Y a-t-il filtrages (ACL) dans IPv6

Démarré par emmanuel@desvigne.org, 15 Février 2021 à 20:27:03

« précédent - suivant »

0 Membres et 3 Invités sur ce sujet

Citation de: bOLEMO le 17 Février 2021 à 12:16:53
[...]car j'ai fait un Ping vers 2a03:4980:100:bb00::e83e:f918 de chez moi et ça répond  :)

Ah mais le ping répondait de base (c'est surtout ça qui m'a étonné). Mais les ports (TCP/80 en l'occurrence) étaient fermés. Mais là c'est bon.

Très cordialement,

E. D.

Citation de: emmanuel@desvigne.org le 17 Février 2021 à 12:24:26
Citation de: bOLEMO le 17 Février 2021 à 12:16:53
[...]car j'ai fait un Ping vers 2a03:4980:100:bb00::e83e:f918 de chez moi et ça répond  :)

Ah mais le ping répondait de base (c'est surtout ça qui m'a étonné). Mais les ports (TCP/80 en l'occurrence) étaient fermés. Mais là c'est bon.

Très cordialement,

E. D.

Non, c'est logique en fait.
La table de routage IPv6 (ip6tables) laissait passer les paquets ICMP (ping) entre le WAN et le LAN, mais bloquait les paquets UDP et TCP (soit en général, soit sur certains ports spécifiques comme le 80).
Le blocage n'était certainement effectué que pour les paquets entrants non attendus (contrairement à ceux qui viennent en réponse à une requête depuis le LAN, comme la consultation d'un site web).

C'est une règle de pare-feu classique et souhaitable, tant qu'on peut autoriser certains protocoles/ports (ce dont tu avais besoin).

Pour le ping WAN vers LAN IPv6, les bloquer ou non est un choix personnel. Si K-Net révise leur panneau d'administration, ce serait bien d'ajouter cette option si elle n'existe pas (je ne connais rien de ce panneau puisque je n'ai jamais eu de K-Box).
Abonnement : Covage - Forfait fibre optique 1Gbs (formule AVI)
Routeur : perso ; Netgear R7800, micro logiciel Voxel
Téléphonie : Boîtier SPA112
Télévision : CoreElec - Kodi
Sondes : https://smokeping.brigadoon.fr/
Uptime : https://status.brigadoon.fr/

Yo,

Non, vous ne devriez pas laisser la possibilité de désactiver ICMPv6, car contrairement à IPv4, ICMPv6 est très très important pour le bon fonctionnement de IPv6 (ND, RA,  multicast, + err, info)

#18
Le menu frugal IPv6 de la k-box (edit : V2 Icotéra)

Offre Pulse, Réseau Covage74, Kbox V2b i4850_1.16.3, routeurs Asus AC52U pour AP et secours, PC Zotac Zbox PI223 et VLC sur K-net en secours.
Up-down : http://uptime.stef.cloudns.cl/
Ping : https://prtg.stef.cloudns.cl/public/mapshow.htm?id=2444&mapid=B942004D-735D-4AE6-BF48-70F7DC5EF8A8

Citation de: Steph le 17 Février 2021 à 14:24:56
Le menu frugal IPv6 de la k-box

Cette option/menu manque justement pour les V1

Citation de: dge le 17 Février 2021 à 14:20:50
Yo,

Non, vous ne devriez pas laisser la possibilité de désactiver ICMPv6, car contrairement à IPv4, ICMPv6 est très très important pour le bon fonctionnement de IPv6 (ND, RA,  multicast, + err, info)

Oui, je ne pensais pas à tous les types d'ICMPv6, mais seulement les requêtes pings (type 128 et 129) par example.
Après, en effet, mieux vaut laisser cela tranquille pour les K-Box, car les personnes voulant faire un réglage pointu ou spécifique ont probablement déjà un routeur perso...
Abonnement : Covage - Forfait fibre optique 1Gbs (formule AVI)
Routeur : perso ; Netgear R7800, micro logiciel Voxel
Téléphonie : Boîtier SPA112
Télévision : CoreElec - Kodi
Sondes : https://smokeping.brigadoon.fr/
Uptime : https://status.brigadoon.fr/