il les a serre et s'est fait taper dessus lui aussi.
Rappelle-moi les sanctions ? Ah oui, payer des dédommagements… en licences de produits MS.
Très beau foutage de gueule de la Justice, là, les mecs, bravo.
C'est l'abus qui est un crime, et ca fait des annees que je demandes qu'on me montre que c'est MS qui en est la cause, PERSONNE n'a jamais amene l'once du gramme de preuve allant dans ce sens.
Montrer les abus de MS, c'est comme quand tu nous dis des choses sur le source d'un produit MS, qu'on ne peut pas voir de toutes façons : personne ne pourra te le montrer clairement. Et tu le sais très bien, ce qui fait que tu auras toujours raison dans tous les cas : balaise ! C'est pour ça que des fois, on a juste envie que tu la fermes.
Ton point de vue compte proportionellement au nombre de gens qui ont le meme avis que toi, c'est bien ca la democratie et le systeme d'offre/demande non ?
Comparer la démocratie au système de l'offre et de la demande… comment dire : faut bien que tu vives aux US pour avoir le cerveau si déformé. Le système libéral du marché est l'anti-thèse de la démocratie représentative. C'est le jeu du plus fort, l'apogée du plus petit dénominateur commun, une illusion de liberté.
Mozilla a su amener un produit qui a plu suffisament pour bouffer des parts
Faut dire que vous y êtes allé fort dans l'incompétence avec IE…
Apple y arrive a chaque fois qu'ils bougent un doigt de pied
Avec des méthodes aussi peu recommandables que celles de MS.
linux y est arrive sur les serveurs
Ça me change la vie ça : ah, attends, le grand public ne sais pas ce qu'est un serveur, ça ne change strictement rien pour lui.
bizarrement Linux sur le desktop lui par contre c'est la faute a MS qui fait des coups bas par contre.
Je m'en branle de linux sur le desktop. Que les gens fassent ce qu'ils veulent avec leur bécane, qu'ils y installent ce qu'ils veulent, que ce soit du linux ou non. Je veux juste avoir le choix. N'essaye pas de détourner la question.
a) La vente liee n'est pas du ressort de MS mais des constructeurs
b) Rien n'empeche les constructeurs d'y mettre un autre OS
Ta gueule. Juste ferme-la.
Tu sais très bien les déséquilibres de puissance, la position dominante, on te le répète tout le temps, tu fais semblant d'oublier, etc.
Au bout d'un moment, on en a marre. Ça te fait marrer, parce que justement tu fais partie de ce pouvoir dominant, mais pas nous. Alors s'il te plaît, arrête de nous pourrir avec cet argument fallacieux du « choix » et de la « liberté » que nous avons tous dans ce fabuleux système « libéral ». Ta boîte nous encule bien profond et on le sait — pas la peine de le rappeler — et ce n'est pas une raison pour essayer de nous faire admettre qu'en plus, c'est parce que nous le voulons bien.
Le pire, c'est que personnellement, je joue le jeu du libéralisme : je n'achète plus de nouvelles machines qui sont vendues avec Windows, j'évite au maximum tout logiciel qui touche de près ou de loin à des formats ou protocoles made in MS. Après, on nous dit que si l'économie numérique va mal c'est justement parce qu'on n'achète pas de produits, et on nous fait des lois liberticides sous ce prétexte. Je subis aussi quotidiennement les inconvénients de tous ceux qui refusent ces formats/protocoles. Pourtant, je devrais être fier : je suis la loi du libéralisme, je joue le jeu. Et donc, si au final mon point de vue ne compte pas, c'est que je dois m'écraser, parce que le marché en a décidé ainsi, non ?
Bizarre, des tribunaux viennent justement de décider le contraire…
Ya que moi qui ai envie de crier « vaporware » en voyant ce site ? Des contraintes impossibles à tenir, mais avec l'espoir que si beaucoup de gens précommandes, ça peut aider, des mockups uniquement, une pauvre page à deux francs, ça sent l'attrape gogo.
Bah, c'est ça le « problème » avec FDN et les projets similaires : si tu te considères comme un « client » et que tu attends que ça soit monté, je crois que tu peux attendre longtemps…
En fait, la plupart du temps, c'est un problème d'œuf de et poule : tant que ton hébergeur/fournisseur de transit ne te fournit pas une connectivité IPv6, ça ne « sert à rien » d'essayer de passer à IPv6, puisque tu n'as pas les moyens de le faire (quoique, tu peux monter un tunnel, mais bon…). Par contre, s'il te le fournit, tu n'auras presque rien à faire : normalement, juste mettre ton IP dans ton /etc/network/interfaces (ou équivalent) et ajouter un AAAA dans ton DNS. Tu redémarres tes services, et c'est bon.
De plus le DNAT fournissait un firewall à pas cher
Ah, c'est sûr, être obligé d'analyser tous les paquets, de tracker certains protocoles, et d'enregistrer chaque correspondance du NAT en mémoire, c'est vachement « moins cher » que de simplement router (ou non) des paquets.
Ça fait des années qu'Orange casse _gravement_ le réseau en ayant sur ses box un resolver DNS qui ignore _sciemment_ toute requête DNS pour un enregistrement autre que A. C'est à dire qu'il ignore les AAAA ; pas en répondant qu'il ne connaît pas, comme le ferait tout resolver qui ne connait pas IPv6, non, non, il est programmé pour laisser les clients faire un timeout sur ce genre de requêtes. Conclusion : ça « casse » tout distro IPv6-ready, c'est à dire toutes aujourd'hui, en faisant que le réseau répond de manière super lente. Pas besoin d'une quelconque connectivité IPv6 non plus : du moment que l'OS le gère, ça provoque le problème.
Accessoirement, ça casse tous les protocoles qui se basent sur les engeristrements SRV, comme Jabber par exemple, pour certains serveurs.
Alors qu'ils arrêtent d'abord de nous péter les couilles avec ça avant d'essayer de gérer l'IPv6 (qui sera fait d'une manière ignoble de toutes façons, j'en suis sûr).
PS: je ne suis bien sûr pas chez eux, mais ce bug a notablement écorné la réputation de linux et d'IPv6 chez un paquet de gens. Merci Orange.
Absolument pas, ma box laisse tout passer, sans que j'ai eu à configurer quoi que ce soit, et c'était le cas de tous les FAI quand la box n'est pas configuré en NAT, à moins d'un changement récent.
Parce que la configuration par défaut (sans NAT) c'est un bridge, et que filtrer quand tu bridges c'est pas super propre, et que le but du bridge, justement, est en général de laisser une autre machine derrière le bridge filtrer elle-même.
Comme dit précédemment, et il semblerai que l'on se soit pas en accord la dessus, ce n'est pas le cas en ipv4, ce n'est pas le cas, en ce moment en ipv6, je ne vois absolument pas pourquoi ça changerai
Parce qu'en IPv4 actuellement, sans NAT, tu bridges (enfin, ta box), alors qu'en IPv6, tu vas router, ce qui n'est pas pareil, et les cas d'usage sont différents, et donc (c'est mon avis) la configuration par défaut aussi.
