Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)

  • État Close
  • Type de tâche Évolution
  • Catégorie LAN
  • Assignée à Personne
  • Système d'exploitation Freebox Server V6 (Révolution)
  • Sévérité Basse
  • Priorité Normale
  • Basée sur la version 1.0.1
  • Due pour la version Non décidé
  • Date d'échéance Non décidé
Concerne le projet: Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)
Ouverte par chninkel (chninkel) - 18/01/2011
Dernière édition par Thibaut Freebox (Thibaut Freebox) - 13/06/2019

FS#4110 - Fonctionnalité de firewall en ipv6

Vu sur le bug http://bugs.freeplayer.org/task/3625, la “freebox server” est destinée à évoluer en fonctionnalité pour être un routeur complet et rendre le mode bridge inutile.

Dans ce cas, des fonctionnalités de firewall ipv6 seraient utiles pour pouvoir protéger les ordinateurs en ipv6 qui sont connectés derrière la freebox.

Close par  Thibaut Freebox (Thibaut Freebox)
Thursday 13 June, 2019 14:19:06
Raison de clôture :  Evolution intégrée

Cette tache ne dépend pas d'autre tache

Malkuth33 (Malkuth33)
Wednesday 19 January, 2011 16:29:56

+1

Pitchoun (Pitchoun)
Wednesday 19 January, 2011 18:43:24

Déja faudrait que free soit complètement en ipv6 alors qu’on a encore besoin de l’ipv4 pour se connecter à free (wifi ou autre)

On devrait pouvoir se connecter avec l’un ou l’autre. Alors que pour l’instant ca ne se connecte qu’avec une adresse ipv4 (ipv6 est juste rajoutée, mais sans l’ipv4 pas de connexion...)

corrector (corrector)
Monday 24 January, 2011 07:04:57

“Dans ce cas, des fonctionnalités de firewall ipv6 seraient utiles pour pouvoir protéger les ordinateurs en ipv6 qui sont connectés derrière la freebox.”

Quelles fonctionnalités?

De quelle protection parles-tu?

@ Pitchoun
Concrètement, qu’est-ce qui se passe si pas d’IPv4?

Peux-tu décrire ton protocole de test?

Malkuth33 (Malkuth33)
Monday 24 January, 2011 07:17:00

Protection des ip et ports du réseau local par exemple, tu sais comme un firewall...

siilyaorno (siilyaorno)
Friday 28 January, 2011 18:59:07

+1

C’est vraiment une fonction indispensable pour l’utilisation de l’ipv6 !

Le minimum serait de pouvoir filtrer tout le traffic entrant puis de pouvoir autoriser des ports.

corrector (corrector)
Friday 28 January, 2011 19:07:04

Si vous comptez mettre des machines avec des services en écoute :
- pourquoi pas les désactiver?
- pourquoi pas les restreindre au réseau local?
ou toute autre solution de filtrage choisie machine par machine et service par service.

Chaque machine, chaque serveur sait bien pourquoi telle socket doit accepter des connexions et qui a le droit de s’y connecter. Alors qu’un machin central, non.

Concrètement, qu’est-ce qu’apporte un pare-feu?

Sur quel critère *objectif* autoriser ou pas un port?

Malkuth33 (Malkuth33)
Friday 28 January, 2011 20:05:38

@corrector : je crois pas avoir à t’expliquer en quoi je préfère tel ou tel solution ni sur quel critères objectifs je me base pour envisagé la solution qui me semble la plus pertinente.

en IPV6 Toutes les machine sont visible depuis internet. Je n’ai pas de serveur chez moi toutefois j’ai des enfants, une femme, etc... et 5 PC en réseau, sans parler de caméras IP, détecteur/effecteur domotique et tout le toutim ucune envie de géré indépendamment les 15 machines réseau 1 par une, un pare feu ferais le même résultat en 2 minutes.

Tu l’auras compris, le trait est forcé volontairement afin de bien me faire comprendre.

Mais encore une fois, il s’agit ici d’une demande de fonctionnalité supplémentaire, pas de connaitre ton avis sur la question...

siilyaorno (siilyaorno)
Friday 28 January, 2011 20:15:42
Si vous comptez mettre des machines avec des services en écoute :
> - pourquoi pas les désactiver?
> - pourquoi pas les restreindre au réseau local?

Ce sont bien sûr des solutions, mais ça ne répond pas au besoin qu’on exprime.

ou toute autre solution de filtrage choisie machine par machine et service par service.

Un firewall qui gère l’IPV6 dans une freebox server ?

Chaque machine, chaque serveur sait bien pourquoi telle socket doit accepter des connexions et qui a le droit de s’y connecter. > > Alors qu’un machin central, non.

Tu pense vraiment que la machine est intéligente ?
Blague à part, le firewall je lui dit ce qu’il doit faire il n’a surtout pas à réfléchir et c’est ce que je lui demande.

Sur quel critère *objectif* autoriser ou pas un port?

Par exemple: tu sais que ton serveur web est sur tel port sur tel IP ⇒ autoriser.

Le minimum que je demande c’est d’avoir la “sécurité” NAT comme pour l’IPv4. Comme ça les gens ne pourront plus dire que l’ipv6 c’est pas securisé parce que t’as une adresse publique. Mais je souhaite bien sûr que se soit beaucoup plus paramétrable pour des besoins plus spécifique.

corrector (corrector)
Friday 28 January, 2011 20:35:19

@ Malkuth33

Tu ne veux pas expliquer précisément quel est le problème que tu essaies de résoudre, ni ce dont tu as besoin... pourquoi pas.

Mon avis sur la question dont tu n’as pas envie mais que je donne quand même :

Tu es incapable de définir ce dont tu as besoin au juste. Tu dis “pare-feu” comme une formule magique pour ne pas avoir à y penser.

ucune envie de géré indépendamment les 15 machines réseau 1 par une, un pare feu ferais le même résultat en 2 minutes.

Si tu ne veux prendre le temps de gérer chaque machine, aucun pare-feu ne va le faire à ta place, hein.

Le minimum que je demande c’est d’avoir la “sécurité” NAT comme pour l’IPv4.

Quelle sécurité au juste?

siilyaorno (siilyaorno)
Friday 28 January, 2011 21:11:52

@corrector: on est vendredi les trolls sont permis ?

corrector (corrector)
Friday 28 January, 2011 21:33:22

C’est un troll de dire que les “firewall” ne servent à peu près à rien?

De dire que ceux qui disent qu’il leur en faut impérativement un n’ont pour la plupart pas la moindre idée de ce que leur “firewall” chéri est censé faire, des menaces qu’il doit éliminer, des autres solutions plus simples et plus fiables qui aboutiraient au même résultat?

Par exemple: tu sais que ton serveur web est sur tel port sur tel IP ⇒ autoriser.

Tu as réellement des serveurs Web sur les autres machines de ton LAN?

Le minimum que je demande c’est d’avoir la “sécurité” NAT comme pour l’IPv4.

Les guillemets autour de sécurité, c’est pour dire que tu sais que ça n’en est pas?

chninkel (chninkel)
Friday 28 January, 2011 23:34:41

Bonsoir corrector,

Si tu ne ressens pas le besoin d’un firewall ipv6, ne te sens pas obligé de commenter ce bug. Je pense que Free saura très bien gérer ses priorités sans que tu aies besoin d’argumenter l’inutilisé d’un firewall ipv6 (et je te rassure, cela m’étonnerait que ce soit dans leur top list).

Par rapport à tes remarques:

- Malkuth33 te l’a déjà dit, un firewall permet de gérer de manière centralisé les restrictions de port sans avoir à configurer indépendamment toutes les machines, qui peuvent d’ailleurs fonctionner avec des logiciels de filtrage différents.

 Et tu vas bien prendre le temps de définir les règles de chaque serveur mais d'une part sur une interface unique, d'autre part tu ne vas pas te préoccuper de gérer les restrictions d'accès au réseau local puisque tout est bloqué avant.

- C’est une manière plus sûr d’appliquer la politique de laisser passer uniquement les flux autorisés, car quel que soit le composant qui est branché sur le réseau:

  • si un ami de passage veut utiliser ton réseau, tu n’as pas à aller vérifier sa configuration de sécurité,
  • si j’installe un nouvel élément sur le réseau, je n’ai pas à me préoccuper de configurer tout de suite les restrictions d’accès ipv6 avant de pouvoir le connecter,
  • demain de plus en plus d’éléments pourront se brancher sur le réseau en ipv6 sans que leur capacité de filtrage soit forcément bien configurée / configurable.

