Bonsoir la liste, Je vous lis depuis le début du thread et finalement je me lance … Avant tout, je ne cherche pas à me faire l'avocat du diable ou encore troller, je vais simplement être sincère. De plus, je suis du côté corporate non opérateur.
D'avance, je m'excuse si je fais du hors sujet mais tout cela concerne l'IPv6 et le firewall. À l'heure actuelle, le passage en full IPv6 est actuellement bloqué de mon côté parce qu'on perdrait l'avantage d'avoir un firewall d'étage, un firewall global de site … On filtre à fond et surtout on est des anti-upnp. (On a même prévu de basculer sur freeDiameter à la place de freeRadius, on est à fond sur le TLS & co (U2F…) en ce moment même en interne). Les serveurs sont tous en automatisation extrême : on a un Ansible AWX qui tourne avec des jobs qui sont exécutés toutes les 5/10/30 minutes suivant ce que les jobs font afin d'avoir constamment un parc conforme aux attentes notamment pour les règles firewall (inclus dans un job tournant toutes les 5 minutes). C'est extrême mais au moins, on arrive à dormir sur nos 2 oreilles sur ce point. Mais que faire pour les postes clients/utilisateurs ? On a de tout et c'est bien le problème sans oublier le BYOD. On doit mettre du firewall de partout et c'est le problème de ne plus avoir de firewall global … On fait un SSID spécial BYOD mais comment éviter de supprimer l'IPv6 dans ce cas ? Ayons une vision IPv6 first et qu'on ne puisse le désactiver, c'est notre état d'esprit, on préférerait supprimer l'IPv4 du LAN. Je pense que c'est : - le manque de volonté de certains tech - le manque de doc, tests, retours d'expériences - la vision NAT que l'on avait en IPv4 - l'intérêt général que l'on ne considère pas - les possibilités offertes par le volume d'IPv6 qui ne sont regardées avec attention qui va faire encore perdre des années avant que l'on ait de l'IPv6 de partout et surtout correctement. On a dans les cartons le fait d'attribuer des IPv6 dédiés par site web (pourquoi la landing et le serveur d'API devrait utiliser la même IP publique ?), par service (une pour le ssh admin, une pour le backup) et bien d'autres … avec notamment du local only et de l'ouvert vers internet suivant les cas. Seulement les bastions ssh, les serveurs web et autres nécessaires seraient disponible sur internet tandis que les restants seraient exclusivement en local only. Mais on a des lacunes et même personnellement (je l'avoue me concernant, je suis loin d'être parfait), on n'arrive pas à basculer les firewalls IPv4 en IPv6 parce qu'il n'y a plus de point central et on ne peux assurer un filtrage de la même qualité que l'actuel en IPv6. Alors je n'ai peut-être pas mis la main sur la bonne doc (ainsi que les autres personnes qui sont avec moi) et sincèrement mea culpa me concernant. Peut-être que je suis l'un de ceux qui ne veut pas rester dans l'ombre, ose le dire, cherche des solutions (ne plus trop penser NAT notamment) et espère qu'un jour, on soit en IPv6 only (LAN et WAN). Je ne lance pas une bouteille à la mer mais je dois admettre que personnellement, je suis preneur de retours d'expériences et même d'échange pour mettre en place (migration) une dual-stack la plus efficiente et surtout open source (pas de black box sinon j'aurais déjà toqué à la porte de C....P....). N'y aurait-il pas un moyen de faire une sorte de référentiel (BCP book) signé FRnOG sur le sujet ? J'espère pouvoir voir de l'IPv6 only à travers le monde mais déjà réussissons à le faire chez nous et si possible en utilisant des outils open source (nftables, pf et iptables pour ne citer qu'eux) ainsi que l'intelligence collective. Bonne nuit à tous Florent Sent from my smartphone --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
