[En résumé] le nat c'est une chienlit, avoir une ip publique c'est mieux, mais "cay pas sécurisay" [/En résumé]
> Je me demande si ton raisonnement n'est pas ici un poil naïf. > > Tu pars du principe que dans un monde sans NAT, le pare-feu d'une box > resterait > une passoire mais personne ne sait si ce serait vraiment le cas. A l'heure > actuelle, vu que le NAT permet une sécurité basique, effectivement, les box > opérateurs ont des pare-feu rudimentaires mais rien ne permets d'affirmer que > ça aurait été le cas sans NAT en fait. > > Les FAI GP ne pouvant pas compter sur le NAT et ne souhaitant pas que leur > client soit à poil sur le net auraient peut-être tenter plus des choses niveau > sécurité. Je suis peut-être candide en penssant ça, je l'avoue mais ton > raisonnement me paraît un brin simplificateur. Alors je ne sais pas si Michel ou toi est un poil naïf. Chacun sait que le Nat fait office de diode, qui permet d'exposer uniquement ce qui nécessaire d'exposer sur l'internet des méchants. (Je ne parle pas cette saloperie d'UPNP qui a été ultra utilisé par les botnet et autres trucs pour justement bypasser cette "protection"). Mais dans l'exemple on a oublié ce qui se fait déjà en IPv6 sans cette saloperie de NAT, et sincèrement, j'espère que je ne verrai pas de NAT v6 avant qu'on me mette entre 4 planches. Sur les FAI grand public et mobiles on a souvent une IPv6 global unicast, mais... il y a un équipement : la machin box ou un routeur core, qui fait JUSTEMENT la même chose que le NAT : un firewall statefull. L'un des grands avantages de ce genre de choses c'est que par exemple mon préfixe v6 qui m'as été donné par mon ISP ne change pas (coucou a certains ISP qui n'ont pas compris que de changer de préfixe IPv6 tous les 24h fait que les gens DÉSACTIVENT l'IPv6 chez eux), je peux donc donner UNE ipv6 correspondant à UNE machine chez moi pour accéder a un certain service (moyennant que l'user ai mis une ipv6 fixe a sa machine). Donc entre du NAT et un firewall statefull y a aucune différence à part la réécriture de source. Donc non le NAT n'apporte pas de fonctionalités supplémentaire et n'importe que ARM avec 4Mo de RAM est capable de faire ce truc de base. Donc l'argument les FAI feraient autre chose n'est pas valable. Xavier --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
