Freebox Server (Delta V7 / Revolution V6 / Server Mini 4K)

  • État Nouveau
  • Type de tâche Anomalie
  • Catégorie Freebox OS
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Critique
  • Priorité Normale
  • Basée sur la version 4.0.7
  • Due pour la version Non décidé
  • Date d'échéance Non décidé

FS#27613 - Impossible d ouvrir des ports en ipv6 (firewall )

Bonjour

On ne peut pas ouvrir de ports en ipv6, il n y a donc pas de firewall sur la Freebox en ipv6.
Il y a juste une fonctionnalité de blocage du traffic entrants, trop restrictive pour pouvoir utiliser normalement l ipv6.

Fonctionnalités firewall attendus

Ce que l on veux : 
- pouvoir faire des règles (In, out, forward, tarpit)
- pouvoir ouvrir et fermer des ports vers des ipv6 données.
- pouvoir gérer les subnets privés sur fd00/8 (+ le support de vlan en ipv4)
- pouvoir gérer les interfaces et les règles par interface 
- pouvoir créé des sous interfaces 
- pouvoir agréger les ports du switch / les liens
- pouvoir modifier la table de routage
- pouvoir faire sortir une partie du flux par une ipv6 données et gestion de pool d ipv6 en sortie
- pouvoir réaliser de l encapsulation dot1q / du trunk
- pouvoir interconnecter des site ipv4+ipv6 ou les réseaux locaux distants sont publiés dans la table de routage de la freebox
- pouvoir gérer le routeur / firewall en cli
- pouvoir faire du tcpdump sur les interfaces

Merci

Cordialement 
nbanba

Cette tache ne dépend pas d'autre tache

Olivier (Esteban1102)
Sunday 16 June, 2019 15:37:07

+1

jerryzz (jerryzz)
Tuesday 18 June, 2019 13:00:58

Belle liste au père noël, mais je complêtement d'accord avec toi ! +1 !

nicolas nba (nbanba)
Tuesday 18 June, 2019 17:38:54

Bonjour

Liste au père noël, je ne sais pas...
En tout cas, c est a minima ce que j attends d un (vrai) firewall ...

Maintenant, je ne demande pas à free de réinventer la roue, le feu et la relativité générale, une petite vm sur la box avec 1 truc comme pfsense dessus m irai meme si j avoue préférer la version VM de fortigate car elle prend en charge les NPU et les asic (mais pour le coup, vu le prix c est plus que du rêve...).

Cordialement
nbanba

nicolas nba (nbanba)
Monday 8 July, 2019 20:00:27

Bonjour

Avez vous avancés sur ce problème ??
@Thibault Freebox : pourriez vous nous faire un état des avancements de cette tâche ?

En vous remerciant d avance
Cordialement
nbanba

Thibaut Freebox (Thibaut Freebox)
Tuesday 9 July, 2019 15:43:02

Avancement 0%, on travaille sur d'autres éléments pour l'instant.

Cette proposition n'est pas inintéressante, mais elle n'est pas non plus prioritaire.

Cdt.

La prise en charge débute quand je dis "on regarde"... et là on ne regarde pas encore !

Jonathan (john5168)
Wednesday 28 August, 2019 07:10:43

Bonjour,

Cela n'est pas prioritaire, je peut le comprendre mais la demande est importantes car elle permettrais de disposé d'un vrai firewall et de résoudre certain problème avec l'agrégation 4G.

Pour ma part j’attente avec impatience l’implémentation de cette demande. En totalité ou en partie.

zeb ulon (zebul666)
Wednesday 28 August, 2019 09:06:40

Ca n'est pas prioritaire mais ca le devrait.

Si on n'a pas d'ipv4 full stack, on pourrait se rabattre sur l'ipv6, ... mais on peut pas car les ports qu'on a à notre disposition, on ne peut rien en faire....

Piwi (Piwi)
Thursday 10 October, 2019 11:36:18

Le principal souci avec l'IPv6 est que Free nous laisse le choix entre laisser passer tout le trafic IPv6 entrant sans aucune possibilité de filtrage au niveau de la Freebox, ou bloquer tout le trafic IPv6 entrant.
Il faut alors soit sécuriser chaque appareil du réseau local lorsque c'est possible (compliqué voir impossible avec des objets connectés), ou alors se priver de l'hébergement de services via IPv6.

Vu la liste des options demandées dans le message original, je pense que tout sera refusé ou non implémenté à part le filtrage.
L'agrégation de liens 802.3ad serait tout de même la bienvenue pour ne pas avoir à investir dans un switch SFP+ et bénéficier de 4x1Gbps à moindre coût.
Le plus efficace à l'heure actuelle est d'utiliser son propre routeur/pare-feu derrière la box bridgée.

Coco Robicheaux (PiwiFr3ePl4y3r)
Monday 14 October, 2019 22:37:13

@Thibaut Freebox : "Cette proposition [...] n'est pas non plus prioritaire."

Quand on voit que la désactivation du pare-feu IPv6 met directement en danger les données des abonnés, ça me paraît être une priorité.
Le minimum est de proposer un filtrage IPv6 du trafic entrant (d'ailleurs, le pare-feu IPv6 ne devrait être désactivable qu'en mode bridge).

