# /etc/ip6tables.up.rules # Script qui démarre les règles de filtrage IPv6 # Formation Debian GNU/Linux par Alexis de Lattre # http://formation-debian.via.ecp.fr/ # iptables-restore(8) remet implicitement à zéro toutes les règles # Les instructions qui suivent concernent la table « filter », # c'est-à-dire... le filtrage. *filter ######################### # Politiques par défaut # ######################### # Les politiques par défaut déterminent le devenir d'un paquet auquel # aucune règle spécifique ne s'applique. # Les connexions entrantes sont bloquées par défaut -P INPUT DROP # Les connexions destinées à être routées sont refusées par défaut -P FORWARD DROP # Les connexions sortantes sont acceptées par défaut -P OUTPUT ACCEPT ###################### # Règles de filtrage # ###################### # Nous précisons ici des règles spécifiques pour les paquets vérifiant # certaines conditions. # Pas de filtrage sur l'interface de "loopback" -A INPUT -i lo -j ACCEPT ## Règles relatives au routage ## -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth0 --source 2001:910:111e::/48 -j ACCEPT -A FORWARD --destination 2001:910:111e::/48 -j ACCEPT ## Règles relatives aux services ## # Accepter le protocole ICMPv6 (notamment le ping) -A INPUT -p icmpv6 -j ACCEPT # Accepter les packets entrants relatifs à des connexions déjà # établies : cela va plus vite que de devoir réexaminer toutes # les règles pour chaque paquet. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # Accepter SSH de partout -A INPUT -p tcp --dport ssh -j ACCEPT -A INPUT -p tcp --dport http -j ACCEPT # Interface aircontrol en HTTPS -A INPUT -p tcp --dport 9443 -j ACCEPT -A INPUT -p tcp --dport 9080 -j ACCEPT # Webservices Ilico -A INPUT -p tcp --dport 8080 -j ACCEPT # Accepter DNS depuis les IPs abonnés Ilico -A INPUT -i eth0 -p tcp --dport domain --source 2001:910:111e::/48 -j ACCEPT -A INPUT -i eth0 -p udp --dport domain --source 2001:910:111e::/48 -j ACCEPT # Accepter les requêtes/réponses DHCPv6 -A INPUT -i eth0 -p udp --dport dhcpv6-server --sport dhcpv6-client -j ACCEPT COMMIT