Disons que j’ai une configuration de pare-feu sur mon serveur Linux avec iptables afin que je n’accepte que le trafic des ports 22 et 80 et que je bloque l’accès à tous les autres ports.
Ces règles ne fonctionnent-elles que si l'ordinateur client utilise une adresse IPv4? Donc, si une adresse ipv6 est utilisée, le client peut accéder à des ports que je ne souhaite pas utiliser? (c.-à-d. ports autres que les ports 22 et 80)
iptables
fonctionne pour IPv4, mais pas IPv6. ip6tables
est le pare-feu IPv6 équivalent et est installé avec iptables
.
Finalement, iptables
est destiné aux connexions IPv4, ip6tables
à des connexions IPv6. Si vous souhaitez que vos règles iptables
s'appliquent également à IPv6, vous devez également les ajouter à ip6tables
.
Si vous essayez de répliquer votre ensemble de règles iptables
en ip6tables
, toutes les règles que iptables
peut effectuer ne seront pas parfaitement portées sur ip6tables
, mais la plupart d'entre elles le seront.
Reportez-vous à la page de manuel de ip6tables
si vous voulez vous assurer que les commandes que vous utilisez dans votre iptables
seront correctement transférées.
Si vous le souhaitez, nous pouvons vous aider à créer des ensembles de règles ip6tables
équivalents correspondant à vos règles iptables
, si vous fournissez votre liste de règles de pare-feu (en supprimant toute information susceptible d'identifier le système de coruse). Sinon, nous ne pouvons que répondre à votre question générale.
Comme d’autres l’ont déjà dit, il existe différentes tables de pare-feu pour IPv4 et IPv6. Vous pouvez configurer des règles pour IPv6 comme pour IPv4, mais vous risquez de vous tromper si vous ne connaissez pas IPv6. Par exemple, vous ne pouvez pas supprimer ICMP
pour IPv6, car il contient des éléments de négociation essentiels. C'est comme dire à l'expéditeur que les cadres sont trop volumineux, etc. Sans ces choses, IPv6 pourrait ne plus fonctionner pour certains utilisateurs.
Il est donc fortement recommandé d'utiliser ufw
ou le paquetage shorewall6
avec shorewall
name__. iptables
frontend ufw
prend en charge les protocoles IPv4 et IPv6 et fonctionne parfaitement sur les serveurs à une ou deux interfaces, mais ne route pas le trafic (fonctionne comme un routeur ou une passerelle). Si vous acheminez le trafic, vous avez besoin de quelque chose de mieux, comme shorewall
ou vous ajoutez manuellement des règles de transfert avec iptables
et ip6tables
.
N'oubliez pas que vous pouvez avoir plusieurs adresses IPv6 sur vos interfaces. Certains ne sont que des liens locaux, d'autres sont globalement statiques et dynamiques. Vous devez donc configurer les règles en conséquence et les serveurs n’écoutant que les bonnes adresses.