Journal IPcalypse : J - 42

Posté par .
Tags : aucun
14
7
jan.
2011
Deux estimations :
http://ipv6.he.net/ ➟ J - 43
http://twitter.com/IPv4Countdown ➟ J - 41

Si on fait la moyenne ça fait 42 et puis comme c'est vendredi tout le monde il est content !

Pour les dernières nouvelles autour de l'IPv6 que j'ai pu croiser ces derniers jours, l'offre de Gandi est maintenant compatible IPv6 : quelques explications techniques. En fait c'est la seule mais faut dire que je n'ai pas beaucoup cherché non plus.

Pour enrichir le journal, on peut se demander dans combien de temps les offres des principaux FAI seront par défaut compatible avec IPv6 : une fois qu'aucune adresse ne sera allouable, quand Windows XP aura disparu du marché, quand les députés n'auront plus d'accès au réseau, quand les abonnements seront passés à 42 €, quand les gens en auront marre des NAT ?

Bonne journée
  • # Free, Nerim, FDN

    Posté par (page perso) . Évalué à 8.

    Proposent déjà ipv6,
    pour les autres FAI fainéants, il proposeront du nat ipv4 ... comme sur les mobiles ....
    • [^] # Re: Free, Nerim, FDN

      Posté par (page perso) . Évalué à -4.

      Remarque, sous XP, il te suffit d'aller dans les propriétés de la carte
      réseau, et d'ajouter un protocole : ipv6
    • [^] # Re: Free, Nerim, FDN

      Posté par (page perso) . Évalué à 4.

      Je pense que Nonolapero parlait uniquement des hébergeurs de machines dédiées, ce dont Nerim et FDN ne font pas partie.
    • [^] # Re: Free, Nerim, FDN

      Posté par . Évalué à 2.

      C'est bien d'avoir de l'IPv6 (oui, je suis jaloux ;) , mais quand on doit t'allouer aussi une IPv4 publique pour que ça fonctionne, ça ne change pas grand chose face à la pénurie d'addresse.
      Ou alors j'ai rien compris (ce qui est possible).
      • [^] # Re: Free, Nerim, FDN

        Posté par (page perso) . Évalué à 2.

        Ça permet d'accéder aux ordinateurs en IPv6 et à ceux en IPv4, ça permet de faire la transition. Si tout le monde avait une IPv6 avec sont IPv4, il n'y aurait pas de problème d'arriver à la pénurie d'IPv4, il suffirait simplement de retirer l'IPv4.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Free, Nerim, FDN

          Posté par (page perso) . Évalué à 4.

          Et à ce sujet, je suis entièrement d'accord avec Bernstein quand il appelle ça un "échec d'interopérabilité" : http://cr.yp.to/djbdns/ipv6mess.html !

          En effet il faut que le "moment magique" arrive, celui où on peut retirer IPv4, mais le problème c'est que les créateurs n'ont pas inclus IPv4 dans IPv6 et ont globalement rendu incompatible l'un avec l'autre. 10 ans après (2008), moins de 1% d'Internet utilisait IPv6 : https://docs.google.com/viewer?url=http://www.ietf.org/proce(...)

          Je trouve dommage d'avoir créer Internet 2 incompatible avec Internet. Je suis convaincu qu'IPv4 va rester nécessaire encore quelques années et qu'on devra maintenir les deux Internet en parallèle et switcher sur IPv6-only va signifier "se déconnecter d'Internet".

          "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

          • [^] # Re: Free, Nerim, FDN

            Posté par (page perso) . Évalué à 6.

            J'ai l'impression que les créateurs d'IPv6 se sont imaginé que tout le monde allait passer tout de suite à leur implémentation et donc qu'il n'y avait pas besoin de prévoir une compatibilité. Voire que permettre la compatibilité allait retarder l'adoption de certain au prix des performances/fonctionnalités.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Free, Nerim, FDN

            Posté par . Évalué à 0.

            C'est aussi dommage que les TGV n'ont pas été conçus pour fonctionner aussi avec du charbon.
            • [^] # Re: Free, Nerim, FDN

              Posté par . Évalué à 5.

              Au moins ils roulent sur des rails...
            • [^] # Re: Free, Nerim, FDN

              Posté par (page perso) . Évalué à 2.

              Sauf que le TGV peut rouler sur les même voie que les locomotives à vapeur. Dans le cas de l'IPv6, il faut changer les aiguillages et les gares.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: Free, Nerim, FDN

                Posté par . Évalué à 3.

                pas forcément.
                L'empattement des voies n'est pas forcément identique
                • [^] # Re: Free, Nerim, FDN

                  Posté par (page perso) . Évalué à 3.

                  En tout cas, en Belgique, les Thalys et les Eurostar roulent sur les même voix que les locomotives à vapeur empruntaient.

                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                • [^] # Re: Free, Nerim, FDN

                  Posté par . Évalué à 3.

                  En France, il l'est. C'est même tout l'intérêt de la chose par rapport aux technologies type lévitation magnétique ou aérotrain.
                  • [^] # Re: Free, Nerim, FDN

                    Posté par (page perso) . Évalué à 3.

                    Pas en Corse en tout cas (voie métrique).

                    Et puis, il faut que la voie soit électrique, ce qui est loin d'être le cas partout sur le continent.

                    Envoyé depuis mon lapin.

                    • [^] # Re: Free, Nerim, FDN

                      Posté par (page perso) . Évalué à 5.

                      En fin de compte IP, dans l'analogie présente, n'est pas les rails. Ethernet correspondrait plus à ça et comme pour les rails, il existe différentes normes et des méthodes pour adapter le trafic (les trains ont des moyens pour changer de boogie ou des adaptateurs pour utiliser d'autres écartements).
                      Ensuite le TGV est compatible avec le charbon, on peut produire de l'électricité dans des centrales à charbon.
                      Pour terminer je dirais que le rail est de niveau 2, l'avion aussi, la voiture, ... IP serait le billet qui nous permet de rejoindre une ville à l'autre sans spécifier le moyen de transport : un billet Berlin -> New York qui me permet de prendre le taxi jusqu'à Genève, le TGV jusqu'à Paris, le métro jusqu'à l'aéroport, l'avion jusqu'à New York. Un autre routage m'aurait permis de prendre l'avion directement de Berlin à New York.
                      À part ça je n'ai pas connaissance de l'existence d'un tel billet ...

                      "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

  • # Analyse de F-secure

    Posté par (page perso) . Évalué à 3.

    http://www.developpez.com/actu/26018/La-penurie-d-adresses-I(...)

    Grosso-modo, certains espèrent se faire du beurre avec la pénurie.

    (via http://sebsauvage.net/rhaa/)
    • [^] # Re: Analyse de F-secure

      Posté par . Évalué à 10.

      oh mon dieu, une ressource rare devient chère ?

      on pourrait pas retrouver ces 5 gus qui fabriquaient des ip dans un garage ? si ça se trouve on pourrait même les exporter et sauver notre économie !
  • # OVH

    Posté par (page perso) . Évalué à 5.

    Non, d'autres hébergeurs de machines dédiées ont déjà IPv6, notamment OVH.
    • [^] # Re: OVH

      Posté par (page perso) . Évalué à 3.

      et dedibox ...
    • [^] # Re: OVH

      Posté par . Évalué à 1.

      Voir mon message plus haut. Ça n'est pas la panacée et au final ça ne vaut pas un tunnel 6in4 auprès d'un fournisseur qui accorde une vraie importance à l'IPv6.

