[ipv6only] Modifications pour pettre des machines sans ipv4 et pare feu pour nat64

gestion/gen_confs/firewall6.py

@@ -200,6 +200,40 @@ def main_router():
     # On met en place le forwarding
     enable_forwarding(6)
 
+
+def routeur_nat64():
+    ''' Firewall pour le nat64 '''
+    
+    dev_crans = iface6('fil')
+    dev_adm = iface6('adm')
+    dev_v6only = iface6('v6only')
+    
+    # Les blacklistes
+    # Si on les met après la règle conntrack, une connexion existante ne sera
+    # pas sevrée et dinc avec un tunnel ssh idoine, la blacklist aurait aucun
+    # effet.
+    # Alternative : flusher la table conntrack des entrées concernant cette
+    # machine.
+    blacklist(ip6tables)
+    ip6tables.filter.forward('-i %s -j BLACKLIST_SRC' % dev_v6only)
+    ip6tables.filter.forward('-i %s -j BLACKLIST_DST' % dev_crans)
+    
+    
+    ip6tables.filter.forward('-m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT')
+    
+    # Pour les autres connections
+    for type_m in [i for i in ['fil', 'adherents-v6', 'wifi', 'wifi-adh-v6'] if not 'v6' in i]:
+        ip6tables.filter.mac('-s %s -j %s' % (prefix[type_m][0], 'MAC' +
+            type_m.upper()))
+    ip6tables.filter.forward('-i %s -j MAC' % dev_crans)
+
+    # Rien ne passe vers adm
+    # est ce que du local est gêné par le règle ?
+    ip6tables.filter.forward('-d %s -j REJECT --reject-with icmp6-addr-unreachable' % (prefix['adm'][0]))
+
+    # On met en place le forwarding
+    enable_forwarding(6)
+
 def wifi_router():
     ''' Firewall pour le router du wifi '''
     # Le wifi est maintenant routé directement sur komaz.