2015-06-26 14:38 GMT+02:00 Radu-Adrian Feurdean < fr...@radu-adrian.feurdean.net>:
> On Fri, Jun 26, 2015, at 12:40, Damien Fleuriot wrote: > > Avoir des machines en full IPv6 routable, c'est les exposer sur le net, > > et devoir les firewaller une par une. > > Non et NON et *NON* ! > > > Avoir du NAT (ou des reverse proxies), ça permet de coller un firewall en > > coupure, seul à avoir une IP routable, seul sur lequel un jeu de règles > > doit être maintenu. > > Tu n'a pas besoin de NAT pour mettre un firewall en coupure. > Et de memoire sur les firewalls tu peux quand-meme utilises de subnets, > pas seulement des hosts (en v4 comme en v6 - modulo qu'en v6 utiliser > des hosts seuls c'est rarement utile). > > > Je peux me tromper > > C'est bien le cas ici. > > > ce qui me concerne des machines avec des IPv6 directement exposées sans > > NAT/RP c'est un accident qui attend d'arriver. > > Rien ne t'empeche de : > - ne pas exposer directement des machines ayant une v6 "globale" (*). > comme deja preise, tu peux mettre un firewall devant. > - mettre un RP (en v6) devant des machines toujours en v6 > > (*) Faut commencer a assimiler la difference entre une adresse > "publique" et une adresse "globalement unique". Une adresse "globalement > unique" est *generalement* publique, mais ce n'est pas du tout > obligatoire. > J'entends bien, mais aujourd'hui, pour des raisons qui me sont antérieures, il n'y a aucun subnet routé par les FW. Ils assurent le NAT et le RP en v4, mais ils ne routent pas de networks. Du coup, passer en v6, c'est : - des changements d'infra - des risques (erreurs d'implémentation, de manipulation pour le changement, failles de sécu en v6 (rtadv bonsoir) ) - beaucoup de travail pour finalement pas grand chose (et on en revient toujours au même problème avec l'ipv6 -.- ) Faudra bien qu'on le fasse un jour hein, mais pour le moment le management n'y voit aucun intérêt, et honnêtement côté technique non plus; que de l'inconvénient. En tout cas, je prends bonne note de la solution privilégiée de router des subnets via les FW, même si c'est très différent de notre fonctionnement d'ajd :) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/