J'ai eu utilisé ipfilter sous netbsd et la NAT se configure explicitement via une règle dans /etc/ipnat.conf
Ben euh, c'est exactement ce que j'ai dit, non ? Imaginons que ton FAI te donne un /29, tu dois déclarer dans ipnat.conf un *binat* pour chacune des adresses publiques. C'est dans "vers elle-même" que je me suis mal exprimé, tu déclares un binat de l'adresse dans un /29 en DMZ de ton réseau vers l'adresse publique dans ton /29 public.
Exemple en exploitation pour quelques jours encore (mon ancien taf) avec PF :
binat on $internet from $web1_dmz to any -> $web1_pub binat on $lan from $web1_dmz to any -> $web1_pub binat on $internet from $web2_dmz to any -> $web2_pub binat on $lan from $web2_dmz to any -> $web2_pub binat on $internet from $ns0_dmz to any -> $ns0_pub binat on $lan from $ns0_dmz to any -> $ns0_pub
-- XAv In your pomp and all your glory you're a poorer man than me, as you lick the boots of death born out of fear.
Eric Belhomme <rico-{nntp}@ricozome.net> wrote:
J'ai eu utilisé ipfilter sous netbsd et la NAT se configure explicitement
via une règle dans /etc/ipnat.conf
Ben euh, c'est exactement ce que j'ai dit, non ? Imaginons que ton FAI
te donne un /29, tu dois déclarer dans ipnat.conf un *binat* pour
chacune des adresses publiques. C'est dans "vers elle-même" que je me
suis mal exprimé, tu déclares un binat de l'adresse dans un /29 en DMZ
de ton réseau vers l'adresse publique dans ton /29 public.
Exemple en exploitation pour quelques jours encore (mon ancien taf)
avec PF :
binat on $internet from $web1_dmz to any -> $web1_pub
binat on $lan from $web1_dmz to any -> $web1_pub
binat on $internet from $web2_dmz to any -> $web2_pub
binat on $lan from $web2_dmz to any -> $web2_pub
binat on $internet from $ns0_dmz to any -> $ns0_pub
binat on $lan from $ns0_dmz to any -> $ns0_pub
--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
J'ai eu utilisé ipfilter sous netbsd et la NAT se configure explicitement via une règle dans /etc/ipnat.conf
Ben euh, c'est exactement ce que j'ai dit, non ? Imaginons que ton FAI te donne un /29, tu dois déclarer dans ipnat.conf un *binat* pour chacune des adresses publiques. C'est dans "vers elle-même" que je me suis mal exprimé, tu déclares un binat de l'adresse dans un /29 en DMZ de ton réseau vers l'adresse publique dans ton /29 public.
Exemple en exploitation pour quelques jours encore (mon ancien taf) avec PF :
binat on $internet from $web1_dmz to any -> $web1_pub binat on $lan from $web1_dmz to any -> $web1_pub binat on $internet from $web2_dmz to any -> $web2_pub binat on $lan from $web2_dmz to any -> $web2_pub binat on $internet from $ns0_dmz to any -> $ns0_pub binat on $lan from $ns0_dmz to any -> $ns0_pub
-- XAv In your pomp and all your glory you're a poorer man than me, as you lick the boots of death born out of fear.
Erwan David
(Xavier) écrivait :
Pascal Hambourg wrote:
Mais c'est symptomatique de ce que je soulignais plus haut. Le NAT fait tellement partie du paysage IPv4 qu'on finit par se persuader qu'il lui est intimement lié alors que ce n'est et ne restera qu'une verrue.
A tel point, que dans la config d'un FW, si tu veux déclarer un IP publique, tu est obligé de la bi-natter sur elle même. Au moins sur ceux que je connais, IPFilter, PF, et IOS pour PIX.
J'ai jamais eu besoin de faire ça avec pf...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Mais c'est symptomatique de ce que je soulignais plus haut. Le NAT fait
tellement partie du paysage IPv4 qu'on finit par se persuader qu'il lui
est intimement lié alors que ce n'est et ne restera qu'une verrue.
A tel point, que dans la config d'un FW, si tu veux déclarer un IP
publique, tu est obligé de la bi-natter sur elle même. Au moins sur ceux
que je connais, IPFilter, PF, et IOS pour PIX.
