Netfilter, IPv6 et les Neighbor Solicitations
J'ai décidé lors de la migration de mon serveur dédié, d'activer IPv6 pour les différents services hébergés dessus. J'ai, par la même occasion, configuré mon pare-feu Netfilter dans la même logique que pour le trafic IPv4 (même si les risques de sécurité IPv6 semblent pour l'instant moindres puisque peu de monde fonctionne avec).
Hors après une configuration standard de mon firewall avec ip6tables, l'ensemble de mes flux IPv6 en Entrée et en Sortie étaient bloqués. Après quelques recherches, je me suis rendu compte qu'il est obligatoire d'autoriser les Neighbor Solicitations (successeur d'ARP avec IPv6). Ainsi, il faut vraiment porter une attention particulière sur le protocole ICMPv6 et ses différents types (NS, RA, Echo...). La mise en place d'un limit's rate ou d'un hop limit peut s'avérer intéressant en complément.
Voici les lignes que j'ai rajouté afin de rendre mes règles ip6tables fonctionnelles :
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbour-solicitation -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbour-advertisement -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -m hl --hl-eq 255 -j ACCEPT
Voilà, mes différents services Internet (Web, DNS, SSH) sont dorénavant IPv6 ready. :)