Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1745 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  IPv6 - nat ? - 6to4/4to6

 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Précédente
Auteur Sujet :

IPv6 - nat ? - 6to4/4to6

n°66732
meunique
Vous aussi, devenez fan!
Posté le 27-04-2010 à 14:40:38  profilanswer
 

Bonjour,
 
Avec le soucis de me préparer d'ici 2012 à une migration en IPv6 je me pose plusieurs questions..  
 
Bien sûr, toutes mes questions n'ont raison d'être que si on considère que le web est en IPv6..  :sarcastic:  
 
1) Une fois l'IPv6 mis en oeuvre, qu'en devient-il du NAT? Il avait été initialement conçu pour contourner la saturation de IPv4 et n'a donc plus aucune utilité avec l'IPv6. 128 bits dans une adresse, ça fait plusieurs millions de milliard.. Du coup, si il n'y a plus de NAT la sécurité s'en trouve (logiquement ?) amoindrie.. (Si chaque personne d'une entreprise sort sur le net son adresse IPv6, ça peut ouvrir de nombreuses portes...) à moins bien sûr qu'il existe des routeur NAT IPv6, mais la notion de publique et privée n'étant plus d'actualité en IPv6, je peine à bien visualiser la chose..
 
2) Je sais qu'il existe des routeurs avec un système d'encapsulation 6to4. Et qu'un système semblable est déjà mis en place pour les abonnés de chez free qui ont activé l'IPv6 (Le 6rd). Je comprends d'ailleurs théoriquement qu'une IPv6 puisse se "faire passer" pour de l'IPv4 bien qu'il reste quand même en IPv6. Mais question porte sur le contraire, à savoir le 4to6. Dans un soucis de devoir renouvellement tout le matériel réseau non compatible IPv6, je m'étais d'abord dis qu'il suffirait d'acheter un routeur capable de faire du 4to6, puis en y réfléchissant .. ça me parait techniquement impossible car en gardant la logique du 6to4, l'IPv4 restera IPv4 même si il arriverait hypothétiquement à se faire passer pour du Ipv6..
 
Ma deuxième question est donc: Le 4to6 est-il possible ? Si non, Pourquoi ?
 
-------------
 
Ma principale crainte repose sur la sécurité en cas d'absence du NAT ou d'un système similaire...

Message cité 1 fois
Message édité par Krapaud le 27-04-2010 à 14:44:40

---------------
Meunique was here!
mood
Publicité
Posté le 27-04-2010 à 14:40:38  profilanswer
 

n°66734
Je@nb
Modérateur
Kindly give dime
Posté le 27-04-2010 à 14:46:45  profilanswer
 

1/ Pas de nat, les firewall existent et sont fait pour ça. C'était comme ça aussi avant l'invention du nat
 
2/ l'ipv6 se fait pas passer pour de l'ipv4, c'est de l'encapsulation et l'ipv6 (le préfixe) est calculé à partir de l'ipv4. Le contraire me parait pas facilement possible ... (va contenir 128 bit dans 32 ...). Par contre des tunnels 4over6 existeront surement pour qq applications

n°66735
meunique
Vous aussi, devenez fan!
Posté le 27-04-2010 à 15:04:42  profilanswer
 

Merci pour ta réponse.. ! :)
 
Le firewall d'accord, mais l'utilisation d'un firewall + nat, c'est tout de même mieux qu'une simple utilisation d'un firewall.. (Surtout que pour les particuliers, le firewall + IPv6 risque de devenir un vrai casse-tête et au final de ne pas avoir des règles optimisées)
 
Pour le terme d'encapsulation oui, j'avais compris mais j'ai du mal à l'expliquer à l'écrit :)  
 
Donc le 4to6, tu as mis le doigt ce que je cherchais depuis longtemps .. du 128 dans du 32! ça parait bête mais cette quantification banale m'éclaire beaucoup.. c'était pourtant pas dur à "trouver".. :p Mais quand tu parles de tunnels 4over6 pour quelques applications, tu penses à quoi exactement ?
 
ll ne sera donc pas possible de faire un nat de v4 à v6 pour les réseaux privés.. :(

Message cité 1 fois
Message édité par meunique le 27-04-2010 à 15:09:22

---------------
Meunique was here!
n°66753
BMenez
Posté le 27-04-2010 à 21:27:25  profilanswer
 

meunique a écrit :

si il n'y a plus de NAT la sécurité s'en trouve (logiquement ?) amoindrie.. (Si chaque personne d'une entreprise sort sur le net son adresse IPv6, ça peut ouvrir de nombreuses portes...)