J'ai jamais eu besoin de faire ça avec pf...
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Mais c'est symptomatique de ce que je soulignais plus haut. Le NAT fait tellement partie du paysage IPv4 qu'on finit par se persuader qu'il lui est intimement lié alors que ce n'est et ne restera qu'une verrue.
A tel point, que dans la config d'un FW, si tu veux déclarer un IP publique, tu est obligé de la bi-natter sur elle même. Au moins sur ceux que je connais, IPFilter, PF, et IOS pour PIX.
J'ai jamais eu besoin de faire ça avec pf...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Nicolas Krebs
Pascal Hambourg écrivit dans l'article news:4c517ce1$0$10182$
Mais c'est symptomatique de ce que je soulignais plus haut. Le NAT fait tellement partie du paysage IPv4 qu'on finit par se persuader qu'il lui est intimement lié alors que ce n'est et ne restera qu'une verrue. Inversement IPv6 a été conçu entre autres avec l'idée de se débarrasser du NAT, donc on a tendance à penser que le NAT ne peut pas exister en IPv6.
Voir aussi l'article de Stéphane Bortzmeyer, « RFC 5902: IAB thoughts on IPv6 Network Address Translation », bortzmeyer.org, 2010-07-14, http://www.bortzmeyer.org/5902.html , commentant RFC 5902 « IAB Thoughts on IPv6 Network Address Translation », IETF, ISSN 2070-1721, 2010-07, http://www.rfc-editor.org/rfc/rfc5902.txt http://www.ietf.org/rfc/rfc5902.txt http://tools.ietf.org/html/rfc5902
Pascal Hambourg écrivit dans l'article
news:4c517ce1$0$10182$ba4acef3@reader.news.orange.fr
Mais c'est symptomatique de ce que je soulignais plus haut. Le NAT fait
tellement partie du paysage IPv4 qu'on finit par se persuader qu'il lui
est intimement lié alors que ce n'est et ne restera qu'une verrue.
Inversement IPv6 a été conçu entre autres avec l'idée de se débarrasser
du NAT, donc on a tendance à penser que le NAT ne peut pas exister en IPv6.
Voir aussi l'article de
Stéphane Bortzmeyer, « RFC 5902: IAB thoughts on IPv6 Network Address
Translation », bortzmeyer.org, 2010-07-14,
http://www.bortzmeyer.org/5902.html ,
commentant RFC 5902 « IAB Thoughts on IPv6 Network Address Translation »,
IETF, ISSN 2070-1721, 2010-07,
http://www.rfc-editor.org/rfc/rfc5902.txt
http://www.ietf.org/rfc/rfc5902.txt
http://tools.ietf.org/html/rfc5902
Pascal Hambourg écrivit dans l'article news:4c517ce1$0$10182$
Mais c'est symptomatique de ce que je soulignais plus haut. Le NAT fait tellement partie du paysage IPv4 qu'on finit par se persuader qu'il lui est intimement lié alors que ce n'est et ne restera qu'une verrue. Inversement IPv6 a été conçu entre autres avec l'idée de se débarrasser du NAT, donc on a tendance à penser que le NAT ne peut pas exister en IPv6.
Voir aussi l'article de Stéphane Bortzmeyer, « RFC 5902: IAB thoughts on IPv6 Network Address Translation », bortzmeyer.org, 2010-07-14, http://www.bortzmeyer.org/5902.html , commentant RFC 5902 « IAB Thoughts on IPv6 Network Address Translation », IETF, ISSN 2070-1721, 2010-07, http://www.rfc-editor.org/rfc/rfc5902.txt http://www.ietf.org/rfc/rfc5902.txt http://tools.ietf.org/html/rfc5902
xavier
Erwan David wrote:
J'ai jamais eu besoin de faire ça avec pf...
Ben, voir l'exemple dans <1jmemm7.1syyjaddk722oN%, c'est l'ami Eric M qui m'a fait la base de mon pf.conf, et c'est tout de même son métier...
Note bien que c'est du NAT sans PAT, c'est à dire l'usage originel du NAT.
-- XAv In your pomp and all your glory you're a poorer man than me, as you lick the boots of death born out of fear.
