Le 13/11/2020 à 01:26, Kirth Gersen a écrit :
Hello
Le filtrage par adresse n'est peut-être pas la bonne solution (et n'a
jamais été trop une bonne solution pour un LAN).
Pour moi le filtrage n'est qu'un aspect du problème.
Par exemple, comme beaucoup je suis confronté à la situation "classique"
même en entreprise (PME/TPE) d'une box opérateur en frontal placé en
amont d'un routeur d'entreprise.
Bien sur, chez 3 des 4 opérateurs en France, dont celui à couleur, le
mode bridge existe pas même sur la version pro. Du coup en IPv4 on se
débrouille avec la DMZ - ca fait du double nat, c'est pas génial et il y
a des limitations mais ça marche (Pas question de prendre le risque de
bypasser la box opérateur, au risque de devoir, en urgence, refaire le
tour des clients au prochain changement non annoncé du protocole
d'authentification non standard agrumesque).
Par contre en IPv6, si c'est du DHCPv6-PD coté WAN, coté LAN on a que du
SLAAC. Et le SLAAC , tel quel, ça passe pas les routeurs.
Conclusion: Ben dans cette situation, somme toute classique, ben pas
d'IPv6 sur le LAN des clients.
=> Si vous avez une méthode pour faire une sorte de transparent-proxy ou
autre , je serais intéressé. J'ai réussi parfois des bidouilles à base
de ebtables, mais j'en suis pas fier.
Au final, moi ce que j'ai l'impression, c'est que pour IPv6 il y a UN
cas d'usage prévu, si t'en sorts c'est nettement plus pénible qu'IPv4
(même si , OK, la raison est qu'on a tordu IPv4 pour arriver à faire ce
qu'on veux).
Et même si le comportement des FAI avec le refus absolu du mode bridge
sur les routeurs GP / pro n'y est pas pour rien.
Julien
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
