> C'est totalement "normal". Le CG-NAT de Free à un pool et l'IP externe > d'un client peut changer après 24h ou plus ou loto... (j'en sais quelque > chose pour être chez eux... J'ai opté pour l'option "ip fixe").
Ce n'est pas vraiment "normal" car le CG-NAT de Free est différent des autres CG-NAT. Il utilise 4rd (rfc7600) donc c'est un système 'stateless': l'IPv4 public partagée par 4 clients ne change jamais, elle est dérivée des préfixes IPv6 attribués aux clients. Il n'y a pas de pool dans lequel on pioche au hasard une IPv4. Le mar. 9 juin 2020 à 16:09, Ducassou Laurent <str...@spaceshell.fr> a écrit : > Le 09/06/2020 à 13:52, fabrice prigent a écrit : > > Le 09/06/2020 à 09:49, Ducassou Laurent a écrit : > >> Hello collègue d'université ! :) > > Hello :-), > >> Déjà une première question me brule aux lèvres, IPv4 ou IPv6 ? Hélas > >> je pense connaitre la réponse vu la question :/ > > Pessimisme (et priorités) oblige, l'IPV6 n'est pas géré du tout > > chez nous. > > C'est étrange, j'ai le même son de écho d'église par chez nous dès que > IP est suivi de "v6" ;) > > > >> Il faut savoir que Free pour ces accès pour contourné le problème de > >> limitation en IPv4 utilise massivement le CG-NAT comme aucun autre > >> opérateur en France à ce jour. Tu peux donc sur une seule IPv4 fixe > >> te retrouver avec 4 "box" (donc encore plus de client potentiellement > >> !) sauf si le client à clairement demandé une IPv4 dédié définitive > >> par son espace web. Tu te retrouve donc avec un routeur > >> client/Freebox qui va "ouvrir" une instance vers ton port 80 depuis > >> un port "haut" mais le CG-NAT qui peut rabaisser ce port entre > >> 1-16000/16000-32000/32000-48000/48000-64000 (et des poussières) -si > >> on considère 4 box par IPv4- de façon totalement random. > > > > Effectivement, cela ressemble beaucoup à ce que l'on voit chez > > nous mais avec, apparemment, le fait que l'IP peut, d'un jour à > > l'autre, changer de plage. > > > > [...] > > C'est totalement "normal". Le CG-NAT de Free à un pool et l'IP externe > d'un client peut changer après 24h ou plus ou loto... (j'en sais quelque > chose pour être chez eux... J'ai opté pour l'option "ip fixe"). > > > > > >> Hélas, pas 50 solutions, autoriser les "ports bas vers bas" et > >> configuré un IDS (pas firewall car disons le : chaqu'un son taff !) > >> pour détecter les vrai scan-port car le CG-NAT tu va en avoir de par > >> Free mais aussi d'autres opérateurs et PAS QUE Francais (je dis > >> coucou Erasmus et aux autres étudiants dans des pays encore moins > >> bien lotis en IPv4). > > Nous avons une infra qui arrive déjà à gérer ces scan, mais bon, > > c'était pratique de ne pas avoir à analyser ces tentatives > > "simplistes" de scan. Je crains que l'option "accepter les ports bas" > > soit la seule réellement disponible. > > Hélas "oui", c'est la seul solution. Après coté IDS, Snort que > j'utilisais en admin serv était très bon pour envoyer dans les roses > automatiquement les scan que çà soit sur du > Web/ssh/ftp/CounterStrike/WoW *sifflote* > > Mais sinon, oui, moins vous filtrerez, moins vous aurez de problème du > genre (je suis pas sur que chez nous les collègues fassent mieux j'admets) > > > >> J'espère que ça t'aidera ce petit retour d'expérience. > >> Laurent > >> PS : Vive le rugby et les chocolatines ! :) > > > > Aïe, nous risquons de réveiller la team "pain au chocolat". Renvoi > > au 22. On se prépare... > Oui mais dans notre team on peux compter sur le Japon et le Canada en > renfort pour transformer ! ;) > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
