Salut,
Vu qu'une liaison fai, un loueur de serveur, ... ne sont pas sensé
te donner moins que /64 c'est que tu as forcément à faire à une
seule et même entité.
Je plussoie sur ce point. Le minimum à bloquer est le /64. C'est le
plus grand préfixe pour lequel on puisse supposer qu'il est géré par
une entité administrative unique. Si un administrateur réseau ne sait
pas contrôler ce qu'il se passe sur son réseau, c'est son problème.
On peut même dire que l'on met généralement un /64 IPv6 là où en IPv4
on met une adresse IPv4 unique (connexion résidentielle NATée par
exemple). Certains opérateurs attribuent des plus petits préfixes
(/127 pour l'interco ou des liaisons point-à-point), dans ce cas ce
sont des préfixes qui n'auraient jamais dû se retrouver dans les
internets. Bloquer au /128 reviendrait à flooder son propre parefeu
et on va pouvoir transformer un simple bruteforce SSH en une
magnifique attaque DoS à moindre coût.
Je vais me faire l'avocat du diable en tant que LIR.
Pour avoir du SLAAC un /64 est obligatoire. Mais dans le cas d'une IP
fixe traditionnelle tu peux te mettre un /128 (type routage anycast)
voire du /127 cas de liaison PtP :)
Et c'est pas parce que on utilise des /128 ou /127 (en ipv6) qu'ils vont
se trouver dans les internets (sic). Regarde ce qu'il se fait
avec l'ipv4...
Donc un /64 n'est pas le plus grand prefixe que peux avoir dans un
réseau.
Et on parlais de RBL donc de protection "logicielle".... Pas de
protection firewall.... (en passant il y a des firewalls qui se
demerdent bien avec /128 en ACL...).
Xavier
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