D.-C.M. (Wozzeck)
Monday 4 November, 2019 19:54:53

Il n'y aura jamais de vrai firewall sous la Freebox.... ou disons d'un firewall totalement paramétrable.
Si vous voulez un firewall totalement paramétrable, il vous appartient de bidouiller votre propre routeur avec une distro linux en activant un forward DMZ

La seule chose URGENTE c'est juste d'intégrer un port Forwarding en IPv6.
Et là en effet je ne suis absolument pas d'accord avec les devs Freebox qui pour le coupe se foute de la gueule du monde.

Le reste des demandes mentionnées sur cette requête n'ont rien à faire pour une box développée pour un usage Grand public et pas un usage professionnel.

Si vous voulez faire les "cake" super connaisseurs... mettez les mains dans le cambouis en montant vous même votre routeur sous Linux ou en achetant un routeur porfessionnel de grade "entreprise" qui coûtera plus ou moins 300 EUR pour une prestation basique.

Il faut arrêter avec vos demandes farfelus qui n'auront aucune chances d'être développés sur une BOX qui n'a pas de vocation à être utilisée dans un milieu entreprise.
Passez 100 000 heures de desv pour juste faire plaisir à un pelé et deux tondus.... non mais les gars réfléchissez un peu.

Si Orange, SFR et Bouygues continuent à faire des Box m... alors aue la Freebox possède déjà bien plus de fonctionnalités, c'est bien la preuve que hors clientèle "geek" la plupart des fonctionnalités de la Freebox (VPN....) ne rencontrent aucun intérêt auprès de la clientèle moyenne, donc la liste du père Noel que vous affichez est juste risible.

En revanche.... le port forwarding en IPv6 CA C'EST URGENT et sur ce point les DEVS DOIVENT NOUS ECOUTER.
En effet les gamers, mais aussi pour des besoins de video surveillance, la redirection de port peut être requise.

Le reste.... ce sont des fonctions avancées quo sortent du champ d'un produit très grand public

Dans tous les cas.... que ce soit sous Linux, Windows, ou BSD.... il y a par défaut un firewall IPv4 / Ipv6, et sous Windows je conseille l'excellent Comodo Internet Security, le meilleur firewall grand public. Donc inutile de lancer des cris horrifiés.... on n'est pas protégé

Windows intègre nativement des capacité de redirection de port en TCP en ligne de commande. Si vous recherchez des capacités de redirection UDP/TCP avec interface graphique il y a le logiciel AUTAPF de networkactiv
Pour Linux.... c'est votre firewall préféré qui peut gérer cela

nicolas nba (nbanba)
Monday 4 November, 2019 21:01:51

@WOZZECK:

Ton frigo connecté acheté par Mr Touslemonde et connecté a internet en ipv6 par un ASIC qui fait moins d 1 gramme et moins d 1 cm3, et qui n implémente rien de plus que tcp/ip et une quelconque norme 802.3/802.11, tu penses vraiment que tu pourra installer ton comodo firewall dessus et que Mr Touslemonde saura comment se protéger ??

En suivant tes propos, les appareils IOT de Mr Touslemonde se retrouveront à hacker la banque de France ou à faire des ddos sur dyn, akamaii, Google ou autre Facebook pénalisant des millions d utilisateurs et coûtant des fortunes au grand public au détriment financier et juridique de ce dernier...

On sait bien mettre les mains dans le cambouis et on peut même arriver à débloquer (par passion) des budgets suffisants pour acheter des firewalls ipv6 supportant le 10gb/s fournis par Free (d ailleurs l ordre de grandeur c est plus du 3000 voir 30000 euros plutôt que les 300 dont du parles...!), mais pas monsieur Touslemonde...

Je ne sais pas quelle est ton utilisation de la box ni de l ipv6 (gamer peut etre), mais le développement de fonctions avancées profite à tous et permet une pleine exploitation de la connexion : ça élargit le spectre des possibilités, ouvre de nouveaux horizons pour une connexion privée et BOOST le marché !!
Sans les fonctionnalités avancées des premières Freebox et l agressivité technologique de free, aujourd'hui tu paierai 70e/mois une tres mauvaise ADSL sans tv, tu paierai encore France Télécom pour ta ligne RTC et plus de 100€/mois et par ligne de téléphone de mobile (au minimum)....

Bref, je pense qu il ne faut jamais niveler le marché technologique par le bas ou par le besoin courrant de Mr Touslemonde, mais par le haut et par le potentiel besoin futur.

@FREE: la liste au père noël est toujours d actualité, l ipv6 c est l avenir, investir dans des fonctionnalités avancées c est aller vers l internet de demain...
Merci

Cordialement
nbanba

Jonathan (john5168)
Tuesday 5 November, 2019 13:04:17

Bonjour à tous,

Je ne suis pas spécialiste comme vous sur le sujet,
je suis tout de même intéressé car l'agrégation 4G pour moi est inutilisable en cause des redirections de ports utile pour un équipement pro qui ne fonctionne pas avec la 4G.

Je me demander avec un DMZ sur une VM (debian) dans la freebox ne permettrait-il pas de mettre en place son propre pare-feu?
Je pense que le problème est de rediriger toutes les connexions interne (Ethernet, wifi, ...) vers la Vm ? (peut-être que cela serais un moindre job pour les dev free)

Cordialement,

Chargement...