Damien Fleuriot, le Fri 26 Jun 2015 14:41:25 +0200, a écrit : > Non c'est pas par chance, c'est fait pour, c'est le NAT et le mécanisme de > reverse-proxy qui assurent ça.
Heu, mais si tu envisages de brancher tes Web1 et Web2 directement sur le routeur, je suppose que c'est parce qu'ils sont en fait sur le même réseau que "dehors le firewall" ? Et donc que tu as un souci L2 déjà, et que c'est juste par chance que ça n'est pas percé. Sinon, si tu as déjà deux L2 séparés pour "en-dehors du firewall" et "en-dedans du firewall", eh bien il faut deux subnets, oui. Rien de nouveau, c'est ainsi en v4 depuis le début :) > En gros ici, on n'a pas de réseau routé par les firewalls. > Ils accueillent une /27 et soit ils NAT, soit ils forward les paquets aux > reverse-proxies qui ont des IPs RFC1918. En v6 ils peuvent router (et firewaller) plutôt que NATer, je ne vois pas la difficulté. Si tu veux vraiment, tu peux NATer en v6, mais je n'y vois pas d'intérêt par rapport à un bête firewall. > Concernant le fait que ce soit plus ou moins pénible que du v4, c'est tout > bête > : le v4 c'est déjà en place et maîtrisé ;) Et en v6, tu peux mettre en place la même infra, juste le NAT en moins (mais garder le firewall bien sûr). Il te faut un subnet séparé pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé RFC1918. Je ne vois aucune difficulté de réflexion. Samuel --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
