2015-06-26 12:56 GMT+02:00 Simon Morvan <gar...@zone84.net>: > > > Le 26 juin 2015 12:40:54 CEST, Damien Fleuriot <m...@my.gd> a écrit : > >Je trouve ça très réducteur, le propos sur le NAT. > > > >Avoir des machines en full IPv6 routable, c'est les exposer sur le net, > >et > >devoir les firewaller une par une. > >C'est chiant à maintenir, très chiant. > > > >Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall > >en > >coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles > >doit être maintenu. > > Si t'as un firewall en coupure, je vois pas pourquoi tu as besoin de nat > pour protéger toutes les machines derrière avec un ruleset unique. > > Parce que pour que le firewall fasse office de point de coupure, encore faut-il que les bécannes qui sont derrière ne soient joignables que via ce dernier ?
Router : 2001::1 FW : 2001::2 Web1 : 2001::a Web2 : 2001::b À moins de subnetter, 2001::a est joignable directement via 2001::1 , le firewall n'agit pas en point de coupure. Personnellement ça me semble assez chiant à mettre en place (on en revient au rapport pénibilité-bénéfice d'ipv6 du coup). Ou alors j'imagine des solutions bien compliquées, et il y a beaucoup plus simple qui ne me vient pas à l'esprit ;) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/