Bonjour à tous,
Etant sur l’implémentation d’IPV6 sur ma plateforme OVH, j’ai eu l’occasion d’installer SHOREWALL6 en complément de SHOREWALL que j’utilise déjà (il gère que l’ipv4).
SHOREWALL6 vient donc ajouter à SHOREWALL le support IPV6, j’ai choisi SHOREWALL car il présente l’avantage d’être très simple et rapide à configurer.
Ce firewall se configure avec des fichiers texte et il est fourni avec de nombreux exemples de configuration.
Dans son mode « avancé » il permet de faire des fonctions avancées comme activer/désactiver une règle sans toucher au service (via un flag kernel),
Activer/désactiver une règle dans une plage horaire UTC spécifique (via le paquet xtables-addons-common).
Sur mon hyperviseur XEN/DEBIAN j’ai ceci d’installé (notez qu’il existe aussi une version « light ») :
Configuration des logs :
Le service ULOG2 présente l’avantage de séparer ici les logs IPV4 et IPV6 (via un groupe dédié).
On vient ensuite ajouter la politique de rétention/rotation :
Configuration de SHOREWALL6 :
Fichier de configuration global, ici on active au boot du serveur et on précise le chemin des logs FW IPV6 :
Ici je précise ces zones :
– Une pour INTERNET
– Une pour le FIREWALL (ici mon hyperviseur XEN)
– Une pour les « serveurs » qui sont les machines virtuelles hébergées dessus.
Chaque zone et rattachée à une interface sur pour la zone « FIREWALL » :
Ici je vais donc définir mes interfaces que je rattache à mes zones :
Côté politique j’ai ceci :
Côté règles je définis ceci, rien de bien compliqué, je bloque les connexions entrantes, sauf le SSH depuis machine d’administration :
Dans les paramètres je défini les variables utilisées par mon FW, ici la configuration LOG et la liste des IP « admins » :
Enfin pour la gestion de SHOREWALL/SHOREWALL6 j’utilise ces commandes :
Une fois que tout est bon, j’active en complément le service SYSTEMD :
A bientôt !
Sources:
Exemples de configuration (debian/ubuntu) :
/usr/share/doc/shorewall6/examples/
https://sourceforge.net/p/shorewall/mailman/shorewall-users/
https://shorewall.org/Documentation_Index.html#Index
https://www.pivert.org/?s=shorewall
https://www.ipsidixit.net/tag/ipv6-networking/