Et oui, des personnes ont des serveurs Web sur le LAN, il y en a même sûrement plus chez les personnes qui ont activé l’ipv6 car pour activer l’ipv6, il faut généralement déjà s’intéresser à l’informatique.

bip91 (bip91)
Monday 31 January, 2011 22:57:30

Chninkel +1
Je suis en IPV4/IPV6 avec des serveurs locaux perso ouvert de temps à autres, j’ai actuellement un routeur filtrant derrière la box pour IPV6 pour autoriser certains accès entrants et pas d’autres. L’idée d’un firewall sur chaque machine est assez saugrenue et en tout état de cause contraire à toute politique de sécurité élémentaire de toute organisation, même familiale.

Ce que j’attends d’un Firewall famillial sur FBX me permettant de recycler mon routeur :

  1. filtrage horaire pour certaines machines ⇒ +1 pour free sur FBX V6
  2. A minima filtrage de l’init de flux entrant par nom de protocole (trop compliqué sinon pour les newbies) vers une adresse interne (par ex. FTP sur machine 2010::0:1) et eventuellement depuis une adresse externe.
  3. filtrage black-list et/ou white-list sur pattern d’url

(le must serait de pouvoir donner une URL et de pouvoir appliquer le filtrage à une classe d’adresse interne typiquement “juniors”)

corrector (corrector)
Tuesday 1 February, 2011 13:15:08
L’idée d’un firewall sur chaque machine est assez saugrenue et en tout état de cause contraire à toute politique de sécurité élémentaire de toute organisation, même familiale.

Ah bon, depuis quand? C’est une nouvelle théorie?

On peut en savoir plus?

corrector (corrector)
Tuesday 1 February, 2011 13:30:39
- Malkuth33 te l’a déjà dit, un firewall permet de gérer de manière centralisé les restrictions de port sans avoir à configurer indépendamment toutes les machines, qui peuvent d’ailleurs fonctionner avec des logiciels de filtrage différents.

Entre “l’extérieur” et “l’intérieur”.

* si un ami de passage veut utiliser ton réseau, tu n’as pas à aller vérifier sa configuration de sécurité,

La sécurité du PC de ton ami face aux menaces venant extérieur c’est la responsabilité de ton ami pas la tienne. Je ne vois pas pourquoi tu la prends en charge, ni ce qui te fait penser que tes règles de filtrage lui conviendront. Je rappelle qu’un port est un numéro intrinsèquement sans signification.

La sécurité de tes PC par contre c’est ton problème : là le PC de ton ami va pouvoir attaquer les autres machines de ton réseau. Chouette!

* demain de plus en plus d’éléments pourront se brancher sur le réseau en ipv6 sans que leur capacité de filtrage soit forcément bien configurée / configurable.

Si leur comportement sur le réseau est incontrôlable alors il ne faut pas les raccorder au réseau, c’est évident.

Et oui, des personnes ont des serveurs Web sur le LAN, il y en a même sûrement plus chez les personnes qui ont activé l’ipv6 car pour activer l’ipv6, il faut généralement déjà s’intéresser à l’informatique.

Oui, et alors?

Avec tout ça, je ne vois pas le début d’une description des menaces que le pare-feu central est censé bloquer.

L’idée que la sécurité (en général) d’un ensemble PC peut s’obtenir par un boitier intermédiaire est parfaitement grotesque. La plupart du temps, les “pare-feu” font parti du problème et pas de la solution.

corrector (corrector)
Tuesday 1 February, 2011 13:43:22
- A minima filtrage de l’init de flux entrant par nom de protocole

Concrètement, comment la boite filtrante est censée faire cela?

- filtrage black-list et/ou white-list sur pattern d’url
> (le must serait de pouvoir donner une URL et de pouvoir appliquer
> le filtrage à une classe d’adresse interne typiquement “juniors”)

Les “juniors”, c’est ceux qui ne savent pas contourner ce filtrage?

Malkuth33 (Malkuth33)
Tuesday 1 February, 2011 13:59:58

T’est lourd mec, c’est pas un forum de discution, on as bien compris ton avis d’expert de renommé international sur les pares-feu. Toutefois nous -bande d’ignare qui nous complaisons dans notre ignorance crasse- persistons dans notre débilité profonde et continuerons a pensé que la sécurité des réseau passe par une stratégie complète qui se met en œuvre tant au niveau de chaque machine que par la sécurisation des nœuds d’interface interne/externe. Toutefois, j’attire ton attention sur le fait que personne ici n’ai dis que le pares-feu était LA solution a TOUS les problèmes de sécurité et que sa mise en place rendrais caduque tout autre méthode de protection. Nous n’avons pas sans doute ta toute puissante connaissance, toutefois nous n’avons pas non plus le ton arrogant et ne soufrant aucune critique que tu emploi sans même savoir quels sont les compétence réel des personnes auxquels tu t’adresse.

Encore une fois, je me fous pas mal de ton avis sur la question surtout lorsqu’il est exprimé d’une maniére aussi obtuse et vindicative.

corrector (corrector)
Tuesday 1 February, 2011 14:01:44

@ siilyaorno

Tu pense vraiment que la machine est intéligente ?

Je pense qu’elle fait ce qu’on lui demande de faire.

Si on lui dit de mettre une socket en écoute, c’est bien pour recevoir des requêtes sur cette socket.

Si on active un serveur FTP, c’est pour accepter des connexions FTP.

Je pense aussi que l’utilisateur est assez intelligent pour désactiver le serveur FTP quand il n’en a plus besoin plutôt que de le laisser activé avec un pare-feu qui bloque toutes les connexions au serveur FTP.

Blague à part, le firewall je lui dit ce qu’il doit faire il n’a surtout pas à réfléchir et c’est ce que je lui demande.

Le problème est d’arriver à dire au pare-feu ce qu’il doit faire pour parvenir à l’objectif initial.

La plupart du temps c’est impossible, ne serait-ce parce que l’objectif initial est ambiguë et contradictoire.

Je me demande ce que les partisans du boitier filtrant pensent d’UPnP IGD (version Freebox, pas version je-redéfinis-les-DNS-par-UPnP).

corrector (corrector)
Tuesday 1 February, 2011 15:17:00
T’est lourd mec, c’est pas un forum de discution,

Alors c’est quoi?

on as bien compris ton avis d’expert de renommé international sur les pares-feu.

T’as rien compris c’est pas croyable.

Je n’ai JAMAIS utilisé d’argument d’autorité. Je ne sais pas où tu as vu ça.

Je pose des questions. La question principale étant : de quoi avez-vous besoin précisément?

Toutefois nous -bande d’ignare qui nous complaisons dans notre ignorance crasse- persistons dans notre débilité profonde et continuerons a pensé que la sécurité des réseau passe par une stratégie complète qui se met en œuvre tant au niveau de chaque machine que par la sécurisation des nœuds d’interface interne/externe.

Ah, maintenant tu as une “stratégie complète”; avant tu disais :

ucune envie de géré indépendamment les 15 machines réseau 1 par une, un pare feu ferais le même résultat en 2 minutes.

Ma réponse :
Pour être tranquillisé en 2 secondes, prends un Xanax.

Toutefois, j’attire ton attention sur le fait que personne ici n’ai dis que le pares-feu était LA solution a TOUS les problèmes de sécurité et que sa mise en place rendrais caduque tout autre méthode de protection.

Si, c’est bien ce qui était sous-entendu par les différents commentaires.

Nous n’avons pas sans doute ta toute puissante connaissance,

Juste un peu d’esprit critique.

toutefois nous n’avons pas non plus le ton arrogant et ne soufrant aucune critique que tu emploi

N’importe quoi.

Apprends à lire.

sans même savoir quels sont les compétence réel des personnes auxquels tu t’adresse.

Vu le niveau des réponses, elles ne doivent pas être très élevées.

Encore une fois, je me fous pas mal de ton avis sur la question surtout lorsqu’il est exprimé d’une maniére aussi obtuse et vindicative.