      De plus, OVH, n'est pas franchement un exemple pour ce qui est de l'utilisation économe et raisonnable des IPs...
  • # J - ??

    Posté par (page perso) . Évalué à 2.

    Ces estimations ne veulent plus rien dire, désormais. C'est juste "pour bientôt".

    Étant donné que la quantité d'adresses dont l'APNIC dispose actuellement ne leur permet pas de tenir 9 mois au rythme actuel, ce registre pourrait décider de terminer la partie n'importe quand (depuis plus d'un mois, en fait). En pratique, s'ils continuent leurs allocations en respectant le même seuil qu'avant, ça devrait se passer d'ici 20 à 40 jours environ, suivant leur humeur.

    Sur les sept /8 qui restent, c'est donc vraisemblablement l'APNIC qui va s'en allouer deux, les cinq dernières étant destinées à être réparties entre les cinq RIR.

    La suite du programme sera de voir combien de temps sera nécessaire pour vider les réserves des différents RIR, quels seront les fournisseurs qui proposeront les premiers l'IPv6 à leurs clients résidentiels (vous êtes gâtés, en France), etc.
    • [^] # Re: J - ??

      Posté par . Évalué à 3.

      J'ai peut-être faux mais il me semble avoir lu que du côté du RIPE, l'allocation d'une plage d'adresse IPv4 ne peut se faire que si le demandeur fourni une connectivité IPv6. C'est une façon de pousser les entreprises du secteur à se bouger un poil.
  • # Le bon lien pour 42

    Posté par (page perso) . Évalué à 3.

  • # Pas forcément la fin du NAT

    Posté par . Évalué à 7.

    Attention le déploiement de l'IPv6 ne signifie pas forcément la fin du NAT.

    Il y a plusieurs raisons pour vouloir garder un NAT en IPv6 :
    - éviter la renumérotation IP du réseau si changement de FAI (si on en dispose pas d'adresses "Provider Independant")
    - multi home (plusieurs FAI)

    Je conseille la lecture suivante [http://www.bortzmeyer.org/5902.html] qui explique beaucoup mieux que je ne le fais.

    Cordialement
    Basepam
    • [^] # Re: Pas forcément la fin du NAT

      Posté par . Évalué à -10.

      Enfin, le NAT est une fonction importante dans la sécurité des réseaux locaux.

      Elle empêche les tiers de connaitre ou deviner l'architecture des réseaux locaux.
      • [^] # Re: Pas forcément la fin du NAT

        Posté par . Évalué à 10.

        C'est de l'humour, j'espère?
        • [^] # Re: Pas forcément la fin du NAT

          Posté par (page perso) . Évalué à 3.

          Malheureusement c'est quelque chose que je lis souvent, y compris sur des sites où les participants sont sensés comprendre quelque chose aux réseaux.
          Bref la réponse habituelle, c'est qu'il suffit d'une passerelle qui refuse tout ce qui entre par défaut et on a le même effet de bord que le NAT, les problèmes en moins.

          DLFP >> PCInpact > Numerama >> LinuxFr.org

          • [^] # Re: Pas forcément la fin du NAT

            Posté par (page perso) . Évalué à 2.

            Que "sans que ça soit prévu pour" le NAT participe à la sécurité des machines coté 'LAN' n'est pas totalement faux. Il y a bien un effet pare-feux par le fait que les ports non NATés sont inaccessibles de l'extérieur et les autres sont normalement choisis pour une utilisation particulière et connue (qui n'empêche pas une intrusion ou une mauvaise utilisation).
            • [^] # Re: Pas forcément la fin du NAT

              Posté par (page perso) . Évalué à 3.

              Explique moi la différence avec une passerelle qui bloque les ports entrants?

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Pas forcément la fin du NAT

              Posté par (page perso) . Évalué à 3.

              C'est pas *faux*, c'est juste un effet de bord que tu peux reproduire autrement sans avoir les désavantages du NAT.

              DLFP >> PCInpact > Numerama >> LinuxFr.org

              • [^] # Re: Pas forcément la fin du NAT

                Posté par . Évalué à 2.

                C'est quoi que tu n'as pas compris ?
              • [^] # Re: Pas forcément la fin du NAT

                Posté par . Évalué à 2.

                Et sans en avoir les avantages. Bref, c'est une autre solution à un autre problème.
                • [^] # Re: Pas forcément la fin du NAT

                  Posté par (page perso) . Évalué à 3.

                  OK, c'est vendredi mais…
                  C'est quoi les avantages du NAT ?

                  DLFP >> PCInpact > Numerama >> LinuxFr.org

                  • [^] # Re: Pas forcément la fin du NAT

                    Posté par (page perso) . Évalué à 0.

                    ça répond à un besoin c'est tout. Selon le contexte, le NAT ou une autre manière de rediriger les packets aura ses avantages et ses inconvénients par rapport à l'autre solution...
                  • [^] # Re: Pas forcément la fin du NAT

                    Posté par . Évalué à -2.

                    * ça permet de permettre à plusieurs machines à accéder au WEB sans avoir à payer plusieurs adresses IPV4

                    * un effet de bord non négligeable, est que ça protège les machines derrière. Alors les moinsseurs fous attendez avant de le faire.
                    => le temps de survie d'un windows XP non patché tout frais installé derrière une box configuré en pont est inférieur au temps nécessaire au télé-chargement des mises à jours; derrière un NAT, les ports béants ne sont pas accessibles et le windows ne se prend pas de virus. Je n'ai changé de politique que lorsque des potes sont venus brancher des machines sur le réseau local (à ce moment la le pc tournait sous nux, mais au cas où la fois suivante il serait sous l'autre OS, j'ai préféré prendre les devant)

                    Pendant des années mon windows n'a pas eu d'antivirus et firewall, ni de virus d'ailleurs; et tout ce qu'il y avait entre le pc et le reste c'est un linux qui faisait du nat bête et méchant.

                    * c'est simple à configurer.

                    * j'ai pas à me poser des questions si y a une adresse de libre, j'ai juste à brancher sur le réseau, le serveur dhcp s'occupe du reste

                    * ça permet de rediriger des flux en fonction de leur source/destination, changer les ports...

                    * un seul point d'accès à sécuriser. Ce point n'est pas négligeable.

                    Alors ensuite y a des moyens d'attaquer une machine derrière un nat, mais c'est loin d'être aussi évident qu'en accès direct, et les vers ne le font pas.

                    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                    • [^] # Re: Pas forcément la fin du NAT

                      Posté par (page perso) . Évalué à 2.

                      On parle d'IPv6, qui n'a plus le problème de nombre d'IP disponibles.

                      Un NAT est plus difficile à configurer que du routing IPv6 normal vu qu'il n'y a rien à configurer.

                      Pour le reste : il suffit de refuser les connexions entrantes par défaut.

                      DLFP >> PCInpact > Numerama >> LinuxFr.org

                      • [^] # Re: Pas forcément la fin du NAT

                        Posté par . Évalué à -1.

                        Un NAT est plus difficile à configurer que du routing IPv6 normal vu qu'il n'y a rien à configurer.

                        IPv6 c'est magique, puisqu'on vous le dit.
                        • [^] # Re: Pas forcément la fin du NAT

                          Posté par (page perso) . Évalué à 2.

                          C'est gentil le sarcasme mais le NAT ça veut dire faire quelque chose de plus que ce qui est fait par défaut, donc par définition plus difficile à configurer.

