Forums - Bbox-Mag

La règle que tu m'indique en mode normal ne fonctionne pas car en mode normal tout le flux entrant est bloqué aucune règle d'autorisation d'un flux entrant n'est possible ; c'est ce que je faisais au départ pensant comme toi mais cela ne fonctionne pas. Dans le mode normal on ne peut que bloquer certains flux sortants car ils sont tous autorisés par défaut (l'option autoriser ne sert à rien car tout est déjà autorisé !!).
En mode faible, tous les flux sortants et entrants sont validés ; le filtrage ne peut consister qu'à bloquer des flux en entrée et en sortie (l'option autoriser ne sert à rien car tout est déjà autorisé !!).

Pour ma règle voici ce qu'elle fait pour passer du mode faible passe tout au mode filtré :
- Seules les adresses IPV6 du réseau internes sont autorisées en sortie :
SOURCE = NOT (Préfixe délégué IPV6 de la Bbox) => bloquées en sortie équivalent à SOURCE = Préfixe délégué IPV6 de la Bbox => autorisées en sortie
- Seules les adresses IPV6 du NAS et des machines virtuelles sont autorisées en entrée :
DESTINATION = NOT (IPV6 NAS ou HA) => bloquées en entrée équivalent à DESTINATION = IPV6 NAS et HA => autorisées en entrée
Note: La condition sur la SOURCE parait inutile sachant que seules les adresses internes peuvent accéder au firewall en sortie, mais au cas où ...

Ta proposition de règle en mode normal ne fait malheureusement rien ; je l'ai testée, en normal rien ne rentre quelque soit les règles appliquées. Je trouve ça bizarre d'où l'ouverture de ce fil de discussion. Dans tous les essais que j'ai réalisés, l'accès en entrée n'a jamais fonctionné en mode normal.

Pascal

Je t'ai envoyé un MP avec un lien vers mon serveur web auto-hébergé derrière la BBox

En local, ce lien fonctionne, mais peux-tu m'indiquer s'il est fonctionnel en distant.

Dans ma configuration, le pare-feu IPV6 est sur normal et j'ai juste autorisé par une règle, le trafic http(s) vers mon serveur.

Mariotte91

Bonjour,

Le retour de Pleneve confirme bien que les filtres ne sont possibles que sur les flux ouverts. On ne peut donc que restreindre des flux sortant en mode normal. Pour agir sur les flux entrants, il faut passer le pare-feu en mode faible et interdire tout ce qu'on ne veut pas autoriser. Logique assez déroutante pour l'utilisateur

Mariotte91

Bonjour,

Je reviens sur le sujet car malgré le bon fonctionnement de l'accès distant aux services du NAS, j'avais un doute sur le fait qu'il y est un vrai filtrage des flux IPV6.
Effectivement le nombre d'occurrence de la règle restait à 0 et j'arrivais à accéder à une autre machine du réseau interne .

Du coup j'ai refait un essai avec les règles suivantes, qui sont du même genre que celle du firewall du NAS à savoir la liste de ce que j'autorise et en dernier un blocage de tout le reste :
- 1 - La première règle autorise les flux IPV6 entrants vers le ou les machines du réseau interne, dans mon cas le NAS et une VM Home Assistant,
- 2 - La deuxième règle autorise tous les flux IPV6 sortants de toutes les machines de mon réseau interne,
- 3 - La troisième règle bloque tous les autres flux IPV6 entrants ou sortant.
Et ça fonctionne , les nombres d'occurrence des règles s'incrémentent et les autres machines du réseau internes ne sont plus accessibles en entrée.

Voilà qui conclu le sujet sur le filtrage des IPV6 en mode faible si l'on veut pouvoir accéder à une ou plusieurs ressources internes du réseau.

Pascal

vu que j'ai un NAS Synology @home - un autre distant, et vu aussi que j'ai regardé pour activer l'IPv6 sur la B&You, mes hotes (Mac mini, Macbook, iPhone) et avec un PiHole, je vais essayer de relire tranquillement vos échanges pour d'une part essayer d'activer l'IPv6 à minima sur mon synology @home et d'autre part, sécuriser aussi mon réseau , car si j'ai bien compris l'option SLAAC + RA de Pihole pour la détection Ipv6 des hotes , c'est pas génial en ce qui concerne la sécurité.

J'avais, au tout début de mon move de Livebox vers B&You, eu le problème de déconnexion intempestive d'accès à mon NAS à cause de l'option IPv6 qui était cochée...une fois désactivée (ce que j'avais lu sur NAS Forum ou Forum Synology) , tout est rentré dans l"ordre, mais ca vaut le coup que j'y rejette un coup d'oeil viewtopic.php?t=4033