Le blog à Fred

Aller au contenu | Aller au menu | Aller à la recherche

Mot-clé - Packet Filter

Fil des billets - Fil des commentaires

mercredi 6 juillet 2011

Nuit de Chine, nuit câline...

Par Fred le mercredi 6 juillet 2011, 22:26 - Système et réseau

Encore une aventure de folie avec des chats, des Chinois, des murailles, des portes, des ports, des diablotins et le Héros.
Le tout est agrémenté de magnifiques lignes de commandes et ne contient aucun buzzword[1]
Aucun animal n'a été maltraité, juste des paquets IP

Notes

[1] Voir ça pour la génération Hype

Lire la suite...

aucun commentaire aucun rétrolien

mercredi 29 juin 2011

A poil !!!

Par Fred le mercredi 29 juin 2011, 22:40 - Système et réseau

C'est pas dans mes habitudes mais je viens de me rendre compte que j'étais à poil !!
Que les femmes se calment et que leurs maris se rassurent, je suis actuellement encore complêtement habillé[1]. Il s'agissait en fait d'une métaphore.
Bon, venons-en aux faits et à l'explication de mon apoilitude.
Dpeuis quelques jours, l'Os du bien a du mal à coucher avec ma FreeBox, cette dernière refusant de lui donner son adresse[2]. Du coup, j'ai beaucoup joué les entremetteurs[3] pour que le dialogue reprenne.
D'un point de vue purement technique, j'ai énormément utilisé l'interface de configuration du mode routeur de la FreeBox ainsi qu'avec la configuration Wifi. Passons sur ces deux points dont je ferai peut-être un article[4].
A force de jouer avec l'interface, une question m'est venue à l'esprit :

Tiens, c'est marrant, j'ai configuré l'IPv6 sur ma FreeBox et pourtant, y a rien qui n'ait trait à l'IPv6 sur l'interface de config du routeur !


Donc forcément, je réfléchis et je me dis que c'est normal, vu que grâce à l'IPv6, toutes mes machines ont une adresse sur le Web et qu'il n'y a donc pas besoin de NAT[5].
Poursuivant ma réflexion, je finis par me demander comment mon mur de feu est configuré et là, c'est la panique !!!
Depuis que j'ai fait mes premiers essais en v6, je me balade à poil sur le Net !!!
Après avoir repris mon sang-froid, je vérifie quand même avec Google et je tombe . Plus de doute possible, je rajoute donc, avant de faire mieux, les règles suivantes dans mon PF après les règles ICMPv6:

pass out quick on ${ext_if} inet6
block in log quick on ${ext_if} inet6


Maintenant, ma paranoïa a repris le dessus donc va falloir que je vérifie tout ça depuis une bécane IPv6-aware se trouvant sur le Net :-/

Pour le fun, un petit lien sympa pour ceusse qui auraient une config avec un routeur à eux : http://ip6.fr/free-broute/

Voilou !

Notes

[1] En même temps, j'ai aucune raison d'être à poil au boulot

[2] IP, ne voyez rien de pervers là-dedans

[3] Encore un mot à la con, tiens :D

[4] D'ailleurs, la liste questions@freebsd-fr.org n'a fourni aucune réponse sur ces problèmes

[5] Rien à voir avec Nat

2 commentaires aucun rétrolien

lundi 6 octobre 2008

I'm aware

Par Fred le lundi 6 octobre 2008, 14:35 - Système et réseau

Depuis que Free a déployé l'IPv6 sur son réseau l'année dernière (cf. ), j'avais accès à l'Internet de nouvelle génération[1]... Accès oui mais sans activer mon superbe pare-feu Packet Filter.
Pourquoi donc, vous demandez-vous les yeux ébahis et pleins de soif de savoir ce qu'il se passe dans ma foutue machine ??
Et bien, jusqu'à hier, je trouvais pas ce qui n'allait pas là-dedans:


pass out on $(ext_if) inet6 proto ipv6-icmp all ipv6-icmp-type neighbradv keep state

pass out on $(ext_if) inet6 proto ipv6-icmp all ipv6-icmp-type echoreq keep state

pass in on $(ext_if) inet6 proto ipv6-icmp all ipv6-icmp-type neighbradv

pass in on $(ext_if) inet6 proto ipv6-icmp all ipv6-icmp-type neighbrsol

Ca, c'est les filtres IPv6 que j'utilisais quand la machine était utilisée comme un routeur et que je bénéficiais d'une adresse IPv6 grâce à un fournisseur de tunnel suisse[2].
Maintenant que j'ai dit, ça devrait sauter aux yeux des experts... Moi, ça m'a sauté aux yeux hier matin seulement :-/
Et pourtant, c'était évident. Ma machine n'est plus le routeur IPv6 ni la passerelle du réseau, c'est la FreeBox la cheftaine !
Qui plus est, en semi-paranoïaque à tendance schyzophrène[3], j'ai configuré mon pare-feu pour qu'il empêche tout traffic non autorisé explicitement... Alors ???
Il manque ça bon sang :


pass out on $(ext_if) inet6 proto ipv6-icmp all ipv6-icmp-type routersol keep state

pass in on $(ext_if) inet6 proto ipv6-icmp all ipv6-icmp-type routeradv

Faut quand même laisser sortir les appels au routeur et entrer ses réponses sinon l'autoconfiguration IPv6 et bah, elle marche pô.
Alors, c'était pas évident ???
Bon, ça y est, je ne suis donc plus à poil sur le réseau Internet en IPv6.

Si la partie Tunnel Broker vous intéresse, je veux bien refaire un petit billet sur la configuration IPv6 d'un FreeBSD dans c'te config.

Notes

[1] Ranavoir avec le Web2.0 qui lave mieux et plus blanc grâce à Ajax

[2] Je n'arrive pas à accéder au site depuis le boulot, ils sont tous morts là-dedans ? vous pourrez en trouver un autre ici

[3] Je me prends souvent pour un dictateur sur mon réseau

aucun commentaire aucun rétrolien