Journal Jouons un peu avec les adresses IPv6…

Posté par  (site web personnel, Mastodon) .
Étiquettes :
45
21
nov.
2016
$ ip addr show dev enp3s0 | sed -e's/^.*inet6 \([^ ]*\)\/.*$/\1/;t;d' | head -n 1 | tr -d : | tail -c 17 | xxd -r -p
SpaceFox

Facebook s'amuse depuis 2011, et il n'y a pas de raison qu'on ne puisse pas en faire autant.

Les adresses IPv6 sont virtuellement infinies : avec 2128 possibilités (les adresses font 128 bits de long), on peut coller, je cite Wikipédia, « 667 millions de milliards d'appareils connectés sur chaque millimètre carré de la surface de la Terre ». Ce qui veut par exemple dire qu'on pourrait affecter une adresse IPv6 à chaque transistor sans ne serait-ce que commencer à épuiser les adresse IPv6 disponibles.

Ce qui a plusieurs conséquences qui vont nous intéresser aujourd'hui :

  • Le NAT n'a plus d'intérêt, les adresses routables sont routées directement sur Internet.
  • Les sous-réseaux sont de taille fixe : ce sont tous des /64 (donc les 64 derniers bits, donc les 8 derniers octets, sont les adresses du sous-réseau, qui est littéralement gigantesque : chaque sous-réseau IPv6 est quatre milliards de fois plus grand que l'intégralité des adresses IPv4…)
  • Les FAI ne fournissent plus une adresse, voire une demi-adresse comme en IPv4, mais au moins un sous-réseau IPv6 (le mien, SFR, me fournit un /56, donc 256 sous-réseaux si mon calcul est bon).

Donc, si je peux tout à fait me faire une adresse mégalomane à la Facebook, avec mon nom pseudo dedans, qui en plus sera routable sur Internet. Sauf que « SpaceFox », ça c'est pas représentable en hexadécimal. Par contre, ça fait 8 octets encodés en ASCII, et j'ai 8 caractères que je peux choisir comme je veux, ce qui tombe bien.

Je fixe donc mon adresse IP (les détails changent selon votre OS et sa version), et je vérifie grâce à la commande du début du journal que maintenant :

  • J'ai une adresse IPv6 mégalo avec mon pseudo dedans.
  • Cette adresse est routée sur Internet (y'a des sites pour vérifier ça)
  • Personne n'en a rien à battre (qui s'amuse à décoder les adresses IPv6 en ASCII ?!)

Un peu d'explications sur la commande :

ip addr show dev enp3s0
Affiche les adresses de la carte réseau (qui n'est pas eth0 parce que le nommage a changé avec Ubuntu Wily).

| sed -e's/^.*inet6 \([^ ]*\)\/.*$/\1/;t;d'
On récupère les IPv6

| head -n 1
On prends la première, la seconde c'est l'IP de lien local (dans mon cas, je ne garantis pas chez vous).

| tr -d :
On supprime tous les caractères : de l'adresse pour ne garder que les caractères hexadécimaux.

| tail -c 17
On garde les 17 derniers (et pas 16 parce qu'il y a un saut de ligne à la fin), parce que c'est ceux que j'ai fixés.

| xxd -r -p
On affiche la représentation ASCII correspondant à la représentation hexadécimale. Magie !

Limite de la chose : ça ne fonctionne que sur une machine de votre réseau, démarrée avec le bon OS.

Notez que je ne dis nulle part que c'est intelligent ou une bonne idée à reproduire chez vous…

Ce journal est placé sous licence CC-BY 4.0, ce que je fais manuellement parce que la case à cocher ne permet que CC-BY-SA.

  • # options ip

    Posté par  (Mastodon) . Évalué à 10.

    la commande ip a des options et sélecteurs permettant de simplifier le parsing :

    ip -6 -o addr show dev eth0 scope link |awk -F "[/ \t]+" '{ gsub(/:/, "", $4); print $4 }'
    

    IP

    • -o : oneline
    • -6 : uniquement les adresses IPv6
    • scope link : l’adresse lien local (on peut remplacer par scope global permanent) pour avoir la première IP publique non temporaire.

