Re: autoriser réseau local ipV6 sur un port avec nftables

Le 29/05/2022 à 18:04, yamo' a écrit :

Le 28/05/2022 à 09:47, yamo' a écrit :

 Je voudrais n'autoriser que mon réseau local (et localhost) pour accéder
à bind9.
Je sais le faire en ipV4 mais en ipV6 je me perds dans les documentations...

Les options allow-query* de BIND ne suffisent pas ? Elles supportent les préfixes IPv6. Il te faut vraiment un filtrage des paquets IPv6 en amont de BIND ?

nftables qui est censé être plus simple qu'iptables.

>
La bonne blague.

 Si tu as une alternative plus simple...

J'utilise encore ip6tables. Le vrai, pas l'émulation par nftables.

Comment autoriser, cette classe d'adresses :
2a01:e0a:21:ea80::/64 ?

>
C'est un préfixe, pas une classe.

 En fait toutes les adresses commençant par :
2a01:e0a:21:ea80:

C'est ce que je disais, un préfixe.

Nftables peut prendre un préfixe comme source ou destination.

 Il faudrait que je ré-essaie ; à chaque fois j'ai eu des soucis pour lui
faire accepter ma configuration.

Il n'est pas interdit de la montrer.

Question subsidiaire, j'ai laissé bind9 dans sa configuration initiale.

>
Quelle est-elle ?

 Celle de base sur debian.

Ça ne m'éclaire pas des masses. J'ai installé mon BIND sur Debian il y a un paquet d'années, je ne me souviens pas bien de la configuration par défaut et elle a peut-être changé depuis. Il me semble que c'était en cache récursif avec accès depuis les préfixes locaux (localnets).

Il me sert juste de cache DNS.
 Et je me demande si ce ne serait pas plus simple de laisser n'importe
quel client le consulter.

Risque d'abus en tous genres, déni de service, empoisonnement de cache...