Je crois que tu es vraiment limité intellectuellement, alors tu réponds de la seule façon à ta portée.

muii (muii)
Wednesday 6 April, 2011 13:38:59

corrector a écrit:
> La sécurité du PC de ton ami face aux menaces venant extérieur c’est la responsabilité de ton ami pas la tienne
C’est FAUX, si ton ami a un serveur pas à jour susceptible d’être attaqué, qu’il se branche à partir de ton réseau, et que son poste est pris en contrôle de l’extérieur pour effectuer des actions illégales depuis chez toi, c’est la responsabilité du détenteur de la ligne qui sera mise en cause devant la justice.
Alors que ceci n’arriverait pas si le service de ton ‘ami’ n’était pas exposé publiquement.

corrector (corrector)
Wednesday 6 April, 2011 14:39:15

Si c’est le PC de ton ami, on est d’accord que c’est lui qui est responsable juridiquement?

bip91 (bip91)
Monday 27 June, 2011 10:19:02

Très bien, pour avancer un peu dans la discussion sur les fonctions de routeurs et firewall :

  1. il est évident que chaque machine doit être sécurisée par elle-même, ceci n’est pas du ressort de la freebox
  2. Un routeur possède généralement plusieurs zones pour permettre de definir différents niveaux de sécurité par zones
    1. Les “amis” pourront par exemple acceder à internet, mais pas forcement à toutes les ressources locales

(ils peuvent toutefois avoir accès aux imprimantes(qui n’ont pas de capacités de filtrage d’adresse))

  1. Le reseau local permet un partage plus large des services

(accès à des disques partagés, voir des serveurs partagés, accès aux imprimantes, ...)

  1. Dans un contexte IPV6 ou toutes les adresses sont disponibles, il est egalement utile de définir des serveurs internes accessibles explicitement depuis l’extérieur. Il s’agit de la meme problematique qu’en entreprise, ou tout accès interne est interdit sans être explicitement autorisé.
  2. Si je veux pouvoir faire un peu de reservation de bande passante à certaines heures sur certains protocoles, il est également nécessaire d’avoir la possibilité de parametrer le routeur/firewall freebox

Pour realiser cela, je dois pour l’instant avoir “routeur/frewall” en interne en amont de la freebox.

corrector (corrector)
Tuesday 28 June, 2011 02:49:58
- Les “amis” pourront par exemple acceder à internet, mais pas forcement à toutes les ressources locales

Permettre d’avoir plusieurs sous-réseaux derrière la box?

Bonne idée!

Jsl1 (Jsl1)
Saturday 25 February, 2012 16:01:06

Bonjour,

Pas de nouvelles de l’implémentation d’un firewall ipv6?
J’attend aussi cette fonctionnalité avec impatience :)

corrector (corrector)
Saturday 25 February, 2012 16:07:42

@Jsl1
Quelles fonctionnalités?

Jsl1 (Jsl1)
Saturday 25 February, 2012 17:49:50

@corrector :
Les fonctionnalités minimales que je demande sont :
- Blocage du trafic ipv6 entrant
- Autoriser uniquement la connexion à certaines machines sur certains ports
Fonctionnalités supplémentaires qui m’intéressent (mais rien a voir avec un firewall)
- Gestion des vlan
- Avoir du QoS pour filtrer/limiter/prioriser certains protocoles réseau

bip (bip)
Monday 19 March, 2012 22:25:58

La freebox est un outil extraordinaire qui permet de limiter les équipements supplementaires dans le réseau internet routeur, ...
Avec ipv6, l’autoconfiguration permet de simplifier encore la topologie mais ne facilite pas la mise en ouvre de filtrage au niveau routeur.

La seule fonctionnalité manquante se trouve donc être le FW,
et la première fonction à apporter est sans nul doute le filtrage des flux entrants, avec un ouverture discretionnaire par ip des protocoles les plus communs.

Cette première fonction garantirait un peu plus la sécurité des passoires existant chez tout un chacun.

drooky (drooky)
Friday 11 May, 2012 11:24:28

+1 a cette demande

le minimum demandé:

offrir le meme niveau de securité qu’en ipv4 donc comme si on etait derriere un PAT donc et upnp pour ouvrir les entrées (ou manuellement via la console freebox)

on a pas besoin de la richesse (et lourdeur) d’un vrai firewall je pense.

corrector (corrector)
Saturday 12 May, 2012 23:06:08
offrir le meme niveau de securité qu’en ipv4 donc comme si on etait derriere un PAT donc et upnp pour ouvrir les entrées (ou manuellement via la console freebox)

Et donc se retrouver avec un accès non neutre?

Je trouve cette idée vraiment détestable.

drooky (drooky)
Sunday 13 May, 2012 06:41:08

un accès non neutre ?! ca veut rien dire dans ce contexte. precisez?

Je parle dans le contexte de “monsieur tout le monde” pas des geeks bidouilleurs.

Tout comme la box actuelle peut etre mis en mode bridge pour les bidouilleurs , elle est par defaut en mode routeur+PAT+dhcp local pour “monsieur tout le monde”: ce qui est tout a fait normal et souhaitable.

On demande juste le meme niveau de securité pour l’IPv6 avec possibilité de desactiver cette “securité” dans la console. et on demande pas un vrai PAT comme en IPv4 (ca serait idiot de PATer du v6 de toute facon), juste le meme niveau de securité qu’offre le PAT de la v4 (donc tout les ports fermés par defaut si pas ouvert suite a une demande interne, comme un statefull firewall quoi).

l’idee est que, par defaut, l’equipement de monsieur tout le monde ne soit pas plus “exposé” en v6 quand v4 , rien de plus. c’est pas compliquer a faire en plus.

corrector (corrector)
Sunday 13 May, 2012 06:45:25

> Je parle dans le contexte de "monsieur tout le monde" pas des geeks bidouilleurs. "monsieur tout le monde" est défini dans quelle RFC? > On demande juste le meme niveau de securité Justement, j'étais curieux de connaitre ce niveau de sécurité : il est défini où?

drooky (drooky)
Sunday 13 May, 2012 08:15:35

votre niveau de bétise est clairement defini dans ce sujet. ca on a aucun doute la dessus. j'arrete les frais avec le troll de service, j'avais pas vu ses messages precedents. my bad.

corrector (corrector)
Sunday 13 May, 2012 08:23:12

Donc tu ne sais pas ce que "monsieur tout le monde" signifie. Tu balances ça à tous hasards, dans l'espoir d'impressionner par ta science rhétorique. Pas de chance, ça ne marche pas avec moi. > j'arrete les frais avec le troll de service, j'avais pas vu ses messages precedents. Tu n'as donc aucun argument. C'est noté.

bip (bip)
Sunday 13 May, 2012 13:47:37

Et un acces neutre ou non neutre, c'est quoi pour un particulier ? ... Fatigué d'avoir des retours non constructifs ? Ce que monsieur tout le monde souhaite, c'est simplement d'avoir une protection minimum sur les flux entrants, sans avoir à intégrer des matériels complémentaires. Corrector, Tu es contre un Firewall IPV6, c'est dit une fois dans le thread, cela suffit. Pas la peine de monopoliser le sujet pour empêcher la discussion !!! Fin du coup de gueule !

corrector (corrector)
Sunday 13 May, 2012 13:49:32

C'est quoi "un particulier"? Qu'est-ce que ça a particulier "un particulier"? Quelle différence avec un non-particulier? C'est quoi les "flux entrants"? > Corrector, Tu es contre un Firewall IPV6, c'est dit une fois dans le thread, cela suffit. Tu es flic?

Pouet78 (Pouet78)
Tuesday 28 August, 2012 14:45:49

Le besoin me paraît assez simple a décrire: Dans un réseau local tu veux avoir des services disponibles qui ne le soient pas depuis l'extérieur. Un exemple très concret, avec des machines Windows et un partage de fichier actif tu peut vouloir ne pas mettre de mots de passes entre tes machines mais que l'Internet entier ne puisse pas venir chez toi. Et même si tu mets des mots de passes, étant donné que tu ne souhaite pas avoir la fonctionnalité sur internet, et sachant le grand nombre de failles de sécurités sur les ports 135-139 découvertes régulièrement; bloquer purement ces ports depuis Internet vers le réseau interne serait quand même appréciable. Actuellement le fait d'avoir besoin d'un NAT, donne dans les faits la fonctionnalité en IPv4. Mais elle n'est pas disponible en IPv6! :( C'est bien la raison qui m'empêche d'activer l'IPv6 (même si je n'ai aucun Windows chez mai mais uniquement des Mac et des Linux ;) )

corrector (corrector)
Friday 31 August, 2012 23:30:05

> Dans un réseau local tu veux avoir des services disponibles qui ne le soient pas depuis l'extérieur. Je comprends bien. Ce filtrage est très facile à faire au niveau de chaque PC, soit au niveau des serveurs, soit au niveau du filtre de paquets (même sous Windows avec la fonction "pare-feu" intégrée à Windows). Je ne vois pas l'utilité d'un filtrage en bordure, à part pour éviter les usurpations d'adresses IP (rp_filter) ce qui ne peut être fait qu'en bordure.

