Pages : 1
#1 Le 27/11/2024, à 18:02
- georgesgiralt
Problème de règle firewall
Bonjour à toutes et tous,
j'ai saisi cette règle dans UFW de mon serveur pour restreindre l'accès ssh aux machines de mon réseau local :
ufw allow from fe80::/64 to any port 22 proto tcp Or, quand je veux me connecter sur mon serveur depuis une machine de mon réseau, j'obtiens :
$ ssh toto@2a0..................................................de
ssh: connect to host 2a0..................................de port 22: Connection timed outEt dans les logs du serveur :
[UFW BLOCK] IN=eno1 OUT= MAC=<addr MAC> SRC=2a01...................................de DST=2a0..........................................0a LEN=80 TC=16 HOPLIMIT=64 FLOWLBL=275214 PROTO=TCP SPT=54236 DPT=22 WINDOW=64800 RES=0x00 SYN URGP=0Donc, apparemment, ma règle ne marche pas ™
Et comme je n'ai jamais appris IPV6 (à cause de mon âge) , me voila à vous demander toute l'aide que vous pourrez me donner.
D'avance merci !
P.S. : Je puis me connecter parfaitement au serveur en IPV4 car la règle ufw ipv4 marche, elle ....
Hors ligne
#2 Le 28/11/2024, à 08:00
- diesel
Re : Problème de règle firewall
Ben..., facile.
Tu définis une règle avec une spécification d'adresse commençant par "fe80" (adresse de type "lien local") et ta machine tente de se connecter avec une adresse commençant par "2a01" (adresse unicast). C'est normal que ça ne marche pas.
Amicalement.
Jean-Marie
Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.
Hors ligne
#3 Le 28/11/2024, à 09:50
- georgesgiralt
Re : Problème de règle firewall
Ah ?
Et comment dois-je faire alors (parce que je ne connais rien à IPV6)
D'avance merci.
P.S. : chaque machine sur mon réseau récupère 3 adresses en IPV6, deux en "2a01" et une en "fe80" et quand j'emploie la résolution de noms IPV6 seule une est employée (je suppose que c'est la première que la résolution de nom retourne)
Hors ligne
#4 Le 28/11/2024, à 20:33
- diesel
Re : Problème de règle firewall
Les 16 premiers "chiffres" de tes adresses unicast sont fixes (2a01:xxxx:yyyy:zzzz::). Il te faut donc ajouter une règle : ufw allow from 2a01:xxxx:yyyy:zzzz::/64 to any port 22 proto tcp
où tu remplaceras les xxxx, yyyy et zzzz par les "chiffres" de ton sous-réseau.
Amicalement.
Jean-Marie
Dernière modification par diesel (Le 28/11/2024, à 20:33)
Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.
Hors ligne
#5 Le 28/11/2024, à 21:37
- georgesgiralt
Re : Problème de règle firewall
Merci jean-Marie
C'est ce dont je me doutais ayant comparé les adresses de mes machines. Et j'ai pensé que l'adresse était composée d'une part "réseau" et d'une part "host" comme en IPV4 ... Mais je n'étais pas sur (encore moins pour le /64 !
Bonne soirée.
Hors ligne
#6 Le 29/11/2024, à 10:01
- georgesgiralt
Re : Problème de règle firewall
Question subsidiaire :
comment faire pour spécifier une adresse IPV6 dans une ligne de commande ? Car quand je fais :
mount -t nfs -vvvv '2a01:xxxx:xxxx:xxx:xxxx::xxxx:xxxx:xxfc':/home/toto /mnt
mount.nfs: timeout set for Fri Nov 29 10:00:34 2024
mount.nfs: Failed to resolve server 2a01: System error Merci d'éclairer ma vieille lanterne !
Edit : J'ai trouvé !!! Il faut dire :
mount -t nfs -vvvv [2a01:xxxx:xxxx:xxx:xxxx::xxxx:xxxx:xxfc]:/home/toto /mnt C'est le seul caractère "spécial" que je n'avais essayé !
Dernière modification par georgesgiralt (Le 29/11/2024, à 12:39)
Hors ligne
Pages : 1