 
Pas forcément, il faut juste configurer le pare-feu correctement.
Le monde de la sécurité informatique nous prouve que le NAT ne constitue pas une protection en soi.
 

meunique a écrit :

à moins bien sûr qu'il existe des routeur NAT IPv6


 
Fais une recherche sur NAT66, c'est encore un draft mais ça prouve que quelqu'un travaille dans ce sens.
 

meunique a écrit :

mais la notion de publique et privée n'étant plus d'actualité en IPv6


 
Il existe un préfixe non-routable (adresses locales : fe80:: /10) qui peut donc être apparenté aux adresses privées.
 

meunique a écrit :

Ma deuxième question est donc: Le 4to6 est-il possible ? Si non, Pourquoi ?


 
C'est quelque chose comme les passerelles SixXS (http://www.sixxs.net/tools/gateway/) que tu cherches ? L'intérêt n'est vraiment pas immédiat...
 

meunique a écrit :

Ma principale crainte repose sur la sécurité en cas d'absence du NAT ou d'un système similaire...


 
NAT = pare-feu à état + bricolage pour changement d'IP source.
Donc tu auras un pare-feu à état sur ton réseau, c'est un faux problème.
 

meunique a écrit :

Surtout que pour les particuliers, le firewall + IPv6 risque de devenir un vrai casse-tête et au final de ne pas avoir des règles optimisées


 
Mais c'est le job des constructeurs de faire quelque chose d'utilisable par le lambda. Ils ont bien réussi à faire croire que le NAT c'est cool, y a pas de raison qu'il n'arrive pas à faire quelque chose de plus simple.


Message édité par BMenez le 27-04-2010 à 21:28:23
n°66754
Je@nb
Modérateur
Kindly give dime
Posté le 27-04-2010 à 21:30:30  profilanswer
 

Surtout que c'est pas très dur.
Au lieu d'avoir du nat tu mets une règle de firewall "toute connexion entrante à l'état new ==> drop".
 
Au lieu de donner à l'utilisateur des règles nat, tu auras des règles pour autoriser tel port sur telle ip (avec l'ipv6 calculé à partir de l'adresse mac dans le cas de l'ethernet/wifi)

n°66757
meunique
Vous aussi, devenez fan!
Posté le 28-04-2010 à 00:25:27  profilanswer
 

comme ça, ça à l'air facile ...  
 
J'attends de voir en pratique, c'est toujours une autre paire de manche! ^^
 
Ma seule crainte pour la NAT et la "sécurité", c'est de sortir avec l'ipv6 du poste et non pas du routeur, mais apparemment y'a plein de choses en développement .. ;)


---------------
Meunique was here!
n°66761
BMenez
Posté le 28-04-2010 à 08:36:13  profilanswer
 

meunique a écrit :

Ma seule crainte pour la NAT et la "sécurité", c'est de sortir avec l'ipv6 du poste et non pas du routeur


 
Est-ce que tu peux être plus précis sur ce point ? Quel est ta crainte ?

n°66762
meunique
Vous aussi, devenez fan!
Posté le 28-04-2010 à 09:12:47  profilanswer
 

Bah, dans un cas extrême de se faire attaquer directement sur le poste, et non sur le routeur.. Mais encore une fois, c'est difficile de visualiser quelque chose qui n'a encore jamais été mis en oeuvre ..  
 
Ce sont justes des craintes, d'ici 2 ans, des centaines de solutions seront peut-être là pour sortir avec l'ip du routeur ..
 
Même au niveau des FAI, ils n'auront plus à gérer les IP.. Du coup, pour des services genre Direct Access, c'est le bazar!
 
Aussi, une petite chose: l'ipv6 est générée à partir de l'adresse mac, est-ce que ça veut dire qu'une ipv6 sera fixe ? où est-ce qu'une seule partie de l'adresse ip sera fixe ?

Message cité 2 fois
Message édité par meunique le 28-04-2010 à 09:40:49

---------------
Meunique was here!
n°66763
Je@nb
Modérateur
Kindly give dime
Posté le 28-04-2010 à 09:43:31  profilanswer
 

Ca sert surtout à rien de sortir avec l'ip du routeur au contraire c'est une plaie.
 
