FS#27268 - filtrage des flux IPV6 en entrée de la freebox.

périmêtre : Freebox-serveur, IPV6, routeur.


depuis peu, IPV6 a pris le pas sur IPV4 au sein de nos Freebox. C’est plutôt une très bonne chose. Chose nouvelle, cette fonctionnalité n’est pas désactivable sur l’interface d’administration de la box.

ma Freebox est configurée en mode routeur. Je constate dans ce mode, que toutes les connexions entrantes sur mon réseau domestique en flux IPV6 arrivent directement sur chacun des périphériques connectés. Il n’y a aucun filtrage. D’aucun me diront que c’est un peu le principe-même d’IPV6. Cependant, j’aurai bien vu des options au sein du routeur Freebox permettant une gestion un peu plus fine du routage IPV6 :

  • autoriser tous les flux en entrée quelque soit l’IP source ou destination
  • autoriser tout ou partie des flux sur une liste d’adresses IPV6,
  • interdire tout trafic entrant.

bon nombre d’utilisateurs ayant une connaissance minimale en réseau informatique risquent de se retrouver avec d’éventuelles vulnérabilités internes. Sans compter, certains malwares activant un service sur IPV6 transformant n’importe quel équipement informatique doté d’IPV6 en petite bombe logiciel télécommandée.

La transition entre la configuration IPV4 plutôt protectrice permettant d’avoir un réseau domestique réellement privé et le réseau IPV6 totalement ouvert, est une transition particulièrement abrupte. La gestion des flux entrants en IPV4 est assez complète pour l’utilisateur averti souhaitant mettre en service des fonctionnalités sur son réseau interne. Je n’ai pas trouvé d’équivalent concernant les flux IPV6.

étant néophyte en matière d’IPV6, peut-être quelque chose m’a échappé. Auquel cas, il conviendrait de faire une communication afin de renforcer la sécurité des installations domestiques de plusieurs millions de foyer français.

cordialement, Marc Quinton.

on peut voir une discussion sur ce sujet ici :

nbanba a commenté le 10.05.2019 22:30


C est joliment dit , merci . Oui, vous avez 100% raison.

En étant plus direct, il est INDISPENSABLE que la Freebox fasses FIREWALL en IPv6 !!

Un particulier normal ayant plusieurs devices (pc, des tablettes, smartphones, caméra ...) souhaitant utiliser son réseau en ipv6 avec un niveau de sécurité équivalent à ipv4 doit aujourdhui faire des choix :

-1) se priver d ipv6 (TARPIT tous les next hop), mais vu qu on ne peut plus désactiver l option, ce n est visiblement pas la tendance et ce sera impossible à terme.
-2) acheter 1 firewall supportant les débits de sa connexion:
+ au moins 10000 à 15000 euros pour 1 delta en ftth pon à 10g
+ configuration à faire par 1 professionnel
-3) apprendre le réseau et se monter un vrai firewall supportant le 10G (pour les deltas) :
+ faisable soit même pour 1200 euros :
Il faut : 1 carte sfp+ 2 ports + 1 CM avec sortie vidéo ou kvm + 1 bon CPU / SoC (il faut un cpu assez costaud pour router a 10gb/s de l ipv6 sans asic NPU ou carte spécialisés additionnelle) + ram + châssis + 2 ssd en raid pour le système et les logs à 10gb/s + descendre une image d un produit firewall gratuit comme pfsense et le configurer

... bref ! Aujourd'hui, chez free si on souhaite utiliser sa connexion normalement (donc avec ipv6) et avoir le même niveau de débits et de sécurité que derrières un routeur ipv4, il faut faire des frais... ! Et pas de petits frais !! Avec une delta, ça peut vite coûter très cher à qui ne connais pas suffisamment l ipv6 + l ipv4 pour configurer et maintenir un firewall professionnel !! (Je ne connais pas de vrai firewall grand public, encore moins supportant plus de 10gigabit/s de commutation )

Il est donc indispensable que free inclue un firewall dans la Freebox.


