Le 26/06/2023 à 18:50, Léo El Amri via frnog a écrit :
On 26/06/2023 18:32, Laurent Barme wrote:
…
Il ne me semble pas déraisonnable de bloquer des /64 (ou /56 voir /48 si on
est vraiment pas content). Par contre je ne vois pas où est le danger. Si
c'est une question de taille de table de blocage, tu ne peux de toute façon
pas bloquer moins qu'un /64 dans un bloc IPv6, entre autre en raison du point
suivant (les extensions de "vie privée" IPv6).
2^64 > 2^32 ; même en bloquant par /64, ça en fait potentiellement un peu plus
quand même question taille de table de blocage.
Pour ce qui concerne la menace que je perçois pour la vie privée c'est lié à
l'identification plus précise de l'utilisateur dont le poste n'est pas (un
peu) masqué par une IP publique partagée.
Il me semble que jusqu'à très très récemment, la plupart des équipements dans
une "maison" étaient tous derrière une unique IPv4 publique. Et je ne vois pas
en quoi les extensions de vie privée de l'IPv6 (pour le SLAAC), qui émulent
plus ou moins le même niveau de """protection""" que le type de NAT IPv4
sus-mentionné, ne répondent pas au besoin. On peut certes mieux identifier une
machine sur une session donnée, mais, pour Windows en tous cas, au prochain
redémarrage l'adresse IPv6 aura changé. Je ne pense pas qu'on puisse faire
mieux au niveau de la couche IP.
Tu as raison mais la ré-attribution d'une IPv6 par poste ça peut être désactivé,
le NAT non. De plus, si entre deux redémarrage sous Windows, l'IPv6 reste
constante alors, le port du NAT change à chaque nouvelle requête.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