                          DLFP >> PCInpact > Numerama >> LinuxFr.org

                          • [^] # Re: Pas forcément la fin du NAT

                            Posté par . Évalué à 4.

                            entre blinder une machine pour n'autoriser que ce qu'on veut et en blinder 10 avec des règles précises pour ce qui viens des nôtres, le coté simple et rapide va au nat. Sans oublier que une fois le nat bien configuré (une case) je branche une machine sur le réseau local, ça marche.

                            Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                            • [^] # Re: Pas forcément la fin du NAT

                              Posté par . Évalué à 7.

                              Ben, c'est pareil, tu peux très bien avoir un pare-feu intégré au modem-routeur qui filtre les connexions entrantes au lieu de faire du NAT.
                              • [^] # Re: Pas forcément la fin du NAT

                                Posté par . Évalué à 0.

                                euhhh, je sais pas le gros inconvénient du nat (et avantage), c'est quand même ne pas être accessible directement du web; si ma passerelle bloque les connexions entrantes; c'est quoi l'intérêt par rapport à un NAT?

                                Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                                • [^] # Re: Pas forcément la fin du NAT

                                  Posté par (page perso) . Évalué à 2.

                                  Inconvénient et avantage ? Faut savoir.
                                  C'est pas le web, c'est Internet.
                                  et https://linuxfr.org/comments/1197697.html#1197697

                                  DLFP >> PCInpact > Numerama >> LinuxFr.org

                                  • [^] # Re: Pas forcément la fin du NAT

                                    Posté par . Évalué à 2.

                                    > Inconvénient et avantage Faut savoir.
                                    Je sais pas, j'ai une twingo, c'est petit, c'est un super avantage en ville pour se déplacer à 4 (facile à garer), mais pour partir en vacance sa petitesse et un gros inconvénient, y a pas de coffre; tu peux faire l'inverse avec une logan :).

                                    Le fait qu'un PC ne soit pas directement accessible du reste du monde est un avantage d'un point de vue sécurité (pas de scan de port, de hammering sur un port ssh, pas de faille exploitable par des gens de l'autre coté sans hacker ta passerelle)
                                    Par contre pour monter un serveur ou utiliser certains protocoles, c'est plus tendu, faut faire du forwarding, activer du ip_conntrack_...

                                    Alors Oui, on peut avoir une passerelle IPV6 qui fait pare feu, mais là j'ai plusieurs remarques :
                                    * ) qui va le faire?
                                    *) si les FAI font un pare feu trop violent sur leur box y a encore des gens qui vont râler
                                    *) si ils laissent tout passer, c'est l'utilisateur bêta qui va se faire véroler ses machines mal protégées

                                    >C'est pas le web, c'est Internet.
                                    Ce que j'ai dit n'était pas faux, une machine derrière un nat, sauf configuration particulière n'est pas accessible d'Internet, Web étant inclut dans Internet ce que j'ai dit était bon. :þ

                                    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                                    • [^] # Re: Pas forcément la fin du NAT

                                      Posté par . Évalué à 4.

                                      Quatrieme option :
                                      on bloque tout, tu veux firewaller toi meme ? ok fais le mais vient pas pleurer.
                                    • [^] # Re: Pas forcément la fin du NAT

                                      Posté par . Évalué à 2.

                                      Alors Oui, on peut avoir une passerelle IPV6 qui fait pare feu, mais là j'ai plusieurs remarques :
                                      * ) qui va le faire?


                                      Bah, les même que ceux qui font les box actuellement ? Forcément, si les gens pensent qu'il existe une solution gratuite à la raréfaction de l'adressage v4, on ne va pas y arriver. En même temps, vu tout l'argent perdu à contourner les NAT, je me demande ce qui revient le moins cher au final…

                                      *) si les FAI font un pare feu trop violent sur leur box y a encore des gens qui vont râler

                                      Mais qu'est-ce que ça veut dire, bordel ? C'est quoi la différence avec une box qui NAT ? As-tu déjà utilisé iptables ? Tu sais que le port forwarding, c'est deux lignes (1 règle ACCEPT dans le forward, et 1 règle DNAT), et que quand t'enlèves la règle de DNAT, il te reste la ligne dont tu as besoin pour faire passer ta connexion en v4 ou v6, en adaptant les adresses, tout ça sans NAT ?!?!

                                      *) si ils laissent tout passer, c'est l'utilisateur bêta qui va se faire véroler ses machines mal protégées

                                      J'adore les mecs qui supposent des trucs complètement irréalistes pour soutenir leurs propositions.

                                      Bordel, tant d'incompétence, tu devrais être punis à RTFM pendant un mois.

                                      Et puis au final, je pense que les mecs comme toi feront moins les malins le jour où ils n'auront plus d'IP publique du tout et seront NATés derrière le gros NAT de leur FAI, sans aucun contrôle sur celui-ci…
                                      • [^] # Re: Pas forcément la fin du NAT

                                        Posté par . Évalué à 3.

                                        >vu tout l'argent perdu à contourner les NAT,
                                        Pour beaucoup ça évite aussi une réécriture d'un soft ipv4.

                                        >C'est quoi la différence avec une box qui NAT ?
                                        La différence, c'est qu'une machine derrière un nat ne peut, par définition, pas être accessible sans configuration particulière (port forwarding)

                                        une machine en ipv6, est par définition accessible. La configuration du firewall est un plus absolument pas indispensable.

                                        >As-tu déjà utilisé iptables ?
                                        C'est ce que j'ai chez moi et pendant un temps uniquement certaines machines étaient forwardé - maintenant tout le réseau local est forwardé, par contre si j'ai effectivement fait du port forwarding avec iptables, j'ai trouvé ssh plus pratique (pour la plage de port >1024) (pas besoin de passer par root)

                                        >J'adore les mecs qui supposent des trucs complètement irréalistes pour soutenir leurs propositions.
                                        Tu peux détailler? Quand les box ne sont pas configuré en nat, elle laissent tout passer (sauf le courrier sortant...). Je peux même te préciser sur ce point que certains firewall et antivirus se lancent après la connexion dhcp, ce qui fait que le pc n'est pas protégé pendant un court laps de temps suffisant pour se chopper le virus qui reboot la machine (oui elle n'était pas à jour, je me suis bien marré, j'ai proposé linux, mais les jeux...); je ne vois absolument pas pourquoi ça changerait en ipv6

                                        >Et puis au final, je pense que les mecs comme toi feront moins les malins le jour où ils n'auront plus d'IP publique du tout et seront NATés derrière le gros NAT de leur FAI, sans aucun contrôle sur celui-ci…
                                        Je crois que tu te plantes radicalement sur mon compte, je suis pour le passage en ipv6, ne serai-ce que pour la souplesse que ça apporte, mais nier qu'une passerelle NAT apporte une certaine sécurité au réseau derrière, est, a mon avis, une erreur monumentale. Oui la machine nat peut être remplacé par un pare feu, et dans beaucoup de cas cela devra être fait, mais moi ça me ferai grave chier que par défaut les box bloquent tout et qu'il faille se connecter dessus pour dire oui le trafic sur les ports 21,22, 194, 443, 80, 995, allant vers telles machine c'est ok. Et encore j'en oublie, les partage bittorrent, et autre truc dont je ne suis pas forcément au courant des ports utilisé, et si les box par défaut laissent tout passer, va y avoir un paquet d'ordi infecté.

