Sujet : Re: autoriser réseau local ipV6 sur un port avec nftables
De : yamo (at) *nospam* beurdin.invalid (yamo')
Groupes : fr.comp.os.linux.configurationDate : 02. Jun 2022, 11:02:03
Autres entêtes
Organisation : <http://pasdenom.info/news.html>
Message-ID : <t79uac$p9k$1@rasp.pasdenom.info>
References : 1 2 3 4
User-Agent : Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Salut,
Pascal Hambourg a tapoté le 29/05/2022 18:34:
> Les options allow-query* de BIND ne suffisent pas ? Elles supportent les
> préfixes IPv6. Il te faut vraiment un filtrage des paquets IPv6 en amont
> de BIND ?
Merci, je vais creuser cette piste.
> J'utilise encore ip6tables. Le vrai, pas l'émulation par nftables.
Je croyais que nftables était un projet concurrent à iptables.
> Il n'est pas interdit de la montrer.
Merci avec tes conseils, ça fonctionne :
J'ai dans /etc/nftables.conf
#!/usr/sbin/nft -f
#Les lignes sont trop longues, j'espère que ce sera lisible..
flush ruleset
table inet filter {
chain input {
type filter hook input priority 0;
# allow from loopback
iif lo accept
ip6 saddr ::1 accept
iifname lo accept
ip saddr 192.168.0.0/24 accept
# des tonnes de ip saddr **** drop
# idem ip6 saddr ******** drop
ct state invalid drop
ct state related,established accept
ct state new tcp dport {#serveurs usenet, apache} accept
ct state new tcp dport {113, 137, 138} log prefix " REJECT " reject with icmpx type port-unreachable
ct state new udp dport {113, 137, 138} log prefix " REJECT " reject with icmpx type port-unreachable
ip6 nexthdr icmpv6 icmpv6 type { nd-neighbor-solicit, echo-request, nd-router-advert, nd-neighbor-advert } accept
udp dport mdns ip6 daddr ff02::fb accept
udp dport {bootpc, bootps} ip6 daddr ff02::fb accept
ip daddr 255.255.255.255 accept
ip daddr 224.0.0.251 log prefix " accept daddr 224.0.0.251 " accept
ip6 saddr 2a01:e0a:21:ea80::/64 accept
ip6 saddr fe80::/10 accept
log prefix " INPUT DROP " drop
}
chain forward {
type filter hook forward priority 0; log prefix " FORWARD DROP "; policy drop;
}
chain output {
type filter hook output priority 0; policy accept;
}
}
Risque d'abus en tous genres, déni de service, empoisonnement de cache...
C'est ce qu'il me semblait!
Merci!
-- Stéphane