J'ai la chance d'avoir un fournisseur Internet me donnant un sous-réseau /64 en ipv6 et je suis suffisamment geek pour avoir envie de comprendre à quoi ça sert.

Quand votre ordinateur est derrière un routeur, seul votre routeur a une IP publique. L'ensemble de votre LAN utilisent un système appellé NAT pour accéder à Internet. C'est pourquoi il faut configurer des transferts de ports TCP pour accéder à un ordinateur du LAN de l'extérieur (pour du ssh, ftp ou web). Donc le routeur sécurise un peu votre réseau interne.

Avec l'IPV6, chaque ordinateur de votre LAN est directement connecté sur Internet et est donc accessible par n'importe quel autre ordinateur ayant une adresse IPV6. Il est donc primordial d'avoir un parefeu bien configuré.

A partir de la version Sarge (au moins) IPV6 est inclus dans le kernel debian. Si l'IPV6 ne vous interesse pas il faut le desactiver explicitement. J'ai trouvé toute une série de méthode permettant de le désactiver (je n'en ai testée aucune) :

• http://www.debian-administration.org/articles/409
• http://ubuntuforums.org/showthread.php?t=6841

Il y a plusieurs possibilités :

ping6 2001:200:0:8002:203:47ff:fea5:3085

aptitude install host
host www.kame.net

Le résultat doit comporter deux lignes (ipv4 et ipv6) :

www.kame.net has address 203.178.141.194
www.kame.net has IPv6 address 2001:200:0:8002:203:47ff:fea5:3085

Il y a pas mal de sites pour tester :

• http://6to4.nro.net/
• http://go6.net/
• http://www.sixxs.net/ (Vérifier en haut à droite)
• http://www.kame.net/ (La tortue doit être animée)
• bien d'autres

La vrai raison est qu'il est super drôle de se souvenir de 8 groupe de 4 chiffres hexadécimaux. En étant sérieux, pour l'instant il n'y a aucun intérêt mais la pénurie d'adresse ipv4 s'accélérant, l'adoption généralisée de l'ipv6 ne devrais plus tarder. En cherchant bien il y a ceci :

• Voir une tortue dancer : http://www.kame.net
• http://www.sixxs.net/misc/coolstuff/

Un parefeu ipv6 est quasiment identique à un parefeu ipv4, la différence réside dans le nom du programme à utiliser :

• iptables → ip6tables
• iptables-save → ip6tables-save
• iptables-restore → ip6tables-restore

Voir mon article sur iptable : iptables.

Comme son nom l'indique, il revient à bloquer tout le traffic ipv6 :

firewall.sh

#!/bin/sh

ip6tables -F
ip6tables -X

ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP

Attention : ce script est peut-être completement nul.

firewall.sh

#!/bin/sh

ip6tables -F
ip6tables -X

# Default rules
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT

# lo connection are OK
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A FORWARD -i lo -j ACCEPT
ip6tables -A FORWARD -o lo -j ACCEPT

# We allow ssh
ip6tables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

# We allow ping be with a limit
ip6tables -A INPUT -p ipv6-icmp -m limit --limit 30/minute -j ACCEPT
ip6tables -A INPUT -p ipv6-icmp -j DROP


# already TCP et UDP connections are allowed
ip6tables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "Use ip6tables-save to update the rules for the next startup"