Pouet78 (Pouet78)
Saturday 1 September, 2012 09:33:10

Les intérêts sont : 1/ Un firewall sur une passerelle intermédiaire est toujours plus efficace qu'un autre intégré aux postes clients/serveurs. 2/ Il est plus facile et efficace de gérer un firewall central qu'un firewall sur chaque machine 3/ Si un invité viens sur mon réseau, je ne vais pas aller lui demander d'activer son firewall parce que chez moi ce n'est pas sécurisé. Un firewall IPv6 simpliste serait de d'avoir une option pour avoir par défaut les flux sortants autorisés et entrants non; reprendre une interface proche de celle utilisée pour le NAT IPv4 afin d'autoriser certains ports vers certaines IP. L'idéal serait un peu plus complexe avec une gestion des adresses par DNS pour éviter de devoir se souvenir de tous ces chiffres ;)

corrector (corrector)
Saturday 1 September, 2012 09:47:01

> 1/ Un firewall sur une passerelle intermédiaire est toujours plus efficace qu'un autre intégré aux postes clients/serveurs. En quoi? On parle bien du filtrage des connexions entrantes, là. Dans le sens sortant, je suis favorable à ce qu'un filtrage configurable soit proposé (avec par défaut : aucun filtrage sauf tcp/25) avec alerte en cas de tentative d'envoi de paquets. > 2/ Il est plus facile et efficace de gérer un firewall central qu'un firewall sur chaque machine Au contraire! Comment connaitre au niveau central tous les protocoles utilisés sur chaque machine, tous les ports à filtrer ou à laisser passer? Comment maintenir à jour la configuration quand les machines sont ajoutés/enlevées? Maintenir un pare-feu c'est infernal. Et on fait des erreurs de configuration. Résultat quand une application ne marche plus on désactive complètement le filtrage, ce qui fait qu'on est au final moins protégé. Et surtout : Comment l'éditeur d'un logiciel va expliquer à ses utilisateurs qu'il faut désactiver le filtrage de tel port sur l'interface de sa box, alors qu'il ne peut connaitre toutes les interfaces de toutes box? Je trouve l'idée franchement ridicule. > 3/ Si un invité viens sur mon réseau, Dans ce cas c'est son système, donc son problème. Surtout je n'ai pas à lui demander si je dois changer la configuration de la box pour lui. > je ne vais pas aller lui demander d'activer son firewall Bien sûr qu'il faut lui dire d'activer son filtre de paquets! Il ne doit pas dépendre d'une barrière qui peut être présente ou non. > parce que chez moi ce n'est pas sécurisé. lol **Ce ne serait pas sécurisé de disposer d'un accès au net?** Ah oui, le principe de précaution. Pour cela, on ne se connecte à aucun réseau (ni Internet ni LAN) et évidemment on ne branche aucun périphérique (USB, Firewire, HDMI...).

corrector (corrector)
Saturday 1 September, 2012 09:53:39

> Un firewall IPv6 simpliste serait de d'avoir une option pour avoir par défaut les flux sortants autorisés et entrants non; Comment tu définis "flux sortant"? ;) > reprendre une interface proche de celle utilisée pour le NAT IPv4 afin d'autoriser certains ports vers certaines IP. Super, cette même interface que les utilisateurs ont beaucoup de mal à comprendre. "Comment faire pour installer un serveur FTP" est une question classique qu'on trouve sur tous les fora. (Et souvent avec des réponses surréalistes de pseudo informaticiens du dimanche d'une incompétence rare.) > celle utilisée pour le NAT IPv4 Ce même système dont personne n'a voulu me dire quels ALG il supportait? > L'idéal serait un peu plus complexe avec une gestion des adresses par DNS pour éviter de devoir se souvenir de tous ces chiffres ;) Pourquoi tu ne choisis pas des adresses IP plus faciles à mémoriser alors?

lloeki (lloeki)
Tuesday 18 September, 2012 20:56:16

> Comment tu définis "flux sortant"? ;) c.f protocole TCP C'est quand même pas compliqué. Airport Extreme fait ça très bien. Avec ip6tables ca donne: # subnet prefix subnet="2001:xxxx:xxxx:xxxx" pc1="${subnet}::xxxx" in_if="he-ipv6" lan_if="eth0" # First, delete all: ip6tables -F ip6tables -X # Allow anything on the local link ip6tables -A INPUT -i lo -j ACCEPT ip6tables -A OUTPUT -o lo -j ACCEPT # Allow anything out on the internet ip6tables -A OUTPUT -o ${in_if} -j ACCEPT # Allow the localnet access us: ip6tables -A INPUT -i ${lan_if} -j ACCEPT ip6tables -A OUTPUT -o ${lan_if} -j ACCEPT # Filter all packets that have RH0 headers: ip6tables -A INPUT -m rt --rt-type 0 -j DROP ip6tables -A FORWARD -m rt --rt-type 0 -j DROP ip6tables -A OUTPUT -m rt --rt-type 0 -j DROP # Allow Link-Local addresses ip6tables -A INPUT -s fe80::/10 -j ACCEPT ip6tables -A OUTPUT -s fe80::/10 -j ACCEPT # Allow multicast ip6tables -A INPUT -d ff00::/8 -j ACCEPT ip6tables -A OUTPUT -d ff00::/8 -j ACCEPT # Allow ICMPv6 everywhere ip6tables -I INPUT -p icmpv6 -j ACCEPT ip6tables -I OUTPUT -p icmpv6 -j ACCEPT ip6tables -I FORWARD -p icmpv6 -j ACCEPT # Allow forwarding echo "1" > /proc/sys/net/ipv6/conf/all/forwarding ip6tables -A FORWARD -m state --state NEW -i ${lan_if} -o ${in_if} -s ${subnet}::/64 -j ACCEPT ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # SSH in ip6tables -A INPUT -i ${in_if} -p tcp --dport 22 -j ACCEPT ip6tables -A FORWARD -i ${in_if} -p tcp -d ${pc1} --dport 22 -j ACCEPT # Set the default policy ip6tables -P INPUT DROP ip6tables -P FORWARD DROP ip6tables -P OUTPUT DROP --- Ca n'empêche pas d'avoir une protection par poste. Mais une bonne sécurité c'est forcément multi-niveaux.

corrector (corrector)
Tuesday 18 September, 2012 21:11:06

> > Comment tu définis "flux sortant"? ;) > c.f protocole TCP Tu te fous de moi? > C'est quand même pas compliqué. Tu plaisantes? C'est affreusement complexe. > Airport Extreme fait ça très bien. Tu plaisantes? Ta réponse c'est : ce que fait machin? > Mais une bonne sécurité c'est forcément multi-niveaux. *Foutaise.* Tu introduis une complexité considérable sur un machin que tu ne contrôles pas. Et en plus tu ne te rends pas compte que tu introduis de la complexité, ce qui est la pire complexité : celle qu'on oublie de compter (en général la complexité qu'on sait bien mesurer avec les "métriques" patentées ne fait aucun mal). La complexité (surtout qu'on ne voit pas bien) va à l'encontre de la sécurité. Les intermédiaires qui interviennent sur qu'ils ne comprennent pas (la Freebox ne comprend pas ce que essaie de faire), aussi. Les logiciels hors d'atteinte (tu ne peux pas configurer la Freebox) aussi. On en a assez bavé avec le "mode routeur", certains sont masos et en redemandent!!!

bip (bip)
Wednesday 19 September, 2012 07:56:17

Effectivement lloeki, Une approche aussi simple de filtrage avec une petit interface d'autorisation de flux TCP entrant serait largement suffisante (par exemple pour ajouter les SSH dans ton exemple). Pour l'interface, une interface type "j'autorise un flux pour (telle/toutes) machine" est simple à mettre en place. OK egalement pour la securisation à 2 niveaux

corrector (corrector)
Wednesday 19 September, 2012 11:42:33

TCP est a priori simple (en tout cas on peut définir entrant/sortant). Comment traiter UDP? > OK egalement pour la securisation à 2 niveaux À condition : - que ça ne deviennent pas incompréhensible - que les problèmes n'incitent pas les utilisateurs à complètement désactiver les "pares-feu"

bip (bip)
Wednesday 19 September, 2012 13:00:16

Pour UDP, il est nécessaire de connaitre le protocole pour faire un filtrage efficace, car cela peut être à peu prêt n'importe quoi. Par exemple : 1. des protocoles bien normé DNS (53 dans les 2 sens), 2. soit sur un ensemble de ports aléatoires et port d'init ou de communication de base (jeux, video, voip, ...) Dans ce cas, j'en conviens, ce n'est pas à la freebox de faire le suivi des sessions. Si le port est ouvert pour un couple (machine, port) ou (reseau/port), c'est aux machines de traiter (FW local) Cependant la freebox peut, en amont, dropper tout ce qui n'est pas explicitement autorisé. Pour que cela devienne compréhensible une autre approche est avec UPNP où chaque service défini ses besoins (http://upnp.org/specs/gw/UPnP-gw-WANIPv6FirewallControl-v1-Service.pdf). Une validation initiale (machine, service) sur l'interface freebox serait alors nécessaire pour valider la mise à disposition externe du service.

