Bloquer log [ff02::1] (ipv6) (résolu)

jackos

Bonjour

Contexte : Pfsense (2.1.4-RELEASE (i386)  a ce jour) en prod depuis sept/2013, niveau autodidacte
Schéma:

LAN 192.168.0.0/24
                                              |
WAN–-Modem/Bridge---PFSense
                                              |
                                              WIFI 192.168.12.0/24

LAN Environ 5 switch administrables / 10 imprimantes / 4 serveurs / 20 client lourd et léger (windows / linux)
WAN 3 Access point / 2 répéteurs de signal / 1 imprimantes / environ 10 devices (téléphone / tablettes/ portables)

Besoin / Question : je souhaiterais désactiver les logs Firewall des équipements en protocole ICMP6 (je pense IPV6?)
(Il y à la source 0.0.0.0 dest 224.0.0.1 en igmp)

Pistes imaginées / tests :

• le blockage par l'action "Easy Rule: Add to Block List" ne fonctionne pas
• j'ai testé l'article suivant https://knowledge.zomers.eu/pfsense/Pages/Prevent-IPv6-multicasts-from-flooding-the-pfSense-logs.aspx
    en créant une floating rules comme indiqué, sans succès
• je vais regarder dans la configuration des mes équipement (je pense que c'est les switch administrable et les répéteurs wifi) mais si il y avait plus simple je suis preneur

Recherches : quelques post du forum pfsense en anglais parlent de floating rules, mais je me perd un peu dans leurs config (elles ne sont pas toujours identiques)

Jacques

Voici les logs sur 40 minutes (j'ai supprimé ceux de wan):
Jul 27 13:21:3LAN  [3134:3734:3833:3634:383a:3a30:3a30:3[ff02::1]ICMP6 
Jul 27 13:22:2WIFI  [fe80::daeb:97ff:fea3:e55f]          [ff02::1]ICMP6 
Jul 27 13:23:2WIFI  [fe80::daeb:97ff:fea3:e55f]          [ff02::1]ICMP6 
Jul 27 13:23:3LAN  0.0.0.0                              224.0.0.1IGMP 
Jul 27 13:23:3LAN  [102:417::e000:1:9404:0]            [ff02::1]ICMP6 
Jul 27 13:24:2WIFI  [fe80::daeb:97ff:fea3:e55f]          [ff02::1]ICMP6 
Jul 27 13:25:2WIFI  [fe80::daeb:97ff:fea3:e55f]          [ff02::1]ICMP6 
Jul 27 13:25:4LAN  0.0.0.0                              224.0.0.1IGMP 
Jul 27 13:25:4LAN  100:0:600:0:702b:200                ff02::1  ICMP6 
Jul 27 13:26:2WIFI  [fe80::daeb:97ff:fea3:e55f]          [ff02::1]ICMP6 
Jul 27 13:27:2WIFI  [fe80::daeb:97ff:fea3:e55f]          [ff02::1]ICMP6 
Jul 27 13:27:5LAN  0.0.0.0                              224.0.0.1IGMP 
Jul 27 13:27:5LAN  [102:417::e000:1:9404:0]            [ff02::1]ICMP6 
Jul 27 13:28:2WIFI  [fe80::daeb:97ff:fea3:e55f]          [ff02::1]ICMP6 
Jul 27 13:29:2WIFI  [fe80::daeb:97ff:fea3:e55f]          [ff02::1]ICMP6 
Jul 27 13:29:5LAN  0.0.0.0                              224.0.0.1IGMP 
Jul 27 13:29:5LAN  [2020:2020:2020:6add:45:b180:323a:313[ff02::1]ICMP6 
Jul 27 13:30:2WIFI  [fe80::daeb:97ff:fea3:e55f]          [ff02::1]ICMP6 
Jul 27 13:31:2WIFI  [fe80::daeb:97ff:fea3:e55f]          [ff02::1]ICMP6 
Jul 27 13:32:0LAN  0.0.0.0                              224.0.0.1IGMP 
Jul 27 13:32:0LAN  100:0:600:0:e0db:100                ff02::1  ICMP6 
Jul 27 13:32:2WIFI  [fe80::daeb:97ff:fea3:e55f]          [ff02::1]ICMP6 
Jul 27 13:33:2WIFI  [fe80::daeb:97ff:fea3:e55f]          [ff02::1]ICMP6 
Jul 27 13:34:0LAN  0.0.0.0                              224.0.0.1IGMP 
Jul 27 13:34:0LAN  100:0:600:0:702b:200                ff02::1  ICMP6 
Jul 27 13:34:2WIFI  [fe80::daeb:97ff:fea3:e55f]          [ff02::1]ICMP6 
Jul 27 13:35:2WIFI  [fe80::daeb:97ff:fea3:e55f]          [ff02::1]ICMP6 
Jul 27 13:36:1LAN  0.0.0.0                              224.0.0.1IGMP 
Jul 27 13:36:1LAN  204:5b4:402:80a:286:af95            ff02::1  ICMP6 
Jul 27 13:36:2WIFI  [fe80::daeb:97ff:fea3:e55f]          [ff02::1]ICMP6 
Jul 27 13:37:2WIFI  [fe80::daeb:97ff:fea3:e55f]          [ff02::1]ICMP6 
Jul 27 13:38:1LAN  0.0.0.0                              224.0.0.1IGMP 
Jul 27 13:38:1LAN  100:0:600:0:702b:200                ff02::1  ICMP6 
Jul 27 13:38:2WIFI  [fe80::daeb:97ff:fea3:e55f]          [ff02::1]ICMP6