    AWK

    (ps. je connais très mal awk, mais je le sort en général pour remplacer un cut|sed)

    • -F "[/ \t]+" : découpe les champs sur une regexp matchant 1 ou n “/”, “ ”, “”.
    • gsub(…) : remplace les “:” par une chaine vide pour 4e champ.
    • print $4 : affiche le 4e champ précédemment modifié.
    • [^] # Re: options ip

      Posté par  (site web personnel, Mastodon) . Évalué à 2.

      J'avoue que j'ai testé ça en 5 minutes chez moi, et que donc j'ai récupéré la première commande qui me tombait sous la main pour récupérer les IPv6.

      Quant à awk, je sais qu'il existe depuis plus de 10 ans, et je suis incapable de m'en servir depuis plus de 10 ans… je ne dois pas faire assez de scripts :D

      La connaissance libre : https://zestedesavoir.com

      • [^] # Re: options ip

        Posté par  (Mastodon) . Évalué à 5.

        Je suis infoutu de faire plus qu’un { print $x } sans sortir le manuel, le gros avantage par rapport à cut, c’est que le FS est gourmand par défaut, donc il s’en sort mieux pour les commandes qui tabulent l’affichage avec des espaces…

        echo -e "ax b\nc  d"                                                             
        ax b
        c  d
        echo -e "ax b\nc  d" | cut -d' ' -f 2
        b
        ⋅
        echo -e "ax b\nc  d" | awk '{ print $2 }'
        b
        d
      • [^] # Re: options ip

        Posté par  (site web personnel) . Évalué à 3.

        Quant à awk, je sais qu'il existe depuis plus de 10 ans, […]

        ça va faire presque 40 ans que le langage awk existe…

        Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

        • [^] # Re: options ip

          Posté par  (site web personnel, Mastodon) . Évalué à 2.

          Tu as mal compris la phrase (certes mal tournée) : c'est moi qui sait depuis 10 ans que awk existe.

          Et puis je n'ai que 0x20 ans :)

          La connaissance libre : https://zestedesavoir.com

  • # Erreur dans le titre

    Posté par  (site web personnel) . Évalué à 2.

    les adresse s.

    • [^] # Re: Erreur dans le titre

      Posté par  (site web personnel, Mastodon) . Évalué à 1.

      Ho ce scandale, merci !

      Par contre apparemment on ne peut pas éditer son texte (ou alors j'ai pas les yeux en face des trous), donc est-ce qu'un modérateur aurait la gentillesse de corriger cette horreur ? Merci d'avance !

      La connaissance libre : https://zestedesavoir.com

  • # Troll

    Posté par  . Évalué à -8.

    Le NAT n'a plus d'intérêt, les adresses routables sont routées directement sur Internet.

    Ça reste important pour la sécurité !

    Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

    • [^] # Re: Troll

      Posté par  . Évalué à -1.

      Ça dépend.. Le pare-feu dans la machine de NAT, ça implique que tu est "à poil" si quelqu'un se connecte derrière le pare-feu: acceptable chez soi probablement, mais pas dans une entreprise..

    • [^] # Re: Troll

      Posté par  . Évalué à 9.

      Tu as le droit de mette un pare-feu sans NAT, tu sais.

      • [^] # Re: Troll

        Posté par  . Évalué à 2.

        Mais est-ce que Madame Michu y pensera ?

        • [^] # Re: Troll

          Posté par  . Évalué à 3.

          Probablement vu qu'il est activé par défaut sous Windows et qu'il le sera aussi probablement sur sa Livebox (le jour où Orange proposera l'IPv6).

          • [^] # Re: Troll

            Posté par  (site web personnel) . Évalué à 2.

            Orange a déjà déployé l'IPv6 en masse.
            Tous les clients fibre ou vDSL ont par défaut un /56 activé sans rien faire.

