Path: ...!weretis.net!feeder8.news.weretis.net!pasdenom.info!.POSTED.192.168.0.2!not-for-mail
From: yamo' <yamo@beurdin.invalid>
Newsgroups: fr.comp.os.linux.configuration
Subject: =?UTF-8?Q?Re:_autoriser_r=c3=a9seau_local_ipV6_sur_un_port_avec_nft?=
 =?UTF-8?Q?ables?=
Date: Thu, 2 Jun 2022 11:02:03 +0200
Organization: <http://pasdenom.info/news.html>
Message-ID: <t79uac$p9k$1@rasp.pasdenom.info>
References: <t6sk33$iee$1@rasp.pasdenom.info>
 <t6smjc$t3n$1@ns507557.dodin.fr.nf> <t705i5$202$1@rasp.pasdenom.info>
 <t707bd$256$1@ns507557.dodin.fr.nf>
Reply-To: yamo@groumpf.org
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Thu, 2 Jun 2022 09:02:04 -0000 (UTC)
Injection-Info: rasp.pasdenom.info; posting-account="<local>@usenet";
	logging-data="25908"; mail-complaints-to="abuse@pasdenom.info"
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101
 Firefox/68.0
Cancel-Lock: sha256:/TUZCR+lmxRYyywjPWSs1zYDDwJ4FkBcRNe2opMzReA=
In-Reply-To: <t707bd$256$1@ns507557.dodin.fr.nf>
Bytes: 3564
Lines: 71

Salut,
Pascal Hambourg a tapoté le 29/05/2022 18:34:

 > Les options allow-query* de BIND ne suffisent pas ? Elles supportent les
 > préfixes IPv6. Il te faut vraiment un filtrage des paquets IPv6 en amont
 > de BIND ?

Merci, je vais creuser cette piste.

 > J'utilise encore ip6tables. Le vrai, pas l'émulation par nftables.

Je croyais que nftables était un projet concurrent à iptables.


 > Il n'est pas interdit de la montrer.

Merci avec tes conseils, ça fonctionne :

J'ai dans /etc/nftables.conf
#!/usr/sbin/nft -f

#Les lignes sont trop longues, j'espère que ce sera lisible..

flush ruleset


table inet filter {
         chain input {
                 type filter hook input priority 0;
#               allow from loopback
                 iif lo accept
                 ip6 saddr ::1 accept
                 iifname lo accept
                 ip saddr 192.168.0.0/24 accept
# des tonnes de ip saddr ****  drop
# idem          ip6 saddr ******** drop
                 ct state invalid drop
                 ct state related,established accept
                 ct state new tcp dport {#serveurs usenet, apache} accept
		ct state new tcp dport {113, 137, 138} log prefix " REJECT " reject 
with icmpx type port-unreachable
                 ct state new udp dport {113, 137, 138} log prefix " 
REJECT " reject with icmpx type port-unreachable
                 ip6 nexthdr icmpv6 icmpv6 type { nd-neighbor-solicit, 
echo-request, nd-router-advert, nd-neighbor-advert } accept
                 udp dport mdns ip6 daddr ff02::fb  accept
                 udp dport {bootpc, bootps} ip6 daddr ff02::fb  accept
                 ip daddr 255.255.255.255  accept
                 ip daddr 224.0.0.251 log prefix " accept daddr 
224.0.0.251 " accept
                 ip6 saddr 2a01:e0a:21:ea80::/64  accept
                 ip6 saddr fe80::/10  accept
                 log prefix " INPUT DROP "  drop
         }
         chain forward {
                 type filter hook forward priority 0; log prefix " 
FORWARD DROP "; policy drop;
         }
         chain output {
                 type filter hook output priority 0; policy accept;
         }
}


> Risque d'abus en tous genres, déni de service, empoisonnement de cache...

C'est ce qu'il me semblait!

Merci!

-- 
Stéphane