Erwan David <erwan@rail.eu.org> wrote:
J'ai jamais eu besoin de faire ça avec pf...
Ben, voir l'exemple dans <1jmemm7.1syyjaddk722oN%xavier@groumpf.org>,
c'est l'ami Eric M qui m'a fait la base de mon pf.conf, et c'est tout de
même son métier...
Note bien que c'est du NAT sans PAT, c'est à dire l'usage originel du
NAT.
--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
Ben, voir l'exemple dans <1jmemm7.1syyjaddk722oN%, c'est l'ami Eric M qui m'a fait la base de mon pf.conf, et c'est tout de même son métier...
Note bien que c'est du NAT sans PAT, c'est à dire l'usage originel du NAT.
-- XAv In your pomp and all your glory you're a poorer man than me, as you lick the boots of death born out of fear.
Pascal Hambourg
Nicolas Krebs a écrit :
Voir aussi l'article de Stéphane Bortzmeyer, « RFC 5902: IAB thoughts on IPv6 Network Address Translation », bortzmeyer.org, 2010-07-14, http://www.bortzmeyer.org/5902.html
Merci pour cette référence. Ses articles sont toujours très intéressants.
<auto-satisfaction> Je n'ai donc pas été mauvais en évoquant les problématiques de renumérotation et de multihoming parmi les raisons possibles de vouloir faire du NAT en IPv6 en réponse à Xavier.
Nicolas Krebs a écrit :
Voir aussi l'article de
Stéphane Bortzmeyer, « RFC 5902: IAB thoughts on IPv6 Network Address
Translation », bortzmeyer.org, 2010-07-14,
http://www.bortzmeyer.org/5902.html
Merci pour cette référence. Ses articles sont toujours très intéressants.
<auto-satisfaction>
Je n'ai donc pas été mauvais en évoquant les problématiques de
renumérotation et de multihoming parmi les raisons possibles de vouloir
faire du NAT en IPv6 en réponse à Xavier.
Voir aussi l'article de Stéphane Bortzmeyer, « RFC 5902: IAB thoughts on IPv6 Network Address Translation », bortzmeyer.org, 2010-07-14, http://www.bortzmeyer.org/5902.html
Merci pour cette référence. Ses articles sont toujours très intéressants.
<auto-satisfaction> Je n'ai donc pas été mauvais en évoquant les problématiques de renumérotation et de multihoming parmi les raisons possibles de vouloir faire du NAT en IPv6 en réponse à Xavier.
Erwan David
(Xavier) écrivait :
Erwan David wrote:
J'ai jamais eu besoin de faire ça avec pf...
Ben, voir l'exemple dans <1jmemm7.1syyjaddk722oN%, c'est l'ami Eric M qui m'a fait la base de mon pf.conf, et c'est tout de même son métier...
Note bien que c'est du NAT sans PAT, c'est à dire l'usage originel du NAT.
J'ai pas compris ton artcile, un schéma sur où est internet ou est ton /29 et où est le reste serait plus clair...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
xavier@groumpf.org (Xavier) écrivait :
Erwan David <erwan@rail.eu.org> wrote:
J'ai jamais eu besoin de faire ça avec pf...
Ben, voir l'exemple dans <1jmemm7.1syyjaddk722oN%xavier@groumpf.org>,
c'est l'ami Eric M qui m'a fait la base de mon pf.conf, et c'est tout de
même son métier...
Note bien que c'est du NAT sans PAT, c'est à dire l'usage originel du
NAT.
J'ai pas compris ton artcile, un schéma sur où est internet ou est ton
/29 et où est le reste serait plus clair...
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Ben, voir l'exemple dans <1jmemm7.1syyjaddk722oN%, c'est l'ami Eric M qui m'a fait la base de mon pf.conf, et c'est tout de même son métier...
Note bien que c'est du NAT sans PAT, c'est à dire l'usage originel du NAT.
J'ai pas compris ton artcile, un schéma sur où est internet ou est ton /29 et où est le reste serait plus clair...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Arnal
Bonjour,
C'est un bon exemple de pourquoi on utilise le mécanisme de translation quand on ne peut pas utiliser de routage. Par contre avec suffisamment d'IP on pourrait se passer de "NATter" et ne faire que du routage, la translation n'est qu'un outil dans la boîte à sécurité qu'est le Firewall mais il n'est nullement nécessaire de l'utiliser, il suffit pour s'en convaincre de repenser ton architecture avec un firewall en mode bridge et non routé.
