Bonjour,

je viens de découvrir qu'il existe un ip6tables dans /sbin chez moi, et un
doute me ronge : cela signifie-t-il qu'il faut définir séparément des
règles de filtrage pour l'IPv6, ou pas ? En clair, si j'ai des règles de
filtrage strictes établies par la commande iptables mais aucune autre,
suis-je vulnérable à un accès en IPv6 ?

Manuel.

Le Sat, 12 Jan 2008 21:12:28 +0100, mpg a écrit:

> En clair, si j'ai des règles de
> filtrage strictes établies par la commande iptables mais aucune autre,
> suis-je vulnérable à un accès en IPv6 ?

Absolument. C'est malheureusement trop peu connu...

--
Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando

Le (on) samedi 12 janvier 2008 21:36, Emmanuel Florac a écrit (wrote) :

> Le Sat, 12 Jan 2008 21:12:28 +0100, mpg a écrit:
>
>> En clair, si j'ai des règles de
>> filtrage strictes établies par la commande iptables mais aucune autre,
>> suis-je vulnérable à un accès en IPv6 ?
>
> Absolument. C'est malheureusement trop peu connu...
>
Donc la mauvaise nouvelle, c'est qu'il y a du boulot. La bonne, c'est que
pendant que je bidouille ma table de filtrage IPv4 par ssh, si la
connection est en IPv6, je risque pas de me foutre dehors par accident

Manuel.

Emmanuel Florac a écrit :
> Le Sat, 12 Jan 2008 21:12:28 +0100, mpg a écrit :
>
>> En clair, si j'ai des règles de
>> filtrage strictes établies par la commande iptables mais aucune autre,
>> suis-je vulnérable à un accès en IPv6 ?
>
> Absolument. C'est malheureusement trop peu connu...
>
oO c'est fou ça !

--
-uTb#`diablo PWed by GNU/Linux Debian on Diablo

Le Sat, 12 Jan 2008 22:54:36 +0100, mpg a écrit:

>
> Donc la mauvaise nouvelle, c'est qu'il y a du boulot. La bonne, c'est que
> pendant que je bidouille ma table de filtrage IPv4 par ssh, si la
> connection est en IPv6, je risque pas de me foutre dehors par accident

Tout à fait Le fait est que les crackers connaissent bien cette
lacune, donc méfiance.

--
A human being should be able to change a diaper, plan an invasion,
butcher a hog, conn a ship, design a building, write a sonnet, balance
accounts, build a wall, set a bone, comfort the dying, take orders, give
orders, cooperate, act alone, solve equations, analyze a new problem,
pitch manure, program a computer, cook a tasty meal, fight efficiently,
die gallantly. Specialization is for insects.
Robert A. Heinlein.

Le Sat, 12 Jan 2008 23:01:07 +0100, diablo a écrit:

> oO c'est fou ça !

Faites gaffe si vous activez l'ip v6 sur vos freebox, pensez à installer
ip6tables et à bien fermer les portes en sortant...

--
Mais monsieur, voudriez-vous que je me l'écorchasse?
Barbey d'Aurevilly.

Le (on) dimanche 13 janvier 2008 23:41, Emmanuel Florac a écrit (wrote) :

> Le Sat, 12 Jan 2008 23:01:07 +0100, diablo a écrit:
>
>> oO c'est fou ça !
>
> Faites gaffe si vous activez l'ip v6 sur vos freebox, pensez à installer
> ip6tables et à bien fermer les portes en sortant...
>
Ouaip, comme je viens justement d'activer l'IPv6 et de faire deux
enregistrement AAAA dans le DNS de mon domaine, je suis vraiment très
heureux d'avoir découvert ip6tables par hasard, mais au bon moment

Manuel.

Salut,

mpg a écrit :
>
> Ouaip, comme je viens justement d'activer l'IPv6 et de faire deux
> enregistrement AAAA dans le DNS de mon domaine, je suis vraiment très
> heureux d'avoir découvert ip6tables par hasard, mais au bon moment

Un conseil : si pas déjà fait documente-toi un peu sur le fonctionnement
d'IPv6 avant de jouer avec ip6tables et évite de céder au réflexe
reptilien commun consistant à bloquer tout les ICMP. En plus des
fonctions héritées de son ancêtre v4, ICMPv6 remplace aussi ARP.