Vaut mieux assurer la sécu de bout en bout, fw sur le poste, sur le routeur de sortie etc.
 
Et direct access je vois pas en quoi se serait le bazar :/

n°66764
Je@nb
Modérateur
Kindly give dime
Posté le 28-04-2010 à 09:49:53  profilanswer
 

meunique a écrit :


Aussi, une petite chose: l'ipv6 est générée à partir de l'adresse mac, est-ce que ça veut dire qu'une ipv6 sera fixe ? où est-ce qu'une seule partie de l'adresse ip sera fixe ?


 
 
faut pas faire d'édit qd qqn répond entre temps :D.
 
Tu auras une ipv6 statique générée à partir de ton adresse mac oui, utilisée pour tous les softs type serveurs et une ipv6 temporaire utilisée pour les connexions sortantes pdt xx heures.
 
Tant qu'un socket existe sur cette ip elle reste sinon elle est obsolète

mood
Publicité
Posté le 28-04-2010 à 09:49:53  profilanswer
 

n°66767
meunique
Vous aussi, devenez fan!
Posté le 28-04-2010 à 09:57:58  profilanswer
 

Citation :

Ca sert surtout à rien de sortir avec l'ip du routeur au contraire c'est une plaie.


Disons que je préfère que chaque poste sorte sur internet avec l'adresse IP du routeur plutôt qu'avec leur propre ip.. ça évite de divulger l'ip de son propre poste sur internet, mais oui avec un fw, il n'y aura aucun problème..  
Seulement en administration avec 1200 postes, réparti sur plus de 50 sites, c'est une autre paire de manche et un travail considérable..
 
en ipv4, j'ai un fw sur un gros routeur (je vulgarise la chose).. en ipv6 ça implique de le mettre sur chaque poste :(
 
 

Citation :

Et direct access je vois pas en quoi se serait le bazar :/


En faite, le truc qui me chiffone, c'est ce système d'adresse générée grace à l'adresse MAC..  
Pour DA il faut 2 ip qui se suivent, dans la même dizaine et qui sont donc fournies par le FAI.
Avec l'ipv6, il n'y aura plus d'adresse IP fournie par les FAI (je me trompe ?) => car générée avec @mac  :pt1cable:  
 
Donc est-ce que les ipv6 sont bien générées par adresse MAC?  
Sont-elles fixes (je ne pense pas, mais si générées par adresses mac ça implique qu'il y a une partie de l'ip qui sera fixe) ?
Y aura t-il encore cette notion d'achat d'adresse IP (par exemple pour un service comme DA) ?
Les FAI's ne s'occuperont plus de la partie IP? ou alors est-ce qu'ils auraient une plage d'ip qui consiste à completer la seconde partie de l'adresse IP ? La première étant définie par notre adresse MAC ?  
 
Désolé de poser toutes ces questions, mais il existe pas grand chose de concis sur internet, je veux pas être pris de cour^t  ;)
 

Citation :

Tu auras une ipv6 statique générée à partir de ton adresse mac oui, utilisée pour tous les softs type serveurs et une ipv6 temporaire utilisée pour les connexions sortantes pdt xx heures.  


 
Ahh, d'accord... Donc un poste n'aura pas une mais deux adresse ip en quelque sorte? Une pour sortir, et une autre pour "se faire contacter" ? /:

Message cité 1 fois
Message édité par meunique le 28-04-2010 à 10:04:53

---------------
Meunique was here!
n°66769
BMenez
Posté le 28-04-2010 à 10:14:15  profilanswer
 

meunique a écrit :

Bah, dans un cas extrême de se faire attaquer directement sur le poste, et non sur le routeur.. Mais encore une fois, c'est difficile de visualiser quelque chose qui n'a encore jamais été mis en oeuvre ..  
Ce sont justes des craintes, d'ici 2 ans, des centaines de solutions seront peut-être là pour sortir avec l'ip du routeur ..


 
Le NAT n'a pas empêché les attaques de postes.
 

meunique a écrit :

Aussi, une petite chose: l'ipv6 est générée à partir de l'adresse mac, est-ce que ça veut dire qu'une ipv6 sera fixe ? où est-ce qu'une seule partie de l'adresse ip sera fixe ?


