Le 22 janvier 2013 15:38, Paul Rolland <rol+fr...@witbe.net> a écrit : > Groumpf... Piege par le jetlag, ce que permet l'interface, c'est du > parametrage de Nat, pas des acls :(
Je ne suis pas expert en NAT et UPNP mais la sécurité qu'offre le NAT est somme toute celle d'un firewall stateful avec des règles assez basiques : FORWARD accepté de *interne vers externe*. FORWARD accepté de *externe vers externe* Si *connexion déjà établie*. Donc en somme, si une box avec ipv6 met en place ce genre de règles de firewall, l'utilisateur est aussi protégé que via du NAT (on bloque les connexions entrantes non sollicitées, ça suffit à la plupart des gens). Il ne manque qu'une chose, la capacité d'ouvrir des ports pour que les applications le nécessitant ne soient pas bloquées. Les solutions existent en IPv4 (NAT-PMP, UPNP, ...). La box peut paramètrer son firewall en suivant les demandent de "NAT traversal" émisent via UPNP Internet Gateway Device Protocol. Linux-IGD (http://linux-igd.sourceforge.net/) semble le faire via du DNAT, rien n'empêche de changer les règles de firewall insérées. Du coup : * IPv4 + NAT + UPNP * IPv6 + Firewall + UPNP Et le tour est joué, non ? On peut déjà faire du port forwarding sur le NAT des box avec l'interface du FAI, rajouter une option "ipv4/ipv6" et de toucher soit au NAT, soit d'ouvrir bêtement le port (vers une destination, un masque, ou vers tout le sous-réseau) fait l'affaire. J'ai loupé quelque chose ? -- Jérémie MARGUERIE --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
