnement : Covage - Forfait fibre optique 1Gbs (formule AVI)
Routeur : perso ; Netgear R7800, micro logiciel Voxel
Téléphonie : Boîtier SPA112
Télévision : CoreElec - Kodi
Sondes : https://smokeping.brigadoon.fr/
Uptime : https://status.brigadoon.fr/

Citation de: Vincent O le 16 Février 2021 à 18:00:27
Par curiosité, vous pourriez m'envoyer l'adresse IPv6 en question ?
Bien sûr, une des deux @IP routable (celle en /128) est : 2a03:4980:100:bb00::e83e:f918

Très cordialement,

E. D.

Citation de: bOLEMO le 16 Février 2021 à 20:09:40
[...] Sur les Netgears, il est possible de modifier les règles de routage et de pare-feu IPv6 (ip6tables, ip -6, etc...), mais il faut le faire en ligne de commande (activer l'accès telnet)[...]

On peut faire ça sans perdre la garantie ? Idem, pour le changement de firmware ? Je ne savais pas (contrairement à la passerelle téléphonique que j'ai achetée, le routeur est la propriété de K-Net).

En tout cas, merci à tous pour vos pistes... Très cordialement,

E. D.

Citation de: emmanuel@desvigne.org le 16 Février 2021 à 21:46:22
Bien sûr, une des deux @IP routable (celle en /128) est : 2a03:4980:100:bb00::e83e:f918

Je l'ai autorisé à la main pour tester ; j'ai mis dans notre todo list cette fonctionnalité, je ne peux pas donner d'estimation de quand ça sera fait par contre

Citation de: emmanuel@desvigne.org le 16 Février 2021 à 21:49:31
Citation de: bOLEMO le 16 Février 2021 à 20:09:40
[...] Sur les Netgears, il est possible de modifier les règles de routage et de pare-feu IPv6 (ip6tables, ip -6, etc...), mais il faut le faire en ligne de commande (activer l'accès telnet)[...]

On peut faire ça sans perdre la garantie ? Idem, pour le changement de firmware ? Je ne savais pas (contrairement à la passerelle téléphonique que j'ai achetée, le routeur est la propriété de K-Net).

En tout cas, merci à tous pour vos pistes... Très cordialement,

E. D.

Le routeur Netgear que vous mentionnez n'est pas un routeur perso ?
C'est la box K-Net qui est une Netgear ?

Si oui, je ne savais pas que K-Net avait des boxes NG, et dans ce cas, je n'ai aucune idée de ce que vous pouvez faire ou pas, les garantie et firmwares qui peuvent être installés...

Je parlais pour un routeur perso du type R7800, R9000 ou Orbi.
Abonnement : Covage - Forfait fibre optique 1Gbs (formule AVI)
Routeur : perso ; Netgear R7800, micro logiciel Voxel
Téléphonie : Boîtier SPA112
Télévision : CoreElec - Kodi
Sondes : https://smokeping.brigadoon.fr/
Uptime : https://status.brigadoon.fr/


Citation de: Vincent O le 16 Février 2021 à 22:09:24
Je l'ai autorisé à la main pour tester ; j'ai mis dans notre todo list cette fonctionnalité, je ne peux pas donner d'estimation de quand ça sera fait par contre

Bonjour,

Je confirme, ça fonctionne (port bien ouvert). C'est donc bien un filtrage en entrée... Merci pour l'inclusion dans la "todo list". Il ne reste plus qu'à être patient :-)

Très cordialement,

E. D.

Citation de: Hugues le 17 Février 2021 à 01:26:47
Citation de: bOLEMO le 17 Février 2021 à 00:10:24
Si oui, je ne savais pas que K-Net avait des boxes NG
Oui, c'est la Kbox V1 :)
Oui, c'est parce que je suis un vieuuuuuuux client ;-)
Bon après effectivement, je peux remplacer la box v1 K-Net par un routeur perso (j'ai un ou deux Linksys sous DD-WRT => si le besoin devienait pressant, j'essaierai).

En tout cas, merci à tous pour vos lumières :-)

E. D.

Oui, si j'avais bien relu le premier post, j'aurais vu que tu avais précisé N300 et routeur K-Net.
Merci Hugues d'avoir précisé que c'est la première K-Box, je l'ignorais.

Un firmware tiers ne semble donc pas une option ici, et Vincent O. a su trouver rapidement une solution temporaire qui fonctionne, car j'ai fait un Ping vers 2a03:4980:100:bb00::e83e:f918 de chez moi et ça répond  :)
Abonnement : Covage - Forfait fibre optique 1Gbs (formule AVI)
Routeur : perso ; Netgear R7800, micro logiciel Voxel
Téléphonie : Boîtier SPA112
Télévision : CoreElec - Kodi
Sondes : https://smokeping.brigadoon.fr/
Uptime : https://status.brigadoon.fr/