 
Il y a une partie fixe (préfixe qui assigné par le FAI) suivie de l'identifiant : fixe (si configurée manuellement/attribuée par DHCP ou dérivée de l'adresse MAC) ou dynamique (depuis Vista, les adresses IPv6 sont générées aléatoirement)

n°66770
BMenez
Posté le 28-04-2010 à 10:19:34  profilanswer
 

[quotemsg=66767,11,796218]ça évite de divulger l'ip de son propre poste sur internet[/quote]
 
Un point en faveur du NAT qui n'a aucun intérêt à part donner un faux sentiment d'intimité.
(sauf à utiliser frauduleusement un accès mais c'est une autre histoire)
 
[quotemsg=66767,11,796218]en ipv4, j'ai un fw sur un gros routeur (je vulgarise la chose).. en ipv6 ça implique de le mettre sur chaque poste :([/quote]
 
Même chose en v6, un routeur de tête qui filtre les accès. Le filtrage sur chaque poste est de toute façon une "bonne pratique".


Message édité par BMenez le 28-04-2010 à 10:21:14
n°66771
meunique
Vous aussi, devenez fan!
Posté le 28-04-2010 à 10:25:10  profilanswer
 

oui maintenant que j'ai appris qu'il y a 2 adresses ip à proprement dit, c'est déjà plus clair...
 
Quid pour les services comme DA ?


---------------
Meunique was here!
n°66772
Je@nb
Modérateur
Kindly give dime
Posté le 28-04-2010 à 10:43:55  profilanswer
 

DA permet justement de donner une connectivité bout à bout entre les pc n'importe où qu'ils soient.
 
IPv6 proposant ça nativement, il devient inutile. DA permet jsutement de fournir une connectivité aux ordi en IPv4.

n°66773
meunique
Vous aussi, devenez fan!
Posté le 28-04-2010 à 11:03:10  profilanswer
 

Han bah voila.. l'ipv6 c'est bien en faite, j'ai juste mis des trucs en place qui seront obselète dans 2 ans.


---------------
Meunique was here!
n°66775
BMenez
Posté le 28-04-2010 à 11:04:55  profilanswer
 

meunique a écrit :

Han bah voila.. l'ipv6 c'est bien en faite, j'ai juste mis des trucs en place qui seront obselète dans 2 ans.


 
Pas sûr que dans 2 ans tout le réseau soit IPv6-ready, ça servira toujours ;)

n°66776
Je@nb
Modérateur
Kindly give dime
Posté le 28-04-2010 à 11:08:44  profilanswer
 

+1

n°66777
meunique
Vous aussi, devenez fan!
Posté le 28-04-2010 à 11:11:18  profilanswer
 

Oui enfin bon, le but c'est que en 2012 on soit passé en ipv6 ^^ donc bon, mes craintes sur les réseaux privés sont un petit peu estompé, étant donné que la plupart de nos serveurs IBM sont déjà compatible IPv6, financièrement ça serait pas trop lourd ..
 
on va aller se casser la tête avec les plan d'adressages, c'est tout! :D
 
Pis de toute façon, le 6to4 étant moins compliqué que le 4to6, il est préférable de passer en v6 avant que le net commence à migrer en V6 lui aussi ^^


Message édité par meunique le 28-04-2010 à 11:13:32

---------------
Meunique was here!
n°66794
Je@nb
Modérateur
Kindly give dime
Posté le 28-04-2010 à 14:29:22  profilanswer
 

En 2012 non on sera pas en IPv6.
 
Ca fait presque 10 ans que j'en entends parler, 8 ans que j'utilise mais toujours rien vu.
 
Même si on est proche de la fin d'ip disponible au RIR, il y en a pour qq temps encore

n°66795
meunique
Vous aussi, devenez fan!
Posté le 28-04-2010 à 14:44:36  profilanswer
 

j'obéis au conseil d'admnistration.. :p  
 
Il reste - de 8% d'ip, 10% il y a trois mois. Avec la téléphonie par ip et autre, ça peut malheureusement allez très vite!


---------------
Meunique was here!
n°66796
dreamer18
CDLM
Posté le 28-04-2010 à 14:45:08  profilanswer
 

Chez les ISP IPv6 ça explose cette année.
 
En entreprise tout le monde s'en fout.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°66798
BMenez
Posté le 28-04-2010 à 14:55:34  profilanswer
 

dreamer18 a écrit :

En entreprise tout le monde s'en fout.