          • [^] # Re: Troll

            Posté par  . Évalué à 4.

            tfaçon orange ils ont pas besoin de NAT, ils ont le blocage du port 25 pour garantir la sécurité /o/

            *splash!*

            • [^] # Re: Troll

              Posté par  (site web personnel) . Évalué à 2.

              Et ils ont aussi mis en place des DNS de protection.

              Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN

    • [^] # Re: Troll

      Posté par  (site web personnel, Mastodon) . Évalué à 10.

      J'allais dire « Trop gros, marchera pas, surtout avec le titre de ton commentaire », mais il semblerait que ça marche.

      La connaissance libre : https://zestedesavoir.com

      • [^] # Re: Troll

        Posté par  . Évalué à 4.

        […] mais il semblerait que ça marche.

        Non ça ne prends pas si bien. Le bon troll c'est une discussion, pas un déchaînement d'inutileurs fou entraîner à pertiner/inutiler plus vite qu'ils ne lisent ;)

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

    • [^] # Re: Troll

      Posté par  . Évalué à 3.

      J'ai bien vu que c'était un troll, mais c'est l'occasion de remettre un lien vers notre informateur réseau favori : http://www.bortzmeyer.org/nat-et-securite.html
      J'avoue qu'à l'époque, j'ai un peu formalisé mon savoir sur la différence entre le NAT (enfin, le NAPT), et le pare-feu.

    • [^] # Re: Troll

      Posté par  (site web personnel) . Évalué à 1.

      Tout à fait d’accord pour l’intérêt du NAT ! Si les objections déjà données sont tout à fait valides sur le plan de l’informatique traditionnelle (Windows, Linux…), je demande à la communauté :

      Si je passe ma box en IPv6 et que tout devient connecté directement à Internet, je fais comment, moi, pour sécuriser la WiiU, le lecteur BD, etc., qui sont connectés au réseau mais complètement fermés, non configurables, et probablement bourrés de failles (sans parler de probables « accès réservés »…) ?

      • [^] # Re: Troll

        Posté par  . Évalué à 0.

        C’est un peu le risque, quand on utilise du matos qu’on ne peut pas maîtriser.
        Reste à mettre une sécu’ devant, ou de ne pas leur fournir d’ipv6, ne pas les brancher ces appareils aux réseaux, ou même encore mieux de ne pas les acheter.

        • [^] # Re: Troll

          Posté par  (site web personnel) . Évalué à 0.

          Je partage ce point de vue, et j’oriente mes achats en ce sens quand c’est possible.

          Mais à ma connaissance, pour prendre un exemple, il n’y a pas d’alternative libre à la WiiU, disposant d’une « balance board »… Pour le BD, peut-être en cherchant un peu… ou en spécialisant un PC Linux ;-) mais c’était moins évident à l’époque où je l’ai acheté.

          Bref, il est irréaliste d’exiger de tous de n’avoir chez soi que du matériel sûr.

          Tes suggestions ne sont pas réalistes : ces appareils doivent avoir accès au réseau extérieur pour diverses raisons (chat video avec les copains sur la WiiU, mises à jour du micrologiciel sur le BD, etc.) En revanche, le réseau extérieur ne doit pas y accéder. Alors OK, on peut mettre un pare-feu entre le sous-réseau pas-sûr et Internet, mais ce n’est pas à la portée de tous (financièrement, techniquement…).

          Ne pas donner d’adresse IPv6 à ces appareils reste effectivement la solution la plus simple, si tant est que la « box » ait cette finesse de configuration. Mais cela repose sur l’idée de conserver sur le principe à la fois IPv4 et IPv6. Dans l’hypothèse d’une migration totale vers IPv6, ma question reste posée…

          • [^] # Re: Troll

            Posté par  . Évalué à 0. Dernière modification le 07 février 2017 à 20:11.

            Si ces matos ont besoin de discuter avec l’exterieur, avec IPv4 ou 6 c’est du pareil au même.
            Dès lors qu’on les autorise à faire joujoux sur le réseau on est obligé de leur faire confiance, ou de se débrouiller pour les sécuriser.
            Du reste, le NAT n’est pas un parefeu.

