- État Nouveau
- Pourcentage achevé
- Type Évolution
- Catégorie Freebox OS → Interface Web
- Assignée à Personne
- Système d'exploitation Freebox Server V7 (Delta)
- Sévérité Moyenne
- Priorité Très Basse
- Basée sur la version 4.7.6
- Due pour la version Non décidée
-
Échéance
Non décidée
- Votes 3
- Privée
Ouverte par Nyxtorm - 09/06/2023
Dernière modification par Nyxtorm - 10/06/2023
FS#38438 - Filtrage firewall IPv6 et délégation /64
Bonjour,
Le firewall IPv6 de Freebox OS est beaucoup trop limitant.
Il est très bien de pouvoir l’activer ou le désactiver. En revanche, si je l’active, il est aussi actif pour toutes les délégations de préfixes utilisées ce qui n’est pas logique puisque ces préfixes sont censés êtres gérés par un autre pare-feu en aval.
Mon but est d’avoir le pare-feu v6 actif pour les éléments branchés directement au réseau de la Freebox (PiKVM par exemple), et inactif sur certaines de mes délégations utilisées.
Il faudrait pouvoir :
- Avoir le choix d’exclure les délégations quand le pare-feu v6 est actif. Soit automatiquement en vérifiant si le champs “Next hop” contient une valeur, ou encore mieux, manuellement en mettant à disposition une case à cocher “Activer le firewall v6 sur cette délégation” pour permettre le cas par cas.
- Pouvoir créer des règles claires sur le pare-feu v6, mais cela implique plus de développement alors que le premier point est plus simple sur le papier.
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
Vous pouvez être sûr que celui-là sera enterré avec les préfix /60 lors de votre prochaine évolution de connectivité.
Lors du passage au 10GPON, non seulement je suis passé par la case IPv4 avec 2^14 portes seulement (avant de récupérer l'ensemble des portes en demandant IPv4 fullstack), mais aussi, je suis passé du préfix /60 vers un préfix /64. La délégation reste possible, mais avec une seule délégation du préfix entier. Sous ces conditions, effectivement, on peut configurer un routeur Ipv6 avec une pare-feu digne de ce nom ou bien le filtrage complet (donc pas de services pour l'extérieur) ou pire encore tout ouvert.
Après tous les autres ratés, j'estime que la vrai utilité des VM sur la freebox Delta sera d'y mettre un routeur mieux configurable.
Bonjour pn13008,
Je bénéficie déjà du 10G-EPON, la délégation IPv6 focntionne très bien, ainsi que mon IP v4 full stack. Freebox OS permet d'utiliser un /61 avec 8 délégations /64, même si techniquement, on bénéficierait en réalité d'un /60 sur la ligne.
Deux de ces délégations sont redirigés vers une machine VyOS, mais je ne souhaite pas que le pare-feu v6 de lea Freebox soit effectif sur celles-ci, mais bien sur le préfixe annoncé par la Freebox (le premier dans le cas où il n'est pas délégué à une autre machine).
Hello Nyxroem, la chance d'avoir basculé vers 10G-EPON avant que la politique d'attribution d'addresses a changé (il me semble). J'avais un préfix /60, j'ai maintenant un préfix /64. La délégation de préfix reste toujours possible dans cette situation, mais pour le seul préfix /64. Je n'ai pas essayé, mais je suppose que dans ce cas, la freebox arrête le router advertisement et que le nexthop doit s'en charger. Je trouve radin cette limitation à un seul préfix 64, mais il faut reconnaître que le routage IPv6 est problématique:
- Une véritable délégation (automatique, pas manuelle avec édition de nexthop) de préfix est possible sur le principe avec dhcp6, mais dhcp6 pose des problèmes à des appareils Windows et Androïd.
- Même comme ça, la freebox n'a jamais implémenté cette délégation automatique.
Dernier point,
Le problème du firewall avait déjà été reporté dans le post #36501.
Il a été résolu avec le Freebox OS 4.8