2015-06-26 13:29 GMT+02:00 Samuel Thibault <samuel.thiba...@ens-lyon.org>:
> Damien Fleuriot, le Fri 26 Jun 2015 13:05:43 +0200, a écrit : > > Parce que pour que le firewall fasse office de point de coupure, encore > > faut-il que les bécannes qui sont derrière ne soient joignables que via > ce > > dernier ? > > > > Router : 2001::1 > > FW : 2001::2 > > > > Web1 : 2001::a > > Web2 : 2001::b > > Ah mais tu veux dire que ton réseau Web1/Web2 est branché directement > sur le routeur, et que c'est juste par chance que le trafic, en v4, > passe par ton Firewall ? Ben c'est effectivement là qu'est le problème, > mais c'est un problème de réseau de base, pas de v6 (ou plutôt, c'est > vraiment très artificiel que NAT te "corrige" le problème). > > > À moins de subnetter, 2001::a est joignable directement via 2001::1 , le > > firewall n'agit pas en point de coupure. > > Heu, ben bien sûr qu'il faut que tu aies des sous-réseaux différents > entre ce qui est devant ton firewall et ce qui est derrière. Rien de > nouveau, c'est comme avec le NAT, sauf qu'il n'y a pas de NAT, juste un > firewall. > > > Personnellement ça me semble assez chiant à mettre en place (on en > revient > > au rapport pénibilité-bénéfice d'ipv6 du coup). > > Je ne vois pas en quoi c'est plus pénible que ce que tu as déjà en > v4. > Non c'est pas par chance, c'est fait pour, c'est le NAT et le mécanisme de reverse-proxy qui assurent ça. En gros ici, on n'a pas de réseau routé par les firewalls. Ils accueillent une /27 et soit ils NAT, soit ils forward les paquets aux reverse-proxies qui ont des IPs RFC1918. Concernant le fait que ce soit plus ou moins pénible que du v4, c'est tout bête : le v4 c'est déjà en place et maîtrisé ;) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/