            Je ne vois pas en quoi se passer d’une WiiU (puisque c’est l’exemple pris) n’est pas réaliste.
            Déjà c’est un matériel dispensable. Je comprends qu’on n’ait pas toujours le choix concernant l’élétroménager, la téléphonie ou le transport, les besoins étant souvent liés au cadre de vie. Mais les jeux vidéos, les lecteurs de salon et autres divertissements n’ont que l’importance qu’on leur accorde.
            La liberté c’est aussi pouvoir choisir les concession qu’on veut faire ou pas (en terme de sûreté, ou niveau financier, technique, …).
            Si le matos précis ou les conditions pour son utilisation ne conviennent pas, on peut décider de passer outre ou de ne pas l’utiliser.

            De ce que j’ai vu les machins-box sont par défaut paramétrées pour au moins bloquer les connexions entrantes.
            Je ne vois pas pourquoi ce serait différent une fois IPv4 sorti de l’équation.

      • [^] # Re: Troll

        Posté par  . Évalué à 3.

        Si ta box fait UPnP, le NAT ne te protège pas. Au moins, en IPv6, tu est protégé du scan réseau (parce que trop long), surtout avec des adresses aléatoires. Et si tu n'utilise pas UPnP, un simple parfeu qui ne laisse rien rentrer par défaut suffit à avoir la même protection.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # pareil en IPv4

    Posté par  . Évalué à 10.

    Ce n'est pas forcément connu, mais on peut jouer pareil en IPv4.

    Par exemple, si vous cliquez sur http://0xc0a80101 il y a de grandes chances que vous tombiez sur votre routeur d'accès.
    Explication: un navigateur sait se connecter sur une adress IP et non un nom de domaine. Les adresses IP peuvent s'écrire 192.168.1.1 ou en hexadécimal c0.a8.01.01, ce qui donne 0xc0a80101

    Si j'étais riche comme facebook, j'aurai acheté 0xfaceb00c comme @ IP :)

    Ca pourrait être la classe d'avoir comme nom de site web 0xdeadf00d ou 0xcafebabe ; on pourrait dire: "mon site marche sans DNS" \o/

    • [^] # Re: pareil en IPv4

      Posté par  (Mastodon) . Évalué à 10.

      "mon site marche sans DNS"

      et du coup ne pas pouvoir être blacklisté par le gouvernement ? mais c'est scan-da-leux !

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: pareil en IPv4

      Posté par  . Évalué à 10.

      Sous Linux, getaddrinfo(2) reconnaît directement les IP hexadécimales, donc on peut les utiliser avec ping, par exemple :

      $ ping -c 1 0x7F000001
      PING 0x7F000001 (127.0.0.1) 56(84) bytes of data.
      

      Plus amusant, on peut aussi passer la représentation décimale :

      $ ping -c 1 2130706433
      PING 2130706433 (127.0.0.1) 56(84) bytes of data.
      

      Ou octale :

      $ ping -c 1 017700000001
      PING 017700000001 (127.0.0.1) 56(84) bytes of data.
      

      On peut aussi omettre des champs à 0 au milieu d’une IPv4 :

      $ ping -c 1 127.1
      PING 127.1 (127.0.0.1) 56(84) bytes of data.
      

      Et je suppose qu’il doit y avoir quelques autres représentations supportées…

      • [^] # Re: pareil en IPv4

        Posté par  (site web personnel, Mastodon) . Évalué à 4. Dernière modification le 21 novembre 2016 à 16:56.

        J'imagine que ça doit être dans un standard, parce que je viens de tester sous Windows 10 et tous les cas que tu donne fonctionnent aussi.

        On peut même mixer, par exemple :

        >ping 0x7f.1
        
        Envoi d’une requête 'Ping'  127.0.0.1 avec 32 octets de données :
        

        La connaissance libre : https://zestedesavoir.com

    • [^] # Re: pareil en IPv4

      Posté par  . Évalué à 10.

