On Fri, Mar 8, 2019, at 00:23, Florent H. CARRÉ (COLUNDRUM) wrote: > À l'heure actuelle, le passage en full IPv6 est actuellement bloqué de > mon côté parce qu'on perdrait l'avantage d'avoir un firewall d'étage, > un firewall global de site …
N'importe quoi. Deployer du v6 (v6-only ou dual-stack, peu importe) ne t'emepeche pas d'avoir un firewall. Ou plusieurs firewalls. Cote securite, c'est meme reccomande a un certain moment. > Les serveurs sont tous en automatisation extrême : on a un Ansible AWX > qui tourne avec des jobs qui sont exécutés toutes les 5/10/30 minutes > suivant ce que les jobs font afin d'avoir constamment un parc conforme > aux attentes notamment pour les règles firewall (inclus dans un job > tournant toutes les 5 minutes). Et ? C'est ou le probleme ? > Mais que faire pour les postes clients/utilisateurs ? On a de tout et > c'est bien le problème sans oublier le BYOD. > > On doit mettre du firewall de partout et c'est le problème de ne plus > avoir de firewall global … > > On fait un SSID spécial BYOD mais comment éviter de supprimer l'IPv6 > dans ce cas ? Tu segmentes. Tu mets pas tout le monde dans le meme broadcast domain. C'est une bonne pratique meme en v4-only. Francehement, j'ai du mal a voir le probleme. > Je pense que c'est : > - le manque de volonté de certains tech Ca, malhereusement, oui. > - le manque de doc, tests, retours d'expériences Le retour d'experience existe, mais on va juste dire qu'il ne se trouve pas la ou il est necessaire. > - la vision NAT que l'on avait en IPv4 No comment. Mai ca c'est un des premiers choses qu'il faut arreter. Meme en v4, c'est pas l'etat naturel des choses. > Mais on a des lacunes et même personnellement (je l'avoue me > concernant, je suis loin d'être parfait), on n'arrive pas à basculer > les firewalls IPv4 en IPv6 parce qu'il n'y a plus de point central et > on ne peux assurer un filtrage de la même qualité que l'actuel en IPv6. Encore une fois j'ai du mal a comprendre. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/