Avec IPv6 on peut se remettre à router entre les différentes interface de son Firewall et plus besoin de se faire des noeuds avec la translation ... quoi que ... ;-)
Cordialement
Le 29/07/2010 18:52, Xavier a écrit :
Eric Belhomme<rico-{nntp}@ricozome.net> wrote:
J'ai eu utilisé ipfilter sous netbsd et la NAT se configure explicitement via une règle dans /etc/ipnat.conf
Ben euh, c'est exactement ce que j'ai dit, non ? Imaginons que ton FAI te donne un /29, tu dois déclarer dans ipnat.conf un *binat* pour chacune des adresses publiques. C'est dans "vers elle-même" que je me suis mal exprimé, tu déclares un binat de l'adresse dans un /29 en DMZ de ton réseau vers l'adresse publique dans ton /29 public.
Exemple en exploitation pour quelques jours encore (mon ancien taf) avec PF :
binat on $internet from $web1_dmz to any -> $web1_pub binat on $lan from $web1_dmz to any -> $web1_pub binat on $internet from $web2_dmz to any -> $web2_pub binat on $lan from $web2_dmz to any -> $web2_pub binat on $internet from $ns0_dmz to any -> $ns0_pub binat on $lan from $ns0_dmz to any -> $ns0_pub
Bonjour,
C'est un bon exemple de pourquoi on utilise le mécanisme de translation
quand on ne peut pas utiliser de routage.
Par contre avec suffisamment d'IP on pourrait se passer de "NATter" et
ne faire que du routage, la translation n'est qu'un outil dans la boîte
à sécurité qu'est le Firewall mais il n'est nullement nécessaire de
l'utiliser, il suffit pour s'en convaincre de repenser ton architecture
avec un firewall en mode bridge et non routé.
Avec IPv6 on peut se remettre à router entre les différentes interface
de son Firewall et plus besoin de se faire des noeuds avec la
translation ... quoi que ... ;-)
Cordialement
Le 29/07/2010 18:52, Xavier a écrit :
Eric Belhomme<rico-{nntp}@ricozome.net> wrote:
J'ai eu utilisé ipfilter sous netbsd et la NAT se configure explicitement
via une règle dans /etc/ipnat.conf
Ben euh, c'est exactement ce que j'ai dit, non ? Imaginons que ton FAI
te donne un /29, tu dois déclarer dans ipnat.conf un *binat* pour
chacune des adresses publiques. C'est dans "vers elle-même" que je me
suis mal exprimé, tu déclares un binat de l'adresse dans un /29 en DMZ
de ton réseau vers l'adresse publique dans ton /29 public.
Exemple en exploitation pour quelques jours encore (mon ancien taf)
avec PF :
binat on $internet from $web1_dmz to any -> $web1_pub
binat on $lan from $web1_dmz to any -> $web1_pub
binat on $internet from $web2_dmz to any -> $web2_pub
binat on $lan from $web2_dmz to any -> $web2_pub
binat on $internet from $ns0_dmz to any -> $ns0_pub
binat on $lan from $ns0_dmz to any -> $ns0_pub
C'est un bon exemple de pourquoi on utilise le mécanisme de translation quand on ne peut pas utiliser de routage. Par contre avec suffisamment d'IP on pourrait se passer de "NATter" et ne faire que du routage, la translation n'est qu'un outil dans la boîte à sécurité qu'est le Firewall mais il n'est nullement nécessaire de l'utiliser, il suffit pour s'en convaincre de repenser ton architecture avec un firewall en mode bridge et non routé.
Avec IPv6 on peut se remettre à router entre les différentes interface de son Firewall et plus besoin de se faire des noeuds avec la translation ... quoi que ... ;-)
Cordialement
Le 29/07/2010 18:52, Xavier a écrit :
Eric Belhomme<rico-{nntp}@ricozome.net> wrote:
J'ai eu utilisé ipfilter sous netbsd et la NAT se configure explicitement via une règle dans /etc/ipnat.conf
Ben euh, c'est exactement ce que j'ai dit, non ? Imaginons que ton FAI te donne un /29, tu dois déclarer dans ipnat.conf un *binat* pour chacune des adresses publiques. C'est dans "vers elle-même" que je me suis mal exprimé, tu déclares un binat de l'adresse dans un /29 en DMZ de ton réseau vers l'adresse publique dans ton /29 public.