                                        Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                                        • [^] # Re: Pas forcément la fin du NAT

                                          Posté par . Évalué à 2.

                                          « Je peux même te préciser sur ce point que certains firewall et antivirus se lancent après la connexion dhcp »

                                          Question au passage : c’est bien à ça que sert le dossier /etc/network/if-pre-up.d de Debian ? Perso. j’y fous mes règles iptable à défaut de meilleur endroit, j’ai bon ?
                                          • [^] # Re: Pas forcément la fin du NAT

                                            Posté par . Évalué à 2.

                                            effectivement tu dois pouvoir le faire ici.

                                            Sous mandriva le lancement des service le fait tout seul
                                            rc5.d/S03iptables
                                            rc5.d/S10network

                                            iptables lit le fichier de conf
                                            /etc/sysconfig/iptables

                                            je serai surpris que debian fasse moins bien.

                                            un iptable-save me permet d'avoir ce qui faut ^^ ( ou même service iptables save)
                                            évidemment pour les règle ipv6 c'est ip6tables (faut par croire que je ne jure que par le nat et ipv4 hein ^^)


                                            évidemment ça peut changer sous débian; mais pour le soucis d'ordonnancement je parlais d'un OS propriétaire.

                                            Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                                            • [^] # Re: Pas forcément la fin du NAT

                                              Posté par . Évalué à 2.

                                              Oui, après un peu de recherche :
                                              Paquet : iptables-persistent
                                              État: non installé
                                              Version : 0.0.20100801
                                              Priorité : optionnel
                                              Section : admin
                                              Responsable : Chris Silva <racerx@makeworld.com>
                                              Taille décompressée : 65,5 k
                                              Dépend: iptables
                                              Description : Simple package to set up iptables on boot
                                              This package contains just a system startup script that restores iptables rules from a configuration file.

                                              Since this is aimed at experienced admins, there is no configuration wizard.

                                              J’avais bien compris pour l’OS propriétaire ; on m’aurait pris à troller pour que j’eusse eu l’indélicatesse de souligner qu’IP et NAT n’avait pas pour vocation à réparer les carences d’un certain OS.
                                        • [^] # Re: Pas forcément la fin du NAT

                                          Posté par . Évalué à 4.

                                          Pour beaucoup ça évite aussi une réécriture d'un soft ipv4.

                                          Ah bah oui c'est clair, mais jusqu'à quand on va continuer à écrire des softs basés sur une technologie qui ne peut pas supporter un Internet moderne ?

                                          La différence, c'est qu'une machine derrière un nat ne peut, par définition, pas être accessible sans configuration particulière (port forwarding)

                                          une machine en ipv6, est par définition accessible. La configuration du firewall est un plus absolument pas indispensable.


                                          Bon, je ne sais pas comment ne pas m'énerver, je l'avais déjà expliqué là à l'époque : https://linuxfr.org//comments/1001451.html#1001451
                                          Ça fait deux ans, et toujours autant d'ignorance…
                                          Alors, en gras, puisque tu ne veux pas comprendre : le nat _EST_ une règle du firewall, bordel de merde !. « Par défaut », on a une règle _en moins_ quand on ne fait pas de NAT. Et on en a _autant_ quand on rajoute la règle qui provoque l'effet _équivalent_ au nat de bloquer les connexions entrantes.

                                          C'est ce que j'ai chez moi et pendant un temps uniquement certaines machines étaient forwardé - maintenant tout le réseau local est forwardé, par contre si j'ai effectivement fait du port forwarding avec iptables, j'ai trouvé ssh plus pratique (pour la plage de port >1024) (pas besoin de passer par root)

                                          Ah, encore mieux que le NAT : utiliser le layer 5 pour palier les problèmes de pénurie d'IPv4… Genial.

                                          Tu peux détailler?

                                          Déjà fait au dessus. Ce que je voulais dire dans la remarque que tu cites, c'est que je pense que les FAI ont un minimum de « jugeote » (i.e. ils savent que derrière leurs box se trouvent des passoires) et bloqueront par défaut les connexions entrantes sur leurs routeurs IPv6. C'est tout.

                                          Je crois que tu te plantes radicalement sur mon compte, je suis pour le passage en ipv6, ne serai-ce que pour la souplesse que ça apporte, mais nier qu'une passerelle NAT apporte une certaine sécurité au réseau derrière, est, a mon avis, une erreur monumentale. Oui la machine nat peut être remplacé par un pare feu, et dans beaucoup de cas cela devra être fait, mais moi ça me ferai grave chier que par défaut les box bloquent tout et qu'il faille se connecter dessus pour dire oui le trafic sur les ports 21,22, 194, 443, 80, 995, allant vers telles machine c'est ok. Et encore j'en oublie, les partage bittorrent, et autre truc dont je ne suis pas forcément au courant des ports utilisé, et si les box par défaut laissent tout passer, va y avoir un paquet d'ordi infecté.

                                          Mais t'es con ou t'es con ? Ta passerelle IPv6 bloquera par défaut les connexions entrantes, et te proposera une jolie interface web pour configurer quoi laisser passer où. Exactement comme le fait actuellement ta box.
                                          • [^] # Re: Pas forcément la fin du NAT

                                            Posté par . Évalué à 2.

                                            > Exactement comme le fait actuellement ta box.
                                            Absolument pas, ma box laisse tout passer, sans que j'ai eu à configurer quoi que ce soit, et c'était le cas de tous les FAI quand la box n'est pas configuré en NAT, à moins d'un changement récent.

                                            >Mais t'es con ou t'es con ? Ta passerelle IPv6 bloquera par défaut les connexions entrantes
                                            Comme dit précédemment, et il semblerai que l'on se soit pas en accord la dessus, ce n'est pas le cas en ipv4, ce n'est pas le cas, en ce moment en ipv6, je ne vois absolument pas pourquoi ça changerai
                                            tiens si mon expérience personnelle ne te suffit pas en voila un autre qui a fait le même constat
                                            http://blog.koreus.com/freebox-routeur-ipv6/

                                            >Ah, encore mieux que le NAT : utiliser le layer 5 pour palier les problèmes de pénurie d'IPv4… Genial.
                                            ah oui c'est clair que faire un ssh user@rubicon ... /bin/su ; iptables ... c'est plus simple... (en plus de devoir taper un mot de passe root)
                                            C'est absolument pas pour palier au problème, de pénurie, c'est pour effectuer un forward de port _temporaire_. En ipv6, le je serai forcé de modifier la conf du firewall pour laisser entrer la connexion. C'est quand même plus simple (point de vu user) de taper 1 commande que de se taper une session, un su, + 1 iptables, sans oublier ensuite la suppression de la règle lorsque j'en ai plus besoin, oui administration web et tout le toutim ça peut aussi le faire, mais SSH marche très bien pour faire mes tests...

                                            >le nat _EST_ une règle du firewall, bordel de merde !.
                                            Ou ai-je dis le contraire? Mais par défaut, quand je configure un nat, les machine derrière ne sont pas accessible, alors oui par défaut un firewall ne fait pas de nat, mais à partir du moment où tu as ajouté la règle magique ainsi que le echo 1 > /proc/net/.../ip_forward tu es en nat, et a moins de rajouter une règle à la con, les machine derrières ne sont pas accessible.

