Le 1 juil. 2011 à 13:30, Mathieu Goessens a écrit : > > On Fri, 01 Jul 2011 09:53:49 +0200, Raphaël Jacquot <sxp...@sxpert.org> wrote: >> j'ai un peu de mal a voir ce que ce genre de bricolages apporte par >> rapport a du routage entre les 2 sous réseaux. > > Fallait lire le RFC ou l'article de Stéphane :-) > > Cela peut permettre de faire du multihoming du pauvre, d'avoir un réseau avec > un adressage privé (ULA) en interne et un adressage publique en externe que > l'on change très facilement, typiquement, si on change d'ISP, ou à la volée > si on fait du policy routing. > > Ainsi tu peux avoir: > > Réseau +------------- ISP1 2001:0db8:1::/64 > Interne ------[ Routeur + NAT66 ]---+ > fdxx:xx... +------------- ISP2 2001:0db8:2::/64 >
oui, c'est ce qui me semble très positif dans cette RFC 6296 : on peut faire du multi-homing sans avoir besoin de BGP et/ou d'adresses PI. Reste plus qu'à trouver un CPE pas trop cher ou un linux implémentant ce RFC. Plus que 2-3 ans à attendre :-( >> j'y vois au moins trois inconvénients >> >> * ca casse la transparence de bout en bout >> * ca bouffe éminemment plus de ressources dans le CPE >> * ca ne sécurise pas mieux que le NAT en v4 > > * Ça ne casse pas la transparence de bout en bout, sauf pour les protocoles > qui embarques l'adresse IP (SIP, FTP..) > * Ça ne bouffe quasiment pas de ressource. Pas d'état sur le CPE. Juste un > préfixe à recalculer (ou un checksum si on veut avoir PRFX1::1 <> PRFX2::1 > mais cela diverge du RFC). > * Ça n'a pas pour but d'apporter de la sécu. Oui, c'est une très bonne idée de ne pas appeler ça NAT66 mais NPT car il s'agit bien que d'une moitié du problème (l'adressage), l'autre moitié étant évidement un firewall statfull permettant d'implémenter une sécurité de base (genre je laisse tout sortir et j'empeche de rentrer tout trafic n'ayant pas été initié depuis l'intérieur). Pour ce qui est des protocoles nécessitant un ALG, on sait depuis bientôt 20 ans qu'ils sont défaillants par conception et qu'il serait temps de les rendre obsolètes. A propos, qu'en est-il de ftp sur ipv6 : le mode actif est-il supporté ? A+ -- Alain RICHARD <mailto:alain.rich...@equation.fr> EQUATION SA <http://www.equation.fr/> Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 Applications client/serveur, ingénierie réseau et Linux
