L'internet rapide et permanent

Outils pour utilisateurs

Outils du site

Vous êtes ici : L'internet rapide et permanent » Quelques expériences en IPv6 » Couverture de survie

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
070-experiencesipv6:040-firewall_debase [le 17/03/2025 à 09:59] – [Netfilter et Nftables (et Iptables)] prof070-experiencesipv6:040-firewall_debase [le 17/03/2025 à 14:21] (Version actuelle) – [Protéger la délégation] prof
Ligne 11: Ligne 11:
 Passer d'un système de gestion des règles à l'autre n'est pas simple, mais ce n'est pas ici le débat. IPtables est toujours activement supporté, bien que Debian 12 (Bookworm) installe nftables par défaut. Passer d'un système de gestion des règles à l'autre n'est pas simple, mais ce n'est pas ici le débat. IPtables est toujours activement supporté, bien que Debian 12 (Bookworm) installe nftables par défaut.
  
-Ici, nous allons faire de la résistance, avec iptables.+Ici, nous allons faire de la résistance, avec iptables, qu'il va falloir installer: 
 +<html><pre class="code"> 
 +<b>apt install iptables -y</b> 
 + 
 +... 
 +Réception de :1 http://deb.debian.org/debian bookworm/main amd64 libip6tc2 amd64 1.8.9-2 [19,4 kB] 
 +Réception de :2 http://deb.debian.org/debian bookworm/main amd64 libnfnetlink0 amd64 1.0.2-2 [15,1 kB] 
 +Réception de :3 http://deb.debian.org/debian bookworm/main amd64 libnetfilter-conntrack3 amd64 1.0.9-3 [40,7 kB] 
 +Réception de :4 http://deb.debian.org/debian bookworm/main amd64 iptables amd64 1.8.9-2 [360 kB] 
 +.... 
 +Paramétrage de iptables (1.8.9-2) ... 
 +update-alternatives: utilisation de « /usr/sbin/iptables-legacy » pour fournir « /usr/sbin/iptables » (iptables) en mode automatique 
 +update-alternatives: utilisation de « /usr/sbin/ip6tables-legacy » pour fournir « /usr/sbin/ip6tables » (ip6tables) en mode automatique 
 +<span class="hly">update-alternatives: utilisation de « /usr/sbin/iptables-nft » pour fournir « /usr/sbin/iptables » (iptables) en mode automatique 
 +update-alternatives: utilisation de « /usr/sbin/ip6tables-nft » pour fournir « /usr/sbin/ip6tables » (ip6tables) en mode automatique 
 +update-alternatives: utilisation de « /usr/sbin/arptables-nft » pour fournir « /usr/sbin/arptables » (arptables) en mode automatique 
 +update-alternatives: utilisation de « /usr/sbin/ebtables-nft » pour fournir « /usr/sbin/ebtables » (ebtables) en mode automatique</span> 
 +... 
 +</pre></html> 
 +On sent bien que iptables va être traduit en nftables au passage...
  
 ==== Principes de base ==== ==== Principes de base ====
Ligne 22: Ligne 41:
 Nous pouvons également ajouter des filtrages plus personnels sur chaque hôte de la délégation. Le but ici est de faire juste un minimum, en partant du principe que les postes clients ne sont que des clients de l'internet et que ''demoserver'' n'a aucun service à proposer à l'extérieur de sa délégation. Nous pouvons également ajouter des filtrages plus personnels sur chaque hôte de la délégation. Le but ici est de faire juste un minimum, en partant du principe que les postes clients ne sont que des clients de l'internet et que ''demoserver'' n'a aucun service à proposer à l'extérieur de sa délégation.
 ==== Protéger demoserver ==== ==== Protéger demoserver ====
 +Ce qui suit reste spécifique à IPv6.
 +
 Du fait que cet hôte n'a rien à partager avec le monde extérieur, aucune requête venant de dehors ne devrait passer. en mode TCP, tous les paquets contenant un simple [SYN] devraient être rejetés.  Du fait que cet hôte n'a rien à partager avec le monde extérieur, aucune requête venant de dehors ne devrait passer. en mode TCP, tous les paquets contenant un simple [SYN] devraient être rejetés. 
  