Free n'est peut-être pas encore décidé là-dessus. Moi je pense aussi qu'ils n'ont pas encore mis les moyen pour pousser la connectivité IPv6 jusqu'au bout, et qu'à défaut d'avoir une interface web pour configurer le firewall de la freebox en v6, ils ne filtrent rien. C'est tout le problème de ne pas avoir la maîtrise du « CPE », comme on dit.
ah oui c'est clair que faire un ssh user@rubicon ... /bin/su ; iptables ... c'est plus simple... (en plus de devoir taper un mot de passe root)
Je dirais que tu te poses les mauvaises questions. Si c'est pour une redirection temporaire, c'est que c'est donc pour accéder à certains services de ton réseau ? Monte alors un VPN. Ça tombe bien, IPSEC est fait pour ça : filtre les connexions entrantes de ton réseau, mais tout ce qui arrive par IPSEC passera. Ainsi, quand tu as la « clé » de ton réseau, toutes tes machines deviennent « visibles », ou plutôt atteignables. Et tout ça en gardant le même adressage que tu sois à l'intérieur ou à l'extérieur !
mais SSH marche très bien pour faire mes tests...
Au pire, tu peux toujours faire un SSH sur la machine directement (en laissant passer le SSH depuis l'extérieur pour toutes les machines), mais dans la limite où le service que tu veux atteindre est accessible en SSH ; ça gène un peu pour les machines Windows, effectivement.
En fait, faire du v6, c'est à dire de l'IP routé, c'est une vision vraiment différente du NAT ; il faut revoir un peu sa manière de penser.
Mais par défaut, quand je configure un nat, les machine derrière ne sont pas accessible, alors oui par défaut un firewall ne fait pas de nat, mais à partir du moment où tu as ajouté la règle magique ainsi que le echo 1 > /proc/net/.../ip_forward tu es en nat, et a moins de rajouter une règle à la con, les machine derrières ne sont pas accessible.
Encore une fois, une règle aussi en IPv6 pour que les machines derrière ne soient pas accessible. Je ne vois pas la différence.
Le fait que ce soit ou non un firewall derrière je m'en fout, (enfin moi non), ce que je veux c'est pas un firewall, c'est que les machine derrière puisse accéder à internet que ce soit ipv421 ip666 ou ip111 c'est le cadet de mes soucis. La limitation d'adresse ipv4 force un NAT; que ce NAT soit fait sur un firewall n'est pas l'important.
Si demain y a plus besoin de nat, le firewall imposé par le nat disparaîtra chez un paquet de gens.
Je pense que la conf par défaut des FAI qui feront « bien » leur boulot, ce sera de bloquer les connexions entrantes. Actuellement, c'est surtout les geeks qui s'y sont intéressés, donc au contraire un blocage par défaut aurait sûrement provoqué un tollé. Je pense qu'avec la maturité du l'offre, on va voir certains paramètres par défaut changer.
Et juste pour relancer une petite pique, si les gens avaient plus le choix dans le matériel qu'ils utilisent pour accéder à leur FAI (leur box, quoi), peut-être que certains se seraient plus vite bougé le cul en voyant les clients qui gueulent.
Sous linux oui c'est iptables qui s'en charge; sous windows ça ne l'est sûrement pas.
Je pense que c'est la stack réseau niveau kernel, comme linux. iptables ne veut pas dire « firewall », comme son nom l'indique : il manipule la gestion des paquets au niveau du kernel. Que ce soit pour filtrer le trafic, ce qu'on appelle couramment « firewall », ou pour faire du NAT, ou pour faire de la QoS, ou pour faire quoi que ce soit d'autre.
Pourquoi ne pas simplement gérer en local 2 interfaces ?
Parce que ça sert à rien et qu'on sait mettre plusieurs IP sur une même interface depuis longtemps.
Une avec adresse MAC fixe et une autre avec l'adresse MAC qui change tout le temps (dès qu'on le souhaite)
Je pense qu'il y a une grosse incompréhension sur cette histoire d'adresse MAC : c'est _une_ méthode d'attribuer l'IP d'une interface, mais après tu peux aussi choisir l'IP que tu veux. Pas la peine de bidouiller les adresses MAC pour ça, heureusement.
Pour beaucoup ça évite aussi une réécriture d'un soft ipv4.
Ah bah oui c'est clair, mais jusqu'à quand on va continuer à écrire des softs basés sur une technologie qui ne peut pas supporter un Internet moderne ?
La différence, c'est qu'une machine derrière un nat ne peut, par définition, pas être accessible sans configuration particulière (port forwarding)
une machine en ipv6, est par définition accessible. La configuration du firewall est un plus absolument pas indispensable.
Bon, je ne sais pas comment ne pas m'énerver, je l'avais déjà expliqué là à l'époque : https://linuxfr.org//comments/1001451.html#1001451
Ça fait deux ans, et toujours autant d'ignorance…
Alors, en gras, puisque tu ne veux pas comprendre : le nat _EST_ une règle du firewall, bordel de merde !. « Par défaut », on a une règle _en moins_ quand on ne fait pas de NAT. Et on en a _autant_ quand on rajoute la règle qui provoque l'effet _équivalent_ au nat de bloquer les connexions entrantes.
C'est ce que j'ai chez moi et pendant un temps uniquement certaines machines étaient forwardé - maintenant tout le réseau local est forwardé, par contre si j'ai effectivement fait du port forwarding avec iptables, j'ai trouvé ssh plus pratique (pour la plage de port >1024) (pas besoin de passer par root)
Ah, encore mieux que le NAT : utiliser le layer 5 pour palier les problèmes de pénurie d'IPv4… Genial.
Tu peux détailler?
Déjà fait au dessus. Ce que je voulais dire dans la remarque que tu cites, c'est que je pense que les FAI ont un minimum de « jugeote » (i.e. ils savent que derrière leurs box se trouvent des passoires) et bloqueront par défaut les connexions entrantes sur leurs routeurs IPv6. C'est tout.
Je crois que tu te plantes radicalement sur mon compte, je suis pour le passage en ipv6, ne serai-ce que pour la souplesse que ça apporte, mais nier qu'une passerelle NAT apporte une certaine sécurité au réseau derrière, est, a mon avis, une erreur monumentale. Oui la machine nat peut être remplacé par un pare feu, et dans beaucoup de cas cela devra être fait, mais moi ça me ferai grave chier que par défaut les box bloquent tout et qu'il faille se connecter dessus pour dire oui le trafic sur les ports 21,22, 194, 443, 80, 995, allant vers telles machine c'est ok. Et encore j'en oublie, les partage bittorrent, et autre truc dont je ne suis pas forcément au courant des ports utilisé, et si les box par défaut laissent tout passer, va y avoir un paquet d'ordi infecté.
Mais t'es con ou t'es con ? Ta passerelle IPv6 bloquera par défaut les connexions entrantes, et te proposera une jolie interface web pour configurer quoi laisser passer où. Exactement comme le fait actuellement ta box.
