Le 26/06/15 12:40, Damien Fleuriot a écrit :
Je trouve ça très réducteur, le propos sur le NAT.

Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et
devoir les firewaller une par une.
C'est chiant à maintenir, très chiant.

Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en
coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
doit être maintenu.


Je peux me tromper, vous avez peut-être des solutions alternatives, mais en
ce qui me concerne des machines avec des IPv6 directement exposées sans
NAT/RP c'est un accident qui attend d'arriver.


Comme déjà évoqué, rien ne t’empêche de réserver une plage ipv6 que tu n'annonce pas dans la DFZ ou que tu drop en entrée de tes routeurs de bordure.

Le Nat n'a jamais été conçu pour être un mécanisme de sécurité. Cela a crée un semblant de sécurité du fait des architectures mise en place pour contourner le manque d'ipv4. L'architecture courante étant tout les serveurs en rcf1918 derrière un firewall, ip publiques portés par le firewall et nat sélectif. Une architecture qui marche jusqu’à un certain point.

--
Raphael Mazelier


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à