Forum Linux.général ip6tables, laisser passer radvd

Posté par Tonton Benoit le 26 octobre 2009 à 14:17.

Étiquettes : aucune

oct.

2009

Salut,

Je cherche quelles règles ip6tables je dois ajouter à mon firewall pour que radvd puisse annoncer sur le réseau local mais je ne trouve pas d'infos sur le protocole/port utilisé.

Actuellement quand ip6tables est activé j'ai ça dans mes logs :
frost radvd[8544]: sendmsg: Operation not permitted

Pourtant je ne bloque rien en sortie :



# Default rules

v6and4 -A OUTPUT -o %iface% -m state --state NEW,ESTiABLISHED,RELATED -j ACCEPT

v6and4 -A INPUT -i %iface% -m state --state ESTABLISHED,RELATED -j ACCEPT

# tcpdump

Posté par nono14 (site web personnel) le 26 octobre 2009 à 14:22. Évalué à 2.

est ton ami
tcpdump -i ip6
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
- [^] # Re: tcpdump
  
  Posté par Tonton Benoit le 26 octobre 2009 à 15:00. Évalué à 2.
  
  Merci, avec les infos récupérés par tcpdump j'ai trouvé ce script sur internet :
  
  # Allow router advertisements on local network segments for icmptype in 133 134 135 136 137 do $IP6TABLES -A INPUT -p icmpv6 --icmpv6-type $icmptype -m hl --hl-eq 255 -j ACCEPT $IP6TABLES -A OUTPUT -p icmpv6 --icmpv6-type $icmptype -m hl --hl-eq 255 -j ACCEPT done
  
  Par contre je me demande comment ça se fait que ça ne marche pas sans la règle "OUTPUT" alors que je suis déjà sensé tout accepter en sortie oO.
  - [^] # Re: tcpdump
    
    Posté par nono14 (site web personnel) le 26 octobre 2009 à 15:05. Évalué à 3.
    
    Il faudrait loguer les paquets avant de les dropper pour le savoir.
    
    J'imagine que ce ne sont pas les seules règles dans le firewall, la liste pourrait etre utile...
    + les appels en clair à ip6tables
    ip6tables -L -nv
    Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
    - [^] # Re: tcpdump
      
      Posté par Tonton Benoit le 26 octobre 2009 à 15:23. Évalué à 2.
      
      A pars ça je n'ai que des ouvertures de ports.
      
      Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all lo * ::/0 ::/0 307 256K ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED 0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:21 state NEW,RELATED,ESTABLISHED 0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:22 state NEW,RELATED,ESTABLISHED 0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpts:26881:26891 state NEW,RELATED,ESTABLISHED 0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:26662 state NEW,RELATED,ESTABLISHED 0 0 ACCEPT udp * * ::/0 ::/0 udp dpt:26672 state NEW,RELATED,ESTABLISHED 0 0 ACCEPT udp * * ::/0 ::/0 udp dpt:40382 state NEW,RELATED,ESTABLISHED 0 0 ACCEPT udp * * ::/0 ::/0 udp dpt:6570 state NEW,RELATED,ESTABLISHED Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all * lo ::/0 ::/0 256 20527 ACCEPT all * * ::/0 ::/0 state NEW,RELATED,ESTABLISHED
      
      Je vais logger pour voir ce qui se passe.
  - [^] # Re: tcpdump
    
    Posté par Ellendhel (site web personnel) le 26 octobre 2009 à 16:07. Évalué à 2.
    
    je suis déjà sensé tout accepter en sortie oO.
    
    Faute de frappe dans la règle peut-être ?
    
    v6and4 -A OUTPUT -o %iface% -m state --state NEW,ESTiABLISHED,RELATED -j ACCEPT
    - [^] # Re: tcpdump
      
      Posté par Tonton Benoit le 26 octobre 2009 à 20:52. Évalué à 2.
      
      Nan ça c'est une petite fausse manip avec vim vite détecté à l'exécution du script.
  - [^] # Re: tcpdump
    
    Posté par nono14 (site web personnel) le 26 octobre 2009 à 17:29. Évalué à 3.
    
    Tu laisses passer tcp et udp seulement...
    pas l'icmpv6
    
    Le passage d'ipv4 à ipv6 ne se fait pas seulement en appelant les mêmes régles d'en ipv4.
    Il est necessaire de prendre en compte icmpv6...
    Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
    - [^] # Re: tcpdump
      
      Posté par Tonton Benoit le 26 octobre 2009 à 21:43. Évalué à 2.
      
      Donc quand on fait un ip6tables -A OUTPUT -o %iface% -m state --state NEW,ESTiABLISHED,RELATED -j ACCEPT
      Ça ne concerne que le tcp et l'udp ?
      
      Je sais bien que le passage d'iptables à ip6tables c'est pas les mêmes commandes mais comme 90% de mes règles c'est de l'ouverture de ports j'ai fais un petit script pour exécuter certaines commandes sur les deux.
      - [^] # Re: tcpdump
        
        Posté par nono14 (site web personnel) le 26 octobre 2009 à 21:52. Évalué à 2.
        
        Je viens de faire un test rapide il est necessaire d'ajouter une ligne du genre:
        ip6tables -A OUTPUT -o -p icmpv6 -j ACCEPT
        Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
        
        [^] # Re: tcpdump
        
        Posté par Tonton Benoit le 26 octobre 2009 à 23:03. Évalué à 2.
        
        C'est ce que j'ai fait aussi.
        
        Merci, me reste plus qu'a affiner tout ça.
        
        [^] # Re: tcpdump
        
        Posté par benoar le 27 octobre 2009 à 02:05. Évalué à 4.
        
        J'ai fait quelques recherches et je suis tombé sur (entre autres) ça :
        http://marc.info/?l=netfilter&m=120729439902733&w=2
        http://marc.info/?l=netfilter-devel&m=122587864120868&am(...)
        http://marc.info/?l=netfilter-devel&m=123306823804829&am(...)
        
        En gros, comme les requêtes du style neighbour discovery sont du multicast, elles ne sont pas "trackables" par conntrack. Elles ne sont donc pas prises en compte par ta règle avec --state ...
        
        [^] # Re: tcpdump
        
        Posté par Tonton Benoit le 27 octobre 2009 à 03:15. Évalué à 1.
        
        D'ailleurs pourquoi je me fait chier avec --state dans ce cas moi ?
        
        v6and4 -A OUTPUT -o %iface% -j ACCEPT
        voir
        v6and4 -P OUTPUT ACCEPT
        
        [^] # Re: tcpdump
        
        Posté par benoar le 27 octobre 2009 à 21:42. Évalué à 1.
        
        En effet, c'est si simple que je n'y avait pas pensé.
        Par contre ta deuxième règle est vachement plus laxiste, elle va toucher tout partout ...
        
        [^] # Re: tcpdump
        
        Posté par benoar le 27 octobre 2009 à 22:27. Évalué à 2.
        
        Tiens, je corrige une faute que j'ai fait : les messages router advertisement sont multicast, les neighbour discovery j'en suis pas sûr.
        
        Sinon, ça marche bien avec la première ligne que t'as indiqué ?
        
        [^] # Les 2 mon général
        
        Posté par nono14 (site web personnel) le 27 octobre 2009 à 23:31. Évalué à 2.
        
        http://livre.g6.asso.fr/index.php/D%C3%A9couverte_de_voisins
        Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
        
        [^] # Re: tcpdump
        
        Posté par Tonton Benoit le 28 octobre 2009 à 12:59. Évalué à 3.
        
        Oui ça marche bien.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.