T'as bien douté : j'ai cherché une référence mais je n'ai rien trouvé… Du coup j'ai un doute aussi. Je ne sais pas d'où vient cette idée. Peut des instructions dst/dsdt et consort de l'Altivec, qui conseillent le processeur sur l'utilisation du cache, mais pas sur le branchement.
Je vais continuer à chercher, mais peut-être donc que ça n'existe pas. (j'irai bien voir du côté du Cell, qui a pas mal d'instructions « explicites » sur différents aspects du CPU et des SPU)
Je comprends tes réticences, surtout sur un projet comme OpenWRT où tout n'est pas toujours très clair. Mais sache que perso, en tant que bidouilleur de routeurs (j'en suis pas à mon premier flashage d'OpenWRT, ça doit bien faire 5 routeurs aujourd'hui) j'ai choisi ce modèle Buffalo pour avoir un routeur performant et qui marche bien : j'ai assez goûté du routeur qui marche à peu près avec 3 patchs sur la dernière version SVN. Ici, il est officiellement déclaré comme « supporté » http://wiki.openwrt.org/toh/start#buffalo et t'as des images précompilées de Backfire pour lui : http://downloads.openwrt.org/backfire/10.03.1-rc4/ar71xx/ (ok, ça c'est pas une version finale, mais tu as une 10.3 finale qui date un peu si tu veux, même si il me semble qu'il y avait encore quelques bugs à l'époque, d'où mon choix de la 10.3.1). Plus d'infos ici : http://wiki.openwrt.org/toh/buffalo/wzr-hp-g300h
En ce qui concerne les VLANs, je n'ai jamais rien fait de plus que de réassigner les ports (et ça marche), mais /normalement/ tu dois pouvoir assigner n'importe quel numéro de vlan à tel endroit, etc. Un peu de doc : http://wiki.openwrt.org/doc/uci/network#switch
Mais je n'ai pas énormément de connaissances là-dedans, donc je te laisse faire des recherches. Si tu trouves des infos ou si tu veux que je fasse des tests, je peux.
L'article ne semble pas le dire, mais sur certaines archi (PowerPC en ce qui me concerne, mais il me semble que sur x86 récent aussi) certaines instructions assembleur peuvent avoir un flag qui indique la branche la plus probable. Ça aide le prédicteur de branchement du CPU. Même si le fait de mettre la branche la moins probable « plus loin » dans le code comme le fait GCC dans l'article est la manière la plus « simple » de dire au CPU quelle est la branche qui sera sûrement prise (ou pas), sur x86. C'est le côté CISC : l'ordonnanceur d'instructions est super complexe et essaye de deviner l'intention du programmeur. Sur PowerPC, on compte sur le compilo pour aider le CPU.
Alors Oui, on peut avoir une passerelle IPV6 qui fait pare feu, mais là j'ai plusieurs remarques :
* ) qui va le faire?
Bah, les même que ceux qui font les box actuellement ? Forcément, si les gens pensent qu'il existe une solution gratuite à la raréfaction de l'adressage v4, on ne va pas y arriver. En même temps, vu tout l'argent perdu à contourner les NAT, je me demande ce qui revient le moins cher au final…
*) si les FAI font un pare feu trop violent sur leur box y a encore des gens qui vont râler
Mais qu'est-ce que ça veut dire, bordel ? C'est quoi la différence avec une box qui NAT ? As-tu déjà utilisé iptables ? Tu sais que le port forwarding, c'est deux lignes (1 règle ACCEPT dans le forward, et 1 règle DNAT), et que quand t'enlèves la règle de DNAT, il te reste la ligne dont tu as besoin pour faire passer ta connexion en v4 ou v6, en adaptant les adresses, tout ça sans NAT ?!?!
*) si ils laissent tout passer, c'est l'utilisateur bêta qui va se faire véroler ses machines mal protégées
J'adore les mecs qui supposent des trucs complètement irréalistes pour soutenir leurs propositions.
Bordel, tant d'incompétence, tu devrais être punis à RTFM pendant un mois.
Et puis au final, je pense que les mecs comme toi feront moins les malins le jour où ils n'auront plus d'IP publique du tout et seront NATés derrière le gros NAT de leur FAI, sans aucun contrôle sur celui-ci…
Alors renseigne toi un peu avant de balancer d'autres conneries… Si je dis que c'est de l'opposition, c'est parce que tu balances des arguments complètement faux qui montrent que tu as des lacunes techniques.
- Dissimuler à autrui l'architecture d'un réseau interne.
J'adore les gens qui ont ça pour unique argument pas faux techniquement. Mais dis moi, tu dissimules bien tes cookies, tu bloques bien tous les sites de tracking, etc ? Ceux-là envoient 100 fois plus d'infos à l'extérieur que l'« architecture » de ton réseau. (et elle a quoi de si secret ton archi réseau ? Houa, t'as deux ordinateurs derrière ta box, c'est la fuite d'info de l'année)
- Proxy transparent.
Gni ? Aucun rapport, tu peux faire un proxy transparent en v6 aussi si tu veux.
- Redirection de port pour répartir la charge sur plusieurs serveurs.
Bah l'anycast c'est fait pour, même si de manière plus réaliste tu va peux-être utiliser du NATv6 ou autre (je connais pas trop ce domaine).
- Redondance économique sur plusieurs FAI et répartition de charge.
Et en français ? Ou alors c'est la même chose que la ligne précédente ?
Dernière exemple, rien que pour la confidentialité, sans NAT, l'IPv6 sera comme un cookie que tu ne peux pas effacer.
N'importe quoi.
Il est sur que pour un particulier qu'il y ai du NAT ou non , çà ne changera rien dans ce cas.
Bon, si ton point de vue est « le NAT ne disparaîtra pas », sache que je suis complètement d'accord avec toi : on aura toujours du NATv4 pour la connectivité de plein de monde. Mais le débat ici c'était sur les fausses informations diffusées par ceux qui n'y connaissent rien à IPv6 (et IPv4, même : la plupart des principes énoncés ne sont pas spécifiques à IPv4, mais au NAT ; et oui, on peut très bien router plusieurs IPv4 derrière sa box, si on a un bon FAI…).
Pour les vlans taggués, le Buffalo utilise un switch Realtek rtl8366s donc pas de problème. Quasiment tous les switchs gèrent les tags, en général c'est juste le manque de doc matériel qui fait que le driver le gère mal. Mais aucun problème pour ce modèle-là.
Autres infos pertinentes :
Bon, je le redis, je vomis sur Netgear et ces initiatives hypocrites de merde (regarde combien de temps ils supportent leur routeur avec du soft up-to-date), et je vomis sur DD-WRT et ses violations de la GPL (OK ça fait longtemps que j'ai pas regardé s'ils se sont mis en conformité, mais quand je vois leurs packages avec mélange de libre et de proprio… mouai).
Sache que le boulot de DD-WRT est en très grande partie basé sur OpenWRT, avec des briques de proprio dessus. Et ils ne reversent jamais aucun code pour supporter des routeurs qu'OpenWRT ne supporte pas encore. Je comprends que des gens soutiennent le côté « user friendly », mais quand c'est au détriment du libre, non.
des bugs reports clairement système (pas genre bug chaise clavier), et aussi le fait que ça avait l'air un peu abandonner, m'a donner l'impression d'être juste une anti-chambre pour des produits "basé sur open-wrt" mais commerciaux.