 
Normal, le NAT c'est bien [:tinostar]  

n°66799
meunique
Vous aussi, devenez fan!
Posté le 28-04-2010 à 15:22:39  profilanswer
 

En entreprise peut-être, en administration où il y a 1200 postes, 500 imprimantes, 300 pda ... un peu moins! :D


---------------
Meunique was here!
n°66802
Je@nb
Modérateur
Kindly give dime
Posté le 28-04-2010 à 15:37:34  profilanswer
 

meunique a écrit :

j'obéis au conseil d'admnistration.. :p  
 
Il reste - de 8% d'ip, 10% il y a trois mois. Avec la téléphonie par ip et autre, ça peut malheureusement allez très vite!


 
 
Jamais vu de téléphones ip en ip publique pour l'instant :o

n°66806
tuxerman12
Posté le 28-04-2010 à 15:50:50  profilanswer
 

meunique a écrit :

En entreprise peut-être, en administration où il y a 1200 postes, 500 imprimantes, 300 pda ... un peu moins! :D


Les plages privées IPV4 c'est bien [:romf]

n°66811
BMenez
Posté le 28-04-2010 à 16:06:58  profilanswer
 

tuxerman12 a écrit :

Les plages privées IPV4 c'est bien [:romf]


 
C'est bien tant que ce n'est pas gênant d'être isolé du réseau. [:aloy]  

n°66812
meunique
Vous aussi, devenez fan!
Posté le 28-04-2010 à 16:07:04  profilanswer
 

je parlais de l'ipv4 en général, :p et donc le fait qu'il va y avoir 2000 appareils à passer en v6 à un moment donnée, donc autant prendre de l'avance! :p


---------------
Meunique was here!
n°66813
BMenez
Posté le 28-04-2010 à 16:09:23  profilanswer
 

meunique a écrit :

je parlais de l'ipv4 en général, :p et donc le fait qu'il va y avoir 2000 appareils à passer en v6 à un moment donnée, donc autant prendre de l'avance! :p


 
A voir si tous les équipements supportent IPv6... Avec un peu de chance, il n'y aura que très peu de travail :o

n°66814
tuxerman12
Posté le 28-04-2010 à 16:17:24  profilanswer
 

BMenez a écrit :


 
C'est bien tant que ce n'est pas gênant d'être isolé du réseau. [:aloy]  


 
J'ai pas bien compris :??:

n°66815
BMenez
Posté le 28-04-2010 à 16:21:48  profilanswer
 

tuxerman12 a écrit :

J'ai pas bien compris :??:


 
IP privée == pas routable == isolé du reste du monde

n°66817
tuxerman12
Posté le 28-04-2010 à 16:29:01  profilanswer
 

Si le métier de la boite c'est hébergeur de sites web, effectivement les ips publiques sont les bienvenues, sinon tu peux router des plages privées entre sites à travers des vpn ... quelques serveurs en DMZ, il y a moyen de s'en sortir avec un bloc de 8 ou 16 adresses publiques même pour une grosse boite, genre administration de plusieurs milliers de postes et serveurs à usage interne.

n°66819
meunique
Vous aussi, devenez fan!
Posté le 28-04-2010 à 16:34:27  profilanswer
 

BMenez a écrit :


 
A voir si tous les équipements supportent IPv6... Avec un peu de chance, il n'y aura que très peu de travail :o


 
Oui ça fait justement 2 ans que la compatibilité IPv6 est un critère très importants dans le renouvellement de nos équipements.. ;) on vient de recevoir une vingtaine de serveur IBM ça serait dommage qu'ils ne servent que 2 ans! :p


---------------
Meunique was here!
n°66820
tuxerman12
Posté le 28-04-2010 à 16:38:34  profilanswer
 

TCP/IP est géré par les OS des serveurs, le seul truc qui pourrait poser problème c'est un éventuel module kvm sur ip qui ne gère pas le IPV6.

n°69012
leto
Posté le 21-06-2010 à 15:29:31  profilanswer
 

Je@nb a écrit :


Jamais vu de téléphones ip en ip publique pour l'instant :o


 
En IPV4 publique, j'en ai déjà vu (certaines grosses boites qui ont tout un /8).
En IPV6, il faut déjà que le matériel le supporte. C'est rarement gagné.


