Quentin Demoulière

Mon blog personnel

Netfilter

Netfilter, IPv6 et les Neighbor Solicitations

Rédigé par Quentin Demouliere - 16 octobre 2013 - Aucun commentaire

J'ai décidé lors de la migration de mon serveur dédié, d'activer IPv6 pour les différents services hébergés dessus. J'ai, par la même occasion, configuré mon pare-feu Netfilter dans la même logique que pour le trafic IPv4 (même si les risques de sécurité IPv6 semblent pour l'instant moindres puisque peu de monde fonctionne avec).

Hors après une configuration standard de mon firewall avec ip6tables, l'ensemble de mes flux IPv6 en Entrée et en Sortie étaient bloqués. Après quelques recherches, je me suis rendu compte qu'il est obligatoire d'autoriser les Neighbor Solicitations (successeur d'ARP avec IPv6). Ainsi, il faut vraiment porter une attention particulière sur le protocole ICMPv6 et ses différents types (NS, RA, Echo...). La mise en place d'un limit's rate ou d'un hop limit peut s'avérer intéressant en complément.

Lire la suite de Netfilter, IPv6 et les Neighbor Solicitations