 En revanche, demoserver va avoir des requêtes à formuler vers les services extérieurs, ne serait-ce que pour que notre résolveur DNS puisse fonctionner. Il faut également assurer les mises à jour du système qui nécessiteront de se connecter aux dépôts de paquets Debian. En revanche, demoserver va avoir des requêtes à formuler vers les services extérieurs, ne serait-ce que pour que notre résolveur DNS puisse fonctionner. Il faut également assurer les mises à jour du système qui nécessiteront de se connecter aux dépôts de paquets Debian.
 En UDP, il n'y a pas de SYN, mais Netfilter va bien se débrouiller. En UDP, il n'y a pas de SYN, mais Netfilter va bien se débrouiller.
 +''enp1s0'' est l'interface exposée à l'extérieur. rien ne dot y pénétrer par défaut. et ça, c'est le piège classique si l'on accède à l'hôte à distance, que ce soit telnet ou ssh. Soit on pilote par une autre interface, soit on se ferme la porte au nez. Mais ici nous avons une console locale donc pas de risques, mais gardons les réflexes.
 +Nous commençons par autoriser tout ce qui peut rentrer par enp7s0, l'interface locale:
 +  ip6tables -A INPUT -i enp7s0 -j ACCEPT
 +  ip6tables -A INPUT -i lo -j ACCEPT
 +Sur enp1s0, nous devons laisser entrer toutes les adresses de type «lien-local» et, concernant le suivi de connexion, toutes les connexions établies et celles qui y sont attachées:
 +  ip6tables -A INPUT -i enp1s0 -s FE80::/10 -j ACCEPT
 +  ip6tables -A INPUT -i enp1s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
 +Éventuellement, nous pouvons accepter tous messages ICMP entrants:
 +  ip6tables -A INPUT -p icmp -j ACCEPT
 +Et seulement dernier, la politique par défaut:
 +  ip6tables -P INPUT DROP
 +Pour vérifier certaines choses, depuis un nœud capable d'accéder en IPv6 à demoserver par son interface enp1s0 en se rappelant que de ce côté, les adresses IPv6 font:
 +  2a01:e0a:875:b1d0:5054:ff:fe74:45f2
 +  fe80::5054:ff:fe74:45f2
 +Testons un ping:
 +<html><pre class="code">
 +<span class="hly"><b>ping6 -c1 fe80::5054:ff:fe74:45f2</b>
 +
 +PING fe80::5054:ff:fe74:45f2(fe80::5054:ff:fe74:45f2) 56 data bytes
 +64 bytes from fe80::5054:ff:fe74:45f2%sw0: icmp_seq=1 ttl=64 time=0.294 ms
 +
 +--- fe80::5054:ff:fe74:45f2 ping statistics ---
 +<b>1 packets transmitted, 1 received, 0% packet loss</b>, time 0ms
 +rtt min/avg/max/mdev = 0.294/0.294/0.294/0.000 ms</span>
 +
 +<span class="hln"><b>ping6 -c1 2a01:e0a:875:b1d0:5054:ff:fe74:45f2</b>
 +
 +PING 2a01:e0a:875:b1d0:5054:ff:fe74:45f2(2a01:e0a:875:b1d0:5054:ff:fe74:45f2) 56 data bytes
 +From 2a01:e0a:875:b1d0:ac2a:a7ff:fedd:e607 icmp_seq=1 Destination unreachable: Address unreachable
 +
 +--- 2a01:e0a:875:b1d0:5054:ff:fe74:45f2 ping statistics ---
 +<b>1 packets transmitted, 0 received, +1 errors, 100% packet loss</b>, time 0ms</span>
 +
 +</pre></html>
 +Formidable, ça marche comme prévu!
 +==== Protéger la délégation ====
 +Au minimum, empêcher les nouvelles connexions entrantes:
 +  ip6tables -A FORWARD -i enp1s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
 +Accepter toutes les connexions sortantes
 +  ip6tables -A FORWARD -i enp7s0 -j ACCEPT
 +Et Par défaut:
 +  ip6tables -P FORWARD  DROP
 +Vérifier que tout fonctionne depuis un client:
 +<html><pre class="code">
 +<b>ping6 -c1 www.debian.org</b>
 +
 +PING www.debian.org(static-mirror-grnet-01.debian.org (2001:648:2ffc:deb:216:61ff:fe2b:6138)) 56 data bytes
 +64 bytes from static-mirror-grnet-01.debian.org (2001:648:2ffc:deb:216:61ff:fe2b:6138): icmp_seq=1 ttl=48 time=65.1 ms
 +
 +--- www.debian.org ping statistics ---
 +<b>1 packets transmitted, 1 received, 0% packet loss</b>, time 0ms
 +</pre></html>
 +mais qu'un ping venant de l'extérieur ne puisse pas entrer:
 +<html><pre class="code">
 +<b>ping6 -c4  2a01:e0a:875:b1d2:5054:ff:feb7:6681</b>
 +
 +PING 2a01:e0a:875:b1d2:5054:ff:feb7:6681(2a01:e0a:875:b1d2:5054:ff:feb7:6681) 56 data bytes
 +
 +--- 2a01:e0a:875:b1d2:5054:ff:feb7:6681 ping statistics ---
 +<b>4 packets transmitted, 0 received, 100% packet loss</b>, time 3063ms
 +</pre></html>
 +==== Bilan ====
 +Nous avons maintenant toute possibilité d'héberger chez soi différents types de services sans passer par du NAT (translation d'adresse) tout en protégeant les hôtes d'agressions basiques. Il faudra cependant qu'à l'autre bout, les clients disposent également d'une connectivité IPv6.
 +
Couverture de survie: Dernière modification le: 17/03/2025 à 09:59 par prof