C'est donc un double merci. Merci de ces remarques, qui m'incitent à approfondir au delà du ressenti ou des "on dit" vers open-wrt.
Alors, les bug report abandonnés c'est vrai que c'est pas top, mais ce n'est pas pour ça que je système n'avance pas, bien au contraire ! C'est quoi les « on dit » sur OpenWRT ? Je ne vois pas ce que tu veux dire par l'« antichambre » des autres distros, mais OpenWRT est le _moteur_ de tous les développements linux sur routeur ! C'est une distro qui fait certes un peu trop développeur (peu de doc, peu de communication), mais c'est la base de toutes les autres et ça avance très vite ! Toutes les autres ne sont que des surcouches à OpenWRT… Je pense qu'il y a un gros malentendu là dessus, et c'est très dommage car les mecs qui font du blé sur des dérivées d'OpenWRT sans reverser les sources ça pète un peu les couilles aux devs des fois. Sans OpenWRT, les autres ne sont rien. C'est un peu la Debian des routeurs.
Pas besoin ni de la 3g
Ya pas de 3G, c'est une appellation marketing foireuse : ya un port USB pour y brancher une clé 3G et le support soft, c'est tout. En passant, c'est aussi censé marcher sous OpenWRT.
Marche nickel sous OpenWRT, tout gigabit, sinon, c'est vrai qu'il ressemble un peu à ton netgear niveau specs (400MHz, 64Mo pour le Buffalo, et en Atheros ar71xx ce qui est bon signe pour moi, largement mieux que ces enculés de Broadcom). Mais bon, Netgear, j'ai arrêté, entre la qualité de leur matos et l'énorme hypocrisie du routeur « ouvert » : ils le sont moins que tous les autres, avec des specs plus pourries, et tu le payes plus cher…
Ah, il gère bien les vlans comme il faut aussi. C'est le routeur gigabit le mieux supporté sous OpenWRT je crois, et vu l'activité autour, je pense que pas mal de devs en ont un.
Après, c'est certes un peu cher et pas facile à trouver, mais la tranquillité d'esprit d'avoir un truc qui marche sans bidouille (l'install c'est un coup de « tftp put » au boot, de mémoire) et qui a de bonnes perfs, ça n'a pas de prix.
Bon, c'est normal mais dommage que tu te sois fait moinsser, car tu énonces toutes les bêtises habituelles des gens qui n'ont rien compris à l'IPv6 (ou IP même en général, puisqu'à la base le NAT n'est qu'une invention qui sert à défigurer IP tel qu'il a été inventé, avant de se rendre compte qu'il n'y aurait jamais assez d'IPv4 pour tout le monde). Mais comme je pense que tu es sérieux dans ta méconnaissance d'IP, et vu que beaucoup de gens font les même erreurs, j'explique :
* ça permet de permettre à plusieurs machines à accéder au WEB sans avoir à payer plusieurs adresses IPV4
IP permet à tout un tas de machines d'accéder au Web et même à Internet en général, et tout cela sans jamais faire payer quelque IP que ce soit. Heureusement pour nous, les IP sont encore à peu près gratuites, tout du moins, pour IPv6, parce que pour IPv4 ça va sûrement se gâter.
* un effet de bord non négligeable, est que ça protège les machines derrière. Alors les moinsseurs fous attendez avant de le faire.
=> le temps de survie d'un windows XP non patché tout frais installé derrière une box configuré en pont est inférieur au temps nécessaire au télé-chargement des mises à jours; derrière un NAT, les ports béants ne sont pas accessibles et le windows ne se prend pas de virus. Je n'ai changé de politique que lorsque des potes sont venus brancher des machines sur le réseau local (à ce moment la le pc tournait sous nux, mais au cas où la fois suivante il serait sous l'autre OS, j'ai préféré prendre les devant)
Bon, là tu fais une grave erreur : pour toi, en dehors du NAT, point de filtrage. Ta « box », c'est un routeur. Actuellement, en « plus » de faire du simple routage, elle ajoute une couche de NAT. Mais sinon, en IPv6 ou en IPv4 (avec ou sans NAT), ton routeur est toujours capable d'effectuer l'opération de base qu'est filtrer la traffic (après son rôle principal, qui est de… router). Tu peux toujours choisir de dire « pour tous les ordis qui sont derrière mon routeur/ma box, on ne laisse pas de connexion entrante se faire ». C'est la base.
* c'est simple à configurer.
Pourquoi l'IPv6 serait plus compliqué ? Parce qu'on écrit les adresses différemment ? C'est exactement pareil, modulo la forme des adresses. Les principes d'IP de base sont toujours respectés.
* j'ai pas à me poser des questions si y a une adresse de libre, j'ai juste à brancher sur le réseau, le serveur dhcp s'occupe du reste
Pareil en IPv6, voire mieux. On ne se pose pas la question de savoir s'il y a une adresse de libre, vu que ton FAI t'en file des milliards… Et puis ton ordi s'occupe tout seul de s'attribuer une adresse. Aucun problème de ce côté là.
* ça permet de rediriger des flux en fonction de leur source/destination, changer les ports...
Filtrer un fonction de la source/destination… ça se fait exactement pareil en IPv6. Comme dit plus haut, c'est du filtrage, ça se fait exactement pareil qu'en v4, sauf que le programme s'appelle ip6tables au lieu de iptables, si tu veux mettre les mains dans le cambouis…
Ensuite, question : tu t'es posé la question de la raison pour laquelle tu « changes des ports » ? (je suppose que tu parles de port-forwarding) Parce que tu ne peux pas avoir plusieurs machines qui écoutent sur le même port derrière ton NAT. En v6, tu vas simplement autoriser tel(s) port(s) vers telle(s) machine(s). Tout le monde peut faire du P2P, monter les serveurs qu'il veut, sans problème.
* un seul point d'accès à sécuriser. Ce point n'est pas négligeable.
Pareil en v6 : ton routeur…
En fait, je pense qu'il y a un truc fondamental dans ce que tu n'as pas compris que je n'ai pas compris.
Essaye de « débloquer » ton opposition farouche et aveugle contre IPv6, et tu verras que ce n'est pas la merde que tu penses (parce que si IPv6 avait effectivement tous ces défauts, personne n'en voudrait…)
Mais qu'est-ce que ça veut dire ?!
Si l'hébergeur a empêché quelqu'un de dire quelque chose de parfaitement légal parce qu'il avait un doute sur la légalité de la chose, peut-il s'en tirer sans conséquences ? Est-ce normal ? C'est quoi ce pouvoir qu'on donne aux "hébergeurs" ?
deux maillons faibles à la place de un, deux fois plus de chance d'être déconnecté
Effectivement, il est plus compliqué de maintenir deux serveurs qu'un seul ; ça augmente la probabilité des problèmes (peut-être pas doubler, quand même), mais entre _ces deux serveurs_. Globalement, la probabilité d'avoir un problème _chez tout le monde_ est quasi nulle, contrairement à Skype.
