Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 17/12/2023, à 14:23

diesel

[CONTOURNÉ] systemd mdns et ipv6

Bonjour,

Sur mon réseau local, je veux n'utiliser QUE ipv6 (pas la peine de vous fatiguer à m'expliquer que ce n'est pas bien, c'est ce que je veux). Cependant, afin d'aller sur internet, je suis obligé de conserver ipv4 en parallèle d'ipv6. Par contre, je veux que TOUT le trafic local s'effectue en ipv6.

Sur mon serveur, je voudrais remplacer avahi par systemd.resolved.

Mais, là où le bât blesse, c'est que je n'ai pas trouvé où dire à systemd-resolved de répondre aux requêtes mdns UNIQUEMENT avec l'adresse ipv6 du serveur (avahi fait ça très bien).

Quelqu'un a une idée ?

Amicalement.

Jean-Marie

Dernière modification par diesel (Le 20/12/2023, à 20:04)


Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.

Hors ligne

#2 Le 17/12/2023, à 14:50

LukePerp

Re : [CONTOURNÉ] systemd mdns et ipv6

Dans les paramètres réseaux, puis dans les propriétés de la connexion utilisée (wifi ou ethernet), on peux forcer l'usage d'ipv6 en désactivant l'ipv4.


Gamer inside - Ubuntu Mate dernière LTS - Intel i5, 16 Go - Dual boot Windows - Ethereum user

Hors ligne

#3 Le 17/12/2023, à 15:40

diesel

Re : [CONTOURNÉ] systemd mdns et ipv6

Bonjour LukePerp,

Merci mais il me semble avoir écrit que j'avais quand-même besoin d'ipv4 pour aller sur internet et que ce que je cherche, c'est à limiter les réponses mdns à ipv6.

Peut-être n'avais-je pas été assez clair.

Amicalement.

Jean-Marie


Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.

Hors ligne

#4 Le 18/12/2023, à 09:00

bruno

Re : [CONTOURNÉ] systemd mdns et ipv6

Bonjour,

diesel a écrit :

ce que je cherche, c'est à limiter les réponses mdns à ipv6

Je n'ai pas essayé mais avec avahi, dans le fichier /etc/avahi/avahi-daemon.conf :

use-ipv4=no
use-ipv6=yes

#5 Le 18/12/2023, à 18:49

diesel

Re : [CONTOURNÉ] systemd mdns et ipv6

Bonsoir Bruno,

Oui, avec avahi, je sais faire depuis longtemps.

Mais...,

avahi est un projet en fin de vie qui a vocation à être remplacé par systemd-networkd (ou systremd-resolved). Donc, je cherche à faire la même chose avec le remplaçant..., et je trouve pô.

Amicalement.

Jean-Marie

Dernière modification par diesel (Le 18/12/2023, à 18:50)


Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.

Hors ligne

#6 Le 20/12/2023, à 20:04

diesel

Re : [CONTOURNÉ] systemd mdns et ipv6

Bon, j'ai contacté l'équipe de développement de systemd sur sa mailing list.

La rfc6762 dit que la réponse mDNS DOIT contenir TOUTES les adresses attribuées à l'interface considérée et donc que systemd sera conforme à la rfc.

Je pense que, sur un serveur, à partir du moment où on veut faire un peu de filtrage pour assurer un minimum de sécurité, ce type de fonctionnement va singulièrement compliquer la tâche.

Cela dit, je vais mettre en place un filtrage des requêtes et réponses mDNS sur mon serveur pour obtenir ce que je veux. J'ai conscience que ce sera "un peu" crade mais j'aurai bien le fonctionnement que je veux et ça me permettra de "survivre" à la mort programmée d'avahi.

Amicalement.

Jean-Marie


Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.