                                            * mandriva 1 case
                                            * winXP 1 case séparé du contrôle du pare feu (pas dans le même encadré)
                                            * freebox 1 case
                                            Le fait que ce soit ou non un firewall derrière je m'en fout, (enfin moi non), ce que je veux c'est pas un firewall, c'est que les machine derrière puisse accéder à internet que ce soit ipv421 ip666 ou ip111 c'est le cadet de mes soucis. La limitation d'adresse ipv4 force un NAT; que ce NAT soit fait sur un firewall n'est pas l'important.
                                            Si demain y a plus besoin de nat, le firewall imposé par le nat disparaîtra chez un paquet de gens.

                                            Sous linux oui c'est iptables qui s'en charge; sous windows ça ne l'est sûrement pas.

                                            Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                                            • [^] # Re: Pas forcément la fin du NAT

                                              Posté par . Évalué à 2.

                                              Absolument pas, ma box laisse tout passer, sans que j'ai eu à configurer quoi que ce soit, et c'était le cas de tous les FAI quand la box n'est pas configuré en NAT, à moins d'un changement récent.

                                              Parce que la configuration par défaut (sans NAT) c'est un bridge, et que filtrer quand tu bridges c'est pas super propre, et que le but du bridge, justement, est en général de laisser une autre machine derrière le bridge filtrer elle-même.

                                              Comme dit précédemment, et il semblerai que l'on se soit pas en accord la dessus, ce n'est pas le cas en ipv4, ce n'est pas le cas, en ce moment en ipv6, je ne vois absolument pas pourquoi ça changerai

                                              Parce qu'en IPv4 actuellement, sans NAT, tu bridges (enfin, ta box), alors qu'en IPv6, tu vas router, ce qui n'est pas pareil, et les cas d'usage sont différents, et donc (c'est mon avis) la configuration par défaut aussi.

                                              tiens si mon expérience personnelle ne te suffit pas en voila un autre qui a fait le même constat
                                              http://blog.koreus.com/freebox-routeur-ipv6/


                                              Free n'est peut-être pas encore décidé là-dessus. Moi je pense aussi qu'ils n'ont pas encore mis les moyen pour pousser la connectivité IPv6 jusqu'au bout, et qu'à défaut d'avoir une interface web pour configurer le firewall de la freebox en v6, ils ne filtrent rien. C'est tout le problème de ne pas avoir la maîtrise du « CPE », comme on dit.

                                              ah oui c'est clair que faire un ssh user@rubicon ... /bin/su ; iptables ... c'est plus simple... (en plus de devoir taper un mot de passe root)

                                              Je dirais que tu te poses les mauvaises questions. Si c'est pour une redirection temporaire, c'est que c'est donc pour accéder à certains services de ton réseau ? Monte alors un VPN. Ça tombe bien, IPSEC est fait pour ça : filtre les connexions entrantes de ton réseau, mais tout ce qui arrive par IPSEC passera. Ainsi, quand tu as la « clé » de ton réseau, toutes tes machines deviennent « visibles », ou plutôt atteignables. Et tout ça en gardant le même adressage que tu sois à l'intérieur ou à l'extérieur !

                                              mais SSH marche très bien pour faire mes tests...

                                              Au pire, tu peux toujours faire un SSH sur la machine directement (en laissant passer le SSH depuis l'extérieur pour toutes les machines), mais dans la limite où le service que tu veux atteindre est accessible en SSH ; ça gène un peu pour les machines Windows, effectivement.

                                              En fait, faire du v6, c'est à dire de l'IP routé, c'est une vision vraiment différente du NAT ; il faut revoir un peu sa manière de penser.

                                              Mais par défaut, quand je configure un nat, les machine derrière ne sont pas accessible, alors oui par défaut un firewall ne fait pas de nat, mais à partir du moment où tu as ajouté la règle magique ainsi que le echo 1 > /proc/net/.../ip_forward tu es en nat, et a moins de rajouter une règle à la con, les machine derrières ne sont pas accessible.

                                              Encore une fois, une règle aussi en IPv6 pour que les machines derrière ne soient pas accessible. Je ne vois pas la différence.

                                              Le fait que ce soit ou non un firewall derrière je m'en fout, (enfin moi non), ce que je veux c'est pas un firewall, c'est que les machine derrière puisse accéder à internet que ce soit ipv421 ip666 ou ip111 c'est le cadet de mes soucis. La limitation d'adresse ipv4 force un NAT; que ce NAT soit fait sur un firewall n'est pas l'important.
                                              Si demain y a plus besoin de nat, le firewall imposé par le nat disparaîtra chez un paquet de gens.


                                              Je pense que la conf par défaut des FAI qui feront « bien » leur boulot, ce sera de bloquer les connexions entrantes. Actuellement, c'est surtout les geeks qui s'y sont intéressés, donc au contraire un blocage par défaut aurait sûrement provoqué un tollé. Je pense qu'avec la maturité du l'offre, on va voir certains paramètres par défaut changer.

                                              Et juste pour relancer une petite pique, si les gens avaient plus le choix dans le matériel qu'ils utilisent pour accéder à leur FAI (leur box, quoi), peut-être que certains se seraient plus vite bougé le cul en voyant les clients qui gueulent.

                                              Sous linux oui c'est iptables qui s'en charge; sous windows ça ne l'est sûrement pas.

                                              Je pense que c'est la stack réseau niveau kernel, comme linux. iptables ne veut pas dire « firewall », comme son nom l'indique : il manipule la gestion des paquets au niveau du kernel. Que ce soit pour filtrer le trafic, ce qu'on appelle couramment « firewall », ou pour faire du NAT, ou pour faire de la QoS, ou pour faire quoi que ce soit d'autre.
                                              • [^] # Re: Pas forcément la fin du NAT

                                                Posté par . Évalué à 2.

                                                Parce que la configuration par défaut (sans NAT) c'est un bridge, et que filtrer quand tu bridges c'est pas super propre, et que le but du bridge, justement, est en général de laisser une autre machine derrière le bridge filtrer elle-même.
                                                Justement rien n'empêche les box de faire firewall, mais par défaut, avec les passoires que sont certains postes, elles sont configuré en bridge;

                                                Encore une fois, une règle aussi en IPv6 pour que les machines derrière ne soient pas accessible. Je ne vois pas la différence.
                                                pour toi, pour moi, rien, pour ceux qui ne savent pas configurer un firewall, c'est plus problèmatique; sauf si comme tu le penses les configurations par défaut évoluent.

                                                Et juste pour relancer une petite pique, si les gens avaient plus le choix dans le matériel qu'ils utilisent pour accéder à leur FAI
                                                Je ne sais pas chez quel FAI tu es, mais le mien, avant de recevoir sa box, je m'y connectait avec un pc équipé d'une carte adsl pci (que l'on avait car on en avait raz le cul du modem de nerim qui décrochait tout le temps)
                                                Et on peut toujours l'utiliser, mais bon là on a plus le multiposte, plus la télé, et surtout j'ai plus d'horloge dans le salon *Coin* On a le choix; cependant comme y a un truc qui marche plutôt bien, les gens ne vont pas chercher plus loin. Nous on aurait bien gardé le modem tout pourri si y avait pas eu ces déconnexions permanentes...

                                                Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                            • [^] # Re: Pas forcément la fin du NAT

                              Posté par (page perso) . Évalué à 3.

                              « blinder 10 avec des règles précises »
                              Non tu le fais une fois, au niveau de ta passerelle, elle route, mais ne fait pas de NAT.