---------------
--
n°69017
Je@nb
Modérateur
Kindly give dime
Posté le 21-06-2010 à 16:10:43  profilanswer
 

ouais dans les boites oui. Je pensais plus à la téléphonie IP gd public

n°69025
the_exorci​st
bouh ?
Posté le 21-06-2010 à 19:06:24  profilanswer
 

faisant un travail de diplome sur differents aspects liés a IPv6, je peux vous affirmer que le réseau mondial est en net progression. certe pas comparable a celui IPv4, mais consequent.
 
Pour un administrateur réseau les avantages apportés peuvent ne pas etre negligeables.

n°69058
Je@nb
Modérateur
Kindly give dime
Posté le 22-06-2010 à 14:19:42  profilanswer
 

cool :o

n°69076
High Plain​s Drifter
Posté le 23-06-2010 à 02:23:26  profilanswer
 

Bon j'arrive un peu en retard mais j'ai depuis plusieurs années un préfixe IPv6 chez tunnelbroker et comme je vient de me doter d'un vrai routeur j'ai eu affaire à  la "configuration qu'on devra faire en 2012"  :pt1cable:  
 

meunique a écrit :


en ipv4, j'ai un fw sur un gros routeur (je vulgarise la chose).. en ipv6 ça implique de le mettre sur chaque poste :(


Pas forcement (mais même en IPv4 il a toujours été conseillé de faire un double filtrage au niveau du routeur + au niveau de l'hôte), le routeur ne dois plus faire du NAT mais il dois toujours router les paquets vers les bons postes, y'a donc toujours moyen de faire du filtrage dessus, exemple (tiré de ma conf) :


### IPv6 ###
# Drop packets that have RH0 headers (see draft-jabley-ipv6-rh0-is-evil-00)
ip6tables -t filter -A FORWARD -m rt --rt-type 0 -j DROP
 
# Default rules
ip6tables -t filter -A FORWARD -i $V6_LAN_IFACE -o $V6_WAN_IFACE -s $V6_LAN_NETWORK -d $V6_WAN_NETWORK -m state ! --state INVALID -j ACCEPT
ip6tables -t filter -A FORWARD -i $V6_WAN_IFACE -o $V6_LAN_IFACE -s $V6_WAN_NETWORK -d $V6_LAN_NETWORK -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# All IPv6 hosts accepts pings
ip6tables -t filter -A FORWARD -i $V6_WAN_IFACE -o $V6_LAN_IFACE -s $V6_WAN_NETWORK -d $V6_LAN_NETWORK -p icmpv6 -m icmp6 --icmpv6-type echo-request -m state --state NEW -j ACCEPT
 
# All IPv6 hosts accepts traceroutes
ip6tables -t filter -A FORWARD -i $V6_WAN_IFACE -o $V6_LAN_IFACE -s $V6_WAN_NETWORK -d $V6_LAN_NETWORK -p udp -m udp --dport 33434:33523 -m state --state NEW -j ACCEPT
 
# Frost ssh with bruteforce protection that allow only one connexion per three minutes and per ip
ip6tables -t filter -A FORWARD -i $V6_WAN_IFACE -o $V6_LAN_IFACE -s $V6_WAN_NETWORK -d $V6_FROST_IP -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
ip6tables -t filter -A FORWARD -i $V6_WAN_IFACE -o $V6_LAN_IFACE -s $V6_WAN_NETWORK -d $V6_FROST_IP -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 2 --name SSH --rsource -j DROP
ip6tables -t filter -A FORWARD -i $V6_WAN_IFACE -o $V6_LAN_IFACE -s $V6_WAN_NETWORK -d $V6_FROST_IP -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT


 
Ces lignes définissent ce que l'hôte "frost" va recevoir et ce qui va être bloqué, ces règles sont placées sur le routeur et non sur frost d'où l'utilisation de la chaine FORWARD d'ip6tables.
 
À noter que les lignes :


ip6tables -t filter -A FORWARD -i $V6_LAN_IFACE -o $V6_WAN_IFACE -s $V6_LAN_NETWORK -d $V6_WAN_NETWORK -m state ! --state INVALID -j ACCEPT
ip6tables -t filter -A FORWARD -i $V6_WAN_IFACE -o $V6_LAN_IFACE -s $V6_WAN_NETWORK -d $V6_LAN_NETWORK -m state --state ESTABLISHED,RELATED -j ACCEPT

Donnent exactement la même "protection" qu'un NAT (et même plus grâce au statut INVALID du module state ) !
 

meunique a écrit :

comme ça, ça à l'air facile ...  
 
