Le 26/06/15 14:52, Samuel Thibault a écrit :
>
> Et en v6, tu peux mettre en place la même infra, juste le NAT en moins
> (mais garder le firewall bien sûr). Il te faut un subnet séparé
> pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé
> RFC1918. Je ne vois aucune difficulté de réflexion.

Pareil, je capte pas où est le chamboulement, mettre une intero v6
publique comme il y a l'IP publique v4 et mettre un subnet public routé
v6 à la place d'un subnet v4 RFC1918 et faire du routage firewallé au
lieu de faire du routage NATé (le NAT c'est un peu un routeur firewall
avec des règles de translation d'IP quand même à la base non ?)

Je suis en train de pleurer du sang à lire encore des histoires qui
mélangent NAT et sécurité pour justifier de garder une affreuse
"rustine" qu'est le NAT et de ne pas mettre IPv6.

En gros ce qui change entre IPv4 NAT et IPv6 :
- Le subnet interne derrière la boiboite est non translaté par le firewall
- Le blocage des ports entrants par défaut vers le subnet interne

On est loin d'un truc foufou... Après les mecs qui ont peur de ne pas
bien firewaller et qui préfèrent un boitier NAT parce que si c'est pas
bien configuré au moins rien ne fonctionne...

Frédéric


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à