From fbe8b43e879d8ef85a087eed80d1c139cafac931 Mon Sep 17 00:00:00 2001
From: Olivier Huber <huber@crans.org>
Date: Tue, 8 Mar 2011 21:39:39 +0100
Subject: [PATCH] [firewall6] doc++ && filtrage++

Ignore-this: b7ceefc14cc7041ea1b34c32e431bd55

darcs-hash:20110308203939-8fbb1-344bb5a9a9b00dc29c5811fd8cf97e05857a35cc.gz
---
 gestion/gen_confs/firewall6.py | 9 +++++++++
 1 file changed, 9 insertions(+)

diff --git a/gestion/gen_confs/firewall6.py b/gestion/gen_confs/firewall6.py
index 3f684f69..cdb6b652 100755
--- a/gestion/gen_confs/firewall6.py
+++ b/gestion/gen_confs/firewall6.py
@@ -129,6 +129,11 @@ def main_router():
     dev_ip6 = iface6('sixxs2')
 
     # Les blacklistes
+    # Si on les met après la règle conntrack, une connexion existante ne sera
+    # pas sevrée et dinc avec un tunnel ssh idoine, la blacklist aurait aucun
+    # effet.
+    # Alternative : flusher la table conntrack des entrées concernant cette
+    # machine.
     blacklist(ip6tables)
     ip6tables.filter.forward('-o %s -j BLACKLIST_SRC' % dev_ip6)
     ip6tables.filter.forward('-i %s -j BLACKLIST_DST' % dev_ip6)
@@ -162,6 +167,10 @@ icmp6-addr-unreachable' % (prefix['adm'][0]))
     for icmpv6 in authorized_icmpv6:
         ip6tables.filter.forward('-p icmpv6 -m icmp6 --icmpv6-type %s -j \
 ACCEPT' % icmpv6)
+    ip6tables.filter.forward('-p icmpv6 -j DROP')
+
+    # cf https://www.sixxs.net/faq/connectivity/?faq=filters
+    ip6tables.filter.forward('-m rt --rt-type 0 -j DROP')
 
     # Ouverture des ports
     ports(dev_ip6, dev_crans)