2015-06-26 14:52 GMT+02:00 Samuel Thibault <samuel.thiba...@ens-lyon.org>:
> Damien Fleuriot, le Fri 26 Jun 2015 14:41:25 +0200, a écrit : > > Non c'est pas par chance, c'est fait pour, c'est le NAT et le mécanisme > de > > reverse-proxy qui assurent ça. > > Heu, mais si tu envisages de brancher tes Web1 et Web2 directement > sur le routeur, je suppose que c'est parce qu'ils sont en fait sur le > même réseau que "dehors le firewall" ? Et donc que tu as un souci L2 > déjà, et que c'est juste par chance que ça n'est pas percé. > > Sinon, si tu as déjà deux L2 séparés pour "en-dehors du firewall" > et "en-dedans du firewall", eh bien il faut deux subnets, oui. Rien de > nouveau, c'est ainsi en v4 depuis le début :) > > > En gros ici, on n'a pas de réseau routé par les firewalls. > > Ils accueillent une /27 et soit ils NAT, soit ils forward les paquets aux > > reverse-proxies qui ont des IPs RFC1918. > > En v6 ils peuvent router (et firewaller) plutôt que NATer, je ne vois > pas la difficulté. Si tu veux vraiment, tu peux NATer en v6, mais je > n'y vois pas d'intérêt par rapport à un bête firewall. > > > Concernant le fait que ce soit plus ou moins pénible que du v4, c'est > tout bête > > : le v4 c'est déjà en place et maîtrisé ;) > > Et en v6, tu peux mettre en place la même infra, juste le NAT en moins > (mais garder le firewall bien sûr). Il te faut un subnet séparé > pour ton infra, bien sûr, tout comme tu as déjà un subnet séparé > RFC1918. Je ne vois aucune difficulté de réflexion. > Pour le contexte vis-à-vis de l'existant : [ router ] pub | [ FW ] pub + 1918 | [ lb ] 1918 | [ web ] 1918 Ici router et FW sont dans la même /27, et sont les seuls à avoir des IPs publiques. LB et web ont des IPs RFC1918. Gardez bien en tête qu'il faut composer avec l'existant. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