Alors forcément, quand _ton_ service est HS alors que celui des autres marche, t'as les boules. Mais même si ce genre de problème est plus courant dans un système décentralisé, puisqu'il y a plus de « points faibles », au moins, ça concerne beaucoup moins de monde ! Donc au final, _globalement_, c'est plus fiable.
T'as l'air d'avoir abandonné ton critère de robustesse… Bref, de toutes façons, si tu ne fais pas de concession sur le prix, tu devras en faire autre part.
[^] # Re: Maintenant, la suite
Posté par benoar . En réponse à la dépêche Double victoire pour Racketiciel : la Cour de cassation vient de statuer par deux fois sur la vente liée. Évalué à 3.
Rappelle-moi les sanctions ? Ah oui, payer des dédommagements… en licences de produits MS.
Très beau foutage de gueule de la Justice, là, les mecs, bravo.
[^] # Re: Maintenant, la suite
Posté par benoar . En réponse à la dépêche Double victoire pour Racketiciel : la Cour de cassation vient de statuer par deux fois sur la vente liée. Évalué à 2.
Montrer les abus de MS, c'est comme quand tu nous dis des choses sur le source d'un produit MS, qu'on ne peut pas voir de toutes façons : personne ne pourra te le montrer clairement. Et tu le sais très bien, ce qui fait que tu auras toujours raison dans tous les cas : balaise ! C'est pour ça que des fois, on a juste envie que tu la fermes.
Ton point de vue compte proportionellement au nombre de gens qui ont le meme avis que toi, c'est bien ca la democratie et le systeme d'offre/demande non ?
Comparer la démocratie au système de l'offre et de la demande… comment dire : faut bien que tu vives aux US pour avoir le cerveau si déformé. Le système libéral du marché est l'anti-thèse de la démocratie représentative. C'est le jeu du plus fort, l'apogée du plus petit dénominateur commun, une illusion de liberté.
Mozilla a su amener un produit qui a plu suffisament pour bouffer des parts
Faut dire que vous y êtes allé fort dans l'incompétence avec IE…
Apple y arrive a chaque fois qu'ils bougent un doigt de pied
Avec des méthodes aussi peu recommandables que celles de MS.
linux y est arrive sur les serveurs
Ça me change la vie ça : ah, attends, le grand public ne sais pas ce qu'est un serveur, ça ne change strictement rien pour lui.
bizarrement Linux sur le desktop lui par contre c'est la faute a MS qui fait des coups bas par contre.
Je m'en branle de linux sur le desktop. Que les gens fassent ce qu'ils veulent avec leur bécane, qu'ils y installent ce qu'ils veulent, que ce soit du linux ou non. Je veux juste avoir le choix. N'essaye pas de détourner la question.
[^] # Re: Maintenant, la suite
Posté par benoar . En réponse à la dépêche Double victoire pour Racketiciel : la Cour de cassation vient de statuer par deux fois sur la vente liée. Évalué à 3.
b) Rien n'empeche les constructeurs d'y mettre un autre OS
Ta gueule. Juste ferme-la.
Tu sais très bien les déséquilibres de puissance, la position dominante, on te le répète tout le temps, tu fais semblant d'oublier, etc.
Au bout d'un moment, on en a marre. Ça te fait marrer, parce que justement tu fais partie de ce pouvoir dominant, mais pas nous. Alors s'il te plaît, arrête de nous pourrir avec cet argument fallacieux du « choix » et de la « liberté » que nous avons tous dans ce fabuleux système « libéral ». Ta boîte nous encule bien profond et on le sait — pas la peine de le rappeler — et ce n'est pas une raison pour essayer de nous faire admettre qu'en plus, c'est parce que nous le voulons bien.
Le pire, c'est que personnellement, je joue le jeu du libéralisme : je n'achète plus de nouvelles machines qui sont vendues avec Windows, j'évite au maximum tout logiciel qui touche de près ou de loin à des formats ou protocoles made in MS. Après, on nous dit que si l'économie numérique va mal c'est justement parce qu'on n'achète pas de produits, et on nous fait des lois liberticides sous ce prétexte. Je subis aussi quotidiennement les inconvénients de tous ceux qui refusent ces formats/protocoles. Pourtant, je devrais être fier : je suis la loi du libéralisme, je joue le jeu. Et donc, si au final mon point de vue ne compte pas, c'est que je dois m'écraser, parce que le marché en a décidé ainsi, non ?
Bizarre, des tribunaux viennent justement de décider le contraire…
[^] # Re: Précisions
Posté par benoar . En réponse au message disque dur externe. Évalué à 4.
[^] # Re: J'attends juin
Posté par benoar . En réponse au journal Bonne affaire sur livre électronique (mais il faut se dépêcher !). Évalué à 3.
[^] # Re: Bonne chance !
Posté par benoar . En réponse au journal Montage d'un FAI associatif sur l'Alsace. Évalué à 2.
Bah, c'est ça le « problème » avec FDN et les projets similaires : si tu te considères comme un « client » et que tu attends que ça soit monté, je crois que tu peux attendre longtemps…
[^] # Re: Et linuxfr alors ?
Posté par benoar . En réponse à la dépêche 8/6/2011 : IPv6 pour de vrai. Évalué à 2.
[^] # Re: mauvais problème
Posté par benoar . En réponse au journal IPv6 et conséquences sur l'anonymat. Évalué à 10.
Ah, c'est sûr, être obligé d'analyser tous les paquets, de tracker certains protocoles, et d'enregistrer chaque correspondance du NAT en mémoire, c'est vachement « moins cher » que de simplement router (ou non) des paquets.
# Vraiment ?
Posté par benoar . En réponse au journal L'IPv6 Chez Orange. Évalué à 10.
Accessoirement, ça casse tous les protocoles qui se basent sur les engeristrements SRV, comme Jabber par exemple, pour certains serveurs.
Alors qu'ils arrêtent d'abord de nous péter les couilles avec ça avant d'essayer de gérer l'IPv6 (qui sera fait d'une manière ignoble de toutes façons, j'en suis sûr).
PS: je ne suis bien sûr pas chez eux, mais ce bug a notablement écorné la réputation de linux et d'IPv6 chez un paquet de gens. Merci Orange.
[^] # Re: Pas forcément la fin du NAT
Posté par benoar . En réponse au journal IPcalypse : J - 42. Évalué à 2.
Parce que la configuration par défaut (sans NAT) c'est un bridge, et que filtrer quand tu bridges c'est pas super propre, et que le but du bridge, justement, est en général de laisser une autre machine derrière le bridge filtrer elle-même.
