Discussion :

[gueugrei]

Bonsoir,

Je crois que la fonction des listes d'accès n'est pas parfaitement au point en IPv6 :

Configuration :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
interface f0/0 : 2001:DB8:AAAA:1::100/64 (un PC)
interface f0/1 : 2001:DB8:AAAA:2::100/64 (un Serveur)

Je précise que tout fonctionne avant que je ne configure les ACL.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
Router(config)#ipv6 access-list g
Router(config-ipv6-acl)#permit ipv6 any any
Router(config-ipv6-acl)#deny tcp host 2001:DB8:AAAA:1::100 host 2001:DB8:AAAA:2::100 eq 80
Router(config)#interface f0/1
Router(config-if)#ipv6 traffic-filter g out

Router#show ipv6 access-list 
IPv6 access list g
permit ipv6 any any (7 match(es))
deny tcp host 2001:DB8:AAAA:1::100 host 2001:DB8:AAAA:2::100 eq www

La page web du serveur 2::100 s'ouvre à partir du PC 1::100
Et pire encore quand je retire permit ipv6 any any :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
ping 2001:DB8:AAAA:2::100 (effectué sur le PC 2001:DB8:AAAA:1::100/64)
Reply from 2001:DB8:AAAA:1::1: Destination host unreachable.

La page web est bien sûr inaccessible ...

Le ping est un datagramme ICMP de type 8 en request et de type 0 en reply
RFC 792 : "The ICMP messages typically report errors in the processing of datagrams.
8 for echo message;
0 for echo reply message".

Reste à savoir s'il utilise un port spécifique ; quoi qu'il en soit il ne peut utiliser le port 80 réservé au http ... J'ai aussi essayé la commande avec deny udp ... eq 80.


En IPv4, ça marche comme sur des roulettes !

Je n'ai que cet outil pour me former et ça me gêne ...

Merci

Grégory

PS: Désolé pour les smileys ... impossible de désactiver la fonctionnalité.

[ram-0000]

PS: Désolé pour les smileys ... impossible de désactiver la fonctionnalité.

Il suffit d'utiliser les balises [code] (bouton #)

[sevyc64]

Reste à savoir s'il utilise un port spécifique ;

Il n'y a pas de notion de port en ICMP.

quoi qu'il en soit il ne peut utiliser le port 80 réservé au http

Aucun port n'est réservé à une utilisation.
la notion de "réservé" habituellement appliquées aux port (à tord donc) doit se comprendre comme "d'utilisation vivement recommandée". Mais rien n'interdit de passer du http sur un tout autre port, et rien n'interdit de passer tout autre chose sur le port 80