                              « je branche une machine sur le réseau local, ça marche » là encore je suppose que tu pense à IPv4 et le DHCP qui lui est souvent associé ; c'est absolument pas lié au NAT.
                              IPv6 lui a un équivalent de DHCP qui nécessite encore moins de choses à gérer et qui est infiniment plus rapide.

                              DLFP >> PCInpact > Numerama >> LinuxFr.org

                              • [^] # Re: Pas forcément la fin du NAT

                                Posté par . Évalué à 1.

                                Ce qui est bien dans ce cas, c'est qu'il suffit que la partie pare feu de la passerelle tombe pour ouvrir le réseau au reste du monde ^^

                                Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                      • [^] # Re: Pas forcément la fin du NAT

                        Posté par . Évalué à 0.

                        > Un NAT est plus difficile à configurer que du routing IPv6 normal vu qu'il n'y a rien à configurer.
                        Un nat c'est une case à cocher; Blinder un machine pour être en frontal c'est un poil plus

                        > Pour le reste : il suffit de refuser les connexions entrantes par défaut.
                        ça c'est génial devoir sécuriser ses machine en réseau local comme si on les foutait en frontal sur le web.
                        Je suis désolé, mais j'ai pas envie de configurer 6 firewall différents. Si je veux tester des truc avec des serveur http locaux, j'ai pas forcément envie de blinder mes dev avant même de commencer.
                        Ensuite si tu as 10 machines, y compris des qui viennent temporairement pour interagir avec celle de ton réseau, il faut configurer toutes tes machines pour autoriser l'intru; c'est aussi 10 machines à blinder au lieu d'une seule

                        Oui pour une machine ipv6 c'est plus simple.
                        Pour plusieurs machines, c'est discutable (configuration de chaque firewall pour n'accepter que les connexions venant de mes autres machines)

                        Mon réseau local et sûr, je peux y brancher une passoire, elle ne sera pas infecté. Le WEB c'est différent (certains OS lancent les connexions DHCP avant les firewall/antivirus)

                        J'ai des partage samba/nfs sans mots de passe ni authentification kerberos un imprimante réseau un nas, choses que je ne ferai pas si les machines étaient accessible directement.

                        Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                        • [^] # Re: Pas forcément la fin du NAT

                          Posté par (page perso) . Évalué à 7.

                          Un nat c'est une case à cocher; Blinder un machine pour être en frontal c'est un poil plus

                          Et ton NAT n'est pas blindé, il est quand même en frontal. C'est la même chose avec IPv6, ton modem peut très bien aussi refuser toutes les connexions entrantes sur le réseau local.

                          ça c'est génial devoir sécuriser ses machine en réseau local comme si on les foutait en frontal sur le web.
                          Je suis désolé, mais j'ai pas envie de configurer 6 firewall différents. Si je veux tester des truc avec des serveur http locaux, j'ai pas forcément envie de blinder mes dev avant même de commencer.


                          Mais personne n'a dit que tu devais le faire. Il suffit de blinder la passerelle par défaut exactement comme le NAT actuellement et le résultat sera le même.

                          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                          • [^] # Re: Pas forcément la fin du NAT

                            Posté par . Évalué à -1.

                            > Et ton NAT n'est pas blindé,
                            1 seule conf 1 seul pc chiant.

                            > il est quand même en frontal. C'est la même chose avec IPv6, ton modem peut très bien aussi refuser toutes les connexions entrantes sur le réseau local.
                            Attends la je perds un peu l'intérêt de pouvoir adresser directement la machine depuis l'extérieur non?
                            Autant rester en ipv4 si c'est pour n'avoir qu'une seule machine accessible.

                            >Il suffit de blinder la passerelle par défaut exactement comme le NAT actuellement et le résultat sera le même.
                            Donc au final j'ai le même type de conf à faire, et j'ai les même limitation...

                            Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                            • [^] # Re: Pas forcément la fin du NAT

                              Posté par (page perso) . Évalué à 3.

                              Oula mais tu as juste rien compris, ça c'était pour répondre aux mecs qui disent que le NAT est plus sécurisé. Si tu veux avoir plusieurs ordis accessibles c'est justement possible quand tu n'as pas de NAT. La différence c'est que tu as le choix.

                              DLFP >> PCInpact > Numerama >> LinuxFr.org

                              • [^] # Re: Pas forcément la fin du NAT

                                Posté par . Évalué à -4.

                                Je me reconnecte pour voir le troll que çà a lancé.

                                Enfin, je n'ai pas dit que le NAT était plus securisé. J'ai parlé d'_une_ fonction importante de la securité.

                                Dans le cas d'une DMZ, le NAT te permet d'exposer qu'une machine et ensuite de répartir les connexions comme bon te semble sur différentes machines qui accomplissent qu'une tâche.

                                Si jamais, pour une raison ou une autre , tu fais évoluer l'attribution des services à des IP interne , tu n'as pas besoin d'en informer tes clients.

                                Certes, tu peux aussi faire autrement acquérir des plages d'IPv6 (voir le temps et l'argent que prendra ces procédures d'acquisitions).
                                D'ailleurs quand votre réseau s'étendra et que vous n'aurez pas une plage contigue. Je vous vois bien mettre une plage IPv6 à droite et à gauche.

                                Enfin, sans NAT , vous m'expliquerez comme vous faites un proxy transparent http, smtp, ....
                                • [^] # Re: Pas forcément la fin du NAT

                                  Posté par (page perso) . Évalué à 2.

                                  Vu le nombre d'IP disponibles dans un sous-réseau IPv6, les problèmes que tu décris n'arriveront… jamais. Et à mes clients je leur donne pas des IP de toute façon, je leur donne des noms.

                                  Le proxy transparent c'est pas lié au NAT. Tant que ça passe par une machine qui route les paquets, tu peux les intercepter, NAT ou non.

                                  DLFP >> PCInpact > Numerama >> LinuxFr.org

                                  • [^] # Re: Pas forcément la fin du NAT

                                    Posté par . Évalué à -4.

                                    Tu peux aussi attendre longtemps la mise à jour d'un cache DNS. Alors qu'en l'occurrence avec du NAT, le changement de serveur traitant les requêtes sera quasiment instantané.

                                    Enfin pour le proxy transparent, une bonne pratique est quand même que la machine qui va intercepter/dérouter les connexions. Ce n'est pas elle qui va les traiter.

                                    Autre exemple, j'ai 3 accès Internet grand public chez 3 FAI différents. Couts total : un peu de plus de 90 euros pour un peu plus de 200 postes informatique.

                                    Si je veux maintenir la même architecture avec la même redondance. Avec IPv6, il faudra que je me lance dans une procédure compliquer et probablement couteuse sur des accès pro.

                                    Bref, le NAT a encore longue vie devant lui.
                                    • [^] # Re: Pas forcément la fin du NAT

                                      Posté par . Évalué à 0.

                                      nat continuera d'exister, et même en ipv6, ne serait-ce que pour réaliser un basculement de machine au cas où l'une du banc plante, pouvoir rediriger le flux vers une machine saine est quand même super pratique ou de la répartition de charge sur un "serveur".

                                      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                                      • [^] # Re: Pas forcément la fin du NAT

                                        Posté par . Évalué à 2.

                                        "ne serait-ce que pour réaliser un basculement de machine au cas où l'une du banc plante"

                                        Ucarp ?
                                        • [^] # Re: Pas forcément la fin du NAT

                                          Posté par . Évalué à 2.

