Re: autoriser réseau local ipV6 sur un port avec nftables

Liste des GroupesRevenir à fcol configuration 
Sujet : Re: autoriser réseau local ipV6 sur un port avec nftables
De : yamo (at) *nospam* beurdin.invalid (yamo')
Groupes : fr.comp.os.linux.configuration
Date : 02. Jun 2022, 11:02:03
Autres entêtes
Organisation : <http://pasdenom.info/news.html>
Message-ID : <t79uac$p9k$1@rasp.pasdenom.info>
References : 1 2 3 4
User-Agent : Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Salut,
Pascal Hambourg a tapoté le 29/05/2022 18:34:
 > Les options allow-query* de BIND ne suffisent pas ? Elles supportent les
 > préfixes IPv6. Il te faut vraiment un filtrage des paquets IPv6 en amont
 > de BIND ?
Merci, je vais creuser cette piste.
 > J'utilise encore ip6tables. Le vrai, pas l'émulation par nftables.
Je croyais que nftables était un projet concurrent à iptables.
 > Il n'est pas interdit de la montrer.
Merci avec tes conseils, ça fonctionne :
J'ai dans /etc/nftables.conf
#!/usr/sbin/nft -f
#Les lignes sont trop longues, j'espère que ce sera lisible..
flush ruleset
table inet filter {
         chain input {
                 type filter hook input priority 0;
#               allow from loopback
                 iif lo accept
                 ip6 saddr ::1 accept
                 iifname lo accept
                 ip saddr 192.168.0.0/24 accept
# des tonnes de ip saddr ****  drop
# idem          ip6 saddr ******** drop
                 ct state invalid drop
                 ct state related,established accept
                 ct state new tcp dport {#serveurs usenet, apache} accept
ct state new tcp dport {113, 137, 138} log prefix " REJECT " reject with icmpx type port-unreachable
                 ct state new udp dport {113, 137, 138} log prefix " REJECT " reject with icmpx type port-unreachable
                 ip6 nexthdr icmpv6 icmpv6 type { nd-neighbor-solicit, echo-request, nd-router-advert, nd-neighbor-advert } accept
                 udp dport mdns ip6 daddr ff02::fb  accept
                 udp dport {bootpc, bootps} ip6 daddr ff02::fb  accept
                 ip daddr 255.255.255.255  accept
                 ip daddr 224.0.0.251 log prefix " accept daddr 224.0.0.251 " accept
                 ip6 saddr 2a01:e0a:21:ea80::/64  accept
                 ip6 saddr fe80::/10  accept
                 log prefix " INPUT DROP "  drop
         }
         chain forward {
                 type filter hook forward priority 0; log prefix " FORWARD DROP "; policy drop;
         }
         chain output {
                 type filter hook output priority 0; policy accept;
         }
}

Risque d'abus en tous genres, déni de service, empoisonnement de cache...
C'est ce qu'il me semblait!
Merci!
--
Stéphane

Date Sujet#  Auteur
28 May 22 * autoriser réseau local ipV6 sur un port avec nftables9yamo'
28 May 22 `* Re: autoriser réseau local ipV6 sur un port avec nftables8Pascal Hambourg
29 May 22  `* Re: autoriser réseau local ipV6 sur un port avec nftables7yamo'
29 May 22   `* Re: autoriser réseau local ipV6 sur un port avec nftables6Pascal Hambourg
2 Jun 22    `* Re: autoriser réseau local ipV6 sur un port avec nftables5yamo'
2 Jun 22     `* Re: autoriser réseau local ipV6 sur un port avec nftables4Pascal Hambourg
2 Jun 22      `* Re: autoriser réseau local ipV6 sur un port avec nftables3Erwan David
2 Jun 22       +- Re: autoriser réseau local ipV6 sur un port avec nftables1Pascal Hambourg
3 Jun 22       `- nftables VS iptables (was: Re: autoriser réseau local ipV6 sur un port avec nftables)1yamo'

Haut de la page

Les messages affichés proviennent d'usenet.

NewsPortal