Comme dit précédemment, et il semblerai que l'on se soit pas en accord la dessus, ce n'est pas le cas en ipv4, ce n'est pas le cas, en ce moment en ipv6, je ne vois absolument pas pourquoi ça changerai
Parce qu'en IPv4 actuellement, sans NAT, tu bridges (enfin, ta box), alors qu'en IPv6, tu vas router, ce qui n'est pas pareil, et les cas d'usage sont différents, et donc (c'est mon avis) la configuration par défaut aussi.
tiens si mon expérience personnelle ne te suffit pas en voila un autre qui a fait le même constat
http://blog.koreus.com/freebox-routeur-ipv6/
Free n'est peut-être pas encore décidé là-dessus. Moi je pense aussi qu'ils n'ont pas encore mis les moyen pour pousser la connectivité IPv6 jusqu'au bout, et qu'à défaut d'avoir une interface web pour configurer le firewall de la freebox en v6, ils ne filtrent rien. C'est tout le problème de ne pas avoir la maîtrise du « CPE », comme on dit.
ah oui c'est clair que faire un ssh user@rubicon ... /bin/su ; iptables ... c'est plus simple... (en plus de devoir taper un mot de passe root)
Je dirais que tu te poses les mauvaises questions. Si c'est pour une redirection temporaire, c'est que c'est donc pour accéder à certains services de ton réseau ? Monte alors un VPN. Ça tombe bien, IPSEC est fait pour ça : filtre les connexions entrantes de ton réseau, mais tout ce qui arrive par IPSEC passera. Ainsi, quand tu as la « clé » de ton réseau, toutes tes machines deviennent « visibles », ou plutôt atteignables. Et tout ça en gardant le même adressage que tu sois à l'intérieur ou à l'extérieur !
mais SSH marche très bien pour faire mes tests...
Au pire, tu peux toujours faire un SSH sur la machine directement (en laissant passer le SSH depuis l'extérieur pour toutes les machines), mais dans la limite où le service que tu veux atteindre est accessible en SSH ; ça gène un peu pour les machines Windows, effectivement.
En fait, faire du v6, c'est à dire de l'IP routé, c'est une vision vraiment différente du NAT ; il faut revoir un peu sa manière de penser.
Mais par défaut, quand je configure un nat, les machine derrière ne sont pas accessible, alors oui par défaut un firewall ne fait pas de nat, mais à partir du moment où tu as ajouté la règle magique ainsi que le echo 1 > /proc/net/.../ip_forward tu es en nat, et a moins de rajouter une règle à la con, les machine derrières ne sont pas accessible.
Encore une fois, une règle aussi en IPv6 pour que les machines derrière ne soient pas accessible. Je ne vois pas la différence.
Le fait que ce soit ou non un firewall derrière je m'en fout, (enfin moi non), ce que je veux c'est pas un firewall, c'est que les machine derrière puisse accéder à internet que ce soit ipv421 ip666 ou ip111 c'est le cadet de mes soucis. La limitation d'adresse ipv4 force un NAT; que ce NAT soit fait sur un firewall n'est pas l'important.
Si demain y a plus besoin de nat, le firewall imposé par le nat disparaîtra chez un paquet de gens.
Je pense que la conf par défaut des FAI qui feront « bien » leur boulot, ce sera de bloquer les connexions entrantes. Actuellement, c'est surtout les geeks qui s'y sont intéressés, donc au contraire un blocage par défaut aurait sûrement provoqué un tollé. Je pense qu'avec la maturité du l'offre, on va voir certains paramètres par défaut changer.
Et juste pour relancer une petite pique, si les gens avaient plus le choix dans le matériel qu'ils utilisent pour accéder à leur FAI (leur box, quoi), peut-être que certains se seraient plus vite bougé le cul en voyant les clients qui gueulent.
Sous linux oui c'est iptables qui s'en charge; sous windows ça ne l'est sûrement pas.
Je pense que c'est la stack réseau niveau kernel, comme linux. iptables ne veut pas dire « firewall », comme son nom l'indique : il manipule la gestion des paquets au niveau du kernel. Que ce soit pour filtrer le trafic, ce qu'on appelle couramment « firewall », ou pour faire du NAT, ou pour faire de la QoS, ou pour faire quoi que ce soit d'autre.
[^] # Re: Re:IPv6çaylemal
Posté par benoar . En réponse au journal La fin du monde est prévue le 8 juin 2011. Évalué à 4.
Parce que ça sert à rien et qu'on sait mettre plusieurs IP sur une même interface depuis longtemps.
Une avec adresse MAC fixe et une autre avec l'adresse MAC qui change tout le temps (dès qu'on le souhaite)
Je pense qu'il y a une grosse incompréhension sur cette histoire d'adresse MAC : c'est _une_ méthode d'attribuer l'IP d'une interface, mais après tu peux aussi choisir l'IP que tu veux. Pas la peine de bidouiller les adresses MAC pour ça, heureusement.
[^] # Re: Pas forcément la fin du NAT
Posté par benoar . En réponse au journal IPcalypse : J - 42. Évalué à 4.
Ah bah oui c'est clair, mais jusqu'à quand on va continuer à écrire des softs basés sur une technologie qui ne peut pas supporter un Internet moderne ?
La différence, c'est qu'une machine derrière un nat ne peut, par définition, pas être accessible sans configuration particulière (port forwarding)
une machine en ipv6, est par définition accessible. La configuration du firewall est un plus absolument pas indispensable.
Bon, je ne sais pas comment ne pas m'énerver, je l'avais déjà expliqué là à l'époque : https://linuxfr.org//comments/1001451.html#1001451
Ça fait deux ans, et toujours autant d'ignorance…
Alors, en gras, puisque tu ne veux pas comprendre : le nat _EST_ une règle du firewall, bordel de merde !. « Par défaut », on a une règle _en moins_ quand on ne fait pas de NAT. Et on en a _autant_ quand on rajoute la règle qui provoque l'effet _équivalent_ au nat de bloquer les connexions entrantes.
C'est ce que j'ai chez moi et pendant un temps uniquement certaines machines étaient forwardé - maintenant tout le réseau local est forwardé, par contre si j'ai effectivement fait du port forwarding avec iptables, j'ai trouvé ssh plus pratique (pour la plage de port >1024) (pas besoin de passer par root)
Ah, encore mieux que le NAT : utiliser le layer 5 pour palier les problèmes de pénurie d'IPv4… Genial.
Tu peux détailler?
Déjà fait au dessus. Ce que je voulais dire dans la remarque que tu cites, c'est que je pense que les FAI ont un minimum de « jugeote » (i.e. ils savent que derrière leurs box se trouvent des passoires) et bloqueront par défaut les connexions entrantes sur leurs routeurs IPv6. C'est tout.
Je crois que tu te plantes radicalement sur mon compte, je suis pour le passage en ipv6, ne serai-ce que pour la souplesse que ça apporte, mais nier qu'une passerelle NAT apporte une certaine sécurité au réseau derrière, est, a mon avis, une erreur monumentale. Oui la machine nat peut être remplacé par un pare feu, et dans beaucoup de cas cela devra être fait, mais moi ça me ferai grave chier que par défaut les box bloquent tout et qu'il faille se connecter dessus pour dire oui le trafic sur les ports 21,22, 194, 443, 80, 995, allant vers telles machine c'est ok. Et encore j'en oublie, les partage bittorrent, et autre truc dont je ne suis pas forcément au courant des ports utilisé, et si les box par défaut laissent tout passer, va y avoir un paquet d'ordi infecté.