corrector (corrector)
Wednesday 19 September, 2012 13:24:33

http://upnp.org/specs/gw/UPnP-gw-WANIPv6FirewallControl-v1-Service.pdf Wouah! > To avoid some potential security issues, it is not possible for control points to retrieve information on any pinholes; For example, a control point can't retrieve information like the external port or the remaining lease duration of any pinhole (even if the CP created this pinhole). Ou comment rendre le diagnostique impossible! :(

DSC44 (DSC44)
Saturday 13 October, 2012 17:24:28

Bonjour, Le rôle d'un Firewall est de limiter les flux entrants ET sortants mais aussi de tracer d'éventuelles tentatives de non respects des règles... En IPv4, le NAT nous apporte une première protection qui n'existe plus en IPv6. Le filtrage par port des flux entrant devrait selon moi être généralisé en IPv6. Pour les flux sortants, j'aimeras pouvoir forcer tous les ordinateurs à passer par un proxy cela nécessite de pouvoir filtrer les flux en provenances de mes ordinateurs au niveau du routeur FREEBOX sur des critères de type @MAC, @IP, port. La mise en place d'un VPN entrant, pour permettre d'accéder au réseua local à partir d'unternet pourrait aussi être un plus. Mon serveur NAS le permet, mais tout le monde n'a aps de serveur NAS, encore moins avec cette fonctionnalité... Il me semble plus logique de mettre un Firewall au niveau du routeur d'entrée (FREEBOX) qu'au niveau de chacune des machines du reseau local. Tous les FREEman ne sont pas des experts LINUX ou WINDOWS. Cela n'empeche pas de faire de la defense en profondeur..

pywy (pywy)
Thursday 14 March, 2013 15:22:58

un firewall ipv6 sur la freebox n'a pas de sens. Ipv6 n'est pas fait pour fonctionner comme cela (excepté en mode NAT) La freebox route seulement les paquets ipv6 vers leurs destinataires, sans se soucier des numéros de ports, des protocols etc... C'est a chaque élément connecté d'assurer lui meme sa sécurité.

lloeki (lloeki)
Thursday 14 March, 2013 15:51:50

> Ipv6 n'est pas fait pour fonctionner comme cela IPv6 est _évidemment_ fait pour fonctionner comme cela. (voir mon exemple ip6tables au dessus) > (excepté en mode NAT) [...] La freebox route seulement les paquets ipv6 [...] Voici encore une fois voici un amalgame malheureux entre Firewall et NAT. > C'est a chaque élément connecté d'assurer lui meme sa sécurité. C'est à chaque élément en mesure d'assurer une sécurité qu'il revient d'assurer un élément de sécurité. Il est évident que les machines connectées doivent assurer leur propre sécurité dans la mesure du possible. Ceci n'empêche en rien d'appliquer une politique globale d'accès aux ressources dans notre prefix (au contraire, la meilleure sécurité s'effectue par couches successives), et le routeur en charge du prefix (dans ce cas la Freebox) a un emplacement privilégié dans la topologie du réseau pour ce rôle. En outre, tant en termes de capacités des divers utilisateurs (mamie du Cantal) que de la (l'ir)responsabilité de certains implémenteurs de firmwares (imprimantes...) qu'on pourrait qualifier de gruyères, et dans le meilleur des cas peu analysés et rarement mis à jour, qui offrent une tête de pont fantastique (et parfois irrévocable, c.f vulnérabilité des imprimates HP) dans un réseau local, il me parait tout simplement obligatoire et une simple question de bon sens que la politique par défaut de la Freebox Server soit de dropper les paquets ingress non nécessaires à la tenue du réseau (c.f ICMPv6 types 1, 2, 3, 4, 128 et 129)

lloeki (lloeki)
Thursday 14 March, 2013 15:55:18

> (c.f ICMPv6 types 1, 2, 3, 4, 128 et 129) Il s'entend que ces paquets sont nécessaires et ne doivent pas être droppés, par exemple pour le Path MTU discovery. Mon exemple ip6tables, pour des raisons de simplification, accepte tous les ICMPv6.

pywy (pywy)
Thursday 14 March, 2013 16:14:56

>Voici encore une fois voici un amalgame malheureux entre Firewall et NAT. Non, pas d'amalgame, pas de NAT non plus. Juste un routeur. la freebox route en ipv6, elle ne doit pas filtrer (meme si la mamie du cantal y capte un belin et que les FW des imprimantes HP soient codées avec les pieds) >le routeur en charge du prefix (dans ce cas la Freebox) a un emplacement privilégié dans la topologie du réseau pour ce rôle. Un emplacement de routage, point barre. >IPv6 est _évidemment_ fait pour fonctionner comme cela. (voir mon exemple ip6tables au dessus) ton exemple ip6tables est certes sympa, mais il n'est judicieux que la freebox aie ce role. Si tu veux faire cela, mets le mode bridge et mets ton ip6tables aux oignons comme tu en as envie, nan ?

lloeki (lloeki)
Thursday 14 March, 2013 16:34:39

> Juste un routeur [...] elle ne doit pas filtrer Tous les routeurs qu'ils soient pro du Cisco au Zyxel, ou orientés grand public genre Airport Express/Extreme/TC, Linksys, Netgear, etc.. font ca très bien, _parce que c'est leur rôle_. En outre il est nécessaire que toute forme de filtrage soit sur le routeur lui même *par conception* dès que tu as plusieurs routes (notamment policy routes). Tout ca pour dire que l'argument "c'est un routeur, pas un firewall" est tout simplement ridicule. > Si tu veux faire cela, mets le mode bridge et mets ton ip6tables aux oignons comme tu en as envie, nan ? Perdu, l'IPv6 de free c'est du 6to4rd, et la freebox est le next hop de l'extérieur vers le /64, _même en bridge_, ce qui fait que tu peux rien router derrière à moins de bricoler avec du neighboring ou du ebrouting et franchement, c'est une usine à gaz bien fragile et aux contraintes supplémentaires pour contourner un problème qui ne devrait simplement pas exister (la Freebox étant le next hop en entrée sur le /64, c'est à elle de faire le tri). Même dans ce cas de bricolage, il est ridicule de ne serait-ce qu'envisager rajouter un équipement en série, complètement redondant avec la Freebox. Donc, non, j'en ai pas envie.

pywy (pywy)
Friday 15 March, 2013 09:23:22

Juste un peu de lecture sur ce sujet, pour ceux que ca interesse. http://www.bortzmeyer.org/6092.html J'arrete la le débat sans fin inutile.

corrector (corrector)
Friday 15 March, 2013 11:14:09

> En outre il est nécessaire que toute forme de filtrage soit sur le routeur lui même *par conception* dès que tu as plusieurs routes (notamment policy routes). Je voudrais pas briser tes illusions, mais je pense qu'on n'est pas près d'avoir la possibilité de configurer différentes politiques de routage sur la Freebox. > > Si tu veux faire cela, mets le mode bridge et mets ton ip6tables aux oignons comme tu en as envie, nan ? > Perdu, l'IPv6 de free c'est du 6to4rd ce qui n'a aucune importance ici > et la freebox est le next hop de l'extérieur vers le /64, _même en bridge_, Alors voilà, demande le mode bridge en IPv6, ce sera quand même plus simple de configurer ça (il suffit d'indiquer une adresse de passerelle à la Freebox) que de paramétrer les filtres de paquets sur une pauvre interface Web.

Xavier12 (src386)
Tuesday 7 July, 2015 18:47:51

+1
Ce serait bien que le trafic entrant soit bloqué par défaut (juste du RELATED,ESTABLISHED) et que le menu de l'IPv6 sur FreeboxOS permette d'ouvrir des ports.