Tatave

Salut salut

Malgré l'heure tardive (donc idée dans les brumes voir les bras de Morphée)

Pour quoi ne pas désactiver à la sources L'ip V6 sur les clients et remonter les autres machines qui pourraient ensuite apparaitre.
Sous linux c'est assez simple, sous Windows pas encore fait cela mais cela doit faire.

Laisser les log ipv6 remonter sur le PF pour détecter les machines bavardes et les faire taire.

C'est une idée ou un piste, à vous devoir si cela n'est pas plus pratique à long terme.
Personnellement Pf doit voir ce qui ce passe autour de lui, c 'est sont but, et pas de rendre aveugle.

Cordialement.

jdh

Bravo pour l'utilisation du formulaire : on comprend ce qui se passe !

C'est la conjonction de 2 éléments :

• au niveau des logs (Status > System logs), la case "Log packets blocked by the default rule" (dans Setting) est cochée :
    Perso, je désactive cette case, sinon, le logs se remplit à vitesse grand V alors que les paquets ont été bloqué
• un équipement envoie des paquets en IP v6, de type broadcast :
    L'utilisation d'IP v6 est actuellement très limitée.
    Il s'agit là, en plus, de packets de type broadcats
    Perso, je désactive IP v6 sur tous les matériels (Serveurs, PC, Imprimantes/Copieurs, Routeurs, …)

NB : attention à bien maitriser les masques de sous-réseau (/X), parce qu'en IP v6 on va jusqu'à /128 !

Tatave

Salut salut

@Jdh
Merci Jdh

Donc mon idée (dans un demi sommeil) n'était si erronée que cela  / je vais finir par être bon voir un gouroux /

@ all

Il est bien évident qu'à l'heure actuelle l'ipv6 est bien moins répandue dans les réseaux locaux que ipv4.
Nous sommes dans une phase de transition sur le plan des ces adressages là, pour encore quelques temps. (je pense)

Cordialement.

jackos

Bonjour, merci pour vos retours
@jdh
En désactivant Status: System logs: Settings >> Log packets blocked by the default rule
Je n'ai plus aucun log (zéro de chez zéro)
pour le formulaire, merci à la communauté d'Ixus  pour ce que je suis aujourd'hui ;)
@Tatave

Personnellement Pf doit voir ce qui ce passe autour de lui, c 'est sont but, et pas de rendre aveugle.

Je ne tiens pas à le rendre aveugle, au contraire cela permet de voir ce qui ce passe sur le réseau (comprendre, corriger ,m’adapter,… )

J'ai fait le tour de mes équimements, et rien trouver en config IPV6 (qui soit activer / configurer)
Du coup, je l'ai fais un peu peu à la novice : débranchement des devices les un après les autres  ???
alors pour les machines sur le réseau c'est pas du tout ce que je pensais:

• sur le wifi ce sont les répéteurs (alors qu'il ne sont pas compatible IPV6 et aucune information ou désactivation disponible dans leur page de configuration)  Trendnet TEW-736RE

• sur le LAN il n'y à qu'une machine qui envoit de l'ipv6 et c'est le serveur proxmox (en v2)