Mais t'es con ou t'es con ? Ta passerelle IPv6 bloquera par défaut les connexions entrantes, et te proposera une jolie interface web pour configurer quoi laisser passer où. Exactement comme le fait actuellement ta box.
[^] # Re: Traçage et performances
Posté par benoar . En réponse à la dépêche Sortie de la version 2.6.37 du noyau Linux. Évalué à 2.
T'as bien douté : j'ai cherché une référence mais je n'ai rien trouvé… Du coup j'ai un doute aussi. Je ne sais pas d'où vient cette idée. Peut des instructions dst/dsdt et consort de l'Altivec, qui conseillent le processeur sur l'utilisation du cache, mais pas sur le branchement.
Je vais continuer à chercher, mais peut-être donc que ça n'existe pas. (j'irai bien voir du côté du Cell, qui a pas mal d'instructions « explicites » sur différents aspects du CPU et des SPU)
[^] # Re: Buffalo Technology WZR-HP-G300NH
Posté par benoar . En réponse au message [Orange NoLifeBox] remplacement. Évalué à 2.
En ce qui concerne les VLANs, je n'ai jamais rien fait de plus que de réassigner les ports (et ça marche), mais /normalement/ tu dois pouvoir assigner n'importe quel numéro de vlan à tel endroit, etc. Un peu de doc : http://wiki.openwrt.org/doc/uci/network#switch
Mais je n'ai pas énormément de connaissances là-dedans, donc je te laisse faire des recherches. Si tu trouves des infos ou si tu veux que je fasse des tests, je peux.
[^] # Re: Traçage et performances
Posté par benoar . En réponse à la dépêche Sortie de la version 2.6.37 du noyau Linux. Évalué à 2.
[^] # Re: Pas forcément la fin du NAT
Posté par benoar . En réponse au journal IPcalypse : J - 42. Évalué à 2.
* ) qui va le faire?
Bah, les même que ceux qui font les box actuellement ? Forcément, si les gens pensent qu'il existe une solution gratuite à la raréfaction de l'adressage v4, on ne va pas y arriver. En même temps, vu tout l'argent perdu à contourner les NAT, je me demande ce qui revient le moins cher au final…
*) si les FAI font un pare feu trop violent sur leur box y a encore des gens qui vont râler
Mais qu'est-ce que ça veut dire, bordel ? C'est quoi la différence avec une box qui NAT ? As-tu déjà utilisé iptables ? Tu sais que le port forwarding, c'est deux lignes (1 règle ACCEPT dans le forward, et 1 règle DNAT), et que quand t'enlèves la règle de DNAT, il te reste la ligne dont tu as besoin pour faire passer ta connexion en v4 ou v6, en adaptant les adresses, tout ça sans NAT ?!?!
*) si ils laissent tout passer, c'est l'utilisateur bêta qui va se faire véroler ses machines mal protégées
J'adore les mecs qui supposent des trucs complètement irréalistes pour soutenir leurs propositions.
Bordel, tant d'incompétence, tu devrais être punis à RTFM pendant un mois.
Et puis au final, je pense que les mecs comme toi feront moins les malins le jour où ils n'auront plus d'IP publique du tout et seront NATés derrière le gros NAT de leur FAI, sans aucun contrôle sur celui-ci…
[^] # Re: Pas forcément la fin du NAT
Posté par benoar . En réponse au journal IPcalypse : J - 42. Évalué à 2.
Alors renseigne toi un peu avant de balancer d'autres conneries… Si je dis que c'est de l'opposition, c'est parce que tu balances des arguments complètement faux qui montrent que tu as des lacunes techniques.
- Dissimuler à autrui l'architecture d'un réseau interne.
J'adore les gens qui ont ça pour unique argument pas faux techniquement. Mais dis moi, tu dissimules bien tes cookies, tu bloques bien tous les sites de tracking, etc ? Ceux-là envoient 100 fois plus d'infos à l'extérieur que l'« architecture » de ton réseau. (et elle a quoi de si secret ton archi réseau ? Houa, t'as deux ordinateurs derrière ta box, c'est la fuite d'info de l'année)
- Proxy transparent.
Gni ? Aucun rapport, tu peux faire un proxy transparent en v6 aussi si tu veux.
- Redirection de port pour répartir la charge sur plusieurs serveurs.
Bah l'anycast c'est fait pour, même si de manière plus réaliste tu va peux-être utiliser du NATv6 ou autre (je connais pas trop ce domaine).
- Redondance économique sur plusieurs FAI et répartition de charge.
Et en français ? Ou alors c'est la même chose que la ligne précédente ?
Dernière exemple, rien que pour la confidentialité, sans NAT, l'IPv6 sera comme un cookie que tu ne peux pas effacer.
N'importe quoi.
Il est sur que pour un particulier qu'il y ai du NAT ou non , çà ne changera rien dans ce cas.
Bon, si ton point de vue est « le NAT ne disparaîtra pas », sache que je suis complètement d'accord avec toi : on aura toujours du NATv4 pour la connectivité de plein de monde. Mais le débat ici c'était sur les fausses informations diffusées par ceux qui n'y connaissent rien à IPv6 (et IPv4, même : la plupart des principes énoncés ne sont pas spécifiques à IPv4, mais au NAT ; et oui, on peut très bien router plusieurs IPv4 derrière sa box, si on a un bon FAI…).
[^] # Re: Buffalo Technology WZR-HP-G300NH
Posté par benoar . En réponse au message [Orange NoLifeBox] remplacement. Évalué à 4.
Autres infos pertinentes :
Bon, je le redis, je vomis sur Netgear et ces initiatives hypocrites de merde (regarde combien de temps ils supportent leur routeur avec du soft up-to-date), et je vomis sur DD-WRT et ses violations de la GPL (OK ça fait longtemps que j'ai pas regardé s'ils se sont mis en conformité, mais quand je vois leurs packages avec mélange de libre et de proprio… mouai).
Sache que le boulot de DD-WRT est en très grande partie basé sur OpenWRT, avec des briques de proprio dessus. Et ils ne reversent jamais aucun code pour supporter des routeurs qu'OpenWRT ne supporte pas encore. Je comprends que des gens soutiennent le côté « user friendly », mais quand c'est au détriment du libre, non.
[^] # Re: Buffalo Technology WZR-HP-G300NH
Posté par benoar . En réponse au message [Orange NoLifeBox] remplacement. Évalué à 3.
C'est donc un double merci. Merci de ces remarques, qui m'incitent à approfondir au delà du ressenti ou des "on dit" vers open-wrt.
Alors, les bug report abandonnés c'est vrai que c'est pas top, mais ce n'est pas pour ça que je système n'avance pas, bien au contraire ! C'est quoi les « on dit » sur OpenWRT ? Je ne vois pas ce que tu veux dire par l'« antichambre » des autres distros, mais OpenWRT est le _moteur_ de tous les développements linux sur routeur ! C'est une distro qui fait certes un peu trop développeur (peu de doc, peu de communication), mais c'est la base de toutes les autres et ça avance très vite ! Toutes les autres ne sont que des surcouches à OpenWRT… Je pense qu'il y a un gros malentendu là dessus, et c'est très dommage car les mecs qui font du blé sur des dérivées d'OpenWRT sans reverser les sources ça pète un peu les couilles aux devs des fois. Sans OpenWRT, les autres ne sont rien. C'est un peu la Debian des routeurs.