      Si j'étais riche comme facebook, j'aurai acheté 0xfaceb00c comme @ IP :)

      Ça fait l'ip 250.206.176.12 qui est dans le range 240.0.0.0/4 qui est réservé au test. Ce n'est donc pas possible pour Facebook de l'obtenir.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: pareil en IPv4

        Posté par  (site web personnel) . Évalué à 2.

        le range 240.0.0.0/4 qui est réservé au test

        Ça fait une chiée d'IPv4 quand même, vue la pénurie je suis étonné qu'il ait pas été promu routable.

        • [^] # Re: pareil en IPv4

          Posté par  . Évalué à 5.

          Parce qu'il y a trop de routeur pour lequel c'est hardcodé comme range de test et donc non utilisable. Il y a aussi les filtres BGP qui ne laisseront pas passer ça et qui devront être adapté. Au final, tu auras des IP qui ne fonctionnent pas une fois sur et tu vas beaucoup de temps à debugger sans qu'il y ait forcément une solution. Donc, c'est bien plus rentable de racheter des IP à ceux qui n'en utilise pas.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Erreur sur le masque de réseau fixe

    Posté par  . Évalué à 8.

    Je suis surpris que personne avant moi est fait la remarque ici, comme quoi ipv6 est toujours aussi mal connue. Il n'y a pas de taille fixe de masque réseau en /64 en ipv6, c'est juste une convention assez largement répandu.
    Pour plus de détails je vous conseille cette très bonne lecture : http://www.bortzmeyer.org/7421.html

    • [^] # Re: Erreur sur le masque de réseau fixe

      Posté par  (site web personnel, Mastodon) . Évalué à 2.

      En théorie non, mais en pratique c'est presque le cas (cf la fin de l'article en question : « Le RFC décide donc d'entériner cet usage et de recommander qu'on ne s'éloigne pas de 64 sans de très bonnes raisons. »).

      La connaissance libre : https://zestedesavoir.com

      • [^] # Re: Erreur sur le masque de réseau fixe

        Posté par  . Évalué à -2.

        Mais en pratique, les fournisseurs s'en tamponnent, cf. le /56 d'Orange.

        Cette signature est publiée sous licence WTFPL

        • [^] # Re: Erreur sur le masque de réseau fixe

          Posté par  (site web personnel, Mastodon) . Évalué à 4.

          Si Orange fait comme SFR, ils respectent les recommandations en te filant un /56 dans lequel tu peux créer plusieurs sous-réseaux.

          La connaissance libre : https://zestedesavoir.com

          • [^] # Re: Erreur sur le masque de réseau fixe

            Posté par  . Évalué à 2.

            À ce propos, comment on fait pour bloquer un abonné sur un serveur en ipv6 ? En ipv4 on ne reçoit généralement qu'une seule ip donc il suffit de bloquer celle-là, mais si tout le monde se voit attribuer un range différent selon le FAI comment on fait ?

            *splash!*

            • [^] # Re: Erreur sur le masque de réseau fixe

              Posté par  . Évalué à 2.

              En général il faut considérer le /64 englobant, mais je ne crois pas qu’il y ait de recommandation « officielle ».

              • [^] # Re: Erreur sur le masque de réseau fixe

                Posté par  . Évalué à 1.

                Ouais ben ça va être marrant de bloquer tout un /56 /64 par /64

                *splash!*

                • [^] # Re: Erreur sur le masque de réseau fixe

                  Posté par  . Évalué à 2.

                  Bah, c’est pour ça qu’il ne faut pas le faire.

                  • [^] # Re: Erreur sur le masque de réseau fixe

                    Posté par  . Évalué à 3.

                    Qu'il ne faut pas bloquer /64 par /64 ? ou qu'il faut laisser un importun pourrir mon serveur en changeant d'ip à chaque fois ?

                    *splash!*

                    • [^] # Re: Erreur sur le masque de réseau fixe

                      Posté par  . Évalué à 2.

