2015-06-26 12:56 GMT+02:00 Simon Morvan <gar...@zone84.net>:

>
>
> Le 26 juin 2015 12:40:54 CEST, Damien Fleuriot <m...@my.gd> a écrit :
> >Je trouve ça très réducteur, le propos sur le NAT.
> >
> >Avoir des machines en full IPv6 routable, c'est les exposer sur le net,
> >et
> >devoir les firewaller une par une.
> >C'est chiant à maintenir, très chiant.
> >
> >Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall
> >en
> >coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles
> >doit être maintenu.
>
> Si t'as un firewall en coupure, je vois pas pourquoi tu as besoin de nat
> pour protéger toutes les machines derrière avec un ruleset unique.
>
>
Parce que pour que le firewall fasse office de point de coupure, encore
faut-il que les bécannes qui sont derrière ne soient joignables que via ce
dernier ?

Router : 2001::1
FW : 2001::2

Web1 : 2001::a
Web2 : 2001::b

À moins de subnetter, 2001::a est joignable directement via 2001::1 , le
firewall n'agit pas en point de coupure.

Personnellement ça me semble assez chiant à mettre en place (on en revient
au rapport pénibilité-bénéfice d'ipv6 du coup).


Ou alors j'imagine des solutions bien compliquées, et il y a beaucoup plus
simple qui ne me vient pas à l'esprit ;)

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à