2015-06-26 12:49 GMT+02:00 Raphael Mazelier <r...@futomaki.net>: > > > Le 26/06/15 12:40, Damien Fleuriot a écrit : > >> Je trouve ça très réducteur, le propos sur le NAT. >> >> Avoir des machines en full IPv6 routable, c'est les exposer sur le net, et >> devoir les firewaller une par une. >> C'est chiant à maintenir, très chiant. >> >> Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en >> coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles >> doit être maintenu. >> >> >> Je peux me tromper, vous avez peut-être des solutions alternatives, mais >> en >> ce qui me concerne des machines avec des IPv6 directement exposées sans >> NAT/RP c'est un accident qui attend d'arriver. >> >> > Comme déjà évoqué, rien ne t’empêche de réserver une plage ipv6 que tu > n'annonce pas dans la DFZ ou que tu drop en entrée de tes routeurs de > bordure. > > Le Nat n'a jamais été conçu pour être un mécanisme de sécurité. Cela a > crée un semblant de sécurité du fait des architectures mise en place pour > contourner le manque d'ipv4. L'architecture courante étant tout les > serveurs en rcf1918 derrière un firewall, ip publiques portés par le > firewall et nat sélectif. Une architecture qui marche jusqu’à un certain > point.
Une approche qui se défend, mais à ce compte là est-ce qu'il y a vraiment un intérêt à utiliser des IPv6 sur ses serveurs de backend ? Dans ce genre de scénario, si je comprends bien, tu dois toujours avoir un équipement qui fait office de reverse proxy (qui lui est annoncé et joignable). Cet équipement pourrait tout aussi bien continuer à parler aux backends en v4, limitant les modifications d'infra. On en arrive à un stade hybride où l'équipement doit pouvoir parler en v4 et en v6, mais de toutes façons on sera bien obligés de conserver la compatibilité v4 "temporairement" le temps de la transition. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