Exemple en exploitation pour quelques jours encore (mon ancien taf) avec PF :
binat on $internet from $web1_dmz to any -> $web1_pub binat on $lan from $web1_dmz to any -> $web1_pub binat on $internet from $web2_dmz to any -> $web2_pub binat on $lan from $web2_dmz to any -> $web2_pub binat on $internet from $ns0_dmz to any -> $ns0_pub binat on $lan from $ns0_dmz to any -> $ns0_pub
Eric Belhomme
Le Fri, 30 Jul 2010 02:22:58 +0200, Erwan David a écrit :
J'ai jamais eu besoin de faire ça avec pf...
Ben, voir l'exemple dans <1jmemm7.1syyjaddk722oN%, c'est l'ami Eric M qui m'a fait la base de mon pf.conf, et c'est tout de même son métier...
J'ai pas compris ton artcile, un schéma sur où est internet ou est ton /29 et où est le reste serait plus clair...
Visiblement, Xavier s'est mal exprimé dans son 1er post. Ce que je comprends des ses règles PF, c'est qu'il fait une double translation source/destination entre sont /29 publique, et sa DMZ qui est, je suppose en adressage privé. Cela dit, je ne vois pas où est l'utilité de cette double translation...
-- Rico
Le Fri, 30 Jul 2010 02:22:58 +0200, Erwan David a écrit :
J'ai jamais eu besoin de faire ça avec pf...
Ben, voir l'exemple dans <1jmemm7.1syyjaddk722oN%xavier@groumpf.org>,
c'est l'ami Eric M qui m'a fait la base de mon pf.conf, et c'est tout
de même son métier...
J'ai pas compris ton artcile, un schéma sur où est internet ou est ton
/29 et où est le reste serait plus clair...
Visiblement, Xavier s'est mal exprimé dans son 1er post. Ce que je
comprends des ses règles PF, c'est qu'il fait une double translation
source/destination entre sont /29 publique, et sa DMZ qui est, je suppose
en adressage privé.
Cela dit, je ne vois pas où est l'utilité de cette double translation...
Le Fri, 30 Jul 2010 02:22:58 +0200, Erwan David a écrit :
J'ai jamais eu besoin de faire ça avec pf...
Ben, voir l'exemple dans <1jmemm7.1syyjaddk722oN%, c'est l'ami Eric M qui m'a fait la base de mon pf.conf, et c'est tout de même son métier...
J'ai pas compris ton artcile, un schéma sur où est internet ou est ton /29 et où est le reste serait plus clair...
Visiblement, Xavier s'est mal exprimé dans son 1er post. Ce que je comprends des ses règles PF, c'est qu'il fait une double translation source/destination entre sont /29 publique, et sa DMZ qui est, je suppose en adressage privé. Cela dit, je ne vois pas où est l'utilité de cette double translation...
-- Rico
xavier
Eric Belhomme <rico-{nntp}@ricozome.net> wrote:
Visiblement, Xavier s'est mal exprimé dans son 1er post. Ce que je comprends des ses règles PF, c'est qu'il fait une double translation source/destination entre sont /29 publique, et sa DMZ qui est, je suppose en adressage privé.
Exact, sauf que c'est (était) un /24 en réalité pour les adresses publique est rourables. Avec un /27 pour la DMZ, un /29 pour le câble entre le FW et le routeur Internet, et un /16 pour le LAN. Tous ces sous-réseaux en RFC1918 effectivement.
Cela dit, je ne vois pas où est l'utilité de cette double translation...
Ca a été mis en place il y a 12 ans (on avait déja le /24) par Titi (Alain Th. que certains ici ont bien connu).
Comme la sécu informatique est son métier, et l'est toujours, j'ai supposé qu'il savait ce qu'il faisait. Cela dit, on m'a fait plusieurs fois la remarque que c'était une archi typique de HSC.
