Le 09/06/2020 à 13:52, fabrice prigent a écrit :
Le 09/06/2020 à 09:49, Ducassou Laurent a écrit :
Hello collègue d'université ! :)
Hello :-),
Déjà une première question me brule aux lèvres, IPv4 ou IPv6 ? Hélas
je pense connaitre la réponse vu la question :/
Pessimisme (et priorités) oblige, l'IPV6 n'est pas géré du tout
chez nous.
C'est étrange, j'ai le même son de écho d'église par chez nous dès que
IP est suivi de "v6" ;)
Il faut savoir que Free pour ces accès pour contourné le problème de
limitation en IPv4 utilise massivement le CG-NAT comme aucun autre
opérateur en France à ce jour. Tu peux donc sur une seule IPv4 fixe
te retrouver avec 4 "box" (donc encore plus de client potentiellement
!) sauf si le client à clairement demandé une IPv4 dédié définitive
par son espace web. Tu te retrouve donc avec un routeur
client/Freebox qui va "ouvrir" une instance vers ton port 80 depuis
un port "haut" mais le CG-NAT qui peut rabaisser ce port entre
1-16000/16000-32000/32000-48000/48000-64000 (et des poussières) -si
on considère 4 box par IPv4- de façon totalement random.
Effectivement, cela ressemble beaucoup à ce que l'on voit chez
nous mais avec, apparemment, le fait que l'IP peut, d'un jour à
l'autre, changer de plage.
[...]
C'est totalement "normal". Le CG-NAT de Free à un pool et l'IP externe
d'un client peut changer après 24h ou plus ou loto... (j'en sais quelque
chose pour être chez eux... J'ai opté pour l'option "ip fixe").
Hélas, pas 50 solutions, autoriser les "ports bas vers bas" et
configuré un IDS (pas firewall car disons le : chaqu'un son taff !)
pour détecter les vrai scan-port car le CG-NAT tu va en avoir de par
Free mais aussi d'autres opérateurs et PAS QUE Francais (je dis
coucou Erasmus et aux autres étudiants dans des pays encore moins
bien lotis en IPv4).
Nous avons une infra qui arrive déjà à gérer ces scan, mais bon,
c'était pratique de ne pas avoir à analyser ces tentatives
"simplistes" de scan. Je crains que l'option "accepter les ports bas"
soit la seule réellement disponible.
Hélas "oui", c'est la seul solution. Après coté IDS, Snort que
j'utilisais en admin serv était très bon pour envoyer dans les roses
automatiquement les scan que çà soit sur du
Web/ssh/ftp/CounterStrike/WoW *sifflote*
Mais sinon, oui, moins vous filtrerez, moins vous aurez de problème du
genre (je suis pas sur que chez nous les collègues fassent mieux j'admets)
J'espère que ça t'aidera ce petit retour d'expérience.
Laurent
PS : Vive le rugby et les chocolatines ! :)
Aïe, nous risquons de réveiller la team "pain au chocolat". Renvoi
au 22. On se prépare...
Oui mais dans notre team on peux compter sur le Japon et le Canada en
renfort pour transformer ! ;)
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/