Path: ...!3.us.feeder.erje.net!feeder.erje.net!panix!weretis.net!feeder6.news.weretis.net!i2pn.org!dodin.fr.nf!.POSTED.plouf.fr.eu.org!not-for-mail From: Pascal Hambourg Newsgroups: fr.comp.os.linux.configuration Subject: =?UTF-8?Q?Re=3a_autoriser_r=c3=a9seau_local_ipV6_sur_un_port_avec_n?= =?UTF-8?Q?ftables?= Date: Sun, 29 May 2022 18:34:52 +0200 Organization: Le serveur de jdd pour fr* Message-ID: References: NNTP-Posting-Host: c3066ed76bae8bcc0e476efb157ff758 Mime-Version: 1.0 Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit Injection-Date: Sun, 29 May 2022 16:34:53 -0000 (UTC) Injection-Info: ns507557.dodin.fr.nf; posting-host="plouf.fr.eu.org:213.41.155.166"; logging-data="2214"; mail-complaints-to="abuse" User-Agent: Mozilla/5.0 (X11; Linux i686; rv:91.0) Gecko/20100101 Thunderbird/91.9.0 Content-Language: en-US In-Reply-To: Bytes: 2907 Lines: 52 Le 29/05/2022 à 18:04, yamo' a écrit : >> Le 28/05/2022 à 09:47, yamo' a écrit : > > Je voudrais n'autoriser que mon réseau local (et localhost) pour accéder > à bind9. > Je sais le faire en ipV4 mais en ipV6 je me perds dans les documentations... Les options allow-query* de BIND ne suffisent pas ? Elles supportent les préfixes IPv6. Il te faut vraiment un filtrage des paquets IPv6 en amont de BIND ? >>> nftables qui est censé être plus simple qu'iptables. >> >> La bonne blague. > > Si tu as une alternative plus simple... J'utilise encore ip6tables. Le vrai, pas l'émulation par nftables. >>> Comment autoriser, cette classe d'adresses : >>> 2a01:e0a:21:ea80::/64 ? >> >> C'est un préfixe, pas une classe. > > En fait toutes les adresses commençant par : > 2a01:e0a:21:ea80: C'est ce que je disais, un préfixe. >> Nftables peut prendre un préfixe comme source ou destination. > > Il faudrait que je ré-essaie ; à chaque fois j'ai eu des soucis pour lui > faire accepter ma configuration. Il n'est pas interdit de la montrer. >>> Question subsidiaire, j'ai laissé bind9 dans sa configuration initiale. >> >> Quelle est-elle ? > > Celle de base sur debian. Ça ne m'éclaire pas des masses. J'ai installé mon BIND sur Debian il y a un paquet d'années, je ne me souviens pas bien de la configuration par défaut et elle a peut-être changé depuis. Il me semble que c'était en cache récursif avec accès depuis les préfixes locaux (localnets). > Il me sert juste de cache DNS. > > Et je me demande si ce ne serait pas plus simple de laisser n'importe > quel client le consulter. Risque d'abus en tous genres, déni de service, empoisonnement de cache...