                      Ben tu bloques le réseau /56 qui t’attaque.
                      Ça aura le même effet que de bloquer un /32 public sur un abonnement internet grand public.

                      Pour trouver le /56 lié à une IP, je pense que cela doit se faire via une calculette IP standard.

                      • [^] # Re: Erreur sur le masque de réseau fixe

                        Posté par  . Évalué à 2.

                        Ouais et donc si je me fais emmerder par une IP de FDN, ça va être marrant de bloquer tout le /48 /56 par /56

                        *splash!*

                      • [^] # Re: Erreur sur le masque de réseau fixe

                        Posté par  . Évalué à 0. Dernière modification le 24 novembre 2016 à 11:17.

                        par contre bloquer un /32 sai un peu overkill comme même

                        j'en connais pas beaucoup des FAI qui filent un /32 d'ipv6 à leur client

                        *splash!*

                        • [^] # Re: Erreur sur le masque de réseau fixe

                          Posté par  (site web personnel) . Évalué à 5.

                          Pour le /32, surtout vu le "ça revient au même que maintenant" je pense qu'il parlait d'une IPv4 qui fait chier actuellement en fait.

                          Par ailleurs faudrait vraiment savoir ce que tu veux pour qu'on puisse te répondre (à part si ton but c'est juste de râler sur IPv6 évidemment). Si tu veux bloquer "un abonné qui fait chier" bah en IPv4 c'est /32 (soit une seule IP certes mais ton firewall s'en fiche) et en IPv6 un /56, ça revient au même au final. Mais maintenant c'est plus "bloquer un importun" c'est "ah mais je veux bloquer FDN en fait", bah tu bloques leur préfixe, tout bêtement, tout ça c'est une seule ligne dans un outil correct.

                          • [^] # Re: Erreur sur le masque de réseau fixe

                            Posté par  . Évalué à 3. Dernière modification le 24 novembre 2016 à 19:36.

                            Bah oui donc du coup avant de bloquer tu dois savoir quelle taille de préfixe le FAI alloue à ses clients. Est-ce que je peux récupérer cette information facilement ? Est-ce qu'il y a une base de donnée des FAI avec les préfixes abonnés correspondants ? Ou est-ce que je dois me farder à chaque fois la doc/le contrat d'abo du FAI (dans la langue locale évidemment) ?

                            *splash!*

                            • [^] # Re: Erreur sur le masque de réseau fixe

                              Posté par  . Évalué à 4.

                              C'est comme en IPv4, il y a des fournisseurs qui filent un /28 (quand tu paye cher), un /32, voire moins (CGNAT et compagnie). Du coup, comme en IPv4, tu fais au doigt mouillé, un /56 devrait suffire pour le moment, et tu reste informé si la pratique des FAI change.

                              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                              • [^] # Re: Erreur sur le masque de réseau fixe

                                Posté par  . Évalué à 2.

                                oki merci :)

                                *splash!*

                              • [^] # Re: Erreur sur le masque de réseau fixe

                                Posté par  . Évalué à 2.

                                J'irais même un peu plus loin, les 3/4 des abonnées ont leur réseau derrière la box de leur FAI qui lui, n'utilise que un /64 du /56 qui est assigné à l'abonnée.

                                Donc là, tu pourrais presque ne bloquer que le /64 et tu enlèverais déjà la plus grosse part de ton attaque.

                                • [^] # Re: Erreur sur le masque de réseau fixe

                                  Posté par  . Évalué à 5.

                                  Mais du coup, autant bloquer le /56 parce qu'il est bien attribué à l'abonné (donc pas de bloquage de quelqu'un d'autre par erreur) et ça tient compte des utilisateurs qui savent/peuvent l'utiliser.

                                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                                  • [^] # Re: Erreur sur le masque de réseau fixe

                                    Posté par  . Évalué à 2.

                                    Non, si tu tiens tellement à filtrer, tu filtres sur /64 (qui correspond du coup au /32 IPv4).

