Comment faire : Nmap, Wireshark, TCPdump, IPTraf, IPerf, Nast, Ettercap...
 Charge moyenne sur 1mn : 0.60 Charge moyenne sur 5mn : 0.41 Charge moyenne sur 15mn : 0.38




IPv6 derrière une freebox + routeur Linux

  • IPv6 derrière une freebox + routeur Linux
Free propose de l'IPv6. Par contre, petit hic, pour avoir une IPv6 il faut se brancher directement au cul de la freebox. Si vous êtes dans le cas où vous avez un routeur IPv4 Linux qui fait du NAT et que vous souhaitez attribuer des adresses IPv6 aux serveurs de votre DMZ la solution est ici..

Informations

Dates
  • Publication : Samedi 20 novembre 2010
  • Modification : Vendredi 19 octobre 2012

Partager

Prévoyance IPv6

ATTENTION : En activant la fonction IPv6 dans votre interface Free, il faut être conscient que chacun des postes connecté à la freebox seront directement accessible par InterNet et donc plus vulnérable. Nous prevoyons quelques lignes iptables pour fermer les portes de l'Ipv6

Installation du bridge

Commençons par télécharger les outils indispensables

001 aptitude install bridge-utils ebtables

Ajoutons la règle (brouting) permettant d'utiliser le pont uniquement pour l'IPv6

001 ebtables -t broute -A BROUTING -p ! ipv6 -j DROP

Créer le pont virtuel

001 brctl addbr br0
002 ifconfig br0 up

On intègre à ce pont les deux interfaces

001 brctl addif br0 eth0
002 brctl addif br0 eth1

Voilà un joli pont special IPv6

Les requêtes IPv6 passeront par notre bridge et les requêtes IPv4 utiliseront toujours la passerelle NAT :/

Sécurité des postes IPv6

Chaque poste derrière le routeur connecté à l'interface eth0 devrait avoir un firewall.
Par ex :

Script ip6tables

Créer le fichier vim /etc/init.d/firewall-ipv6 et attribuer lui le droits en execution chmod u+x /etc/init.d/firewall-ipv6

001 #!/bin/bash
002 #####-------------------------- FONCTIONS ----------------------------######
003 function policy()
004 {
005     ip6tables -P INPUT $1
006     ip6tables -P FORWARD $1
007     ip6tables -P OUTPUT $1
008 }
009 function firewall_ipv6()
010 {
011     # firewall
012     ip6tables -P INPUT DROP
013     ip6tables -A INPUT -i lo -j ACCEPT
014     ip6tables -A INPUT -p icmpv6 -j ACCEPT
015     ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
016     ip6tables -A INPUT -m limit --limit 2/s -j LOG --log-prefix 'filter[INPUT6]: '
017 }
018 #####-------------------------- FONCTIONS ----------------------------######
019 #####-------------------------- START / STOP ----------------------------######
020 case "$1" in
021 start|restart)
022     $0 stop
023     echo "$0 Starting"
024     policy DROP
025     
026     firewall_ipv6
027 ;;
028 stop)
029     echo "$0 Stop"
030     ip6tables -F
031     ip6tables -Z
032     ip6tables -X
033     policy ACCEPT
034 ;;
035 *)
036 echo "usage : $0 (start|stop|restart)"
037 ;;
038 esac
039 #####-------------------------- START / STOP ----------------------------######

ici on accepte le ping et on accepte tout ce qui sort. Utiliser la commande /etc/init.d/firewall-ipv6 start|stop|restart pour utiliser le firewall IPv6

Lister ip6tables pour voir la config
001 
002 ip6tables -v -L

Voilà vous avez de l'IPv6 chez vous. Essayez de faire un ping6 -I eth0 -c1 www.zw3b.fr d'un des clients cela devrait retourner une réponse ;)

Liens IPv6

Liens Firewall IPv6 : Internet Protocol V6

Liens ZW3B.IPv6 : Internet Protocol V6


LAB3W.ORJ Alias de O.Romain JAILLET-RAMEY (NOTIF LVL 7 - 42 ans) LAB3W.ORJ
CONTACT
- Web - STEAM - Monster - LinkedIn - Viadeo - DailyMotion - FACEBOOK - GOOGLE+ - Twitter
DROITS SITES : ZW3B.Admin
INSCRIPTION : à l'aube du site, le samedi 06 janvier 1 (2001/01/06 15:31)
CONNEXION : il y a un peu plus de 4 jours (2018/11/09 13:09)
DERNIERE VISITE : il y a un peu plus de 4 jours (2018/11/09 13:11)

les réactions des ZW3B.Nautes (0 note)

Ajouter un commentaire

Avatar par default
Pseudo :
Email :
 
Ajouter la chaine de caractères (le code) ci-dessous dans le champ du dessous.
Captcha
Code :





Valid XHTML 1.0 Strict CSS Valide !

ipv6 ready