Jean-Michel P (gnutella)
Saturday 15 August, 2015 08:56:32

Nous utilisons OpenWRT pour filtrer en entrant, faute d'un support complet sur la Freebox.
Pour information, c'est possible de filtrer sous OpenWRT.

Lire : http://wiki.openwrt.org/doc/howto/freebox

Un utilisateur qui se connecte en IPv6 derrière une freebox se retrouve exposé "à poil" sur Internet.
Illiad prend prendre en compte les impératifs de sécurité en offrant une solution sécurisée aux utilisateurs, en amont.

C'est ensuite que les utilisateurs pourront migrer vers IPv6.

Si Illiad ne le fait pas, ce sera la concurrence.
Vous n'avez pas vraiment le choix : si la Freebox Révolution est une box haut-de-gamme, elle doit proposer des service haut-de-gamme.

David B. (baudav)
Sunday 6 December, 2015 14:33:27
Flunch (flunch)
Thursday 3 November, 2016 16:30:44

Comme ça fait un bail que ce sujet est ouvert en vain ...
Il me semble indispensable que la freebox, qui est chez 95% des gens le seul objet capable de réellement faire office de firewall, soit capable de bloquer les connexions entrantes par défaut en IPv6.
Avec les failles monumentales qui se trouvent dans tous les objets connectés (cf DDOS récent chez dyndns) et même sur les systèmes d'exploitations grands publics, c'est une vrai faille que l'ipv6 soit même activé par défaut sur les freebox ...

Juan Rodriguez Hervella (yonailo)
Wednesday 9 November, 2016 09:01:38

D'abbord essayons de faire en sorte que l'IPv6 marche sur la Freebox, chez moi ça fait des semaines où ça ne marche pas/plus.

David B. (baudav)
Wednesday 9 November, 2016 18:14:30

@rdh: ça fonctionne
ping google.fr

Envoi d'une requête 'ping' sur google.fr [2a00:1450:4007:806::2003] avec 32 octets de données :
Réponse de 2a00:1450:4007:806::2003 : temps=35 ms
Réponse de 2a00:1450:4007:806::2003 : temps=34 ms
Réponse de 2a00:1450:4007:806::2003 : temps=33 ms
Réponse de 2a00:1450:4007:806::2003 : temps=34 ms

et même NAS accessible en ipv6 depuis internet.

Flunch (flunch)
Thursday 10 November, 2016 15:10:21

@baudav ca fait plusieurs semaines que de nombreux freenautes ont des soucis de connexion en IPv6, cf bug #20719 .

Edouard Kleinhans (edouardkleinhans)
Tuesday 28 March, 2017 17:17:59

Bonjour,

des news sur ce sujet ?

zokiad (zokiad)
Thursday 6 April, 2017 15:21:28

Des nouvelles depuis 2011!
Fonctionnalité indispensable avant d'activer l'ipv6.
Au risque de retrouver l'imprimante, scanner et TV directement accessible sur le net. Super !
Et sans oublier les ordis des enfants qui bidouillent en partageant des dossiers windows sans mot de passe.

Vincent Moriaux (mvincent)
Thursday 6 April, 2017 15:24:26

Seulement 7 votes malheureusement !

drooky (drooky)
Thursday 6 April, 2017 20:10:07

j'avoue que Free est assez irresponsable sur ce coup. Il faut attendre des plaintes ou un drame pour qu'ils réagissent ?

Juan Rodriguez Hervella (yonailo)
Friday 7 April, 2017 08:16:07

J'avoue que filtrer IPv6 à niveau de la box peut-être ce n'est pas une bonne idée, étant donné que les adresses IPv6 sont publiques, c'est la responsabilité du host qui a l'adresse de se protéger. En ce qui concerne IPv6, la box devrait être transparent, ce n'est pas pareil qu'avec IPv4 où il faut définir de règles de NAT. La promesse d'IPv6 est de rétablir le modèle d'internet 'end-to-end', alors si on commence à filtrer à niveau de la box, ça casse une des vrais avantages de ce modèle.

zokiad (zokiad)
Friday 7 April, 2017 09:00:13

Dans la théorie, je suis d'accord avec vous. Mais dans la pratique, vous avez des utilisateurs qui n'y connaissent rien (j'ai eu le cas d'un ami qui avait l'ipv6 activé , il avait partagé son dossier windows et son imprimante, il a très vite désactivé l'ipv6 quand je lui ai montré que l'on pouvait imprimer et accéder à ses fichiers depuis internet). Vous avez aussi la multiplication des objects connectés qui n'ont pas ou plus de correction de sécurité ... Tout ceci est une bombe à retardement pour des attaques DDOS par exemple.
Donc en théorie, c'est effectivement l'host qui devrait filtré. En pratique, on s'appercoit que les hosts peuvent avoir des défaults humain et de support, c'est plus sécurisé directement par la box.

Après un firewall permet de configurer des hosts qui peuvent être accessible. Donc la solution c'est firewall avec des règles: tout bloqué sauf les hosts...

drooky (drooky)
Friday 7 April, 2017 17:44:46

@juan: faut pas confondre NAT et firewall. Par nature, le NAT en IPv4 fait aussi office de firewall (du moins en entrée). En IPv6 ce n'est pas parce que'on a plus de NAT et du 'end-to-end' (ce qui est une bonne chose) qu'on ne doit plus avoir de firewall. Le problème est que le NAT a disparu ce qui est bien mais du coup y'a plus rien qui fait firewall.

La jolie théorie d'avoir un 'firewall' sur chaque appareil et rien sur la box est une utopie et une complexité trop grande. Il est plus sur et simple de gérer la sécurité en 'un seul point de passage' que séparément sur plein d'appareils disparates.

Juan Rodriguez Hervella (yonailo)
Monday 10 April, 2017 15:36:46

@drooky : le personal firewall n'est pas une utopie, même windows l'a par défaut et depuis pas mal d'années.

Ceci dit, il existe un RFC qui conseille d'avoir un firewall IPv6 :
https://tools.ietf.org/html/rfc4864

"To implement simple security for IPv6 in, for example, a DSL or cable

 modem-connected home network, the broadband gateway/router should be
 equipped with stateful firewall capabilities.  These should provide a
 default configuration where incoming traffic is limited to return
 traffic resulting from outgoing packets (sometimes known as
 reflective session state).  There should also be an easy interface
 that allows users to create inbound 'pinholes' for specific purposes
 such as online gaming."

Ça devient urgent à mon avis :
https://www.itnews.com.au/news/ipv6-attacks-bypass-network-intrusion-detection-systems-457476

Mais je vous conseille, en attendant, si Free n'as pas les ressources pour traiter ce ticket, de bien vouloir mettre en place de firewalls IPv6 sur vos machine !! :)

zokiad (zokiad)
Monday 27 November, 2017 11:59:59

Il faut mieux conseiller la désactivation de l'ipv6 tant qu'il n'y a pas de firewall sur la freebox.

Bonjour (Pissenlit)
Monday 14 May, 2018 22:16:48

Bonjour,
Du neuf sur ce sujet ?
Il y a eu du mouvement ya quelques semaines suf la config ipv6 mais c'est pas clair pour moi.
En attendant j'ai désactivé...

zokiad (zokiad)
Tuesday 15 May, 2018 04:00:47

Toujours rien. Donc ipv6 désactivé. Peut etre avec la freebox v7 :)

Neustradamus (Neustradamus)
Monday 8 April, 2019 03:58:50

Avez-vous du neuf pour le pare-feu/firewall de l'IPv6 ?
Depuis la sortie de la Revolution le 14 décembre 2010, le temps passe !

Par ailleurs, le vrai 5.1 est toujours demandé depuis la même époque afin de remplacer la stéréo :)

Neustradamus (Neustradamus)
Tuesday 16 April, 2019 21:49:07

La 4.0.5 est sortie, le pare-feu (firewall) pour l'IPv6 est là ?

Lionel Giraudeau (yonux)
Saturday 27 April, 2019 15:09:10

Désactiver IPv6 n'est pas une solution.
Surtout quand on est aussi touché par le reverse IPv4 inopérant (cas de la plupart de abonnés derrière une fibre optique), ça fait beaucoup de choses qui devraient fonctionner mais pour lesquelles Free ne fait rien.