                                          Dans le cas hypothétique où j'ai une machine windows, je fais comment?

                                          Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                                      • [^] # Re: Pas forcément la fin du NAT

                                        Posté par (page perso) . Évalué à 3.

                                        ne serait-ce que pour réaliser un basculement de machine au cas où l'une du banc plante

                                        Perso je fais déjà ça en IPv4, et sans NAT. D'ailleurs comment tu gère la panne de ton routeur NAT ?

                                        DLFP >> PCInpact > Numerama >> LinuxFr.org

                                    • [^] # Re: Pas forcément la fin du NAT

                                      Posté par (page perso) . Évalué à 4.

                                      Il ne faut pas oublier qu'une machine peut avoir plusieurs adresses, c'est plus que bien géré par IPv6. Donc tu donnerais une IP par service ; vu le nombre d'IP disponibles ce n'est pas un problème.

                                      Ou tu peux réécrire les paquets à la volée, toujours sans avoir besoin de NAT.

                                      Beaucoup plus simple que NAT, qui je rappelle, demande à faire des tables de correspondances au niveau du routeur, ce qui est intense niveau mémoire et processeur, contrairement à un bête passage de paquets.

                                      DLFP >> PCInpact > Numerama >> LinuxFr.org

                            • [^] # Re: Pas forcément la fin du NAT

                              Posté par (page perso) . Évalué à 5.

                              Autant rester en ipv4 si c'est pour n'avoir qu'une seule machine accessible.

                              Rien à voir, on manque d'IPv4 même en utilisant les NAT.

                              Autant rester en ipv4 si c'est pour n'avoir qu'une seule machine accessible.

                              Tu peux tout-à-fait débloquer les ports pour deux machines (deux machines avec un port 80 accessible, ou un port 25 pour le mail) si tu en a besoins, ce qu'il n'est pas possible de faire avec un NAT.

                              Donc au final j'ai le même type de conf à faire, et j'ai les même limitation...

                              Non, tu as le même type de conf à faire si tu veux la même chose, et tu as quand même plus d'avantages, tes machines étant toutes accessible depuis l'extérieur si tu le désire.

                              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                    • [^] # Re: Pas forcément la fin du NAT

                      Posté par . Évalué à 4.

                      Bon, c'est normal mais dommage que tu te sois fait moinsser, car tu énonces toutes les bêtises habituelles des gens qui n'ont rien compris à l'IPv6 (ou IP même en général, puisqu'à la base le NAT n'est qu'une invention qui sert à défigurer IP tel qu'il a été inventé, avant de se rendre compte qu'il n'y aurait jamais assez d'IPv4 pour tout le monde). Mais comme je pense que tu es sérieux dans ta méconnaissance d'IP, et vu que beaucoup de gens font les même erreurs, j'explique :

                      * ça permet de permettre à plusieurs machines à accéder au WEB sans avoir à payer plusieurs adresses IPV4

                      IP permet à tout un tas de machines d'accéder au Web et même à Internet en général, et tout cela sans jamais faire payer quelque IP que ce soit. Heureusement pour nous, les IP sont encore à peu près gratuites, tout du moins, pour IPv6, parce que pour IPv4 ça va sûrement se gâter.

                      * un effet de bord non négligeable, est que ça protège les machines derrière. Alors les moinsseurs fous attendez avant de le faire.
                      => le temps de survie d'un windows XP non patché tout frais installé derrière une box configuré en pont est inférieur au temps nécessaire au télé-chargement des mises à jours; derrière un NAT, les ports béants ne sont pas accessibles et le windows ne se prend pas de virus. Je n'ai changé de politique que lorsque des potes sont venus brancher des machines sur le réseau local (à ce moment la le pc tournait sous nux, mais au cas où la fois suivante il serait sous l'autre OS, j'ai préféré prendre les devant)


                      Bon, là tu fais une grave erreur : pour toi, en dehors du NAT, point de filtrage. Ta « box », c'est un routeur. Actuellement, en « plus » de faire du simple routage, elle ajoute une couche de NAT. Mais sinon, en IPv6 ou en IPv4 (avec ou sans NAT), ton routeur est toujours capable d'effectuer l'opération de base qu'est filtrer la traffic (après son rôle principal, qui est de… router). Tu peux toujours choisir de dire « pour tous les ordis qui sont derrière mon routeur/ma box, on ne laisse pas de connexion entrante se faire ». C'est la base.

                      * c'est simple à configurer.

                      Pourquoi l'IPv6 serait plus compliqué ? Parce qu'on écrit les adresses différemment ? C'est exactement pareil, modulo la forme des adresses. Les principes d'IP de base sont toujours respectés.

                      * j'ai pas à me poser des questions si y a une adresse de libre, j'ai juste à brancher sur le réseau, le serveur dhcp s'occupe du reste

                      Pareil en IPv6, voire mieux. On ne se pose pas la question de savoir s'il y a une adresse de libre, vu que ton FAI t'en file des milliards… Et puis ton ordi s'occupe tout seul de s'attribuer une adresse. Aucun problème de ce côté là.

                      * ça permet de rediriger des flux en fonction de leur source/destination, changer les ports...

                      Filtrer un fonction de la source/destination… ça se fait exactement pareil en IPv6. Comme dit plus haut, c'est du filtrage, ça se fait exactement pareil qu'en v4, sauf que le programme s'appelle ip6tables au lieu de iptables, si tu veux mettre les mains dans le cambouis…
                      Ensuite, question : tu t'es posé la question de la raison pour laquelle tu « changes des ports » ? (je suppose que tu parles de port-forwarding) Parce que tu ne peux pas avoir plusieurs machines qui écoutent sur le même port derrière ton NAT. En v6, tu vas simplement autoriser tel(s) port(s) vers telle(s) machine(s). Tout le monde peut faire du P2P, monter les serveurs qu'il veut, sans problème.

                      * un seul point d'accès à sécuriser. Ce point n'est pas négligeable.

                      Pareil en v6 : ton routeur…
                      En fait, je pense qu'il y a un truc fondamental dans ce que tu n'as pas compris que je n'ai pas compris.

                      Essaye de « débloquer » ton opposition farouche et aveugle contre IPv6, et tu verras que ce n'est pas la merde que tu penses (parce que si IPv6 avait effectivement tous ces défauts, personne n'en voudrait…)
                      • [^] # Re: Pas forcément la fin du NAT

                        Posté par . Évalué à -2.

                        Ce n'est pas de l'opposition à IPv6.

                        On dit juste que le NAT est très pratique et que son utilisation ne va pas baisser avec l'arrivé de l'IPv6:
                        - Dissimuler à autrui l'architecture d'un réseau interne.
                        - Proxy transparent.
                        - Redirection de port pour répartir la charge sur plusieurs serveurs.
                        - Redondance économique sur plusieurs FAI et répartition de charge.

                        Dernière exemple, rien que pour la confidentialité, sans NAT, l'IPv6 sera comme un cookie que tu ne peux pas effacer. Il est sur que pour un particulier qu'il y ai du NAT ou non , çà ne changera rien dans ce cas.
                        • [^] # Re: Pas forcément la fin du NAT

                          Posté par . Évalué à 2.

                          Ce n'est pas de l'opposition à IPv6.

                          Alors renseigne toi un peu avant de balancer d'autres conneries… Si je dis que c'est de l'opposition, c'est parce que tu balances des arguments complètement faux qui montrent que tu as des lacunes techniques.