                                    Mais faudrait déjà commencer par savoir pourquoi tu veux filtrer et de quoi est-ce que tu veux te protéger ?

                                    • Un DDoS ? J’ai pas besoin d’IPv6 pour te faire tomber ; avec quelques centaines d’euros, tu peux louer des botnets capablent de mettre à plat pas mal de chose, même s’il sont adressés en IPv4 ;
                                    • Un brute force ? Protèges tes machines derrières des bastions ; ne donne pas tout les droits à tous le monde ; force le changement régulier des phrases de passe et impose qu’elles soient forte ;
                                    • Un scan de ton réseau pour rechercher tes machines ? Elles seront la plupat du temps adressées de ::1 à ::f et si tu as des PTR (j’espère que tu en as), les informations sur ton réseau sont déjà dispo en ligne.

                                    Bref, je veux bien un use-case ou filtrer /64 par /64 (ou /32 par /32 en IPv4) est nécessaire sur une infra classique.

                                    • [^] # Re: Erreur sur le masque de réseau fixe

                                      Posté par  . Évalué à 2.

                                      Le brute force ça peut être une des raisons ouais (ou tout autre truc considéré comme une attaque et entraînant un pourrissage de logs pas cool), mais sinon ça peut être aussi un utilisateur humain qui fait chier, jore un tricheur sur un serveur de jeu en ligne.

                                      *splash!*

                    • [^] # Re: Erreur sur le masque de réseau fixe

                      Posté par  . Évalué à 2. Dernière modification le 25 novembre 2016 à 06:52.

                      Si t’es pas capable de maintenir un ipset de /64, c’est que c’est pas ton métier. Laisse ça à tes fournisseurs.

  • # "L'IPv6 c'est juste un truc de geek"

    Posté par  (site web personnel, Mastodon) . Évalué à 5. Dernière modification le 21 novembre 2016 à 20:57.

    Désolé si ce n'est pas le bon endroit pour poster ça, mais groumpf.

    Depuis le temps qu'on en parle, je croyais que l'IPv6 était supporté par tous les gros opérateurs français. C'est ce que laisse entendre la section "Déploiement d'IPv6 chez les fournisseurs d'accès à Internet en France" de la page Wikipédia. Chez mes parents, la case "IPv6" de la configuration de leur Freebox Revolution est cochée depuis belle lurette. Par-dessus le marché, il y a quelques jours, je tombe sur un énième avis d'épuisement des adresses IPv4 (cette fois-ci, est-ce la bonne ?).

    Du coup, en recevant mon modem fibre RED by SFR ce week-end, je pensais pouvoir également fonctionner en IPv6. Mais apparemment, ce n'est pas possible. Et que penser (ce n'est pas une question rhétorique) de messages comme ceux-là ?

    Pourquoi avez vous besoin d'activer l'ipv6 sur votre modem fibre red ?
    (…)
    ipv6 n'est pas une obligation (juste un plaisir coupable pour Geek) ça fonctionne très bien sans :-) !

    (ah tiens, je découvre à cette occasion que LinuxFr ne supporte pas les émojis)

    • [^] # Re: "L'IPv6 c'est juste un truc de geek"

      Posté par  . Évalué à 3.

      ipv6 n'est pas une obligation (juste un plaisir coupable pour Geek) ça fonctionne très bien sans :-) !

      Je veux bien admettre que « juste un plaisir coupable de geek » est réducteur, mais le reste de la phrase me semble incontestable aujourd'hui…

      Membre de l'april, et vous ? https://april.org/adherer -- Infini, l'internet libre et non commercial : https://infini.fr

    • [^] # Re: "L'IPv6 c'est juste un truc de geek"

      Posté par  . Évalué à 3. Dernière modification le 22 novembre 2016 à 00:05.

      Ils ont dûs se dire que "la meilleure défense c'est l'attaque" à force de se faire tanner pour que leur infra pourr^Wvétuste supporte ipv6.

  • # Commentaire supprimé

    Posté par  . Évalué à 5.

