Salut, Une des mis-conceptions communes, y compris sur cette liste, c'est qu'un ALG read-only dispose d'une complexité équivalente à un ALG read-write
Dans le cadre du NAT, l'alg n'est pas passif, ce n'est pas anodin Dire qu'un nat n'est pas tellement pire qu'un pare-feu à état, donc, c'est peu sérieux. Quant aux avantages du nat, on les cherche encore. Je vais te raconter une histoire C'est l'idée d'un monde en IPv4, avec des dizaines de milliards de devices pour seulement 4 milliards d'adresses théorique Dans ce monde fabuleux vit Christian. Christian dispose d'une société de vente de béton. Il héberge un serveur FTP, utilisé par des gens pour échanger des données. Considérant l'absence inéluctable de terminaison bout en bout, Christian met en place un NAT. Christian vit dans un monde de merde. Pour diverses raisons, Christian dispose de plusieurs connexions internet, chacune ayant sa propre adresse globalement unique. Problème: Christian travaille avec des gens qui ne sont pas suffisamment évolués pour gérer deux adresses pour un même service : il faut une adresse unique ! Du coup, Christian met en place un proxy, dans un environnement au taux de disponibilité nettement supérieur à ses locaux Tu vois le problème ? Au niveau du ftpd, tu spécifies l'adresse du proxy, que les clients vont utiliser. Et ensuite, le NAT va modifier la couche 7, virer l'IP du proxy pour mettre son IP de brin, et torcher l'ensemble de la chaine. Pour le reste de cet échange hautement constructif, il me semble que c'est une question de philosophie plus que de technique L'éducation des enfants prouve qu'exempter constamment un individu des conséquences de ses (in)actions est délétère pour ce dernier : le fait d'être naturellement puni pour ce qu'il a fait permet à chacun de prendre conscience (et de prendre au sérieux) le sujet, et d'y être donc attentif M'enfin ________________________________________ De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> de la part de Michel Py <mic...@arneill-py.sacramento.ca.us> Envoyé : mardi 9 février 2021 22:00:56 À : Erwan David; frnog@frnog.org Objet : RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent Mail externe : n'ouvrez pas de lien ou de pièce jointe si vous ne connaissez pas l'expéditeur > Erwan David a écrit : > Bah pour ceux qui veulent absolument du NAT on dit qu'on fait un NAT qui > laisse adresse et port inchangés. Ça s'appelle un firewall stateful D'ailleurs c'est la moitié de la raison pour laquelle NAT n'a pas disparu : qu'est-ce qu'on met à la place de NAT : un pare-feu a état. Les deux ennuis majeurs avec NAT, c'est : - La réécriture de l'adresse et du port. - L'état. L'état, c'est pernicieux. Non seulement c'est complexe, des fois il y a des fuites de mémoire, en plus de le maintenir il faut aussi le synchroniser quand on est en HA, et il y a les ALG. Une des mis-conceptions communes, y compris sur cette liste, c'est que si on ne réécrit pas l'adresse ou le port, il n'y a pas besoin d'ALG. C'est faux : même si le protocole ne met pas l'adresse IP _et_ dans l'entête _et_ à l'intérieur du paquet, il y a d'autres cas ou l'ALG est nécessaire pour ouvrir les trous dans le pare-feu, les classiques étant SIP, PPTP, FTP, etc : dès qu'il y a un état, tout ce qui utilise plus qu'un port ou plus d'un protocole nécessite un ALG. Les protocoles qui ont du mal à traverser NAT ont généralement les mêmes problèmes à traverser les pare-feu a état. NAT ce n'est pas tellement pire qu'un pare-feu a état donc, à tant qu'en avoir presque tous les ennuis, autant en avoir aussi les avantages, ce qui explique son succès. > et ça marche très bien. Il y en aura pour te dire que ça marche très mal ;-) > Xavier Beaudouin a écrit : > Heu... T'as vu bcp de choses IOT en IPv6 ? Moi rien... C'est pas demain la veille que dual-stack va disparaitre. Il n'y a pas qu'IOT qui comporte des risques, même avec Windows c'est pas glop. Je reconnais que M$ a fait des progrès, mais il reste encore un problème énorme : quand le PC demande à Claude Michu si le réseau c'est "public", "maison" ou "bureau" (je devine la traduction), elle va de bonne foi répondre "maison", et là ça ouvre plein de trucs qui ne seraient pas ouverts si c'était "public". Au passage, c'est une des raisons pour lesquelles on désactive IPv6 : quand Claude Michu branche son portable à la maison avec Free comme FAI, elle ne se retrouve pas à poil sur l'Internet. > Et même quand j'essaye d'en faire avec des ESP12-F / ESP32, la dual stack v6 > est quasi inexistante. C'est la partie "quasi" qui me fait peur : pire que "pas du tout" :-( Raspberry Pi zero w? 10 balles pièce. https://www.raspberrypi.org/products/raspberry-pi-zero-w/ J'ai pas encore essayé (la version zero), mais sur le papier c'est sympa. Vrai OS, vraie pile réseau. > Alors le bidule IOT chez X ou Y vendu dans une belle boite avec option je te > tiens par les > couilles dans un n-ieme cloud, clairement ils ont pas activé l'option sur > leur IDE Arduino.... Ni carotte, ni bâton. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