Ce que je comprend encore moins c'est que toutes les 2 minutes proxmox envoit des paquets avec une adresse source différentes (j'ai fait le test avec seulement pfsense /  proxmox (vm éteneinte) et un linux pour  visualiser les logs)
Résultat des adresses sources  venant de proxmox toutes les 2 minutes . (elles sont triées pour mieux voir)

[::1011:1213:1415:1617:1819:1a1b]
[::e0db:100:0:0]
[10::30:c04a:f57f:0]
[10::b839:c7f:0]
[101:80a:0:4e3f:ffff:101a:8010:4fc4]
[101:80a:0:580d:0:5b2:8025:5e23]
[101:80a:0:5eeb:0:b11d:8027:fc69]
[101:80a:0:6b96:1:ee02:801b:3b1f]
[101:80a:0:7030:2:60f6:8027:9004]
[101:80a:0:755a:2:e263:800f:5e2e]
[101:80a:0:7a38:3:5bd0:802a:845d]
[101:80a:0:9277:5:ba08:8010:4fc4]
[101:80a:0:9786:6:38a6:801a:f2ad]
[101:80a:0:9c69:6:b2f8:8011:a00]	
[101:80a:0:a143:7:2c27:801b:a7bb]
[101:80a:0:a625:7:a55a:8010:4fc4]
[101:80a:0:ab10:8:215e:3a30:3a3a]
[101:80a:0:aff0:8:9b42:8022:950]
[101:80a:0:b448:9:6ec:8010:4fc4]
[101:80a:0:b9a3:9:8cba:8010:4fc4]
[101:80a:0:c370:a:82bb:8010:4fc4]	
[101:80a:12:d6e6:a:fd5c:3239:3439]	
[101:80a:21:6df7:b058:fc8:5041:5353]	
[101:80a:9:4c39:1:7252:6420:666f]	
[101:80a:b:b07d:3:d6a5:1400:600]	
[101:80a:c:2a88:4:50b4:2804:400]
[101:80a:c:a4a1:4:cad0:2800:400]	
[101:80a:d:1eb4:5:44e6:1400:600]
[3134:3036:3534:3836:3231:3a31:3731:3038]	
[3134:3734:3833:3634:383a:3a30:3a30:3a3a]	
[3134:3734:3833:3634:383a:3a31:3631:3036]	
[3336:3837:3039:3132:3a3a:3432:3934:3936]	
[746f:206f:7065:6e20:656e:7620:6669:6c65]

Je vais voir tranquillement le pourquoi de ces envois de proxmox et retenter de les faire taire dans les logs (retester floating rules)
Pas trop de temps cette semaine, je laisserais un retour

Jacques

Tatave

Salut salut

Effectivement le bon vieux test de la déconnexion de câble sur une baie quand on en à la possibilité et le temps c'est la plus efficace.
En en terme de recherche de coupable sur un réseau, encore faut il que cela soit possible.
Cela reste du tatonage.

Pour le soucis de bavardage de proxmox, cela ne m'étonne pas trop en faite, il embarque beaucoup de services qui ne sont pas toujours muet même s'ils sont désactivés.
La meilleur solutions serait de pouvoir les d'installer chose plus facile à dire qu'à faire.
Je parle en connaissance de cause, j'en avais deux (un cluster en place pour des testes de solutions de virtu).
Suivant le contrat que vous aurez prix il y a à coup sur d'un des ces services qui bavardent de trop.
Pas sur que les vm soient pour quelques choses là dedans, au cas ou si elles sont sous linux il faut modifier le ficher systcl.conf sous debian il est dans /etc/
avec les paramétres suivant

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv6.conf.eth0.disable_ipv6 = 1 

/ a rajouter pour chaque carte présente sur la machine en incrémentant de +1 par carte la ligne "net.ipv6.conf.eth0.disable_ipv6 = 1 " en "net.ipv6.conf.eth1.disable_ipv6 = 1" pour une eth1 ainsi de suite… pensez à véficier les paramètres réseau de chaque cartes au cas ou il y aurait de l'ip v6 de monté /

Sur ceux bon courage.

Cordialement.

jackos

résolu,
System: Advanced: Networking >> cocher Allow IPv6
les rules de blocage sont bien pris en compte par la suite (pas besoin de floating)

@Tatave
dans mon cas  c'est proxmox lui même pas les vm (tester avec vm éteintes)
je garde ta config sous la main, ca me servira, merci