Différences

Ci-dessous, les différences entre deux révisions de la page.

--- securite:firewall_iptables [2011/12/17 02:05] – maj présentation de la page Anael MOBILIA
+++ securite:firewall_iptables [2014/05/27 03:32] (Version actuelle) – modification externe 127.0.0.1
@@ Ligne 1: / Ligne 1: @@
-<style float-right>{{tag>iptables firewall pare-feu}}</style>
+<style float-right>{{tag>iptables firewall pare-feu ipv4 ipv6}}</style>
 <style float-left>{{:icones:kgpg.png?nolink&70}}</style>
@@ Ligne 6: / Ligne 6: @@
 //[[:|Retour à la liste des tutoriels]]//
-<note tip>Explication des fonctionnalités principales d'iptables et création d'un script de configuration.</note>
+<note tip>Explication des fonctionnalités principales d'iptables et création d'un script de configuration.
+\\
+Utilisation d'IPv4 et IPv6</note>
 <note>**Prérequis**
   * Aucun prérequis pour ce tutoriel.
@@ Ligne 26: / Ligne 28: @@
-===== Iptables =====
+===== Iptables IPv4 =====
 ==== Programmes à autoriser ====
@@ Ligne 152: / Ligne 154: @@
 \\
 [[http://wiki.debian.org/LSBInitScripts|Infos sur LSB]]</note>
+===== Ip6tables IPv6 =====
+<note important>Si votre serveur possède une adresse IPv4 ainsi qu'une adresse IPv6, il convient de protéger correctement votre serveur sur les deux réseaux.
+Sinon cela reviendrait à mettre une porte blindée devant votre maison, mais laisser la porte de service grande ouverte... inutile !</note>
+==== IPv6, suis-je concerné ? ====
+Pour déterminer si votre serveur possède une adresse IPv6 :
+<code bash>ifconfig</code>
+Que faut-il lire ?
+<code>eth0      Link encap:Ethernet  HWaddr c8:0a:a9:03:25:78
+          inet adr:88.191.122.115  Bcast:88.191.122.255  Masque:255.255.255.0
+          adr inet6: 2a01:e0b:1:122:ca0a:a9ff:fe03:2578/64 Scope:Global
+          adr inet6: fe80::ca0a:a9ff:fe03:2578/64 Scope:Lien
+          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
+          RX packets:210192407 errors:0 dropped:0 overruns:0 frame:0
+          TX packets:97773119 errors:0 dropped:0 overruns:0 carrier:0
+          collisions:0 lg file transmission:1000
+          RX bytes:143351720634 (133.5 GiB)  TX bytes:89455408641 (83.3 GiB)
+          Interruption:28 Mémoire:feae0000-feb00000 </code>
+La ligne nous intéressant est ''adr inet6''.
+<note tip>Si une seule ligne est présente, et commence par fe80, votre serveur ne possède pas de connectivité internet IPv6.
+Sinon, votre serveur est accessible en IPv6.</note>
+==== ip6tables ====
+Le pare-feu est ip**6**tables. Je vais réutiliser les mêmes configurations que pour l'IPv4.
+<note important>L'autorisation de l'ICMPv6 est obligatoire pour que vos sites web soient accessibles aujourd'hui !</note>
+Je rajoute dans mon script /etc/init.d/iptables :
+<file bash iptables>
+# ----------------------------------- I P v 6 -----------------------------------------
+# vider les tables de filtrage existantes
+ip6tables -t filter -F
+ip6tables -t filter -X
+# autoriser le trafic entrant d'une connexion déjà active
+ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
+# autoriser le trafic entrant SSH
+ip6tables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT
+# autoriser le trafic entrant web
+ip6tables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
+# autoriser le ping
+ip6tables -A INPUT -p icmpv6 -j ACCEPT
+# autoriser toutes les connexions en loopback (connexion locale)
+ip6tables -I INPUT 2 -i lo -j ACCEPT
+# restriction de tout le trafic entrant
+ip6tables -P INPUT DROP
+</file>
 \\
@@ Ligne 159: / Ligne 217: @@
   * [[http://doc.ubuntu-fr.org/iptables|Doc. Ubuntu-fr]]
   * [[https://help.ubuntu.com/community/IptablesHowTo|Doc. Ubuntu]]

Piste :

Différences

Navigation

Recherche

Boîte à outils