Merci pour votre ticket de rappel aux devs :)

Il faut quand même voter sur le ticket d'origine → pare-feu (firewall) IPv6 :

Et sans oublier pour le reverse IPv6 :

A noter un problème de DHCPv6 et de DNSv6 depuis peu :

"Réponse de Free - Maxime Bizon : On pourra mettre en place un pare feu qui sera activable individuellement. (pas par défaut)"

@SagaciousServal : Depuis le temps que j'ai signalé l'urgence, ça fait plaisir d'avoir une partie de la réponse.

C'est assez urgent comme pour les règles LAN → WAN à commenter et à voter d'urgence :

Attention : Ce n'est pas bon, le pare-feu (firewall) n'est pas complet du tout lorsqu'il est activé.
"Cochez cette case si vous souhaitez que votre Freebox filtre le traffic entrant inconnu."
Aucun paramétrage de réglages.
Ne pas clôturer ce ticket

4 juin 2019 à 11:05 : Arrivée d'un firewall IPv6

"Firewall IPv6. Désactivé par défaut, en fonction des retours il est possible qu’il soit activé par défaut dans le futur (seulement pour les abonnés qui n’auront pas modifié leur configuration)."


pour ma part, je considère que le job est fait : "donner la possibilité de filtrer tout ou partie des flux IPV6 entrants." Sinon, on est d'accord, le paramétrage manque de flexibilité.

DCL a commenté le 05.06.2019 21:01

Non, les ports entrants ne fonctionnent pas.

Soit l'interface actuelle (Gestion des ports / Redirection des ports) prend en compte les adresses ipv6, soit il faut une nouvelle interface.

Les sélections actuelles d'un équipement dans cette interface ne semblent pas connaitre les adresses ipv6 hors local-link, qui ne sont de toutes les façons pas utilisables pour un filtrage de port entrant.

peut-etre en regardant cette doc : (ipv6 next hop).

DCL a commenté le 05.06.2019 21:35

Mais je veux pas de nexthop...

frenk a commenté le 10.06.2019 14:22

Plus d'accès au serveur openvpn, de la Freebox, après activation du firewall IPv6, de la Freebox,

frenk a commenté le 10.06.2019 14:23

En IPv6 je précis, pas de problème en v4

Faut dire qu'un VPN non sécurisé comme actuellement qui ne fonctionne plus en IPv6 est une bonne chose.
Il faut des mises à jour d'OpenSSL/OpenVPN/strongSwan et bien sûr un vrai pare-feu (IPv4/IPv6) lié à iptables/ip6tables, l'ajout du menu pour les règles NAT manquantes...

Par ailleurs, après activation du pare-feu (firewall) IPv6, il y a toujours les différents équipements et players connectés en IPv6...
Ce que nous ne souhaitons pas.

Par ailleurs, après activation du pare-feu (firewall) IPv6, il y a toujours les différents équipements et players connectés en IPv6...
Ce que nous ne souhaitons pas.

le filtrage porte sur les flux entrants, pas sur les flux sortants. Il n'y a pas de raison que les équipements compatibles IPV6 ne communiquent pas avec Internet.

Avez-vous demandé une IPv6 pour votre ou vos players ou bien d'autres équipements ?
Personne non.
Équipements IPv4/MAC Binding ont toujours une IPv6 comme par magie, pare-feu IPv6 activé, DHCPv6 désactivé et DNS IPv6 désactivé.
C'est donc illogique.

docmarc a commenté le 09.02.2022 19:50

ils faudrait déjà qu'il mettent a jour ZIMBRA toujours a la version 7.20 avec des failles critiques zero day.

allo, allo ? y-a-t-il encore un pilote dans l'avion ? c'est une nouvelle vague de SPAM sur ce forum.

il est peut-etre temps de migrer sur une solution plus reconnue : Gitlab au hasard.

on peut trouver des scripts ici Flyspray → Gitlab : ;

  • l'opération se passe en 2 temps ;
  • lecture de la base SQL flyspray et génération d'un JSON
  • lecture du JSON et injection vers Gitlab via son API.