                          - Dissimuler à autrui l'architecture d'un réseau interne.

                          J'adore les gens qui ont ça pour unique argument pas faux techniquement. Mais dis moi, tu dissimules bien tes cookies, tu bloques bien tous les sites de tracking, etc ? Ceux-là envoient 100 fois plus d'infos à l'extérieur que l'« architecture » de ton réseau. (et elle a quoi de si secret ton archi réseau ? Houa, t'as deux ordinateurs derrière ta box, c'est la fuite d'info de l'année)

                          - Proxy transparent.

                          Gni ? Aucun rapport, tu peux faire un proxy transparent en v6 aussi si tu veux.

                          - Redirection de port pour répartir la charge sur plusieurs serveurs.

                          Bah l'anycast c'est fait pour, même si de manière plus réaliste tu va peux-être utiliser du NATv6 ou autre (je connais pas trop ce domaine).

                          - Redondance économique sur plusieurs FAI et répartition de charge.

                          Et en français ? Ou alors c'est la même chose que la ligne précédente ?

                          Dernière exemple, rien que pour la confidentialité, sans NAT, l'IPv6 sera comme un cookie que tu ne peux pas effacer.

                          N'importe quoi.

                          Il est sur que pour un particulier qu'il y ai du NAT ou non , çà ne changera rien dans ce cas.

                          Bon, si ton point de vue est « le NAT ne disparaîtra pas », sache que je suis complètement d'accord avec toi : on aura toujours du NATv4 pour la connectivité de plein de monde. Mais le débat ici c'était sur les fausses informations diffusées par ceux qui n'y connaissent rien à IPv6 (et IPv4, même : la plupart des principes énoncés ne sont pas spécifiques à IPv4, mais au NAT ; et oui, on peut très bien router plusieurs IPv4 derrière sa box, si on a un bon FAI…).
                          • [^] # Re: Pas forcément la fin du NAT

                            Posté par . Évalué à 2.

                            amha, je peux me tromper mais dans
                            Redirection de port pour répartir la charge sur plusieurs serveurs.
                            il parle de load balancing classique (proxyha & consors)

                            et - Redondance économique sur plusieurs FAI et répartition de charge.
                            Il parle de multi homing (et la répartition de charge me fait furieusement penser à du anycast, mais ca n'existe pas en ipv4)
              • [^] # Re: Pas forcément la fin du NAT

                Posté par . Évalué à 2.

                L'autre effet de bord, c'est que bien trop d'admins s'imaginent du même coup qu'un filtrage entrant est inutile "puisque de toutes façons mes PCs n'ont pas d'IP publique".
    • [^] # Re: Pas forcément la fin du NAT

      Posté par . Évalué à 4.

      marrant, il y a des racistes anti-NAT comme il y a des racistes anti-IPv6 :)

      (ah, pour ceux qui vont me faire des remarques fâcheuses, j'ai utilisé UTF-8 avant vous)
  • # Brevets et prédations

    Posté par . Évalué à 2.

    Une explication que j'avais entendu au détour d'une conversation serait que pas mal d'acteurs aimeraient bien attendre 20 ans avant de se mettre à vraiment faire de l'IPv6, par craintes de gens qui auraient pu poser des brevets couvrant les diverses parties de IPv6 durant son développement.

    Je sais pas vraiment si cette explication est valable, mais ça m'avait semblé plausible.
    • [^] # Re: Brevets et prédations

      Posté par (page perso) . Évalué à 2.

      20 ans ? Ils sont sérieux là ?

      Mais ils sont si près de leurs sous que ça ? Même si il y a trois brevets, ils peuvent bien payer un petit peu à ceux qui ont profité du système !

      Dans plein de milieux industriels, ça ne pose pas tant de problèmes que ça de payer pour utiliser un brevet, si ça en vaut la peine. C'est d'ailleurs tout l’intérêt de déposer des brevets pour certains.

      Envoyé depuis mon lapin.

      • [^] # Re: Brevets et prédations

        Posté par . Évalué à 3.

        sauf que c'est pas forcément "un petit peu", vu que le tarif est à la discrétion du propriétaire du brevet
        • [^] # Re: Brevets et prédations

          Posté par (page perso) . Évalué à 3.

          Le propriétaire peut même décider ne pas d'octroyer le droit de l'utiliser.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Brevets et prédations

            Posté par (page perso) . Évalué à 2.

            Ah non ça je ne crois pas.
            Déposer un brevet c'est aussi dévoiler son "secret de fabrication". Le but du brevet était de favoriser l'adoption d'une technologie sans pour autant que son auteur soit floué. Donc ça m'étonnerait que l'auteur ou l'ayant droit qui a déposé le brevet puisse refuser à un tiers d'utiliser la technologie, du moment que les royalties du brevet (je ne connais pas le terme dans ce cas) sont payés.
            Enfin ça me parait aller à l'encontre de l'idée du brevet au départ mais bien sûr si quelqu'un s'y connait mieux que moi (c'est pas dur) et a plus d'infos, je veux bien en savoir plus.
            • [^] # Re: Brevets et prédations

              Posté par (page perso) . Évalué à 2.

              Le but du brevet était de favoriser l'adoption d'une technologie sans pour autant que son auteur soit floué.

              Non, le but est que la technologie soit connue même si l'auteur disparaît. Du coup, on a accorder un monopole d'utilisation à l'auteur, qu'il peut licencier s'il veut mais il n'est pas obliger de faire.

              Enfin ça me parait aller à l'encontre de l'idée du brevet au départ

              Justement, le but était que les petits puissent lutter contre les gros avec des idées nouvelles que les gros ne pouvaient pas utiliser.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Brevets et prédations

        Posté par . Évalué à 2.

        Je crois que l'idée est qu'il y aurait des patents trolls de type "prédateur", qui déposent des brevets pouvant couvrir les technologies durant leur développement, et qui ensuite, espèrent bien se faire un max de thune. D'où un coût pas forcément indolore.

        Et il y a des exemples de cas ou des brevets on effectivement freiné de 20 ans l'arrivée d'une technologie (bon, pas par crainte de prédation cependant). Par exemple, le JPEG utilise un codage de Huffman plutôt qu'un codage arithmétique (10% plus efficace en gros), parce qu'à l'époque où ça a été développé, IBM avait un brevet sur le codage arithmétique. Par contre, pour JPEG2000, le problème ne s'est pas posé, les 20 ans étaient passés.
  • # test en ipv6 only

    Posté par . Évalué à -1.

    non le plus grave, c'est que si un usage n'a pas d'ipv4 , la plupart des sites sont inaccessible en ipv6 only

    google marche, mais c'est bien un des rares gros sites,
    linuxfr.org non , facebook non plus...

    bref grosse crise a prévoir de ce coté la.
    • [^] # Re: test en ipv6 only

      Posté par . Évalué à 2.

      La problématique ipv6 du coté hébergement est bien plus complexe que du coté utilisateurs.
      Attendons d'être au pied du mur, là les choses bougeront :)
      • [^] # Re: test en ipv6 only

        Posté par . Évalué à 0.

        pourquoi ? on n'est pas encore au pied du mur ? aller a 2mm du mur, c'est quasi le pied.

        bref ca va etre chaud , sans compter toutes les petites entreprise qui ont peut de competence reseau.

        ca va etre comme le bug de l'an 2000 en pire, car pas de preparations. future situation explosive du jour au lendemain possible.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.