Pas besoin ni de la 3g
Ya pas de 3G, c'est une appellation marketing foireuse : ya un port USB pour y brancher une clé 3G et le support soft, c'est tout. En passant, c'est aussi censé marcher sous OpenWRT.
# Buffalo Technology WZR-HP-G300NH
Posté par benoar . En réponse au message [Orange NoLifeBox] remplacement. Évalué à 3.
http://www.materiel.net/routeur-adsl/buffalo-technology-wzr-(...)
Marche nickel sous OpenWRT, tout gigabit, sinon, c'est vrai qu'il ressemble un peu à ton netgear niveau specs (400MHz, 64Mo pour le Buffalo, et en Atheros ar71xx ce qui est bon signe pour moi, largement mieux que ces enculés de Broadcom). Mais bon, Netgear, j'ai arrêté, entre la qualité de leur matos et l'énorme hypocrisie du routeur « ouvert » : ils le sont moins que tous les autres, avec des specs plus pourries, et tu le payes plus cher…
Ah, il gère bien les vlans comme il faut aussi. C'est le routeur gigabit le mieux supporté sous OpenWRT je crois, et vu l'activité autour, je pense que pas mal de devs en ont un.
Après, c'est certes un peu cher et pas facile à trouver, mais la tranquillité d'esprit d'avoir un truc qui marche sans bidouille (l'install c'est un coup de « tftp put » au boot, de mémoire) et qui a de bonnes perfs, ça n'a pas de prix.
[^] # Re: Pas forcément la fin du NAT
Posté par benoar . En réponse au journal IPcalypse : J - 42. Évalué à 4.
* ça permet de permettre à plusieurs machines à accéder au WEB sans avoir à payer plusieurs adresses IPV4
IP permet à tout un tas de machines d'accéder au Web et même à Internet en général, et tout cela sans jamais faire payer quelque IP que ce soit. Heureusement pour nous, les IP sont encore à peu près gratuites, tout du moins, pour IPv6, parce que pour IPv4 ça va sûrement se gâter.
* un effet de bord non négligeable, est que ça protège les machines derrière. Alors les moinsseurs fous attendez avant de le faire.
=> le temps de survie d'un windows XP non patché tout frais installé derrière une box configuré en pont est inférieur au temps nécessaire au télé-chargement des mises à jours; derrière un NAT, les ports béants ne sont pas accessibles et le windows ne se prend pas de virus. Je n'ai changé de politique que lorsque des potes sont venus brancher des machines sur le réseau local (à ce moment la le pc tournait sous nux, mais au cas où la fois suivante il serait sous l'autre OS, j'ai préféré prendre les devant)
Bon, là tu fais une grave erreur : pour toi, en dehors du NAT, point de filtrage. Ta « box », c'est un routeur. Actuellement, en « plus » de faire du simple routage, elle ajoute une couche de NAT. Mais sinon, en IPv6 ou en IPv4 (avec ou sans NAT), ton routeur est toujours capable d'effectuer l'opération de base qu'est filtrer la traffic (après son rôle principal, qui est de… router). Tu peux toujours choisir de dire « pour tous les ordis qui sont derrière mon routeur/ma box, on ne laisse pas de connexion entrante se faire ». C'est la base.
* c'est simple à configurer.
Pourquoi l'IPv6 serait plus compliqué ? Parce qu'on écrit les adresses différemment ? C'est exactement pareil, modulo la forme des adresses. Les principes d'IP de base sont toujours respectés.
* j'ai pas à me poser des questions si y a une adresse de libre, j'ai juste à brancher sur le réseau, le serveur dhcp s'occupe du reste
Pareil en IPv6, voire mieux. On ne se pose pas la question de savoir s'il y a une adresse de libre, vu que ton FAI t'en file des milliards… Et puis ton ordi s'occupe tout seul de s'attribuer une adresse. Aucun problème de ce côté là.
* ça permet de rediriger des flux en fonction de leur source/destination, changer les ports...
Filtrer un fonction de la source/destination… ça se fait exactement pareil en IPv6. Comme dit plus haut, c'est du filtrage, ça se fait exactement pareil qu'en v4, sauf que le programme s'appelle ip6tables au lieu de iptables, si tu veux mettre les mains dans le cambouis…
Ensuite, question : tu t'es posé la question de la raison pour laquelle tu « changes des ports » ? (je suppose que tu parles de port-forwarding) Parce que tu ne peux pas avoir plusieurs machines qui écoutent sur le même port derrière ton NAT. En v6, tu vas simplement autoriser tel(s) port(s) vers telle(s) machine(s). Tout le monde peut faire du P2P, monter les serveurs qu'il veut, sans problème.
* un seul point d'accès à sécuriser. Ce point n'est pas négligeable.
Pareil en v6 : ton routeur…
En fait, je pense qu'il y a un truc fondamental dans ce que tu n'as pas compris que je n'ai pas compris.
Essaye de « débloquer » ton opposition farouche et aveugle contre IPv6, et tu verras que ce n'est pas la merde que tu penses (parce que si IPv6 avait effectivement tous ces défauts, personne n'en voudrait…)
[^] # Re: [ SUPPRIMÉ ]
Posté par benoar . En réponse au journal Des oranges à Assange. Évalué à 2.
Si l'hébergeur a empêché quelqu'un de dire quelque chose de parfaitement légal parce qu'il avait un doute sur la légalité de la chose, peut-il s'en tirer sans conséquences ? Est-ce normal ? C'est quoi ce pouvoir qu'on donne aux "hébergeurs" ?
[^] # Re: [ SUPPRIMÉ ]
Posté par benoar . En réponse au journal Des oranges à Assange. Évalué à 2.
Et ? C'est un peu comme le bon et le mauvais chasseur ? Quelles sont ces responsabilités ? Quels sont leurs pouvoirs associés ? Etc.
[^] # Re: Jabber HS hier soir
Posté par benoar . En réponse au journal Skype HS hier soir. Évalué à 6.
deux maillons faibles à la place de un, deux fois plus de chance d'être déconnecté
Effectivement, il est plus compliqué de maintenir deux serveurs qu'un seul ; ça augmente la probabilité des problèmes (peut-être pas doubler, quand même), mais entre _ces deux serveurs_. Globalement, la probabilité d'avoir un problème _chez tout le monde_ est quasi nulle, contrairement à Skype.
Alors forcément, quand _ton_ service est HS alors que celui des autres marche, t'as les boules. Mais même si ce genre de problème est plus courant dans un système décentralisé, puisqu'il y a plus de « points faibles », au moins, ça concerne beaucoup moins de monde ! Donc au final, _globalement_, c'est plus fiable.
[^] # Re: J'ai rien trouvé
Posté par benoar . En réponse au message Spécial Cadeau de Noël : Un laptop solide !. Évalué à 2.