J'attends de voir en pratique, c'est toujours une autre paire de manche! ^^


Bah comme tu le vois, non, ce n'est pas une autre paire de manche, ça se permet même plus simple qu'en IPv4 car il fallait rediriger les paquets (NAT) et autoriser le FORWARD, en IPv6 seule la dernière est utile.
 
Y'a quand-même quelques aspects plus délicats comme la protection "interne" du réseau local, faut gérer le préfixe "routable", le lien-local (fe80::/10), le multicast ff0::/8 et surtout les communications entre ces catégories d'adresses alors qu'en IPv4 y'avais qu'un seul réseau avec son masque et son adresse de diffusion, là c'est beaucoup de lignes, assez casse-tête si on veut faire un truc "secure", mais comme pour le routage de l'IPv6-mobile ou du multicast global l'utilisateur final ne verra jamais ces règles, cachées dans sa box ou son routeur, il se contentera d'autoriser des ports pour X ou Y machine via une belle interface web comme il le fait maintenant avec le NAT.
 
Et ce qu'il faut retenir c'est que cette complexité n'est pas vaine : mobilité, différentes portée d'adresses multicast (lien, site, compagny, public)... Comme le dit the_exorcist y'a des avantages non négligeables !

Message cité 1 fois
Message édité par High Plains Drifter le 23-06-2010 à 08:40:55

---------------
| < Ceci n'est pas une pipe.
n°69273
BMenez
Posté le 28-06-2010 à 22:22:50  profilanswer
 

High Plains Drifter a écrit :


### IPv6 ###
# Drop packets that have RH0 headers (see draft-jabley-ipv6-rh0-is-evil-00)
ip6tables -t filter -A FORWARD -m rt --rt-type 0 -j DROP
 
# Default rules
ip6tables -t filter -A FORWARD -i $V6_LAN_IFACE -o $V6_WAN_IFACE -s $V6_LAN_NETWORK -d $V6_WAN_NETWORK -m state ! --state INVALID -j ACCEPT
ip6tables -t filter -A FORWARD -i $V6_WAN_IFACE -o $V6_LAN_IFACE -s $V6_WAN_NETWORK -d $V6_LAN_NETWORK -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# All IPv6 hosts accepts pings
ip6tables -t filter -A FORWARD -i $V6_WAN_IFACE -o $V6_LAN_IFACE -s $V6_WAN_NETWORK -d $V6_LAN_NETWORK -p icmpv6 -m icmp6 --icmpv6-type echo-request -m state --state NEW -j ACCEPT
 
# All IPv6 hosts accepts traceroutes
ip6tables -t filter -A FORWARD -i $V6_WAN_IFACE -o $V6_LAN_IFACE -s $V6_WAN_NETWORK -d $V6_LAN_NETWORK -p udp -m udp --dport 33434:33523 -m state --state NEW -j ACCEPT
 
# Frost ssh with bruteforce protection that allow only one connexion per three minutes and per ip
ip6tables -t filter -A FORWARD -i $V6_WAN_IFACE -o $V6_LAN_IFACE -s $V6_WAN_NETWORK -d $V6_FROST_IP -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
ip6tables -t filter -A FORWARD -i $V6_WAN_IFACE -o $V6_LAN_IFACE -s $V6_WAN_NETWORK -d $V6_FROST_IP -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 2 --name SSH --rsource -j DROP
ip6tables -t filter -A FORWARD -i $V6_WAN_IFACE -o $V6_LAN_IFACE -s $V6_WAN_NETWORK -d $V6_FROST_IP -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT



 
Il marche bien ton réseau avec uniquement ces règles ?
Parce que les bonnes pratiques (et mon expérience également) indiquent qu'il est utile de laisser passer l'ICMP neighbor-sol/neighbor-ad ou packet-too-big.

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  IPv6 - nat ? - 6to4/4to6

 

Sujets relatifs
désactiver l'IPV6 sur Win2008 R2Routage multicast ipv6
Default-router IPv6 sur Cisco 2960IPv6 sur edge cisco 3550
[Resolu] ipv6 & DHCP[IPV6] Multi homing
fournisseur tunnel 6to4ÏPv6 => Quel routeur et switch ?
Plus de sujets relatifs à : IPv6 - nat ? - 6to4/4to6


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR