Re: Iptables.

Top Page
This message is part of the following thread:
Mthe complete thread tree sorted by date
M\Nicolas D (lists) at <-
MMBruno Cudini at ->

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: GUILDE
Subject: Re: Iptables.
    Bonsoir,

Le 14/07/2013 19:02, Nicolas D (lists) a écrit :
> On 14/07/2013 18:02, Vincent Caron wrote:
>> On 07/14/2013 10:45 AM, Jean Pierre Morin wrote:
>>> Sur un PC derrière une free_box en mode routeur, est-il
>>> nécessaire pour se protéger, de mettre des règles iptables ?
>>
>>    Ca n'est pas nécessaire, dans cette situation il n'existe aucun moyen
>> pour joindre un équipement sur ton réseau local depuis l'extérieur (sauf
>> si tu mets explicitement en place des règles de transfert par port sur
>> la Freebox, mais c'est donc toi qui décides).

>>
>>    Pour être très précis il existe un moyen pour accéder aux équipements
>> de Free mais ils passent par un réseau parallèle qui est interne à Free
>> (par ex. quand tu programmes un enregistrement TV depuis le site web de
>> Free, tu entends le disque dur de ta Freebox HD démarrer ...). En
>> théorie cette backdoor est isolé d'Internet.

>>
>
> À ma connaissance, le FreeBox, ne fait pas office de parefeu IPv6, et
> sur la version Revolution, l’IPv6 est activé par défaut.
>
> N’étant plus chez Free, je laisserai le soin à quelqu’un d’autre de
> confirmer ou d’infirmer mes informations. 

    Oui, si l'IPv6 est activée, la FreeBox laissera passer tous les paquets
IPv6. Donc si le Linux qui se trouve derrière a une stack IPv6, alors il
sera exposé sans protection à Internet.


    Par contre, l'IPv6 est une option (case à coché de l'interface de
configuration de Free). Et il me semble qu'il faut être en dégroupé pour
l'avoir.


    Dans le doute, et si l'IPv6 n'est pas utilisée sur la/les machines
clientes, il est facile de désactiver complètement l'IPv6:


# cat /etc/sysctl.conf
# 2011/05/25: Disable IPv6
# Config should be reloaded with "sysctl -p"
# And configuration should be checked with "cat
/proc/sys/net/ipv6/conf/all/disable_ipv6"
net.ipv6.conf.all.disable_ipv6 = 1
#net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 =1

Après un reboot, un "ifconfig" ne doit plus montrer d'adresse IPv6. De
même que un "netstat -taupn" ne doit plus montrer d'adresse IP au format v6. 

    Quand à mettre en place des règles de filtrages pour l'IPv6, ce n'est
pas "iptables" qu'il faut utiliser, mais son petit frère "v6": "ip6tables"


    Plus précisément : Si une machine a à la fois une stack IPv4 et une
stack IPv6, alors il est nécessaire de lancer à la fois un script
iptables et un script ip6table => double boulot.


    Cordialement,


                        Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!



This message was posted to the following mailing lists:
Guilde
Mailing List Info | Nearby Messages		<-Re: JAVA : Une seule instance d'un programmeRe: Iptables.->
Archive des listes de la GUILDE administrated by L'administrateurLurker (version 2.3)