Hors ligne

#7 Le 21/12/2023, à 08:45

bruno

Re : [CONTOURNÉ] systemd mdns et ipv6

Je n'ai pas tout compris hmm
As-tu une référence qui indique que Avahi va être abandonné au profit de systemd ?
Pour  la partie client, systemd-resoklved prend en charge (moyennant une adaptation de la configuration) les requêtes mDNS mais pour la partie serveur (annonce des services sur le réseau local) je ne vois rien dans systemd…

Et je ne vois pas trop le problème de sécurité avec mDNS.

#8 Le 21/12/2023, à 12:53

diesel

Re : [CONTOURNÉ] systemd mdns et ipv6

Ben..., petit à petit, systemd est en train de remplacer tous les services de base "historiques" (init, udev, network...), et mDNS (voir les directives dans les fichiers de configuration networkd et resolved) et je te fiche mon billet qu'il finira par "avoir la peau" de avahi. Mais je te concède que je n'ai pas de référence.

Et en tant que tel, mDNS ne pose pas de problème de sécurité (sous réserve quand-même de ne pas le laisser faire tout ce qu'il veut). Le problème qu'on retrouve à chaque fois (on croirait que ces gens n'ont aucune mémoire), c'est que les rfc sont écrites pour un monde de bisounours. Je m'explique : Chaque rfc (ou presque) a été écrite avec des directives dont la SEULE finalité est de favoriser la connectivité, et surtout sans "porte de sortie" pour pouvoir limiter celle-ci si besoin.

Si je prends le cas de la rfc6762 qui traite de mDNS, il est écrit au 6.2 : "When a Multicast DNS responder sends a Multicast DNS response message containing its own address records, it MUST include all addresses that are valid on the interface on which it is sending the message.

Or, sur mon réseau, pour pouvoir suivre un peu ce qui passe, je n'ai pas envie qu'un trafic donné vers mon serveur passe un coup en ipv4, un coup en ipv6 sur l'adresse lien local et un coup en ipv6 sur l'adresse globale au bon vouloir du client qui a initié le trafic avec le serveur.

Je voudrais donc pouvoir tuner le mDNS responder de mon serveur pour qu'il indique au client qui lui adresse une requête mDNS, l'ADRESSE à laquelle il souhaite être contacté.

Pour donner un parallèle ; Quand quelqu'un se présente chez toi, TU lui ouvres la porte d'entrée. Tu ne lui laisse pas le choix de passer un coup par la porte d'entrée, un coup par la porte de derrière et un coup par le garage à son initiative.

Amicalement.

Jean-Marie

Dernière modification par diesel (Le 22/12/2023, à 21:41)


Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.

Hors ligne

#9 Le 22/12/2023, à 10:43

bruno

Re : [CONTOURNÉ] systemd mdns et ipv6

Bon, j'ai dit une ânerie systemd-resolved prend bien en charge la partie serveur de mDNS. J'aurais dû le savoir puisqu'il y a un une directive dans /etc/systemd/resolved.conf

man resolved.conf a écrit :

MulticastDNS=
Takes a boolean argument or "resolve". Controls Multicast DNS support (RFC 6762[2]) on the local host. If true, enables full Multicast DNS responder and resolver support. If false, disables both. If set to "resolve", only resolution support is enabled, but responding is disabled. Note that systemd-networkd.service(8) also maintains per-link Multicast DNS settings. Multicast DNS will be enabled on a link only if the per-link and the global setting is on.

Ce qui permet d'activer le client (résolveur) et le serveur (répondeur), uniquement le résolveur ou aucun des deux. C'est également gérable interface par interface réseau via systemd-networkd ou Networkmanager.
Par contre pour la configuration des services, cela se configure avec systemd.dnssd.

Je vais donc creuser la question pour voir si je peux remplacer avahi-daemon par systemd-resolved.

Côté sécurité, le protocoele mDNS/Zeroconf  pourrait être utilisé pour des attaques MITM.

Pour ton problème je ne vois effectivement pas d'autre solution que des règles de filtrage sur le port 5353 en UDP (normalement utilisé par mDNS) bloquant IPv4 et autorisant IPv6.

Merci pour cette question qui m'a permis de découvrir un aspect de systemd-resolved que j'ignorais wink