-- XAv In your pomp and all your glory you're a poorer man than me, as you lick the boots of death born out of fear.
Eric Belhomme <rico-{nntp}@ricozome.net> wrote:
Visiblement, Xavier s'est mal exprimé dans son 1er post. Ce que je
comprends des ses règles PF, c'est qu'il fait une double translation
source/destination entre sont /29 publique, et sa DMZ qui est, je suppose
en adressage privé.
Exact, sauf que c'est (était) un /24 en réalité pour les adresses
publique est rourables. Avec un /27 pour la DMZ, un /29 pour le câble
entre le FW et le routeur Internet, et un /16 pour le LAN. Tous ces
sous-réseaux en RFC1918 effectivement.
Cela dit, je ne vois pas où est l'utilité de cette double translation...
Ca a été mis en place il y a 12 ans (on avait déja le /24) par Titi
(Alain Th. que certains ici ont bien connu).
Comme la sécu informatique est son métier, et l'est toujours, j'ai
supposé qu'il savait ce qu'il faisait. Cela dit, on m'a fait plusieurs
fois la remarque que c'était une archi typique de HSC.
--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
Visiblement, Xavier s'est mal exprimé dans son 1er post. Ce que je comprends des ses règles PF, c'est qu'il fait une double translation source/destination entre sont /29 publique, et sa DMZ qui est, je suppose en adressage privé.
Exact, sauf que c'est (était) un /24 en réalité pour les adresses publique est rourables. Avec un /27 pour la DMZ, un /29 pour le câble entre le FW et le routeur Internet, et un /16 pour le LAN. Tous ces sous-réseaux en RFC1918 effectivement.
Cela dit, je ne vois pas où est l'utilité de cette double translation...
Ca a été mis en place il y a 12 ans (on avait déja le /24) par Titi (Alain Th. que certains ici ont bien connu).
Comme la sécu informatique est son métier, et l'est toujours, j'ai supposé qu'il savait ce qu'il faisait. Cela dit, on m'a fait plusieurs fois la remarque que c'était une archi typique de HSC.
-- XAv In your pomp and all your glory you're a poorer man than me, as you lick the boots of death born out of fear.
Eric Belhomme
Le Fri, 30 Jul 2010 20:27:20 +0200, Xavier a écrit :
Cela dit, je ne vois pas où est l'utilité de cette double translation...
Ca a été mis en place il y a 12 ans (on avait déja le /24) par Titi (Alain Th. que certains ici ont bien connu).
Comme la sécu informatique est son métier, et l'est toujours, j'ai supposé qu'il savait ce qu'il faisait. Cela dit, on m'a fait plusieurs fois la remarque que c'était une archi typique de HSC.
Ca eveille d'autant plus ma curiosité, car je ne vois pas où peut se situer le gain en sécurité... Si quelqu'un ici pouvait se fendre d'une explication ;)
-- Rico
Le Fri, 30 Jul 2010 20:27:20 +0200, Xavier a écrit :
Cela dit, je ne vois pas où est l'utilité de cette double
translation...
Ca a été mis en place il y a 12 ans (on avait déja le /24) par Titi
(Alain Th. que certains ici ont bien connu).
Comme la sécu informatique est son métier, et l'est toujours, j'ai
supposé qu'il savait ce qu'il faisait. Cela dit, on m'a fait plusieurs
fois la remarque que c'était une archi typique de HSC.
Ca eveille d'autant plus ma curiosité, car je ne vois pas où peut se
situer le gain en sécurité...
Si quelqu'un ici pouvait se fendre d'une explication ;)
Le Fri, 30 Jul 2010 20:27:20 +0200, Xavier a écrit :
Cela dit, je ne vois pas où est l'utilité de cette double translation...
Ca a été mis en place il y a 12 ans (on avait déja le /24) par Titi (Alain Th. que certains ici ont bien connu).
Comme la sécu informatique est son métier, et l'est toujours, j'ai supposé qu'il savait ce qu'il faisait. Cela dit, on m'a fait plusieurs fois la remarque que c'était une archi typique de HSC.
Ca eveille d'autant plus ma curiosité, car je ne vois pas où peut se situer le gain en sécurité... Si quelqu'un ici pouvait se fendre d'une explication ;)