    Ce commentaire a été supprimé par l’équipe de modération.

  • # Sauf qu'ils ont rien acheté

    Posté par  . Évalué à 0. Dernière modification le 22 novembre 2016 à 10:46.

    C'est juste leur partie d'adressage dans leur réseau 620:0:1C00::/40
    ```
    NetRange: 2620:0:1C00:: - 2620:0:1CFF:FFFF:FFFF:FFFF:FFFF:FFFF
    CIDR: 2620:0:1C00::/40
    NetName: FACEBOOK-IPV6-BLOCK-1
    NetHandle: NET6-2620-1C00-1
    Parent: ARIN-V6-ENDUSER-BLOCK (NET6-2620-1)
    NetType: Direct Assignment
    OriginAS: AS32934

  • # Le nom des interfaces a changé

    Posté par  (site web personnel) . Évalué à 1.

    Affiche les adresses de la carte réseau (qui n'est pas eth0 parce que le nommage a changé avec Ubuntu Wily).
    Je confirme, j'ai installé mon poste de travail en Ubuntu 16.04.1 dernièrement (avant j'étais sous Debian).
    Et "enx" suivi de 12 caractères hexadécimaux ça pique un peu pour l'interface Ethernet du dock… :-p

    • [^] # Re: Le nom des interfaces a changé

      Posté par  (site web personnel) . Évalué à 5.

    • [^] # Re: Le nom des interfaces a changé

      Posté par  (site web personnel, Mastodon) . Évalué à 1.

      Et "enx" suivi de 12 caractères hexadécimaux ça pique un peu pour l'interface Ethernet du dock… :-p

      Ça m'étonne, parce que la doc dit justement que tu ne devrais pas avoir cette règle à moins de la demander explicitement :

      1. Names incorporating Firmware/BIOS provided index numbers for on-board devices (example: eno1)
      2. Names incorporating Firmware/BIOS provided PCI Express hotplug slot index numbers (example: ens1)
      3. Names incorporating physical/geographical location of the connector of the hardware (example: enp2s0)
      4. Names incorporating the interfaces's MAC address (example: enx78e7d1ea46da)
      5. Classic, unpredictable kernel-native ethX naming (example: eth0)

      By default, systemd v197 will now name interfaces following policy 1) if that information from the firmware is applicable and available, falling back to 2) if that information from the firmware is applicable and available, falling back to 3) if applicable, falling back to 5) in all other cases. Policy 4) is not used by default, but is available if the user chooses so.

      La connaissance libre : https://zestedesavoir.com

      • [^] # Re: Le nom des interfaces a changé

        Posté par  (site web personnel) . Évalué à 1.

        Si la règle 4 s'applique alors qu'elle ne devrait pas, c'est qu'ils l'ont fait exprès chez Ubuntu, ou que la version de systemd utilisée fait autrement (v229).

        • [^] # Re: Le nom des interfaces a changé

          Posté par  . Évalué à 3.

          Cette politique est définie par défaut dans /lib/udev/rules.d/80-net-setup-link.rules et overridé par l'administrateur dans /etc/udev/rules.d/80-net-setup-link.rules (ou tout autre fichier de règle prenant la précédence sur le précédent).

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Le nom des interfaces a changé

            Posté par  (site web personnel) . Évalué à 2.

            Je pense que c'est écrasé par la politique systemd sur les link, par défaut dans /usr/lib/systemd/network/99-default.link qui par exemple chez moi vaut :

            [Link]
            NamePolicy=kernel database onboard slot path
            MACAddressPolicy=persistent
            
  • # question IPv6

    Posté par  . Évalué à 1. Dernière modification le 04 février 2017 à 18:02.

    Tant qu'à jouer avec le réseau :
    Combien de temps faut-il a nmap pour détecter tout les périphériques d'un réseau local IPv6?
    Combien de temps pour pinger tout le LAN? (sans nmap cette fois ^ ^ )
    A quoi ressemble les IP des périphériques si on démarre le routeur sans accès internet?

    Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.