Enfin, pas d'inquiétude, vue la vitesse à laquelle Free avance sur ces sujets, et celles à laquelle les opérateurs associatifs progressent vers la fibre, nul doute que nous nous seront passé de Free d'ici pas longtemps.

ag (ag)
Sunday 28 April, 2019 22:13:40

Comme le camarade qui me précède, je constate le désastre de la gestion des DNS chez Free (pas de rDNS IPv4 full-stack en FTTH PON, pas de rDNS en xDSL IPv4-in-IPv6 (full-stack), et pas de délégation rDNS IPv6). Mais le pire, c'est le mépris affiché par Free envers ses clients : cf. FS#12749 avec aucune réponse depuis bientôt 6 ans ! ^\o/^ ^\o/^ ^\o/^
Je crois, en effet, que pour résoudre le problème, la solution sera de passer en FTTH chez un FAI associatif ou chez le concurrent à 3 lettres d'Online...

Sinon, c'est quand qu'un pare-feu IPv6 (pas OpenOffice, n'est-ce pas ? :D) apparaîtra sur la Freebox ? Sachant que la Freebox en IPv6 fonctionne toujours en mode routeur et que les IPv6 sont publiques, les clients qui ne sont pas du métier (c'est-à-dire quasiment tout le monde) vont brancher des appareils « IoT » (chinoiseries ou autres joyeusetés « cheap ») directement sur Internet et on connaît tous la suite sur laquelle je ne m'étendrai pas...
Je note que ce bug est ouvert depuis plus de 8 ans sans aucune réponse ! ^\o/^ ^\o/^ ^\o/^
Du mépris, je vous disais ; exactement : du mépris. Rien de plus, rien de moins.

decaen (decaen)
Wednesday 1 May, 2019 10:19:15

Un pare-feu IPv4/IPv6 sur la Freebox me parait une excellente idée.

En attendant, je mets en place un pare-feu intermédiaire entre la Freebox et le réseau local.

Est-ce que la Freebox est suffisamment performante pour un pare-feu supportant 10 Gbps de trafic ?

Pouet78 (Pouet78)
Wednesday 1 May, 2019 13:03:09

@decaen "Est-ce que la Freebox est suffisamment performante pour un pare-feu supportant 10 Gbps de trafic ?"
A n'en pas douter, oui. Le NAT en IP v4 oblige à stocker toutes les sessions en cours et doit être aussi gourmand en ressources qu'un pare feu simple niveau IP en IPv6.

Bonjour (Pissenlit)
Wednesday 1 May, 2019 13:27:28

On ne peut plus désactiver l'ipv6 !! :-O

nicolas nba (nbanba)
Tuesday 7 May, 2019 09:47:20

Bonjour,

Il est inadmissible de forcer l'IPv6 natif (non désactivable sur le routeur Freebox) et de ne pas fournir de firewall pour proteger le réseau...

Par exemple, mon imprimante ne demande pas de mot de passe pour imprimer il est impossible de désactiver l'IPv6 dessus (configuration réseau automatique , c'est un périphérique pour le grand public) et depuis cette mise a jour, tout internet peut imprimer chez moi

Si vous voulez vider mes cartouches, mon imprimante est maintenant joignable par tout internet sur :
2a01:e0a:xxxx:yyyy:zzzz:d4ff:fec9:13a1 (xxx:yyy:zzz : eh oui SORRY ! je ne suis pas complètement fou !!)

Pour info, cette imprimante HP grand public de 2015 a également un serveur telnet avec pour login non modifiable: "admin" / "rien" depuis lequel on peut certainement aller hacker la banque de france !

Franchement, autant d’amateurisme de la part de FREE sur ce coup la est vraiment abusé !!!
La pilule a pourtant l'air de bien passer en France entre les gilets jaunes et le fait que 99% de la population ne sait ni ce qu'est une IP ni quel est le scope d'IPv6 et les risques encouru!

Je "rapporte cette faille de sécurité majeur" auprès de l'ANSSI car pour le coup depuis le 19 avril, la Freebox en IPv6 n'est pas juste une faille de sécurité, c'est un gouffre a hacker et surtout a scripts kiddies qui vont pourrir la vie du grand public

(la police va débarquer chez beaucoup et chez vous car votre nouveau frigo connecté envoi des immages pedopornographique a votre compteur linky en passant par votre Freebox !! Un peu de sérieux FREE !!)

Je vous invite a tous faire comme moi, aujourd'hui, SEUL l'ANSSI est en mesure de faire suffisamment pression sur FREE pour que FREE ajoute enfin des fonctionnalités de firewalling en IPv6 sur la BOX, et rapido !!

https://www.ssi.gouv.fr/en-cas-dincident/vous-souhaitez-declarer-une-faille-de-securite-ou-une-vulnerabilite/

Si certains souhaitent aussi faire du bordel sur les forums et auprès de sites/média comme 60 millions de consommateurs ..., n'hésitez pas !!!

Et pour info, avec ma delta en fibre et mes 7.8G /s descendant, j'ai regardé les modèles de firewall qui supportent ces débits et les connexions en SFP+ :
Il faut taper dans une gamme très pro type Fortigate 600D ou Fortigate 500E ou une appliance Netgate/Pfsense bien gonflée avec des cartes SFP+ .

En plus de faire un bruit de tondeuse et donc de nécessiter un local technique séparé de son domicile, ce genre de matériel coûte entre 15 000 euros et 30 000 euros et nécessite d'être a minima un professionnel de l'administration réseau pour pouvoir l'installer et le configurer.
Pour des particuliers, il faut faire appel a un intégrateur qui facturera un minimum de 5 jours a 1000€ TTC la journée pour faire l'étude de votre besoin, vous proposer une solution d'architecture réseau basée sur ce genre de matériel et vous livrer votre réseau IPv6 natif FREE protégé par un firewall vous permettant d'exploiter le débit de votre ligne internet

Comme vous le voyez, ce genre de budgets et matériel ne sont pas a la portée des particuliers, il est donc criminel de la part d'un FAI de ne pas fournir d'outils a ses clients pour exploiter le service qu'ils vendent de manière sécurisée

Cordialement,
nbanba

Autre alternative : FREE nous donne un accès SSH ROOT a la box pour que l'on configure nous même le firewall avec ip6tables !

David B. (baudav)
Tuesday 7 May, 2019 10:16:33

Bonjour,
avez-vous essayé de configurer un 'next hop' dans le premier préfix du freebox server? cela devrai arrêter l'annonce ipv6 sur le reseau.

David B. (baudav)
Tuesday 7 May, 2019 10:19:14

essayer par exemple avec l'adresse link local de la freebox elle même.

nicolas nba (nbanba)
Tuesday 7 May, 2019 10:42:30

Bonjour,

Merci pour votre retour et votre réactivité.
Oui, dans un premier temps, j'ai fait un certains nombre de bricolages pour tarpit les pk IPv6

Ce qui m'inquiète, ce n'est pas les informaticiens comme moi qui savent monter un serveur avec une ancienne machine, lui coller 2 cartes SFP+ et 1 carte WIFI et descendre un Pfsense dessus et le configurer pour gérer la problématique avec un vrai firewall.
Ces informaticiens trouveront bien une solution, ils aiment ça et en ont les capacités !

CE N EST PAS LE CAS DES 6 millions+ de foyers qui sont maintenant exposés a Internet et qui n'ont même idée que tous leurs devices sont maintenant accessibles sur Internet et voir même sans authentifications dans beaucoup de cas (comme sur beaucoup de systèmes domestiques)

Cordialement,
nbanba

David B. (baudav)
Tuesday 7 May, 2019 13:41:37

bonjour,

La dernière mise à jour ne permet juste plus de forcer sa désactivation. Je ne sais plus, ça fait très longtemps que j'utilise ipv6, mais il me semblait que c'est actif par défaut du moment que l'on était dégroupé? Donc aucun changement pour les non informaticiens qui ne touche pas à ces paramètres, ils ne sont pas plus exposé que le mois dernier.
Tous les informaticiens qui sécurisent, ajoute un équipement derrière.. FREE+support ayant l'accès total sur le réseau, même s'il rajoute un firewall. (et ne donne pas la fin de l'adresse ipv6 à moins qu'elle soit temporaire, mais rarement le cas pour une imprimante).

Pour les non informaticiens qui aurait été décocher la case, remplir un champ ne demande pas plus d'effort.
C'est juste qu'un firewall dans la freebox est un minimum, mais depuis 2011 RIEN !. (mais comme le support d'au minimum SMB2, d'une connection sur l'interface avec un login/pass (voir meme 2FA)...On a déjà un accès TLS, alors qu'avant on y accédait de façon non chiffré).
Après responsabilité aussi au fabricant qui permettent ipv6 sans mettre un minimum de sécurité dans leur équipement.

