[firewall6] on rajoute l'ingress filtering

Ignore-this: 70bb869f58f85e481e7a8329fcf80e06 darcs-hash:20110308203846-8fbb1-a2688cf00d420dc48de79c6cb5e22415d43e17f1.gz
2011-03-08 21:38:46 +01:00 · 2011-03-08 21:38:46 +01:00 · 7a6a840c0f
commit 7a6a840c0f
parent acef69c7da
2 changed files with 27 additions and 0 deletions
--- a/gestion/gen_confs/firewall6.py
+++ b/gestion/gen_confs/firewall6.py
@ -135,6 +135,12 @@ def main_router():

    ip6tables.filter.forward('-m conntrack --ctstate RELATED,ESTABLISHED -j \
 ACCEPT')
+    
+    # On filtre les réseaux non routable et aussi on accepte en entrée
+    # que les paquets dont la source n'est pas notre plage, pour éviter
+    # http://travaux.ovh.net/?do=details&id=5183
+    ingress_filtering(ip6tables)
+    ip6tables.filter.forward('-j INGRESS_FILTERING')

    # Pour les autres connections
    for type_m in [i for i in ['fil', 'fil-v6'] if not 'v6' in i]: