Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

ufw PROTO=41

enyrix

Bonjour,
Je viens d'activer ufw sur mon serveur et j'obtiens toujours ce genre de message dans mes logs:

kernel: [UFW BLOCK] IN=eth0 OUT= MAC=00:25:90:a7:40:ba:6c:9c:ed:ba:ec:40:08:00 SRC=XXX.XXX.X.52 DST=XXX.XX.XX.185 LEN=68 TOS=0x00 PREC=0x00 TTL=120 ID=14843 PROTO=41

Apparemment ça rapport avec le protocole IPV6. Dans ma config ufw (/etc/default/ufw) il est activé (IPV6=yes).

L'ip publique de mon serveur est : xxx.xx.xx.98 (masqué). Je remarque donc qu'elle apparait même pas sous cette ligne...

J'aimerais donc comprendre ce qui se passe exactement et aussi comment autoriser les paquets ipv6 de n'importe quel ip mais tout respectant les règles de ports fermé avec ufw actuellement.

J'ai essayé ceci mais ça semble avoir aucun impact:

iptables -A INPUT -p 41 -j ACCEPT

Merci !

Pator75

enyrix a écritBonjour,
Je viens d'activer ufw sur mon serveur et j'obtiens toujours ce genre de message dans mes logs:
kernel: [UFW BLOCK] IN=eth0 OUT= MAC=00:25:90:a7:40:ba:6c:9c:ed:ba:ec:40:08:00 SRC=XXX.XXX.X.52 DST=XXX.XX.XX.185 LEN=68 TOS=0x00 PREC=0x00 TTL=120 ID=14843 PROTO=41
Apparemment ça rapport avec le protocole IPV6. Dans ma config ufw (/etc/default/ufw) il est activé (IPV6=yes).
L'ip publique de mon serveur est : xxx.xx.xx.98 (masqué). Je remarque donc qu'elle apparait même pas sous cette ligne...
J'aimerais donc comprendre ce qui se passe exactement et aussi comment autoriser les paquets ipv6 de n'importe quel ip mais tout respectant les règles de ports fermé avec ufw actuellement.
J'ai essayé ceci mais ça semble avoir aucun impact:
iptables -A INPUT -p 41 -j ACCEPT
Merci !

Salut,

Le protocole 41 ça a un rapport avec l'encapsulation, nécessaire jusqu'à la généralisation de l'IPv6, on ne voit pas le port.

Comme ton serveur n'est pas en cause, puisque l'IP de destination est DST=XXX.XX.XX.185, qui doit être je pense une IP locale, le fait qu'UFW bloque une connexion entrante me semble une excellente chose à ne pas corriger, surtout si l'IP source (SRC) est de type publique, ce qu'on ne voit pas non plus.

[supprimé]

Le protocole 41 fait partie de l'outil de transition temporaire intégré à IPv6, il doit utiliser la nomenclature IPv4 en encapsulant les données IPv6 dans des paquets IPv4. Ce processus est indiqué par IP 41.

Ne pas oublier que nos OS ont le protocole TCP/IP double pile.

Voir ici pour plus de détail : http://tools.ietf.org/html/rfc2473

Bonne journée 🙂