Bref, faut amener du monde voter ici pour ce ticket. seulement 34 votes depuis 2011.

nicolas nba (nbanba)
Tuesday 7 May, 2019 14:31:24

Bonjour,

Je vous cite (baudav):
La dernière mise à jour ne permet juste plus de forcer sa désactivation. Je ne sais plus, ça fait très longtemps que j'utilise ipv6, mais il me semblait que c'est actif par défaut du moment que l'on était dégroupé? Donc aucun changement pour les non informaticiens qui ne touche pas à ces paramètres, ils ne sont pas plus exposé que le mois dernier.

=⇒ OUI, ils ne sont pas plus exposés que le mois dernier ! mais surtout pas MOINS exposés !! Si l'option était activée par défaut, depuis cette activation part défaut, la majeur partie des abonnés FREE se sont retrouvés avec tous leurs devices sur Internet !!!!

Je crois qu'il y a une loi forçant les FAI a proposer une protection face aux dangers d'Internet.
Avec l’effervescence de l'IOT, un "antivirus" tiers proposé en option depuis la console abonnée Free ne peut plus faire l'affaire
(je ne connais pas d'antivirus/firewalls installable sur un frigo connecté ou une imprimante ... !)

Il est donc absolument nécessaire que FREE ajoute des fonctionnalités de firewall dans sa freebox
(ça doit pas être si difficile sur le serveur Linux hébergeant le FreeboxOS de faire une page PHP permettant de configurer basiquement ip6tables et iptables)

Comme depuis 2011, FREE n'a rien fait ni même répondu sur le sujet, je pense qu'il faut faire pression sur les autorités de régulation des telecom et de régie des systemes d'information (ARCEP / ANSSI, etc...) pour que les choses bougent !

Cordialement,
nbanba

Marc Quinton (marcquinton)
Friday 10 May, 2019 20:37:25

bonjour, je viens d'ouvrir un ticket sur ce sujet avec des propositions à mettre en place rapidement dans l'interface de configuration de la Freebox : https://dev.freebox.fr/bugs/task/4110

SagaciousServal (SagaciousServal)
Saturday 18 May, 2019 16:59:56

C'est une faille de sécurité à corriger d'urgence.

Les 3 gros concurrents ont tous un firewall en IPv6.

Neustradamus (Neustradamus)
Monday 20 May, 2019 23:44:12

SagaciousServal (SagaciousServal) : https://www.busyspider.fr/Convention-Mai19-des-communautes-Free-15eme-edition-compte-rendu.php

"Réponse de Free - Maxime Bizon : On pourra mettre en place un pare feu qui sera activable individuellement. (pas par défaut)"

@SagaciousServal : Depuis le temps que j'ai signalé l'urgence, ça fait plaisir d'avoir une partie de la réponse.


C'est assez urgent comme pour les règles LAN → WAN à commenter et à voter d'urgence : https://dev.freebox.fr/bugs/task/25271

Damien (dough29)
Tuesday 28 May, 2019 14:11:50

Des traces d'un éventuel firewall IPV6 dans une "prochaine" version Freebox OS : https://twitter.com/TiinoX83/status/1133137867834875904

Damien (dough29)
Tuesday 4 June, 2019 09:52:34

https://dev.freebox.fr/blog/?p=5416

Amélioration
Firewall IPv6. Désactivé par défaut, en fonction des retours il est possible qu’il soit activé par défaut dans le futur (seulement pour les abonnés qui n’auront pas modifié leur configuration).

Neustradamus (Neustradamus)
Wednesday 5 June, 2019 16:07:03

Attention : Ce n'est pas bon, le pare-feu (firewall) n'est pas complet du tout lorsqu'il est activé.
"Cochez cette case si vous souhaitez que votre Freebox filtre le traffic entrant inconnu."
Aucun paramétrage de réglages.
Ne pas clôturer ce ticket

4 juin 2019 à 11:05 : Arrivée d'un firewall IPv6
https://dev.freebox.fr/blog/?p=5416

"Firewall IPv6. Désactivé par défaut, en fonction des retours il est possible qu’il soit activé par défaut dans le futur (seulement pour les abonnés qui n’auront pas modifié leur configuration)."

Damien (dough29)
Wednesday 5 June, 2019 17:14:09

"le pare-feu (firewall) n'est pas complet du tout lorsqu'il est activé"

des détails ?

David B. (baudav)
Wednesday 5 June, 2019 17:37:28

:D il chauffe pas le café?

Marc Quinton (marcquinton)
Wednesday 5 June, 2019 18:53:57

"le pare-feu (firewall) n'est pas complet du tout lorsqu'il est activé"

comprendre : les fonctionnalités sont réduites au strict minimum :

  • fonctionnement en tout ou rien : actif ou non
  • ne permet pas d'activer en complément un n°port avec une adresse IPV6.
nicolas nba (nbanba)
Wednesday 5 June, 2019 19:30:11

Bonjour
Oui ce n est pas ce que j appelle un firewall...
Sur un firewall, on peut faire un truc qui s appelle des acl et on peut faire des règles avec ces acl ...!
Ou sont les acl ?
Ou sont les règles ?
Je n ai pas trouvé dans l interface....

Un firewall permet de surcroit d utiliser les ressources réseaux entrantes et sortantes et de les filtrer.

Un bloc tout en entrée , rien en sortie , sans filtrage possible ne peut en aucun cas s appeller un firewall !!

Cela reste cependant une solution simple à mettre en oeuvre pour les béotiens qui ainsi n auront plus de visite des autorités car leur nouveau frigos connecté en train de hacker la banque de france ...

Cela est par contre très insatisfaisant pour ceux qui veulent utiliser leur /60 et les possibilités de leur Freebox delta connecté en fibre à 10g...

Cordialement
nbanba

Damien (dough29)
Wednesday 5 June, 2019 19:39:36

Ben après pour un lambda à part laisser passer les trames ICMPV6 nécessaires au bon fonctionnement d'IPV6 et bloquer le reste ça ne me choque pas trop dans un premier temps, mais est-ce ce que fait réellement cette case à cocher ?

Quelqu'un qui veut la main sur son matériel utilisera un routeur dédié qui sera sûrement bien plus clair qu'une éventuelle usine à gaz réalisée par Free ?

Je suis d'accord qu'on peut avoir des attentes assez fortes, mais pour exploiter pleinement IPV6 de mon point de vue il faut le matériel qui suit et ne pas dépendre de la volonté d'un opérateur...

decaen (decaen)
Wednesday 5 June, 2019 20:31:17

Techniquement, le pare-feu mis en place en 4.0.6 se contente de bloquer le trafic entrant.
En cela, la Freebox commence à rattraper son retard sur la Livebox.

<troll>
Mais c'est vrai que les geeks Freenautes n'avaient pas pris l'habitude d'avoir du retard sur la concurrence ;-)

</troll>

La richesse fonctionnelle (règles, objets, etc.) amènera un plus évident.

Neustradamus (Neustradamus)
Monday 10 June, 2019 18:55:35

Après activation du pare-feu (firewall) IPv6, il y a toujours les différents équipements et players connectés en IPv6...
Ce que nous ne souhaitons pas.

David B. (baudav)
Monday 10 June, 2019 19:49:59

@neustra..: c'est bien ce qui était demandé, un firewall (blocage des ports) et ça fonctionne.

Il aurait été mieux de pouvoir choisir de l'activer uniquement pour le subnet de la freebox et pas pour les next hop (qui ont leur propre firewall plus complet), ou mieux de pouvoir creer des regles.

pour desactiver IPv6 (bien qu'il ne soit pas recommandé) vous pouvez regarder mon screencast il suffit de definir un next hop factice, ce qui stoppe la diffusion sur lea freebox. https://youtu.be/BcjpMHtU3N8

Neustradamus (Neustradamus)
Tuesday 11 June, 2019 02:21:04

Avez-vous demandé une IPv6 pour votre ou vos players ou bien d'autres équipements ?
Personne non.
Équipements IPv4/MAC Binding ont toujours une IPv6 comme par magie, pare-feu IPv6 activé, DHCPv6 désactivé et DNS IPv6 désactivé.
C'est donc illogique.

Damien (dough29)
Tuesday 11 June, 2019 05:01:56

C'est du SLAAC tout bête.

Si vos équipements récupèrent une IPV6 c'est qu'il y a un router advertisement sur le segment.

Chargement...