| Deutsch English Français Italiano |
|
<t79uac$p9k$1@rasp.pasdenom.info> View for Bookmarking (what is this?) Look up another Usenet article |
Path: ...!weretis.net!feeder8.news.weretis.net!pasdenom.info!.POSTED.192.168.0.2!not-for-mail
From: yamo' <yamo@beurdin.invalid>
Newsgroups: fr.comp.os.linux.configuration
Subject: =?UTF-8?Q?Re:_autoriser_r=c3=a9seau_local_ipV6_sur_un_port_avec_nft?=
=?UTF-8?Q?ables?=
Date: Thu, 2 Jun 2022 11:02:03 +0200
Organization: <http://pasdenom.info/news.html>
Message-ID: <t79uac$p9k$1@rasp.pasdenom.info>
References: <t6sk33$iee$1@rasp.pasdenom.info>
<t6smjc$t3n$1@ns507557.dodin.fr.nf> <t705i5$202$1@rasp.pasdenom.info>
<t707bd$256$1@ns507557.dodin.fr.nf>
Reply-To: yamo@groumpf.org
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Thu, 2 Jun 2022 09:02:04 -0000 (UTC)
Injection-Info: rasp.pasdenom.info; posting-account="<local>@usenet";
logging-data="25908"; mail-complaints-to="abuse@pasdenom.info"
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101
Firefox/68.0
Cancel-Lock: sha256:/TUZCR+lmxRYyywjPWSs1zYDDwJ4FkBcRNe2opMzReA=
In-Reply-To: <t707bd$256$1@ns507557.dodin.fr.nf>
Bytes: 3564
Lines: 71
Salut,
Pascal Hambourg a tapoté le 29/05/2022 18:34:
> Les options allow-query* de BIND ne suffisent pas ? Elles supportent les
> préfixes IPv6. Il te faut vraiment un filtrage des paquets IPv6 en amont
> de BIND ?
Merci, je vais creuser cette piste.
> J'utilise encore ip6tables. Le vrai, pas l'émulation par nftables.
Je croyais que nftables était un projet concurrent à iptables.
> Il n'est pas interdit de la montrer.
Merci avec tes conseils, ça fonctionne :
J'ai dans /etc/nftables.conf
#!/usr/sbin/nft -f
#Les lignes sont trop longues, j'espère que ce sera lisible..
flush ruleset
table inet filter {
chain input {
type filter hook input priority 0;
# allow from loopback
iif lo accept
ip6 saddr ::1 accept
iifname lo accept
ip saddr 192.168.0.0/24 accept
# des tonnes de ip saddr **** drop
# idem ip6 saddr ******** drop
ct state invalid drop
ct state related,established accept
ct state new tcp dport {#serveurs usenet, apache} accept
ct state new tcp dport {113, 137, 138} log prefix " REJECT " reject
with icmpx type port-unreachable
ct state new udp dport {113, 137, 138} log prefix "
REJECT " reject with icmpx type port-unreachable
ip6 nexthdr icmpv6 icmpv6 type { nd-neighbor-solicit,
echo-request, nd-router-advert, nd-neighbor-advert } accept
udp dport mdns ip6 daddr ff02::fb accept
udp dport {bootpc, bootps} ip6 daddr ff02::fb accept
ip daddr 255.255.255.255 accept
ip daddr 224.0.0.251 log prefix " accept daddr
224.0.0.251 " accept
ip6 saddr 2a01:e0a:21:ea80::/64 accept
ip6 saddr fe80::/10 accept
log prefix " INPUT DROP " drop
}
chain forward {
type filter hook forward priority 0; log prefix "
FORWARD DROP "; policy drop;
}
chain output {
type filter hook output priority 0; policy accept;
}
}
> Risque d'abus en tous genres, déni de service, empoisonnement de cache...
C'est ce qu'il me semblait!
Merci!
--
Stéphane