> Erwan David a écrit : > Bah pour ceux qui veulent absolument du NAT on dit qu'on fait un NAT qui > laisse adresse et port inchangés. Ça s'appelle un firewall stateful
D'ailleurs c'est la moitié de la raison pour laquelle NAT n'a pas disparu : qu'est-ce qu'on met à la place de NAT : un pare-feu a état. Les deux ennuis majeurs avec NAT, c'est : - La réécriture de l'adresse et du port. - L'état. L'état, c'est pernicieux. Non seulement c'est complexe, des fois il y a des fuites de mémoire, en plus de le maintenir il faut aussi le synchroniser quand on est en HA, et il y a les ALG. Une des mis-conceptions communes, y compris sur cette liste, c'est que si on ne réécrit pas l'adresse ou le port, il n'y a pas besoin d'ALG. C'est faux : même si le protocole ne met pas l'adresse IP _et_ dans l'entête _et_ à l'intérieur du paquet, il y a d'autres cas ou l'ALG est nécessaire pour ouvrir les trous dans le pare-feu, les classiques étant SIP, PPTP, FTP, etc : dès qu'il y a un état, tout ce qui utilise plus qu'un port ou plus d'un protocole nécessite un ALG. Les protocoles qui ont du mal à traverser NAT ont généralement les mêmes problèmes à traverser les pare-feu a état. NAT ce n'est pas tellement pire qu'un pare-feu a état donc, à tant qu'en avoir presque tous les ennuis, autant en avoir aussi les avantages, ce qui explique son succès. > et ça marche très bien. Il y en aura pour te dire que ça marche très mal ;-) > Xavier Beaudouin a écrit : > Heu... T'as vu bcp de choses IOT en IPv6 ? Moi rien... C'est pas demain la veille que dual-stack va disparaitre. Il n'y a pas qu'IOT qui comporte des risques, même avec Windows c'est pas glop. Je reconnais que M$ a fait des progrès, mais il reste encore un problème énorme : quand le PC demande à Claude Michu si le réseau c'est "public", "maison" ou "bureau" (je devine la traduction), elle va de bonne foi répondre "maison", et là ça ouvre plein de trucs qui ne seraient pas ouverts si c'était "public". Au passage, c'est une des raisons pour lesquelles on désactive IPv6 : quand Claude Michu branche son portable à la maison avec Free comme FAI, elle ne se retrouve pas à poil sur l'Internet. > Et même quand j'essaye d'en faire avec des ESP12-F / ESP32, la dual stack v6 > est quasi inexistante. C'est la partie "quasi" qui me fait peur : pire que "pas du tout" :-( Raspberry Pi zero w? 10 balles pièce. https://www.raspberrypi.org/products/raspberry-pi-zero-w/ J'ai pas encore essayé (la version zero), mais sur le papier c'est sympa. Vrai OS, vraie pile réseau. > Alors le bidule IOT chez X ou Y vendu dans une belle boite avec option je te > tiens par les > couilles dans un n-ieme cloud, clairement ils ont pas activé l'option sur > leur IDE Arduino.... Ni carotte, ni bâton. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
